Sąd Apelacyjny w Białymstoku uznał, że bank jest odpowiedzialny za atak hakerski na konto swojego klienta. Pozwany bank nie spełnił odpowiednio umowy dotyczącej prowadzenia rachunku klienta. Środki pieniężne zgromadzone na koncie nie zostały należycie zabezpieczone. Sąd drugiej instancji zaznaczył, że brak przełamania zabezpieczeń przez pozwanego banku nie zwalniał go od odpowiedzialności.
POLECAMY: Nieautoryzowane transakcje płatnicze będzie łatwiej odzyskać od banku
Tego typu zdarzenia stają się coraz częstsze w przypadku klientów banków. Hakerzy wykorzystują dane, takie jak hasło i numer klienta, aby wykradać pieniądze z kont bankowych.
Powód wnoszący pozew przeciwko bankowi domagał się zapłaty 76 tysięcy złotych, wraz z ustawowymi odsetkami za opóźnienie do dnia zapłaty, oraz zwrotu kosztów postępowania.
Atak hakerski spowodowany zaniedbaniem?
Powód twierdził, że padł ofiarą ataku hakerskiego, który doprowadził do nieautoryzowanych transakcji płatniczych i wyprowadzenia środków z jego rachunku bankowego w pozwanym banku.
Zdarzenie miało miejsce 15 marca 2016 r. o godzinie 14:00, gdy na rachunku powoda wykonano przelew w wysokości 297 836 zł. Tego samego dnia, kilkanaście minut później, wypłacono 87 980 zł. Dwa dni po incydencie, powód złożył reklamację do banku, twierdząc, że żadna z tych transakcji nie została przez niego autoryzowana. W odpowiedzi na reklamację bank oświadczył, że w momencie otrzymania reklamacji nie mógł zabezpieczyć wypływu środków. Bank podkreślił, że oba przelewy pochodziły z tego samego adresu IP komputera, z którego kilka minut wcześniej wykonano inny przelew w wysokości 9369,65 zł, który nie był reklamowany.
Pozwany bank wnosił o oddalenie powództwa na koszt powoda. Bank wskazał, że to powód, jako dyrektor powodowej spółki, swoim nagannym i lekkomyślnym zachowaniem lub zaniedbaniem sam przyczynił się do przejęcia danych i dokonania wspomnianych transakcji. Dodatkowo bank podał, że po ujawnieniu możliwości, że przelewy zostały zrealizowane w wyniku przestępstwa, nie bagatelizował sprawy, a natychmiast podjął odpowiednie działania w tej sprawie.
Uwzględnienie powództwa
W wyroku z dnia 23 grudnia 2021 r., Sąd Okręgowy w Białymstoku zasądził na rzecz powoda kwotę 76 tysięcy złotych wraz z odsetkami ustawowymi za opóźnienie. Sąd I instancji ocenił powództwo w oparciu o przepisy art. 415 k.c. oraz art. 471 k.c. i uznał, że było ono zasadne i zasługiwało na uwzględnienie.
Śledztwo w tej sprawie, prowadzone przez Prokuraturę Okręgową w Warszawie, zostało umorzone z powodu braku wykrycia sprawcy przestępstwa.
Warto zaznaczyć, że dopiero w styczniu 2021 r., bank ujawnił, że jego system wykazał możliwe zagrożenie infekcją wirusa na urządzeniu powoda.
Sąd nie podzielił zarzutu przedawnienia, który został zgłoszony przez pozwanego. Sąd wskazał, że zarówno w przypadku odpowiedzialności deliktowej, jak i kontraktowej, roszczenia przedawniają się z upływem trzech lat.
Transakcje były podejrzane
Sąd Okręgowy uznał stanowisko pozwanego za niezasadne, w którym twierdzono, że obie transakcje nie wzbudzały podejrzeń i nie różniły się od wcześniej dokonywanych, autoryzowanych przez powoda transakcji, takich jak płatności do ZUS.
Sąd podkreślił, że z przeprowadzonego w sprawie dowodu, w tym opinii biegłego z zakresu ekonomii i informatyki, wynika, że operacje przeprowadzone w bankowości internetowej na danych dostępowych powoda różniły się od wcześniejszych transakcji. Użytkownik zalogowany na koncie powoda na tych samych danych dostępowych, po kilkudziesięciu sekundach logował się z innego adresu IP. Ta sytuacja miała miejsce o godzinach 9:50:23 i 9:50:52, oraz o godzinach 13:55:47 i 13:56:12. Ponadto, wprowadzone przelewy na kwoty 297 tysięcy złotych i 87 tysięcy 980 złotych były w wysokości, które nie występowały przez ostatni rok. To dowodziło, że transakcje były niezwykłe i wyraźnie różniły się od wcześniejszych, autoryzowanych przez powoda płatności.
