Trwa ładowanie strony...
Trudno sobie obecnie wyobrazić zarządzanie swoimi finansami bez bankowości internetowej czy terminalowej. Rodzi to niestety coraz większe zagrożenia, ryzyka i niebezpieczeństwo wykorzystania tych kanałów w celach przestępczych. Tylko w ostatnim miesiącu dostałem kilka zgłoszeń od klientów, którzy utracili swoje środki finansowe lub na ich rzecz zostały zaciągnięte zobowiązania w postaci kredytów i/lub pożyczek. Skala zjawiska wydaje się być niepokojąca, tym bardziej, że modus operandi sprawców się zmienia i jest ciągle dopracowywany. Z szacunków Rzecznika Finansowego powstałych w oparciu o dane Narodowego Banku Polskiego wynika, że w ciągu zeszłego 2021 roku mogło dojść nawet do 250 tys. tego typu przestępstw. Czym zatem jest nieautoryzowana transakcja? Czy bank ponosi odpowiedzialność za jej wystąpienie? Jakie środki ostrożności należy zachować i jakie podjąć kroki gdy staniemy się ofiarami takiego oszustwa?
Zgodnie z art. 40 ust. 1 ustawy z dnia 19 sierpnia 2011 roku o usługach płatniczych transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych. A zatem każda transakcja na którą nie wyrazimy zgody będzie uważana za transakcję nieautoryzowaną.
Autoryzacja transakcji oznacza wyrażenie zgody na dokonanie transakcji płatniczej, czyli stanowi oświadczenie woli użytkownika składane z zamiarem i świadomością wywołania określonych skutków prawnych, tj. dokonania transakcji płatniczej. Sposób wyrażenia zgody (czyli sposób autoryzacji transakcji) jest uzależniony od rodzaju transakcji płatniczej, wykorzystywanego instrumentu płatniczego czy sposobu zlecania usługi płatniczej (w formie papierowej czy drogą elektroniczną). Sposób autoryzowania transakcji określony jest w załączonych do umowy ramowej regulaminach wskazujących, w jaki sposób dochodzi do autoryzacji transakcji (np. przez użycie kolejnego kodu z karty kodów). Prawidłowa, zgodna z określonymi w załączonych do umowy ramowej regulaminami, autoryzacja jest zasadniczym elementem w procesie przeprowadzania transakcji. Przede wszystkim od ustalenia, czy doszło do autoryzacji transakcji płatniczej przez użytkownika, czy też mamy do czynienia z transakcją nieautoryzowaną, zależy odpowiedzialność zarówno dostawcy, jak i płatnika za transakcję płatniczą. Natomiast od ustalenia, z jakich przyczyn doszło do wykonania nieautoryzowanej przez płatnika transakcji, zależy zakres odpowiedzialności dostawcy i obowiązku zwrotu kwot nieautoryzowanych transakcji.
W przypadku wystąpienia nieautoryzowanych przez płatnika transakcji płatniczych konieczne jest ustalenie, w jakich okolicznościach doszło do nieautoryzowanych transakcji: czy z winy płatnika wskutek naruszenia podstawowych obowiązków płatnika określonych w art. 42 u.u.p., czy też z powodu okoliczności, za które nie ponosi on odpowiedzialności, czy jednak z powodu okoliczności, za które ponosi odpowiedzialność dostawca. Od powyższych ustaleń uzależniona jest możliwość uzyskania przez płatnika zwrotu kwot nieautoryzowanych przez niego transakcji.
Przyjęte rozwiązanie sugeruje, że płatnik, zlecając wykonanie transakcji płatniczej, czyli składając oświadczenie woli, musi autoryzować transakcję. Oznacza to, że samo złożenie oświadczenia woli, na mocy którego płatnik zleca wykonanie transakcji, nie jest wystarczające – nie jest równoznaczne z wyrażeniem zgody.
