3 lipca 2019 r. XVI C 169/16 Sąd Rejonowy dla Warszawy-Mokotowa w Warszawie wydał bardzo istotny dla klientów banków w Polsce wyrok. Jest to bowiem kolejny wyrok mówiący, że bank musi zwrócić pieniądze ofierze phishingu.
Nawet jeśli ofiara sama podała przestępcom dane dostępowe do konta to nie można tylko na tej podstawie założyć, że doszło do niego w wyniku „rażącego niedbalstwa” klienta banku.
Zgodnie z prawem każda transakcja dokonana przez osobę nieupoważnioną jest transakcją nieautoryzowaną. Za zrealizowanie nieautoryzowanej transakcji odpowiedzialność ponosi bank. Tej odpowiedzialności może uniknąć tylko wówczas, kiedy ofiara dopuściła się tzw. “rażącego niedbalstwa”.
Rażącym niedbalstwem nie jest zainfekowanie wirusem należycie zabezpieczonego programem antywirusowym komputera albo stanie się ofiarą phishingu. Rażącym niedbalstwem będzie np. przekazanie hasła innej osobie przy pełnej świadomości, że jest to naruszenie zasad korzystania z bankowości internetowej.
Rażące niedbalstwo jest kwalifikowaną formą winy nieumyślnej i sprowadza się do szczególnie wyraźnego braku staranności działania. Chodzi tu o takie zachowanie, które graniczy z umyślnością. Rażące niedbalstwo polega na przekroczeniu podstawowych, elementarnych zasad staranności.
Powódka wniosła o zasądzenie od Banku na jej rzecz kwoty 44 321,97 zł, 15 zł oraz 465,86 zł z odsetkami, kosztów procesu i kosztów opłaty skarbowej od pełnomocnictw. W uzasadnieniu wskazała, że Bank prowadzi rachunki bankowe na jej rzecz, z których bez jej zlecenia, wiedzy i zgody dokonano przelewów pomiędzy rachunkami własnymi oraz ostatecznie przelewów na rachunek sprawcy. Powódka niezwłocznie zawiadomiła Bank oraz Policję. Bank nie uwzględnił reklamacji, stwierdził, że opisane transakcji zostały zlecone po poprawnym zalogowaniu się w serwisie numerem powódki oraz jej hasłem dostępu. Powódka twierdziła, że nie podawała nikomu tych danych i nie wie, w jaki sposób nieuprawnione osoby znalazły się w ich posiadaniu.
Zdaniem banku albo powódka świadomie utworzyła szablon płatności dla odbiorcy zdefiniowanego albo nastąpiło naruszenie przez powódkę zasad bezpieczeństwa posługiwania się bankowością elektroniczną, bądź poprzez zamierzone udostępnienie instrumentów weryfikacyjnych i autoryzacyjnych osobie trzeciej, bądź w wyniku naruszenia innych zasad bezpieczeństwa. Zdaniem banku w szczególności mogło chodzić o naruszenie obowiązku stosowania legalnego, aktualnego oprogramowania antywirusowego oraz zapory firewall, a także najnowszych wersji przeglądarek oraz zachowanie szczególnej uwagi przy korzystaniu ze stron podobnych do stron banku.
Najpóźniej w dniu 25 maja 2015 r. nieznana osoba lub osoby uzyskały login i hasło umożliwiające zalogowanie się na konto powódki w serwisie internetowym banku. W dniu 25 maja 2015 r. na numer telefonu powódki został wysłany przez bank wiadomość SMS z jednorazowym kodem autoryzacyjnym. Podczas sesji utworzono szablon płatności dla odbiorcy zdefiniowanego, który został uwierzytelniony za pomocą wysłanego przez Bank kodu sms na numer telefonu powódki. W dniu 26 maja 2015 r. nieznany sprawca lub sprawcy skutecznie dwukrotnie zalogowali się na konto w bankowości internetowej powódki i dokonali wypłaty środków.
Dnia 26 maja 2015 roku na skrzynki pracowników firmy w której zatrudniona była powódka została skierowana akcja phishingowa. Pracownicy otrzymali podejrzane maile które wyglądały jak maile od kuriera. Pracownicy zgłosili te informacje służbom informatycznym. Wówczas komputer powódki został wyłączony i wyczyszczony, usunięto z niego wszelkie dane.
Zdaniem Sądu fakt, iż do transakcji doszło przy posłużeniu się narzędziami autoryzacyjnymi przypisanymi do powódki, nie był wystarczający. Opisane wcześniej okoliczności dotyczące zachowania powódki po spostrzeżeniu wypłaty środków, okoliczności ich wypłaty oraz informacje o trwających w tym czasie atakach hakerskich przemawiały za uznaniem, że transakcje te nie były przez powódkę autoryzowane.
W sprawie nie zostało wykazane przez stronę pozwaną, by do przelewu środków mogło dojść w konsekwencji nie stosowania przez powódkę aktualnego oprogramowania ochronnego i antywirusowego. Powódka twierdziła, że jej domowy komputer jest był prawidłowo zabezpieczony programem antywirusowym i zaporą firewall. O wysoce zaawansowanych systemach zabezpieczeń na komputerze służbowym powódki zeznawał świadek odpowiadający za obsługę informatyczną w firmie, w której Powódka jest zatrudniona. Sąd wskazał także, iż w przypadku ataku phishingowego, oprogramowanie antywirusowe byłoby nieskuteczne. Ta metoda opiera się bowiem na oszukaniu ofiary w celu zalogowania się przez nią na fałszywą stronę banku.
Sąd wskazał, że schemat działania sprawców wpisywał się w akcję hakerskich ataków phishingowych jakie nastąpiły na banki w maju 2015 roku. Były to działania precyzyjne i dobrze zorganizowane. O powszechnej skuteczności tych działań świadczyć zaś muszą zeznania świadka, która wprost określiła tę sytuację jako masową akcję hakerską oraz przyznała, że po niej wprowadzono zmiany w algorytmach zabezpieczeń Banku. Z powyższego wynika więc, że jeżeliby nabranie się przez powódkę na prośbę o podanie informacji przez ich wpisanie na fałszywą stronę internetową, uznać za jej rażące niedbalstwo, to konsekwentnie uznać należałoby, że wielu konsumentów, których dotknęła „masowa” akcja zachowała się w sposób rażąco niedbały. Po drugie wskazać należy, iż dla oceny czy powódka zachowała się rażąco niedbale, wykazać należałoby stan świadomości powódki o zagrożeniach i fakt ich lekceważenia.
Z powyższego należy więc wnioskować, że ewentualne nabranie się przez powódkę na podstęp sprawców, stosujących nowe wówczas metody wyłudzeń, nie może być uznane za rażące niedbalstwo w przestrzeganiu zasady nieudostępniania narzędzi autoryzacyjnych osobom postronnym.
W konsekwencji Sąd nie stwierdził, by działaniu powódki można było przypisać cechy rażącego niedbalstwa. Pamiętać bowiem należy, iż rażące niedbalstwo jest kwalifikowaną formą winy nieumyślnej i sprowadza się do szczególnie wyraźnego braku staranności działania. Chodzi tu o takie zachowanie, które graniczy z umyślnością (wyr. SN z 29.1.2009 r., V CSK 291/08, Biul. SN 2009, Nr 4, s. 16). Rażące niedbalstwo polega na przekroczeniu podstawowych, elementarnych zasad staranności (por. wyr SN z 16.1.2013 r., II CSK 202/12, L.).