NIEAUTORYZOWANE TRANSAKCJE PŁATNICZE – CO WARTO WIEDZIEĆ PRZED I PO KRADZIEŻY.
W ostatnich latach obserwujemy wzmożenie przestępczej działalności polegającej na nieuprawnionym wyprowadzaniu środków z rachunków bankowych. Złodzieje znajdują coraz to nowe sposoby na uzyskanie dostępu do danych umożliwiających dostęp i aktywność w bankowości elektronicznej. Do najpopularniejszych należą:
- Tworzenie stron internetowych łudząco podobnych strony dostawcy, na których wyświetlają się prośby o podanie haseł, tokenów czy kodów;
- Rozmowy telefoniczne, podczas których przestępca podszywa się pod pracownika banku i skłania Klienta do pobrania aplikacji infekujących urządzenia, z których następnie łączy się z systemem bankowości elektronicznej;;
- Wysyłanie wiadomości SMS lub e-mail zawierających linki lub załączniki przekierowujące na fałszywą stronę albo nakłaniające do skierowania wiadomości zwrotnej również w celu zainfekowania urządzenia;
Po uzyskaniu dostępu do bankowości elektronicznej, oszuści błyskawicznie dokonują transakcji przelewając środki ofiary na konta bankowe osób na które wcześniej założyli konta (często nieświadomych tego, że takie konta posiadają) i wypłacają te środki z bankomatów. Niejednokrotnie zdarza się również, że poza kradzieżą oszczędności, za pomocą bankowości elektronicznej składają również wnioski o pożyczkę. Zbyt późna interwencja ofiary może zatem doprowadzić nie tylko do utraty własnych środków, ale również do powstania zobowiązania wobec Banku.
W większości spraw, z uwagi na fakt, że środki przelewane są na konta osób, którym skradziono tożsamość postępowania karne nie prowadzą do ustalenia sprawców przestępstwa. W innych udaje się z kolei ustalić, że właściciel konta, na które przelano środki co prawda sam je założył na prośbę innych osób za niewielkim wynagrodzeniem, ale nie dysponuje żadnymi środkami, które pozwalają mu zrekompensować stratę Klienta banku (tzw. słupy)
W takiej sytuacji jedyną drogą odzyskania utraconych środków jest zwrócenie się do dostawcy o zwrot utraconych środków lub przywrócenie rachunku bankowego do stanu sprzed wykonania nieautoryzowanej transakcji. Podstawą takiego żądania są przepisy ustawy o usługach płatniczych z 19 sierpnia 2011 r. Ustawa ta określa prawa i obowiązki stron umów ramowych, zakres odpowiedzialności wykonujących usługi płatnicze oraz zasady prowadzenia działalności przez instytucje płatnicze i biura usług płatniczych.[1]
Zgodnie z przepisami ww. ustawy instytucja płatnicza odpowiada za skutki nieautoryzowanych transakcji. Autoryzacja z kolei to wyrażenie zgody na dokonanie transakcji płatniczej, czyli stanowi oświadczenie woli użytkownika składane z zamiarem i świadomością wywołania określonych skutków prawnych, tj. dokonania transakcji płatniczej”.[2]
Obowiązek dostawcy w przypadku naruszenia bezpieczeństwa w dokonywaniu transakcji płatniczych, w wyniku których przestępczo wyprowadzone zostały środki z rachunku bankowego zawarty jest w art. 46 u.u.p. Zgodnie z treścią tego przepisu dostawca jest zobowiązany niezwłoczne zwrócić środki utracone przez płatnika w wyniku nieautoryzowanej transakcji płatniczej lub przywrócić rachunek bankowy do stanu poprzedniego.
Ustawa przewiduje dwa wyjątki, dzięki którym dostawca może uchylić się od wykonania wskazanego obowiązku: musi zaistnieć uzasadnione i należycie udokumentowane podejrzenie oszustwa, które dostawca ma obowiązek zgłosić właściwemu organowi, drugi zaś to umyślne doprowadzenie do nieautoryzowanej transakcji albo naruszenie w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa jednego z obowiązków, które zostały opisane w art. 42. Ustawy, a które sprowadzają się do:
- Korzystania z instrumentu płatniczego zgodnie z umową ramową;
- Niezwłocznego zgłoszenie dostawcy lub innemu podmiotowi wyznaczonemu przez dostawcę stwierdzenia utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu
- Podejmowanie niezbędnych środków służących zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego instrumentu, w szczególności przechowywanie go z zachowaniem należytej staranności oraz nieudostępnianie go osobom nieuprawnionym.
W miejscu tym należy zwrócić uwagę, że z art. 45 u.u.p. wprowadzono wyjątek od zasady rozkładu ciężaru dowodu. Przepis ten wymaga od dostawcy wykazania płatnikowi naruszenia rażącego naruszenia obowiązku. Warto w tym kontekście przytoczyć choćby wyrok Sądu Rejonowego dla m. st. Warszawy w Warszawie z dnia 15 maja 2016 r. o sygn. akt I C 2573/13 określający zakres niezbędnych do wykazania przez dostawcę okoliczności w celu zwolnienia się z odpowiedzialności:
„Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 (art. 45 ust. 1 i 2 u.u.p.).”
