Tego rodzaju problemy zdarzają się coraz częściej klientom banków. Hakerzy wykradają pieniądze z kont bankowych, posługując się danymi: hasłem i numerem klienta.

Powód w pozwie skierowanym przeciwko bankowi domagał się zapłaty 76 tys. zł wraz z ustawowymi odsetkami za opóźnienie do dnia zapłaty. Żądał także zwrotu kosztów postępowania.

 

Atak hakerski spowodowany zaniedbaniem?

Powód twierdził, że padł ofiarą ataku hakerskiego, w wyniku którego dokonano nieautoryzowanych przez niego transakcji płatniczych i wyprowadzenia środków z jego rachunku bankowego, prowadzonego w pozwanym banku.

Zdarzenie miało miejsce 15 marca 2016 r., o godz. 14, gdy z rachunku powoda dokonano przelewu 297 836 zł. Tego samego dnia, kilkanaście minut później, wypłacono 87 980 zł. Dwa dni później powód złożył reklamację do pozwanego, że przelewy nie zostały autoryzowane. W odpowiedzi na reklamację bank wskazał, że w momencie jej otrzymania nie miał możliwości zabezpieczenia wypływu środków. Bank podał, że oba przelewy zostały wykonane z tego samego adresu IP komputera, z którego kilka minut wcześniej wykonano przelewu w kwocie 9369,65 zł, a który nie był reklamowany.

Pozwany wnosił o oddalenie powództwa na koszt powoda. Wskazał, że to powód (dyrektor powodowej spółki) swoim nagannym i lekkomyślnym zachowaniem lub zaniedbaniem sam przyczynił się do przejęcia danych i dokonania tej transakcji.

Podał nadto, że po ujawnieniu, że przelewy mogły być zrealizowane w wyniku przestępstwa, nie zbagatelizował sprawy a niezwłocznie podjął stosowne działania.

 

Uwzględnienie powództwa

Wyrokiem z 23 grudnia 2021 r. Sąd Okręgowy w Białymstoku zasądził od pozwanego na rzecz powoda kwotę 76 tys. zł wraz z odsetkami ustawowymi za opóźnienie. Sąd I instancji ocenił powództwo na gruncie art. 415 k.c. oraz art. 471 k.c. i  uznał, że zasługiwało na uwzględnienie.

Prokuratura Okręgowa w Warszawie umorzyła śledztwo w sprawie z uwagi na niewykrycie sprawcy przestępstwa.

Dopiero w styczniu 2021 r. bank podał, że jego system wskazał możliwe zagrożenie infekcją wirusa urządzenia powoda.

Sąd nie podzielił zarzutu przedawnienia podniesionego przez pozwanego. Wskazał, że zarówno w przypadku odpowiedzialności deliktowej jak i kontraktowej roszczenia przedawniają się z upływem trzech lat.

 

Transakcje były podejrzane

Sąd Okręgowy za niezasadne uznał stanowisko pozwanego, wedle którego obie transakcje nie wzbudzały podejrzeń, nie różniły się od dokonywanych wcześniej i autoryzowanych przez powoda, jak chociażby transakcje do ZUS.

Sąd podkreślił, że również z przeprowadzonego w sprawie dowodu z opinii biegłego z zakresu ekonomii i informatyki wynika, że operacje realizowane w bankowości internetowej na danych dostępowych powoda różniły się od realizowanych wcześniej. Bo do systemu, w którym zalogowany był użytkownik na danych dostępowych powód po parudziesięciu sekundach logował się z innego IP użytkownika na tych samych danych dostępowych. Sytuacja taka miała miejsce o 9:50:23 i 9:50:52 oraz o 13:55:47 i 13:56:12. Wprowadzone przelewy na kwoty 297 tys. zł i 87 tys. 980 zł były w wysokości nie występującej na przestrzeni ostatniego roku.

 

Bank nie wyjaśnił sytuacji

Sąd Okręgowy miał także na uwadze, że prezes powodowej spółki po każdej z nieudanych prób zalogowania się do systemu zgłaszał te problemy pracownikowi pozwanego, który jednak nie zrobił nic, aby wyjaśnić tę sytuację i nie dokonał wglądu do rachunku powoda.

