I C 498/23
Podsumowanie
Przejdź do pełnego tekstuPowódka D. M. pozwała Bank (...) S.A. o zwrot 15 604,73 zł utraconych w wyniku nieautoryzowanych transakcji, do których doszło po tym, jak padła ofiarą oszustwa phishingowego. Wierzyła, że klika w link prowadzący do strony banku, gdzie podała swoje dane logowania, dane karty płatniczej oraz kod weryfikacyjny z infolinii. Bank odmówił zwrotu, argumentując, że transakcje były prawidłowo uwierzytelnione i powódka dopuściła się rażącego niedbalstwa, udostępniając dane. Sąd, analizując przepisy ustawy o usługach płatniczych i dyrektywy UE, uznał, że ciężar udowodnienia autoryzacji transakcji spoczywa na banku. Stwierdził, że bank nie wykazał, iż powódka wyraziła zgodę na transakcję, a jej działanie, choć niedbałe, nie było rażącym niedbalstwem w obliczu profesjonalnie przygotowanego oszustwa. Sąd podkreślił, że celem dyrektywy jest wysoka ochrona konsumentów, a banki powinny systemowo zapobiegać takim zagrożeniom. W konsekwencji sąd zasądził od banku na rzecz powódki żądaną kwotę wraz z odsetkami i kosztami procesu.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaUstalenie odpowiedzialności banku za środki utracone przez klienta w wyniku phishingu, interpretacja pojęcia rażącego niedbalstwa w kontekście ataków cyberprzestępczych, zgodność polskiego prawa z dyrektywą PSD2 w zakresie ciężaru dowodu autoryzacji transakcji.
Orzeczenie dotyczy specyficznego stanu faktycznego, w którym klientka padła ofiarą profesjonalnie przygotowanego oszustwa. Ocena rażącego niedbalstwa jest zawsze indywidualna.
Zagadnienia prawne (3)
Czy bank ponosi odpowiedzialność za środki utracone przez klienta w wyniku oszustwa phishingowego, jeśli klient podał dane uwierzytelniające, ale twierdzi, że nie autoryzował transakcji?Ratio decidendi
Odpowiedź sądu
Tak, bank ponosi odpowiedzialność, jeśli nie udowodni, że transakcja została autoryzowana przez klienta. Zachowanie klienta, który padł ofiarą profesjonalnego oszustwa, nawet jeśli nosiło znamiona niedbalstwa, nie zawsze jest równoznaczne z rażącym niedbalstwem wyłączającym odpowiedzialność banku.
Uzasadnienie
Sąd oparł się na przepisach ustawy o usługach płatniczych, zgodnie z którymi ciężar udowodnienia autoryzacji transakcji spoczywa na banku. W analizowanym przypadku bank nie wykazał, że klientka wyraziła zgodę na transakcję. Mimo podania danych uwierzytelniających, sąd uznał, że klientka nie działała z rażącym niedbalstwem, gdyż była ofiarą manipulacji i profesjonalnego oszustwa, a jej czujność została uśpiona przez fałszywe strony internetowe.
Czy polski przepis art. 45 ust. 1 ustawy o usługach płatniczych, nakładający na dostawcę obowiązek udowodnienia autoryzacji transakcji, jest zgodny z dyrektywą PSD2, która mówi o obowiązku udowodnienia uwierzytelnienia?Ratio decidendi
Odpowiedź sądu
Tak, polski przepis jest zgodny z dyrektywą PSD2, ponieważ cel dyrektywy, jakim jest wysoka ochrona konsumentów, uzasadnia nałożenie na dostawcę obowiązku udowodnienia autoryzacji, a nie tylko uwierzytelnienia transakcji.
Uzasadnienie
Sąd analizował cel dyrektywy PSD2, który obejmuje zapewnienie wysokiego poziomu ochrony konsumentów i uniknięcie rozbieżnych podejść w państwach członkowskich. Wskazał, że prawodawca unijny dopuszcza sytuację, w której dostawca usług ma udowodnić autoryzację, a nie tylko uwierzytelnienie. Polski ustawodawca, nakładając na dostawcę obowiązek udowodnienia autoryzacji, działa zgodnie z tym celem.
Czy klientka, która padła ofiarą phishingu i podała dane uwierzytelniające na fałszywej stronie banku, dopuściła się rażącego niedbalstwa w rozumieniu art. 46 ust. 3 ustawy o usługach płatniczych?Ratio decidendi
Odpowiedź sądu
Nie, w okolicznościach tej sprawy klientka nie dopuściła się rażącego niedbalstwa. Jej zachowanie było niedbałe, ale nie rażąco, ze względu na manipulację i zaskoczenie atakiem phishingowym.