Bank nie wyjaśnił sytuacji
Sąd Okręgowy wziął także pod uwagę fakt, że prezes powodowej spółki po każdej nieudanej próbie zalogowania się do systemu zgłaszał te problemy pracownikowi pozwanego banku, który jednak nie podjął żadnych działań w celu wyjaśnienia tej sytuacji ani nie dokonał wglądu do rachunku powoda.
Według oceny sądu, istnieje wysokie prawdopodobieństwo, że zaniechanie przez pracownika banku umożliwiło przestępcom przeprowadzenie nieautoryzowanych przelewów oraz opóźniło blokadę tych transakcji.
Sąd odrzucił również zarzut pozwanego, jakoby to powód przyczynił się do powstania przedmiotowej szkody. Wskazał, że powód nie może być obciążany za fakt, że nieznany sprawca przełamał zabezpieczenia do jego komputera oraz eTokena.
Biorąc pod uwagę przedstawione okoliczności, Sąd Okręgowy doszedł do wniosku, że pozwany bank ponosi odpowiedzialność za szkodę powoda. Wynika to z faktu, że bank nie wykonał należycie umowy prowadzenia rachunku bankowego powodowej spółki, przez co środki pieniężne na koncie powoda nie zostały należycie zabezpieczone. Istnieje adekwatny związek przyczynowy pomiędzy szkodą a nienależytym wykonaniem przez bank swoich zobowiązań, co spełnia przesłanki określone w art. 471 k.c. W związku z tym, Sąd uwzględnił powództwo w całości.
Sąd jednocześnie zauważył, że bank zaniechał podjęcia działań związanych z ostrzeżeniem klienta i wyjaśnieniem jego sytuacji w momencie, kiedy klient miał problemy z logowaniem się do systemu. Powództwo zostało uwzględnione, mimo iż pozwany bank złożył apelację od tego wyroku.
Apelacja banku oddalona
Sąd Apelacyjny potwierdził prawidłowość ustaleń faktycznych dokonanych przez sąd I instancji. Dodatkowo, sąd drugiej instancji odrzucił podniesione w apelacji zarzuty dotyczące braku przełamania zabezpieczeń przez pozwanego banku, uzasadniając, że te okoliczności nie zwalniają banku od odpowiedzialności za zwrot środków przelanych z rachunku powoda bez jego zgody.
Sąd Apelacyjny także nie przyjął zarzutów pozwanego, jakoby powód przyczynił się do powstania szkody przez niezwłoczne zgłoszenie podejrzenia ataku hakerskiego. Sąd wskazał, że zgłoszenie takie nie mogło zapobiec szkodzie, gdyż przelewy objęte sporem zostały już zrealizowane. Ponadto, brak jest podstaw do przypisania powodowej spółce zwłoki w zgłoszeniu ataku, gdyż czas ten powinien być liczy od chwili stanowczego stwierdzenia ataku, a nie od momentu niewiadomych podejrzeń powoda.
Sąd Apelacyjny stwierdził również, że zachodzi zbieg odpowiedzialności kontraktowej i deliktowej, zgodnie z art. 443 k.c. Obie przesłanki odpowiedzialności pozwanego banku z obu tych podstaw zostały potwierdzone, a roszczenie nie uległo przedawnieniu z żadnej z tych podstaw.
Wyrok Sąd Apelacyjny w Białymstoku z 14 czerwca 2023 r., sygn. akt I AGa 36/22
Drogi czytelniku przypominamy, że wszystkie sprawy prawne w tym sprawa, o jakiej piszemy, potrafią być zawiłe i często wymagają uzyskania pomocy prawnika. Warto przed podjęcie kraków prawnych zawsze omówić je z prawnikiem.
Skontaktuj się z nami już teraz. Przeanalizujemy Twoją sprawę i sprawdzimy dokładnie, co da się zrobić w Twojej sprawie. Nasi eksperci pomogli już niejednemu klientowi, który myślał, że jest już w sytuacji bez wyjścia.
Napisz do nas lub zadzwoń już teraz.
☎️ 579-636-527
