Na przestrzeni ostatnich kilku lat odnotowujemy znaczący wzrost cyberprzestępczości, zwłaszcza w kontekście dokonywania operacji finansowych, przede wszystkim bankowych, stanowiących w dzisiejszych czasach popularną sferę obrotu gospodarczego. Wszystko za sprawą nieustannego postępu technologicznego, szczególnie w zakresie rozwoju nowoczesnych technik komputerowych lub szerzej – teleinformatycznych. W związku z tym przestępcy sięgają po coraz to nowe środki na uzyskanie dostępu do naszych danych, co niejednorodnie kończy się niekontrolowanym wyprowadzaniem środków pieniężnych z rachunków bankowych ich właścicieli.
Wśród współczesnych metod, którymi posługują się cyberprzestępcy, chcący uzyskać dostęp do sfery bankowości elektronicznej, jest przede wszystkim podejmowanie kontaktu telefonicznego, podczas którego osoba wykonująca połączenie, fałszywie przedstawia się jako pracownik banku i przez oszukańcze poprowadzenie rozmowy, nakłania rozmówcę do zainstalowania na urządzeniu (telefonie, komputerze) złośliwych oprogramowani czy aplikacji. Powyższe umożliwia połączenie się osoby trzeciej z systemem bankowości elektronicznej rozmówcy, a w konsekwencji na bezprawne rozporządzenie środkami zgromadzonymi na rachunku bankowym. W związku z powyższym może nasuwać się pytanie – gdy dojdzie do takiej sytuacji, kto powinien ponosić odpowiedzialność?
Nowelizacja ustawy o usługach płatniczych
W polskim porządku prawnym obowiązuje ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych, która określa, między innymi, prawa i obowiązki stron, wynikające z umów o świadczenie usług płatniczych, a także zakres odpowiedzialności dostawców z tytułu wykonywania usług płatniczych. Ustawa wymagała nowelizacji w związku z implementacją Dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniającą dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylającą dyrektywę 2007/64/WE (Dz.U.UE.L.2015.337.35 z dnia 2015.12.23 ze zm.). W wyniku nowelizacji, która weszła w życiu w dniu 20 czerwca 2018 roku, zmieniono brzmienie art. 46 ust. 1 w/w ustawy. Zgodnie z tym przepisem, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika jest obowiązany niezwłocznie zwrócić płatnikowi kwotę nieautoryzowanej transakcji płatniczej, a w przypadku, gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. W rozumieniu ustawy dostawcą usług płatniczych jest bank, zaś płatnikiem m. in. osoba fizyczna, składająca zlecenie płatnicze, czyli oświadczenie skierowane do dostawcy, zawierające polecenie wykonania transakcji płatniczej. Natomiast zgodnie z art. 40 ust. 1 w/w ustawy, transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Transakcje nie powinny zostać uznane za autoryzowane, gdy zostają przeprowadzone bez wiedzy właściciela rachunku. Jeżeli transakcja płatnicza jest autoryzowana, oznacza to, że zgodę na transakcję wyraził sam płatnik. Nie jest zatem autoryzowaną taka transakcja, której dokonano przy użyciu instrumentu płatniczego należącego do płatnika, ale bez jego zgody.
Sąd Apelacyjny w Warszawie w wyroku z dnia 19 lipca 2018 r., sygn. akt I ACa 348/17 wprost wskazał, że: „Transakcję płatniczą uważa się za autoryzowaną tylko wówczas, jeżeli płatnik wyraził zgodę na jej wykonanie, przy czym zlecenie płatnicze nie może zostać odwołane od chwili jego otrzymania przez bank. Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy, czyli na banku. Autoryzacja to zatem nic więcej jak wyrażenie zgody na wykonanie transakcji, przy czym sposoby autoryzacji określa umowa łącząca posiadacza rachunku i bank. Umowa sformułowana została przez bank i skoro zapewnił on posiadacza rachunku, że na każde wezwanie wypłaci zgromadzone na rachunku środki musi obecnie tak uczynić, bowiem dokonanie wypłaty na rzecz innych osób, stanowi nienależytą realizację umowy”.