Uzasadnienie
Sąd uznał, że powódka została zaskoczona i zmanipulowana przez profesjonalnie przygotowane oszustwo. Strony internetowe łudząco przypominały strony banku, co uśpiło jej czujność. W ocenie sądu, przeciętny człowiek w realnym świecie, poddany takiemu atakowi, może nie zachować wymaganej przytomności umysłu. Brak było podstaw do przypisania jej rażącego niedbalstwa, zwłaszcza że bank nie podjął wystarczających działań zapobiegawczych.
Strony
| Nazwa | Typ | Rola |
|---|---|---|
| D. M. | osoba_fizyczna | powódka |
| Bank (...) spółka akcyjna z siedzibą w W. | spółka | pozwana |
Przepisy (18)
Główne
k.c. art. 725
Kodeks cywilny
k.c. art. 471
Kodeks cywilny
u.u.p. art. 46 § 1
Ustawa o usługach płatniczych
u.u.p. art. 46 § 3
Ustawa o usługach płatniczych
u.u.p. art. 40 § 1
Ustawa o usługach płatniczych
Definicja autoryzowanej transakcji płatniczej.
u.u.p. art. 44 § 2
Ustawa o usługach płatniczych
u.u.p. art. 42 § 1
Ustawa o usługach płatniczych
u.u.p. art. 42 § 2
Ustawa o usługach płatniczych
u.u.p. art. 45 § 1
Ustawa o usługach płatniczych
Ciężar dowodu autoryzacji transakcji spoczywa na dostawcy.
u.u.p. art. 45 § 2
Ustawa o usługach płatniczych
k.p.c. art. 98 § 1
Kodeks postępowania cywilnego
k.p.c. art. 11 § 3
Kodeks postępowania cywilnego
k.p.c. art. 99
Kodeks postępowania cywilnego
Pomocnicze
u.u.p. art. 46 § 1
Ustawa o usługach płatniczych
Podstawa do zasądzenia odsetek ustawowych za opóźnienie od daty wskazanej w pozwie.
k.c. art. 384(1)
Kodeks cywilny
k.k. art. 269b § 1
Kodeks karny
k.k. art. 286 § 1
Kodeks karny
k.k. art. 11 § 2
Kodeks karny
Argumenty
Skuteczne argumenty
Bank nie wykazał, że transakcja była autoryzowana przez powódkę. • Zachowanie powódki, mimo pewnych niedociągnięć, nie nosiło znamion rażącego niedbalstwa w kontekście profesjonalnego oszustwa phishingowego. • Polskie prawo (art. 45 ust. 1 u.u.p.) prawidłowo implementuje dyrektywę PSD2, nakładając na bank ciężar udowodnienia autoryzacji. • Bank powinien systemowo zapobiegać zagrożeniom i nie przerzucać odpowiedzialności na konsumentów.
Odrzucone argumenty
Powódka dopuściła się rażącego niedbalstwa, udostępniając dane uwierzytelniające. • Transakcja została prawidłowo uwierzytelniona i zapisana w systemie banku. • Bank nie ponosi odpowiedzialności za skutki udostępnienia przez klienta poufnych danych.
Godne uwagi sformułowania
nie może być więc mowy o tym, że wyraziła na nią zgodę w sposób przewidziany w umowie. • nie ulega wątpliwości, że w idealnym świecie osoba poddana atakowi przestępczemu obejmującego manipulacje bazujące na znajomości jej słabości powinna zachować przytomność umysłu, o tyle równie niewątpliwe jest, że w realnym świecie przeciętny człowiek nie ma takiej umysłowej możliwości. • Wymaga podkreślenia, że w tak ukształtowanych realiach wszelkie działania społeczne, w tym sprawowanie wymiaru sprawiedliwości również w sprawach cywilnych, muszą zmierzać do ochrony ofiar, a nie obarczania ich odpowiedzialnością za to, że popełniono na ich szkodę przestępstwo.
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Ustalenie odpowiedzialności banku za środki utracone przez klienta w wyniku phishingu, interpretacja pojęcia rażącego niedbalstwa w kontekście ataków cyberprzestępczych, zgodność polskiego prawa z dyrektywą PSD2 w zakresie ciężaru dowodu autoryzacji transakcji."
Ograniczenia: Orzeczenie dotyczy specyficznego stanu faktycznego, w którym klientka padła ofiarą profesjonalnie przygotowanego oszustwa. Ocena rażącego niedbalstwa jest zawsze indywidualna.
Wartość merytoryczna
Ocena: 8/10
Sprawa dotyczy powszechnego problemu oszustw internetowych (phishing) i odpowiedzialności banków, co jest niezwykle istotne dla szerokiego grona odbiorców, nie tylko prawników. Sądowa analiza psychologicznych aspektów ataku i obrony konsumenta jest bardzo ciekawa.
“Czy Twój bank ochroni Cię przed phishingiem? Sąd rozstrzygnął, kto odpowiada za kradzież pieniędzy z konta!”
Dane finansowe
WPS: 15 604,73 PLN
zwrot pieniędzy: 15 604,73 PLN
Sektor
bankowość
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.