W przypadku przejęcia przez cyberprzestępców naszego telefonu lub komputera, a w konsekwencji zasad wyrażania zgody i indywidualnych danych uwierzytelniających autoryzacja będzie odpowiadać wymogom określonym przez strony umowy ramowej. Jednak mimo że wymogi autoryzacji transakcji zostaną spełnione, zgoda nie została wyrażona przecież przez samego płatnika. W przypadku zauważenia nieautoryzowanej transakcji należy dokonać jej zgłoszenia. Użytkownik instrumentu płatniczego jest obowiązany do niezwłocznego poinformowania dostawcy o stwierdzonych przez niego nieautoryzowanych transakcjach. Brak takiego zawiadomienia w terminie 13 miesięcy od wykonania takiej transakcji lub obciążenia rachunku powoduje, że roszczenia użytkownika wygasają. W przypadku wystąpienia nieautoryzowanej transakcji, na instytucji finansowej ciąży ustawowy obowiązek zwrotu klientowi kwoty nieautoryzowanej transakcji niezwłocznie, nie później niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji (tzw. zasada D+1)
Użytkownik nie musi udowadniać, że dana transakcja był nieautoryzowana, ponieważ co do zasady to na dostawcy ciąży ciężar udowodnienia, że była ona autoryzowana. Użytkownik zgłasza więc sam fakt zidentyfikowania nieautoryzowanej transakcji, a dostawca sprawdza, np. poprzez analizę transakcji, czy użytkownik mógł wykonać określone działanie. Podstawową zasadą, jaka przyświeca regulacjom dotyczącym nieautoryzowanych transakcji płatniczych, jest przeniesienie odpowiedzialności za taką transakcję z klienta na instytucję finansową. To zatem bank odpowiada, na zasadzie ryzyka, za nieautoryzowaną przez klienta transakcję. Jedynie w określonych przypadkach instytucja finansowa może być zwolniona z tego obowiązku.
Jeśli bank nie zwróci środków klientowi we wskazanym wyżej terminie, popada w opóźnienie i już od tego momentu klient ma prawo domagać się od instytucji finansowej ustawowych odsetek za opóźnienie. Istnieje tylko jeden wyjątek, który pozwala bankowi uchylić się od obowiązku zwrotu środków, a mianowicie sytuacja gdy bank ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo i poinformuje o tym na piśmie organy ścigania. Niestety, banki pomimo ewidentnych przypadków przestępstw dokonanych na szkodę swoich klientów, w odpowiedzi na wnioski i reklamacje odmawiają zwrotu środków, tudzież anulowania zawartych przez oszustów umów. Powołują się przy tym na autoryzację dokonaną przez klienta, co w żaden sposób nie jest wystarczające do uznania, że kwestionowana przez klienta banku transakcja została przez niego autoryzowana. Tak jakby klient miał w zwyczaju wyrażać zgodę na zabór zgromadzonych przez niego środków.
Jak zostało wyżej podkreślone, to na banku spoczywa ciężar udowodnienia, że transakcja była prawidłowo autoryzowana przez klienta oraz że to klient zachował się w rażąco niedbały sposób. Jedynie wykazanie rażącego niedbalstwa po stronie klienta pozwoli bankowi uwolnić się od odpowiedzialności za nieautoryzowaną transakcję płatniczą.
O stopniu niedbalstwa świadczy stopień staranności, jakiego w danych okolicznościach można wymagać od sprawcy. Niezachowanie podstawowych, elementarnych zasad ostrożności, które są oczywiste dla większości rozsądnie myślących ludzi, stanowi o niedbalstwie rażącym. Poziom elementarności i oczywistości wyznaczają okoliczności konkretnego stanu faktycznego, związane m.in. z osobą sprawcy, ale przede wszystkim zdarzenia obiektywne, w wyniku których powstała szkoda (wyrok Sądu Najwyższego z dnia 10 sierpnia 2007 r., sygn. akt II CSK 170/07, por. też wyrok Sądu Najwyższego z dnia 10 marca 2004 r., sygn. akt IY CK 151/03). W tym kontekście można wskazać poglądy orzecznictwa, które uznają, że ujawnienie osobom nieuprawnionym swoich poufnych danych, a więc login, hasło, sms-kod – na fałszywej stronie, umożliwiając w ten sposób sprawcom przestępstwa ich przejęcie, a następnie wykorzystanie bez naszej wiedzy stanowi przejaw rażącego niedbalstwa. W tym zakresie wyłudzenie danych nie wynikało z niesprawności systemów bankowych, czy nieszczelności stosowanych przez bank zabezpieczeń bądź niedochowania należytej staranności w sprawowaniu pieczy nad powierzonymi mu środkami finansowymi klientów, lecz ze sprawności działania oszustów, którzy korzystając z ludzkiej nieświadomości, naiwności, niedbalstwa i pośpiechu, a także innych czynników osłabiających czujność klienta dokonywali tego rodzaju przestępstw, przy korzystaniu przez takie osoby z usług bankowości elektronicznej. Nie ulega wątpliwości że, na użytkowniku spoczywa szereg obowiązków związanych z korzystaniem z bankowości elektronicznej m.in. w postaci stosowania:
1) wyłącznie legalnego oprogramowania, jego bieżącą aktualizację i instalację poprawek systemowych zgodnie z zaleceniami producentów,
2) aktualnego oprogramowania antywirusowego i antyspamowego oraz zapory firewall,
3) najnowszych wersji przeglądarek internetowych,
4) haseł zabezpieczających przed nieuprawnionym dostępem do komputera osób trzecich czy
5) stosowaniem się do komunikatów i ostrzeżeń płynących ze strony dostawcy usług bankowych.