Obowiązek zwrotu kwoty transakcji nieautoryzowanej
W myśl art. 46 ust. 1 ustawy, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika jest obowiązany zwrócić płatnikowi kwotę nieautoryzowanej transakcji płatniczej niezwłocznie. Na uwagę zasługuje wydane w dniu 14 czerwca 2023 r. przez Sąd Apelacyjny w Białymstoku w sprawie o sygn. akt I AGa 36/22 przeciwko bankowi orzeczenie, którym Sąd Apelacyjny w Białymstoku oddalił apelację strony pozwanej od wyroku Sądu Okręgowego w Białymstoku, w całości uwzględniającego powództwo i zasądzającego od pozwanego banku na rzecz powoda kwotę 76.000 zł wraz z odsetkami ustawowymi z tytułu zwrotu kwoty nieautoryzowanych przelewów z rachunku bankowego właściciela. Sąd Apelacyjny wskazał, że: „W judykaturze powszechnie przyjmuje się, że ryzyko dokonania wypłaty z rachunku bankowego na rzecz osoby nieuprawnionej oraz dokonania rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną, obciąża Bank, także w sytuacji objęcia rachunku bankowego bankowością internetową (zob. wyrok Sądu Apelacyjnego w Warszawie z dnia 19 lipca 2018 r., I ACa 348/17, wyrok Sądu Apelacyjnego w Łodzi z dnia 17 stycznia 2020 r., I ACa 1511/18 czy też wyrok tut. Sądu Apelacyjnego z dnia 5 kwietnia 2019 r., I AGa 176/18). Innymi słowy, w przypadku dokonania wypłaty na rzecz osoby nieuprawnionej Bank nie może uwolnić się od obowiązku wykonania zobowiązania względem posiadacza rachunku – także na tej podstawie, że spełnił wymagania co do zachowania należytej staranności (art. 355 KC; zob. wyrok Sądu Najwyższego z dnia 16 stycznia 2001 r., II CKN 344/00 oraz postanowienie Sądu Najwyższego z dnia 16 października 2020 r., I CSK 216/20).”
Informacja o nieautoryzowanych transakcjach
Bardzo istotnym i jednocześnie koniecznym warunkiem do skutecznego dochodzenia od banku zwrotu kwot z tytułu nieautoryzowanych transakcji jest uprzednie powiadomienie banku, dokonane przez płatnika, o zaistniałych niezleconych płatnościach. Zgłoszenia należy dokonać w nieprzekraczalnym terminie 13 miesięcy od dnia wykonania transakcji albo obciążenia rachunku płatniczego płatnika. Właściciel rachunku powinien zatem bez zbędnej zwłoki zawiadomić bank o zauważonych nieautoryzowanych, niezleconych, niewykonanych transakcjach płatniczych. Warto podkreślić, że po upływie ustawowo zakreślonego terminu na zgłoszenie, roszczenia płatnika względem dostawcy z tytułu nieautoryzowanych transakcji płatniczych wygasają, co oznacza, że bank jest uprawniony do uchylenia się od zwrotu kwoty transakcji.
Odpowiedzialność płatnika
Od zasady bezwarunkowego zwrotu środków właścicielowi rachunku bankowego kwot nieautoryzowanych transakcji istnieją jednak wyjątki. Jeżeli bowiem płatnik doprowadził do nieautoryzowanej transakcji umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy o usługach płatniczych, przypisywana jest mu pełna odpowiedzialność za nieautoryzowane transakcje płatnicze. Umyślność oznacza zamiar naruszenia obowiązku przez płatnika lub godzenie się, że obowiązek taki nie zostanie należycie wykonany. Ma to miejsce wtedy, gdy płatnik dobrowolnie udostępnia osobie trzeciej na przykład login i hasło do logowania w systemie bankowości elektronicznej, bądź kartę płatniczą z numerem PIN. Natomiast w sytuacji, w której płatnik został skłoniony podstępnie przez osobę nieuprawnioną do udostępnienia danych na przykład kodu autoryzacyjnego w formie wiadomości SMS, pochodzącego z banku, wydaje się, że nie sposób przypisać mu rażącego niedbalstwa, co najwyżej można mówić o braku zachowania należytej staranności.
Pojęcie „niedbalstwo” nie zostało zdefiniowane w przepisach, występuje zaś w komentarzach i orzecznictwie. Niedbalstwo zachodzi wówczas, gdy sprawca w ogóle nie wyobraża sobie skutku swojego zachowania, choć może i powinien go sobie wyobrazić. Rażące niedbalstwo jest działaniem bezmyślnym, bez zachowania minimalnej staranności czy ostrożności wymaganej w danej sytuacji. Jest to najwyższy stopień nieumyślnej winy – poważniejszy niż zwykłe niedbalstwo. Należy pamiętać, że rażące niedbalstwo jest pojęciem ocennym, choć wydaje się bezpodstawnym przypisanie rażącego niedbalstwa osobie, od której dane do bankowości elektronicznej zostały podstępnie wyłudzone, w okolicznościach, które mogły u płatnika wzbudzić fałszywe przekonanie, że postępuje on w sposób prawidłowy.
