Odpowiedzialność banku za nieautoryzowane transakcje w przypadku ataku phishingowego

Weronika Węgrzyniak

Zgodnie z art. 46 ust. 3 ustawy o usługach płatniczych, płatnik ponosi odpowiedzialność za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub rażącego niedbalstwa, polegającego na naruszeniu co najmniej jednego z obowiązków wskazanych w art. 42 ustawy o usługach płatniczych.

Do podstawowych obowiązków użytkownika instrumentu płatniczego należy w szczególności:

  • korzystanie z instrumentu płatniczego zgodnie z postanowieniami umowy ramowej,
  • niezwłoczne zgłoszenie utraty, kradzieży, przywłaszczenia lub nieuprawnionego użycia instrumentu płatniczego, a także nieuprawnionego dostępu do tego instrumentu.

W celu prawidłowego wykonywania tych obowiązków, już od momentu otrzymania instrumentu płatniczego, użytkownik powinien podjąć niezbędne środki służące ochronie indywidualnych danych uwierzytelniających. Obejmuje to w szczególności przechowywanie instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępnianie go osobom nieuprawnionym.

Istotne znaczenie ma również art. 45 ust. 1 ustawy o usługach płatniczych, zgodnie z którym ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub została wykonana prawidłowo, spoczywa na dostawcy usług płatniczych, czyli najczęściej na banku. Jednocześnie – jak wynika z art. 45 ust. 2 ustawy – samo wykazanie przez bank zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające, aby uznać, że transakcja została autoryzowana przez płatnika.

Stanowisko to zostało jednoznacznie potwierdzone w orzecznictwie Sądu Najwyższego. W wyroku z dnia 18 stycznia 2018 r., sygn. akt V CSK 141/17, Sąd Najwyższy wskazał, że dostawca usług płatniczych zobowiązany jest wykazać dodatkowe okoliczności, które świadczą:

  • o autoryzacji transakcji przez płatnika, albo
  • o tym, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji,
  • bądź że dopuścił się naruszenia obowiązków z art. 42 ustawy w wyniku umyślnego działania lub rażącego niedbalstwa.

W judykaturze powszechnie przyjmuje się, że samo podanie danych umożliwiających zalogowanie się do bankowości elektronicznej, w sytuacji gdy do autoryzacji transakcji wymagane jest dodatkowo użycie kodów autoryzacyjnych przesyłanych w wiadomości SMS, nie stanowi jeszcze rażącego niedbalstwa po stronie użytkownika.

W takich okolicznościach bank – stosownie do art. 46 ust. 1 ustawy o usługach płatniczych – ma obowiązek niezwłocznego zwrotu kwoty nieautoryzowanej transakcji, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia nieautoryzowanej transakcji lub po dniu otrzymania odpowiedniego zgłoszenia od klienta.

Dopiero udostępnienie zarówno danych logowania, jak i kodów autoryzacyjnych może zostać zakwalifikowane jako przejaw rażącego niedbalstwa, zwłaszcza w sytuacji, gdy z treści wiadomości SMS jednoznacznie wynika, że kod służy do autoryzacji czynności, której użytkownik nie zamierzał dokonać. Pogląd ten został wyrażony przez Sąd Najwyższy w wyroku z dnia 15 września 2023 r., sygn. akt II CSKP 1013/22.

facebookShare on Facebook
TwitterTweet
FollowFollow us
PinterestZapisz

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *