Lexedit
Wróć do analizy orzeczeniaŹródło (SAOS)
Pełny tekst orzeczenia

I C 498/23

Oryginalna, niezmieniona treść orzeczenia. Jeżeli chcesz przeczytać analizę (zagadnienia prawne, podstawa prawna, argumentacja, rozstrzygnięcie), wróć do strony orzeczenia.

Sygnatura akt I C 498/23 UZASADNIENIE W pozwie złożonym 27 marca 2023 roku powódka D. M. zastępowana przez radcę prawnego wniosła o zasądzenie od pozwanej Bank (...) spółki akcyjnej z siedzibą w W. kwoty 15.604,73 złotych z tytułu zwrotu pieniędzy utraconych w wyniku nieautoryzowanych przez powódkę transakcji z odsetkami ustawowymi za opóźnienie od 21 czerwca 2022 roku do dnia zapłaty, a także o zwrot kosztów procesu, w tym kosztów zastępstwa procesowego w wysokości „dwukrotności norm prawem przepisanych”. W uzasadnieniu wskazano, że powódka 9 czerwca 2022 roku padła ofiarą oszustwa (w formie tak zwanego phishingu) i z jej rachunku bankowego dokonano nieautoryzowanej transakcji na kwotę dochodzoną w pozwie. Powódka pod wpływem podstępnego działania innej osoby nieświadomie użyła linku, który mógł posłużyć oszustowi do pozyskania danych powódki do bankowości elektronicznej, w tym uwierzytelniających. Była ona przekonana, że wpisując dane do logowania dokonuje czynności na stronie banku i zleca zatwierdzenie transakcji płatniczej polegającej na wpłacie na jej rachunek środków stanowiących cenę rzeczy sprzedanej na portalu V. . Przy tym pozyskanie danych powódki mogło wynikać z samego faktu użycia linku, a niekoniecznie z faktu wpisania tych danych na fałszywej stronie internetowej. To nie powódka zainicjowała transakcje płatnicze, wskutek których skradziono jej środki pieniężne. W jej ocenie zalogowanie się do bankowości elektronicznej czy zatwierdzenie dodania nowego urządzenia w bankowości elektronicznej jako zaufanego (przy czym wykonane nieświadomie), nie stanowi transakcji płatniczej w rozumieniu ustawy o usługach płatniczych . (...) banku nie zareagował na fakt, że doszło do transakcji z innego adresu IP i innej miejscowości niż operacja pierwszego logowania. Potwierdza to, w ocenie powódki, że systemy ochronne pozwanej były niewystarczające. Okoliczność, że prawidłowo uwierzytelniono użytkownika lub instrument płatniczy nie oznacza, że nastąpiła autoryzacja transakcji. Uwierzytelnienie nie powinno być interpretowane jako definitywny dowód, że płatnik wyraził zgodę na transakcję płatniczą. Niezwłocznie po zdarzeniu powódka złożyła pozwanej reklamację na wszystkie nieautoryzowane transakcje oraz zawiadomienie o podejrzeniu popełnienia przestępstwa. Pozwana odmówiła jednak ich uwzględnienia wskazując, że w jej ocenie wszystkie transakcje były prawidłowo autoryzowane. Podstawą prawną roszczenia głównego był przepis art. 725 w zw. z art. 471 kodeksu cywilnego oraz przepis art. 46 ustawy o usługach płatniczych , zaś dochodzenia odsetek ustawowych od daty wskazanej w pozwie – przepis art. 46 ust. 1 ustawy o usługach płatniczych . W odpowiedzi na pozew z 19 czerwca 2023 roku pozwana Bank (...) spółka akcyjna z siedzibą w W. zastępowana przez radczynię prawną wniosła o oddalenie powództwa w całości oraz o zwrot kosztów procesu. Pozwana zakwestionowała roszczenie co do zasady oraz podniosła, że data początkowa naliczania odsetek została przez powódkę określona nieprawidłowo. W uzasadnieniu pozwana zaprzeczyła, aby kwestionowana transakcja była nieautoryzowana. Powódka nie wykazała bowiem braku swojej zgody na jej dokonanie oraz bezprawnego działania osób trzecich, a ponadto, że używała poufnych danych identyfikujących, umożliwiających bezpieczne korzystanie z bankowości przez internet oraz nie wykazała uchybień po stronie pozwanej w zakresie zapewnienia bezpieczeństwa zgromadzonych na rachunkach bankowych środków. Pozwana powołała się na przepis art. 46 ust. 3 ustawy o usługach płatniczych , wskazując, że obowiązek przywrócenia rachunku do stanu sprzed nieautoryzowanej transakcji jest wyłączony, gdy płatnik doprowadził do nieautoryzowanej transakcji umyślnie albo jest ona wynikiem rażącego niedbalstwa i naruszenia co najmniej jednego z obowiązków określonych w