Natomiast odnosząc się obowiązków, które płatnik misi realizować, aby uniknąć odpowiedzialności, należy wspomnieć o konieczności korzystania z instrumentu płatniczego zgodnie z umową, a także niezwłocznego zgłaszania bankowi lub podmiotowi, wskazanemu przez bank, utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu. Ponadto płatnik zobowiązany jest do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym. Jeżeli płatnik w sposób niezamierzony i nieświadomy, a więc niezawiniony, dopuścił się naruszenia jednego ze swoich obowiązków ciążących na nim z mocy ustawy o usługach płatniczych, nie może ponosić odpowiedzialności za nieautoryzowane transakcje.
Ponadto należy wspomnieć o dodatkowym uregulowaniu ustawowym, które stanowi, że płatnik ponosi odpowiedzialność za nieautoryzowane transakcje płatnicze również wówczas, gdy transakcja nie przekracza równowartości w walucie polskiej 50 euro.
Ciężar dowodu w zakresie autoryzowania transakcji płatniczej
W myśl art. 45 ustawy o usługach płatniczych, ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez płatnika lub że została wykonana prawidłowo, spoczywa na banku. Wykazanie przez bank faktu zarejestrowanego posłużenia się instrumentem płatniczym, nie przesądza o tym, że transakcja płatnicza została przez płatnika autoryzowana. To bank jest obowiązany udowodnić inne okoliczności, wskazujące na autoryzację transakcji płatniczej przez płatnika, albo okoliczności wskazujące na fakt, że to płatnik ponosi odpowiedzialność za transakcję. Innymi słowy ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża bank.
W tym miejscu należy przywołać stanowisko Rzecznika Finansowego, zdaniem którego możemy mieć do czynienia jedynie z dwiema sytuacjami, będącymi wyjątkami od zasady bezwarunkowego zwrotu środków posiadaczowi rachunku bankowego, a należą do nich: uzasadnione podejrzenie oszustwa i zawiadomienie przez bank organów ścigania bądź niedochowanie przez płatnika 13 – miesięcznego terminu zgłoszenia nieautoryzowanej transakcji.
Podsumowanie
W świetle obowiązujących przepisów zasadą jest obowiązek zwrotu płatnikowi przez bank kwot nieautoryzowanych transakcji. Jeśli zatem transakcje płatnicze zostały wykonane bez wyraźnej zgody płatnika oraz w okolicznościach, za które nie ponosi on odpowiedzialności, a płatnik wywiązał się z ciążącego na nim obowiązku dokonania zgłoszenia bankowi roszczeń z tytułu nieautoryzowanych transakcji w ustawowo zakreślonym terminie 13 miesięcy od dnia obciążenia rachunku płatniczego albo od dnia, w którym transakcja miała być wykonana, to na banku ciąży obowiązek pełnego zwrotu kwot nieautoryzowanych transakcji. Jeżeli więc bank w odpowiedzi na dokonane zgłoszenie odmówi pozytywnego rozpatrzenia reklamacji lub udzieli negatywnej decyzji w zakresie zwrotu środków, właścicielowi rachunku pozostaje skierowanie sprawy na drogę postępowania sądowego.
Niewątpliwie istotnym udogodnieniem dla osób, które bezprawnie zostały pozbawione środków pieniężnych z rachunków bankowych, jest możliwość skierowania sprawy do sądu właściwego ze względu na miejsce zamieszkania klienta banku. Ponadto czynnikiem znacząco ułatwiającym właścicielowi rachunku uczestniczenie w sporze z bankiem jest ustawowe przerzucenie w procesie ciężaru dowodu na bank, który musi wykazać, że to jednak płatnik wyraził świadomą i wyraźną zgodę na transakcję, a tym samym dokonał jej autoryzacji, bądź też że zachował się w sposób rażąco niedbały. Oznacza to, że w sprawach, w których powództwa zostały wytoczone przez użytkowników pokrzywdzonych nieautoryzowaną transakcją, dochodzi do odwrócenia klasycznego ciężaru dowodu wynikającego z art. 6 k.c. Granice odpowiedzialności płatnika ograniczono jedynie do kryterium umyślności bądź rażącego niedbalstwa po stronie właściciela rachunku, a także do kryterium kwotowego tj. do 50 euro.
Komentarz ekspercki – adw. Katarzyna Kozak, Pilawska Zorski Adwokaci