Inaczej mówiąc to na dostawcy spoczywa obowiązek wykazania, że oprócz faktu złożenia oświadczenia woli dotyczącego zlecenia transakcji (przez kogokolwiek), zaistniała przynajmniej jeszcze jedna z trzech okoliczności:
- Autoryzacja transakcji – przejawiająca się w świadomości płatnika;
- Umyślne doprowadzenie do nieautoryzowanej transakcji;
- Umyślne lub wskutek rażącego niedbalstwa naruszenie obowiązków z art. 42.
W obliczu faktu, że transakcje dokonywane w wyniku popełnienia przestępstwa wykluczają możliwość przyjęcia, że doszło do autoryzacji (ze względu na brak świadomości płatnika) to ostatnia z tych okoliczności jest podstawą podnoszonych przez dostawcę wobec płatników zarzutów w trakcie postępowania sądowego. Przeważnie są to:
- Niedochowanie należytej staranności w zabezpieczeniu kart przed kradzieżą;
- Udostępnianie instrumentów płatniczych oraz haseł czy tokenów nieuprawnionych osobom;
- korzystanie z komputera posiadającego przestarzały system (…) (do którego producent nie prowadził już wsparcia technicznego w momencie zdarzenia), brakiem zabezpieczenia komputera, z którego dochodziło do logowania się hasłem, brakiem posiadania oprogramowania antywirusowego, zabezpieczającego przed ewentualnymi atakami z zewnątrz, obecność złośliwego oprogramowania.[3]
Tego rodzaju zarzuty są jednak niejednokrotnie weryfikowane negatywnie przez sądy, które nie dostrzegają rażącego niedbalstwa w działaniu płatników którzy stali się ofiarami oszustwa.
Przykłady z orzeczeń sądowych:
- Rażącym niedbalstwem nie jest „Samo korzystanie z nieaktualizowanego oprogramowania operacyjnego, jak i darmowego oprogramowania antywirusowego – choć miało miejsce – to nie daje jeszcze wystarczających przesłanek do oceny, że miało rzeczywiście wpływ na przestępcze wyprowadzenie środków z konta powoda przez osobę trzecią, nieznaną powodowi, która w analogiczny sposób wyprowadziła, bądź usiłowała wyprowadzić środki z rachunków wielu podmiotów w różnych bankach w Polsce i zagranicą przełamując systemy zabezpieczeń elektronicznych i włamując się do systemów bankowości elektronicznej. Należy zwrócić uwagę, że z przedłożonego regulaminu także nie wynika, by Bank stawiał użytkownikowi szczegółowe wymogi co do używanego oprogramowania operacyjnego, czy antywirusowego”[4]
- „Nie można także uznać, aby rażącym niedbalstwem było chwilowe odwrócenie głowy od torebki, to było bowiem związane jest ze zwykłymi czynnościami życiowymi i zawodowymi powódki. Wykonywanie pracy, zwłaszcza w dużych skupiskach ludzkich, związanej z odpowiedzialnością, immanentnie pociąga za sobą chwile nieuwagi, czy nawet roztargnienia, z czego nie można czynić powódce zarzutu. Kradzieże zdarzają się powszechnie, zaś ciężary nakładane na użytkowników kart nie mogą prowadzić do całkowitego przerzucenia ciężaru nieuprawnionego użycia kart na użytkowników.”[5]
- Nawet w sytuacji, w której bank wywiązał się ze swoich obowiązków (ostrzegawczych), zaś to właśnie powódka nieświadomie i niezamierzenie uchybiła obowiązkom z art. 42 u.u.p. udostępniając hasła jednorazowe osobom trzecim na podstawionej stronie banku, uznał tę transakcję za nieautoryzowaną, albowiem nie było tu najważniejszego elementu autoryzacji – zgody na zlecenie transakcji, a ponadto świadczył o tym fakt niezwłocznego zgłoszenia bankowi oraz złożenia zawiadomienia na Policji o przestępstwie. „Wprawdzie powódka, jak wskazano powyżej, udostępniła osobom nieuprawnionym dane z listy haseł jednorazowych, czego nie powinna czynić, jednak nie nastąpiło to w okolicznościach świadczących o rażącym niedbalstwie z jej strony.”[6]
Tego rodzaju utrwalająca się linia orzecznicza z całą pewnością pomaga ofiarom oszustów internetowych zrekompensować szkody wynikające z przełamania bankowych systemów bezpieczeństwa. Żeby jednak uchronić się przed długotrwałym postępowaniem sądowym, pamiętajmy przede wszystkim o ostrożności we wszystkim co dotyczy naszej bankowości elektronicznej.
[1] Komunikat Komisji Nadzoru Finansowego „Co warto wiedzieć o usługach płatniczych po wejściu w życie nowych przepisów?” z dnia 27 września 2011 r.
[2] Wyrok Sądu Okręgowego w Krakowie z dnia 3 lipca 2018 r., sygn. akt II Ca 458/18.
[3] Wyrok Sądu Apelacyjnego w Białymstoku z dnia 2 marca 2020 r., sygn. akt I Aga 4/19.
[4] Wyrok Sądu Apelacyjnego w Białymstoku z dnia 2 marca 2020 r., sygn. akt I Aga 4/19.
[5] Wyrok Sądu Rejonowego dla Wrocławia-Krzyków we Wrocławiu z dnia 21 lutego 2014 r., sygn. akt VIC 1366/13.
[6] Wyrok Sądu Rejonowego dla Łodzi-Śródmieścia w Łodzi z dnia 28 września 2015 r., sygn. akt II C 383/15.