Phishing – obowiązki banku wobec klienta – case study

Nieprawomocnym wyrokiem z dnia 16 listopada 2022 r., Sąd Rejonowy w Pleszewie w sprawie o sygn. akt I C 477/21 zasądził na rzecz Powódki reprezentowanej przez radcę prawnego Bartosza Wojciechowskiego z Kancelarii Prawnej ANSWER kwotę 33.691,00 zł wraz z ustawowymi odsetkami za opóźnienie oraz nakazał pozwanemu bankowi zwrócić koszty procesu w całości.

Podstawą roszczeń było  dokonanie nieautoryzowanej przez klientkę banku transakcji płatniczej  powstałej na skutek phishingu.  

Reprezentowana przez Kancelarię Powódka – klientka banku dokonywała sprzedaży przedmiotów przez popularny portal ogłoszeniowy. Wystawiła ogłoszenie z podaniem opisu przedmiotu, jego ceny oraz numeru telefonu do kontaktu. Tego samego dnia z klientką skontaktował się oszust udając zainteresowanego kupującego. Za pośrednictwem platformy WhatsApp zapytał o szczegóły wystawionego ogłoszenia. “Kupujący” poinformował, że decyduje się na zakup i poprosił o możliwość skorzystania z usługi przesyłki organizowanej przez portal ogłoszeniowy. Na prośbę “kupującego” Powódka uruchomiła taką możliwość dla swojego ogłoszenia, informując o tym zainteresowanego. Nabywca oświadczył, że zapłacił już za przedmiot i dostawę, przesyłając zrzut ekranu dla rzekomo wykonanej transakcji oraz link mający posłużyć do odbioru środków.  
Po skorzystaniu z linku, Powódka została przekierowana na stronę o wyglądzie portalu ogłoszeniowego, a po uzupełnieniu formularza – na stronę internetową swojego operatora bankowości elektronicznej, na której podjęła działania zmierzające do sfinalizowania transakcji z zainteresowanym i odbioru środków. Wpisując kod SMS, który miał posłużyć do zaakceptowania transakcji w banku, w rzeczywistości Powódka uwierzytelniła obce urządzenie. W rezultacie, w trakcie wykonywania czynności przez Powódkę, bez wiedzy i zgody dokonano z jej rachunku bankowego przelewu w wysokości 7.000,00 Euro (33.691,00 złotych) na zagraniczny rachunek bankowy. Zabezpieczenia banku nie przewidywały bowiem dodatkowego akceptowania transakcji w przypadku wykonywania ich ze świeżo dodanych urządzeń – uprzednio uwierzytelnionych.  
Powódka tego samego dnia (30 marca 2021 r.) zgłosiła reklamację w pozwanym banku, które natychmiast dokonało blokady bankowości elektronicznej Powódki, złożyła także zawiadomienie o podejrzeniu popełnienia przestępstwa na Policji. Następnego dnia bank powiadomił pokrzywdzoną, że środki z rachunku bankowego Powódki zostały przekazane na rachunek bankowy zagranicznego podmiotu – Pozwana bowiem blokując dostęp do bankowości elektronicznej nie zablokowała zleconych już transakcji.  
Z uwagi na brak współpracy po stronie banku oraz konieczność odzyskania środków pieniężnych przelanych z rachunku Powódki wskutek nieautoryzowanej transakcji płatniczej, Powódka zleciłą Kancelarii ANSWER podjęcie kroków prawnych celem odzyskania utraconych środków pieniężnych. Pomimo stwierdzenia wystąpienia phishingu, dostawca usług bankowości elektronicznej nie poczuwał się do odpowiedzialności za zwrot środków.  
Powódka, reprezentowana przez mecenasa Bartosza Wojciechowskiego  zdecydowała się na wniesienie powództwa przeciwko bankowi. Podstawą prawną roszczeń były przepisy ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych – m.in. art. 45 Ustawy obciążający dostawcę usług bankowości elektronicznej ciężarem udowodnienia prawidłowego autoryzowania transakcji płatniczej oraz art. 46 ust. 1a wskazujący na termin zwrotu środków pobranych wskutek nieautoryzowanej transakcji płatniczej, przypadający na koniec dnia roboczego następującego po dniu zgłoszenia utraty tych środków. Pozew oparto na zapisach Dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego (zwaną powszechnie dyrektywą „PSD2”), zgodnie z którą wszystkie usługi płatnicze oferowane drogą elektroniczną powinny być wykonywane w sposób bezpieczny, z użyciem technologii będących w stanie zagwarantować bezpieczne uwierzytelnianie przez klienta. Zapis ten został implementowany do polskiego systemu prawnego pod postacią przepisu art. 73 Ustawy o usługach płatniczych. 
 
W toku postępowania pozwany bank podtrzymywał swoje stanowisko, wyrażone w procesie reklamacyjnym, zgodnie z którym wyłączną odpowiedzialność za zaistniałą sytuację ponosi Powódka, która dopuszczając się rażącego niedbalstwa, udostępniła swoje dane do logowania. Przeprowadzono dowód z opinii biegłego informatyka, który jednoznacznie stwierdził, że doszło do ataku phishingowego. Biegły wskazał również, że nawet zainstalowanie programu antywirusowego na urządzeniu Powódki nie uchroniłoby jej przez takim atakiem.  
 
Wyrokiem z dnia 16 listopada 2022 r. (nieprawomocny) Sąd Rejonowy w Pleszewie, w sprawie o sygn. akt I C 477/21 zasądził na rzecz Powódki pełną kwotę roszczenia – 33.691,00 zł wraz z ustawowymi odsetkami, a także zwrot kosztów procesu w całości. W uzasadnieniu orzeczenia Sąd wskazał, że Powódka dochowała należytej staranności wymaganej w stosunkach danego rodzaju, a do ujawnienia danych dostępowych do portalu bankowego doszło nieświadomie – nie zaś w wyniku działania umyślnego bądź niedbalstwa. Sąd nie podzielił stanowiska pozwanego banku, według którego metody działania hakerów i środki obrony są powszechnie znane. Nie przyjął również, by sam baner z ostrzeżeniem o oszustwach widniejący na stronie internetowej banku miał zmienić taki stan rzeczy.   
Skład orzekający zwrócił także uwagę na prokonsumenckie rozwiązanie ustawy o usługach płatniczych, obciążające bank ciężarem wykazania winy płatnika w dopuszczeniu do nieautoryzowanej transakcji. W przypadku braku wykazania takiej winy, dostawcę usług automatycznie obciąża konieczność zwrotu kwot transakcji.  
 
Od wyroku Sądu I instancji apelację złożyły obie strony – Powódka w zakresie roszczenia odsetkowego, które zasądzono na podstawie art. 481 k.c. w zw. z art. 455 k.c. Strona powodowa stoi na stanowisku, że podstawą do wyliczania terminu odsetek w przypadku nieautoryzowanej transakcji płatniczej jest art. 46 ust. 1 ustawy o usługach płatniczych. Pomimo nieprawomocności wyroku, niewątpliwie kierunek w nim przedstawiony jest on zadowalający nie tylko dla Powódki, ale także dla innych ofiar ataków phishingowych, które pozostają jedną z najpowszechniejszych form oszustw internetowych.  

Autor:
Weronika Barbara Bartkowiak
Aplikantka radcowska

• Instagram
• LinkedIn