art. 42 ustawy. Jednocześnie pozwana podniosła, że nie uchybiła jakimkolwiek obowiązkom zapewnienia bezpieczeństwa środków zdeponowanych na rachunkach bankowych. W dniu zdarzenia odnotowała poprawne logowania przy użyciu prawidłowych danych. Nie złamano zabezpieczeń banku i nie miała miejsce awaria systemów. W ocenie pozwanej podstawowe znaczenie ma fakt, że sporna transakcja na konto R. w kwocie 15.604,73 złotych została dokonana w wyniku tego, że powódka udostępniła instrument płatniczy nieznanej jej osobie trzeciej, wbrew umowie z pozwaną, elementarnym zasadom bezpieczeństwa korzystania z płatności online oraz zdrowemu rozsądkowi. Powódka wykazała się w ocenie pozwanej skrajnym niedbalstwem udostępniając swoje dane do logowania, PESEL oraz dane karty płatniczej. Pozwana dochowała wszelkiej staranności i wykonała płatność zgodnie z postanowieniami regulaminu ogólnego świadczenia usług bankowych dla osób fizycznych. Uprzednio przy użyciu kodów do logowania została zainstalowana aplikacja mobilna na iPhone, która została aktywowana po wprowadzeniu należących do powódki millekodu, hasła mobilnego oraz wybranych cyfr PESEL, które to dane udostępniła powódka, a także po weryfikacji z infolinią banku ( (...) ). Pozwana podkreśliła, że powódka wielokrotnie otrzymywała od niej wiadomości o zasadach bezpieczeństwa w zakresie korzystania z systemów transakcyjnych. Podniosła również, że trudno zrozumieć tok myślowy powódki w momencie dokonywania czynności, gdy weźmie się pod uwagę, ze powódka byłą sprzedającą, a zatem nie ona w tej transakcji powinna dokonywać płatności. Pozwana podkreśliła, że stosowane przez nią rozwiązania technologiczne zapewniają najwyższy możliwy standard bezpieczeństwa przechowywanych środków pieniężnych. W piśmie z 19 października 2023 roku Rzecznik (...) przedstawił pogląd istotny dla sprawy. Wskazał, że w jego ocenie zachowanie powódki można co najwyżej rozpatrywać jako nieumyślne udostępnienie danych uwierzytelniających związanych z korzystaniem z instrumentu płatniczego osobom nieuprawnionym, jednak w zakresie oceny sądu pozostaje, czy było to efektem rażącego niedbalstwa. Jeśli zostanie przyjęte, że powódka padła ofiarą przestępców i to de facto oni złożyli zlecenia płatnicze, w rezultacie których wykonano sporne transakcje, to trudno w tych okolicznościach uznać, że powódka wyraziła zgodę na dokonanie transakcji w rozumieniu prawa cywilnego. Do uznania sądu Rzecznik (...) pozostawił kwestię, czy transakcje wypłaty środków dokonane krótko po aktywacji aplikacji mobilnej można oceniać jako nietypowe. Jednak w ocenie rzecznika trudno nadać im przymiot standardowego zachowania klientów. Algorytmy, które odpowiedzialne są za monitoring rachunków klientów, jak się wydaje, powinny przynajmniej dokonać blokady takich transakcji do czasu dodatkowego ich potwierdzenia przez klienta. Faktem pozostaje jednak, że pozwana nie skontaktowała się niezwłocznie z powódką w celu weryfikacji dokonanych na rachunku operacji, które można uznać za nietypowe. Dalej Rzecznik (...) wskazał, że warto ustalić, czy bank dysponuje narzędziami do zapobiegania podejrzanym i nietypowym ruchom na rachunkach klientów, gdyż należyta staranność nakazywałaby skontaktowanie się z powódką przed faktycznym wykonaniem transakcji. Według Rzecznika (...) powódka wykorzystała kody autoryzacyjne nie na skutek lekkomyślności ani rażącego niedbalstwa, a wskutek profesjonalnie przygotowanego przestępstwa polegającego na wyłudzeniu danych i kradzieży środków zgromadzonych na rachunku. Powódka działała w przeświadczeniu, że podejmuje czynności w ramach standardowej relacji z bankiem i padła ofiarą przestępstwa. W dalszym toku sprawy strony podtrzymały swoje stanowiska procesowe. S ąd ustalił, co następuje. D. M. oraz Bank (...) spółkę akcyjną z siedzibą w W. łączyła zawarta na czas nieokreślony umowa rachunków bankowych – oszczędnościowego ( (...) ) oraz oszczędnościowo-rozliczeniowego ( (...) ) – i karty debetowej zawarta 1 sierpnia 2016 roku w S. . Na podstawie tej umowy D. M. otrzymała dostęp do Kanałów B. (dalej (...) ). Wydano jej również kartę debetową. Zgodnie z umową, w sprawach w niej nieuregulowanych stosuje się postanowienia regulaminu oraz cennika usług. dow ód: umowa z 1 sierpnia 2016 roku (k. 14-15v) Zgodnie z regulaminem obowiązującym D. M. oraz (...) Bank (...) w dacie 9 czerwca 2022 roku: 1) (...) oznacza wyrażenie przez posiadacza rachunku / posiadacza karty zgody na dokonanie transakcji płatniczej / dyspozycji w formie wskazanej w regulaminie (§ 2 pkt 1). 