Angielskie słowo „phishing” do niedawna kojarzyło się z niewinną i skądinąd przyjemną czynnością wędkowania w kojącym zmysły otoczeniu natury. I jakkolwiek ta forma wyciszenia i obcowania z przyrodą nadal pozostaje aktualna, to w ostatnim czasie doszło inne, bardziej złowrogie znaczenie tego słowa. Chodzi o coraz powszechniejsze zjawisko wyłudzania przez przestępców instrumentów bankowości elektronicznej od użytkowników, takich jak: loginy, hasła czy jednorazowe kody do poszczególnych transakcji internetowych.
Niedawno dane mi było prowadzić sprawę sądową przeciwko bankowi o zwrot pieniędzy wytransferowanych z rachunku klienta wskutek takich właśnie działań przestępczych. Za zgodą klienta pragnę podzielić się na łamach mojego bloga kilkoma refleksjami natury prawnej oraz praktycznej.
Na początek krótki opis stanu faktycznego na kanwie którego zaistniała ta sprawa:
Klient, w gorącym (pod względem zakupów, ogólnego zabiegania i mnogości absorbujących zajęć) okresie przedświątecznym otrzymał sms-a o tym że ma dokonać niewielkiej (1,62 zł.) dopłaty do przesyłki kurierskiej. W sms-ie zamieszczony został link do strony łudząco podobnej do strony bankowości internetowej banku. Klient „logując” się do tej strony podał login i hasło. Rzecz jasna „zalogował” się na stronę przestępców podszywających się pod bank. Niemal natychmiast po tym zalogowaniu przestępcy zalogowali się na prawdziwe konto klienta, używając wyłudzonego loginu i hasła. Tym niemniej, aby dokonać wytransferowania zgromadzonych na nim pieniędzy potrzebowali przełamania jeszcze jednego zabezpieczenia- kodu stanowiącego autoryzację poszczególnej transakcji. Tu dodatkową trudnością było to, że klient miał ustanowiony limit kwotowy transakcji, jakie mógł dokonać internetowo. Zatem najpierw przestępcy zmienili ten limit na wyższy. Klient dostał kod sms z kodem do akceptacji tej transakcji. W treści sms-a było podane, że jest to akceptacja podwyższenia limitu. Mimo to klient przekazał ten kod na fałszywą stronę internetową. Następnie przestępcy zlecili wytransferowanie kwoty zgromadzonej na rachunku na rzecz osoby trzeciej. I tutaj klient otrzymał sms z kodem i opisaną transakcją i podał ten kod na stronę przestępców. Ważną okolicznością jest to, że klient dokonał podania obydwu kodów w roztargnieniu, korzystając z bankowości mobilnej (smartfon) i będąc przekonanym, że mają one związek z podaną wcześniej niewielką dopłatą do paczki. Po otrzymaniu kodów przestępcy mieli już drogę otwartą i dokonali wytransferowania pieniędzy. Klient zauważył brak pieniędzy w dniu następnym i zgłosił to natychmiast w banku. Bank wezwany do zwrotu pieniędzy odmówił, argumentując, iż klient dokonał autoryzacji transakcji a nadto wykazał się rażącym niedbalstwem. Właśnie nieostry termin „rażące niedbalstwo” należy zapamiętać, gdyż jest on kluczowy w całej sprawie. Odnotować przy tym należy, że bank na przestrzeni kilku wcześniejszych miesięcy przesłał klientowi sms-em trzy ostrzeżenia (które kierował do wszystkich swoich klientów) o coraz częstszych próbach przestępczego wyłudzania danych i o związanej z tym potrzebie zachowania szczególnej ostrożności.