W ocenie sądu wysoce prawdopodobne jest, że to zaniechanie pracownika banku umożliwiło transfer przestępczych poleceń przelewów i wstrzymało decyzję co do zablokowania tych transakcji.

Sąd nie podzielił też zarzutu pozwanego, jakoby to powód przyczynił się do powstania przedmiotowej szkody. Wskazał, że powoda nie może obciążać fakt, że nieustalony sprawca przełamał zabezpieczenia do jego komputera oraz eTokena.

Czytaj teżGdy urzędnik pracuje w domu, hakerowi łatwiej wejść do urzędu

Biorąc to wszystko pod uwagę, Sąd Okręgowy wywiódł, że za szkodę powoda odpowiada pozwany bank, który nie wykonał należycie umowy prowadzenia rachunku bankowego powodowej spółki. Środki pieniężne na nim zgromadzone nie zostały należycie zabezpieczone. Zatem pomiędzy szkodą a nienależytym wykonaniem zobowiązania istnieje adekwatny związek przyczynowy. Spełnione zatem zostały wszystkie przesłanki z art. 471 k.c. i na tej podstawie uwzględniono powództwo w całości.

Sąd wskazał zarazem, że bank zaniechał podjęcia działań związanych z ostrzeżeniem klienta i wyjaśnieniem jego sytuacji, w momencie kiedy ten miał problemy z logowaniem. Apelację od tego wyroku wywiódł pozwany.

 

Nowość
Gwarancje bankowe i ubezpieczeniowe
-60%
Nowość

Barbara Andrzejuk, Izabela Heropolitańska

Sprawdź  

Cena promocyjna: 99.6 zł

|

Cena regularna: 249 zł

|

Najniższa cena w ostatnich 30 dniach: 124.5 zł


Apelacja banku oddalona

Sąd Apelacyjny za prawidłowe uznał dokonane przez sąd I instancji ustalenia faktyczne. Poza tym - podnoszone w apelacji okoliczności co do braku przełamania zabezpieczeń pozwanego banku nie mogły uwolnić skarżącego od odpowiedzialności wobec powoda z tytułu zwrotu środków przelanych z rachunku tego ostatniego bez jego zgody.

Nietrafne są także zarzuty pozwanego, że powód przyczynił się do powstania szkody poprzez niezgłoszenie skarżącemu podejrzenia ataku hakerskiego niezwłocznie po jego stwierdzeniu. Dlatego, że:

  • po pierwsze zauważyć należy, że to nie mogło zapobiec szkodzie, skoro objęte sporem przelewy zostały już zrealizowane;
  • po drugie, materiał dowodowy nie daje podstaw do przypisania powodowej spółce zwłoki w zgłoszeniu ataku, przy czym czas ten, w ocenie Sądu Apelacyjnego, liczyć należy od chwili stanowczego stwierdzenia, że do takiego ataku doszło, a nie od chwili nabrania przez powoda niepotwierdzonych podejrzeń w tym przedmiocie;
  • po trzecie zaś, bank nie podjął nawet próby wykazania, że zgłoszenie mu przez powodową spółkę ataku hakerskiego już kolejnego dnia po dokonaniu wzmiankowanych przelewów przyczyniłoby się do ograniczenia rozmiarów szkody, której doznał jego powód.

Sąd Apelacyjny w Białymstoku uznał, że zachodzi przewidziany w art. 443 k.c. zbieg odpowiedzialności kontraktowej z odpowiedzialnością deliktową. Przy czym, przesłanki odpowiedzialności pozwanego banku z obu tych podstaw zostały wykazane, a przedawnienie roszczenia z żadnej z tych podstaw nie zaistniało.

Wyrok Sąd Apelacyjny w Białymstoku z 14 czerwca 2023 r.,  sygn. akt I AGa 36/22

Czytaj też w LEX: Bezprawne pobieranie pieniędzy z bankomatu w orzecznictwie sądów >