Z drugiej strony jak słusznie zauważył Sąd Okręgowy w Warszawie w wyroku z dnia 11 sierpnia 2021 roku o sygn. akt XXVII Ca 1352/21, że (…) rynek usług bankowości elektronicznej stale się rozwija i świadomość jego klientów na dzień dzisiejszy z pewnością jest większa, jednak Sąd Okręgowy nie podziela przekonania Sądu Rejonowego, że w 2019 r. metody działania hakerów i środki obrony przed nimi były powszechnie znane. Fakt zarejestrowanego użycia instrumentu płatniczego, czyli – należy przyjąć – użycia instrumentu płatniczego zgodnie z procedurami i przy zastosowaniu ustalonych sposobów autoryzacji, nie oznacza, że transakcja została autoryzowana przez użytkownika. W przypadku zgłoszenia przez użytkownika transakcji, które obciążają jego rachunek płatniczy i które były prawidłowo autoryzowane, czyli zlecone i zrealizowane zgodnie z przewidzianą procedurą, a które użytkownik wskazuje jako przez niego nieautoryzowane, dostawca musi udowodnić fakt autoryzacji transakcji przez użytkownika. Jednak dostawca musi przywołać inne dowody niż sam fakt prawidłowego skorzystania z procedur autoryzacji przewidzianych umową. Dostawca może przytoczyć dowody wykazujące, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji (np. przekazał kartę i PIN członkowi rodziny) albo wskutek rażącego niedbalstwa naruszył jeden z obowiązków określonych w art. 42 u.u.p., czyli nie przechowywał informacji w sposób zapewniający bezpieczeństwo.
W ocenie Sądu nie można przypisać umożliwienia dokonania nieautoryzowanych transakcji wskutek rażącego niedbalstwa gdy komputer użytkownika posiada zainstalowane oprogramowanie antywirusowe a on sam nie udostępnia świadomie identyfikatora, hasła ani innych danych jakimkolwiek osobom trzecim. Fakt dokonania nieautoryzowanych transakcji może świadczyć o pewnych uchybieniach w zachowaniu użytkownika, które dają podstawy by można mu było postawić zarzut nienależytej staranności, jednakże nie w stopniu rażącym.
Sąd Okręgowy zwrócił uwagę też na aspekty działania banku, które budziły zastrzeżenia co do jego profesjonalizmu. Stosownie do art. 50 ust. 2 ustawy prawo bankowe na bankach ciąży powinność dołożenia szczególnej staranności w zakresie prowadzenia rachunków bankowych oraz zapewnienia maksimum bezpieczeństwa dla wkładów pieniężnych i przeciwdziałania wypłaty tych środków na rzecz osób nieuprawnionych. Trudno jest uznać jako w pełni odpowiadające tym wymogom działanie polegające na braku odpowiedniej reakcji na dokonywane na kontach klienta operacji bankowych dotyczące przelewu w krótkim czasie znacznych kwot, odpowiadających praktycznie całości posiadanych przez niego środków.