Od strony prawnej sprawa lokuje się na skrzyżowaniu kilku aktów prawnych: kodeksu cywilnego, prawa bankowego, ustawy o usługach płatniczych a także bardzo rozbudowanego i szczegółowego regulaminu usług bankowości elektronicznej banku. Konwencja bloga wymusza pewne uproszczenia wywodu prawnego, zatem ograniczając się do najważniejszych kwestii ustalono co następuje:
Transakcje na rachunku bankowym uznano za formalnie prawidłowo autoryzowane (przez klienta);
Tym niemniej techniczna czynność autoryzacji nie odzwierciedlała rzeczywistej woli klienta, ponieważ chciał on jedynie dopłacić parę groszy do paczki (i był przekonany że to robi) a nie transferować swoje oszczędności nieznanej osobie;
W trakcie postępowania przed sądem pierwszej instancji zaprezentowałem sądowi pisemną opinię Rzecznika Finansowego, który zaprezentował dobrze uzasadnione, prokonsumenckie stanowisko i zdecydowanie poparł żądanie pozwu.
Kwestią sporną w sprawie było to, czy klient dopuścił się rażącego niedbalstwa; jeżeli tak- bank nie ponosiłby odpowiedzialności za shakowanie konta; jeżeli nie- na banku ciążył obowiązek zwrotu.
Sądy dwóch instancji stanęły w tej kwestii na skrajnie odmiennych stanowiskach.
Sąd pierwszej instancji stwierdził, że doszło ze strony klienta całej sekwencji działań, które ocenił jako złamanie podstawowych i elementarnych zasad ostrożności. W konsekwencji przypisał klientowi rażące niedbalstwo i oddalił powództwo. Niekorzystny wyrok zaskarżyłem apelacją, podnosząc szereg zarzutów m.in. to że w omawianym przypadku nie mamy do czynienia z rażącym niedbalstwem.
Sąd drugiej instancji, ku satysfakcji mojej i klienta przychylił się do najistotniejszych zarzutów apelacji. Stwierdził, iż wbrew stanowisku sądu pierwszej instancji nie można mówić o kwalifikowanej, rażącej formie niedbalstwa, albowiem kwantyfikator „rażące” oznacza element ponadstandardowy w stosunku do „zwykłego” niedbalstwa. Sąd apelacyjny zgodził się z tym, że doszło do złamania zasad ostrożności, czyli do pewnej formy niedbalstwa ze strony klienta. Jednocześnie jednak zwrócił uwagę, że już sama masowość zjawiska nabierania się klientów na wyłudzanie danych przeczy tezie o jego ponadstandardowości. Sąd skonstatował również, iż w spornej transakcji zabrakło elementu woli jej dokonania przez klienta, a co za tym idzie transakcja ta nie może zostać uznana za autoryzowaną (chociaż techniczna czynność autoryzacji z punktu widzenia formalnego była poprawna). Ponadto sąd wytknął sądowi pierwszej instancji, że ten nie rozpatrzył i nie ocenił jako dowodu opinii Rzecznika Finansowego.
W efekcie sąd drugiej instancji nakazał zwrócić bankowi całość wytransferowanej kwoty.
Nauk z powyższej sprawy jest kilka. Po pierwsze, pomimo ogólnego zabiegania i rozproszenia uwagi należy zwracać uwagę na dokładną treść sms-ów dotyczących transakcji płatniczych. Termin „rażące niedbalstwo” jest bowiem na tyle nieostry, że może zostać zinterpretowany zarówno na korzyść jak i na niekorzyść danego poszkodowanego (o czym świadczą chociażby dwa zupełnie odmienne wyroki sądów w prezentowanej sprawie). Po drugie, jeżeli już coś tak pechowego się zdarzy, nie należy rezygnować z sądowego dochodzenia swoich praw. Po trzecie, obok drogi sądowej warto postarać się dodatkowe dowody, swojego rodzaju wsparcie zewnętrzne, czym w mojej sprawie była opinia Rzecznika Finansowego.
Na koniec zaś życzę, żeby moim czytelnikom nie przydarzały się podobne przypadki, w czym- pozwolę sobie wyrazić taką nadzieję- pomoże niniejszy artykuł.
Adw. Maciej Kacprzak