2) Zlecenie przelewu stanowi udzieloną bankowi przez posiadacza rachunku instrukcję obciążenia jego rachunku bankowego i uznania tą kwotą rachunku odbiorcy. Może ono zostać złożone za pośrednictwem K. lub w placówce banku (§ 29 ust. 1 i 2). 3) Dostarczenie do banku prawidłowego zlecenia przelewu oznacza zgodę posiadacza rachunku na jego wykonanie (§ 29 ust. 6). 4) Karta debetowa umożliwia dokonywanie transakcji, a także składanie innych dyspozycji określonych w cenniku usług (§ 40 ust. 1). Transakcje bezgotówkowe mogą być dokonane również na odległość – bez fizycznego przedstawienia karty, przez internet, telefonicznie lub za pośrednictwem poczty (§ 40 ust. 3). Przy transakcjach kartą debetową dokonanych na odległość bez fizycznego jej przedstawienia, posiadacz karty może zostać poproszony w celu autoryzacji o podanie unikatowego identyfikatora, daty ważności, imienia i nazwiska oraz dodatkowo kodu (...) , widniejącego na odwrocie karty (§ 40 ust. 7). W przypadku transakcji na odległość bez fizycznego przedstawienia karty, posiadacz karty może zostać poproszony o podanie dodatkowego elementu zabezpieczającego w ramach usługi 3D S. . Usługa ta jest rozumiana jako metoda uwierzytelnienia bezgotówkowej transakcji kartą debetową przez internet (§ 40 ust. 8). 5) Bank przekazuje użytkownikowi K. millekod. Do aktywacji K. w zakresie usług bankowości elektronicznej lub usługi bankowości telefonicznej wymagane jest: (1) podanie HasłaSMS lub odebranie połączenia wykonanego przez zdefiniowany numer telefonu i poprawne wykonanie czynności podanych przez bank oraz (2) podanie hasła tymczasowego (§ 58 ust. 2). 6) Aktywacja aplikacji mobilnej na urządzeniu jest równoznaczna z przypisaniem do użytkownika K. zaufanego urządzenia (§ 58 ust. 3) 7) Każdorazowy dostęp do K. przez użytkownika możliwy jest po podaniu danych identyfikujących (§ 58 ust. 4). 8) Użytkownik K. :  korzystający z systemu millenet – jest zobowiązany do monitorowania serwisu internetowego banku w celu aktualizacji wiedzy na temat obsługi millenet oraz wymagań sprzętowych i programowych (§ 65 ust. 3),  jest zobowiązany przestrzegać zasad bezpieczeństwa przy korzystaniu z K. umieszczonych na stronie internetowej banku (§ 65 ust. 4),  powinien zwracać szczególną uwagę na niestandardowe komunikaty o konieczności przeprowadzenia dodatkowych instalacji na urządzeniu mobilnym lub komputerze . W przypadku pojawienia się takiego komunikatu, użytkownik K. powinien zaprzestać korzystania z K. i niezwłocznie powiadomić bank (§ 65 ust. 5).  w przypadku podejrzenia nieuprawnionego dostępu do K. przez osobę trzecią – użytkownik K. powinien zaprzestać korzystania z K. i niezwłocznie powiadomić bank (§ 65 ust. 6).  powinien posługiwać się danymi identyfikującymi, dokonywać autoryzacji oświadczenia oraz posługiwać się elementami, o których mowa w § 17 ust. 7 w sposób zapewniający zachowanie ich poufności, w szczególności zobowiązany jest do nieudostępniania ich osobom nieupoważnionym (§ 62 ust. 7),  w przypadku wystąpienia podejrzeń, co do znajomości przez osoby nieupoważnione jego danych identyfikujących oraz danych używanych do autoryzacji oświadczeń lub elementów, o których mowa w § 17 ust. 7, powinien niezwłocznie dokonać odpowiednio ich blokady lub zmiany, w K. lub w placówce banku (§ 62 ust. 8). 9) Posiadacz rachunku korzystający z aplikacji mobilnej zobowiązany jest do (1) zabezpieczenia urządzenia mobilnego wraz z zainstalowaną aplikacją mobilną oraz do przestrzegania zasad bezpieczeństwa przy korzystaniu z niej, umieszczonych na stronie internetowej banku, (2) niezwłocznego zgłoszenia do banku w przypadku utraty, kradzieży, przywłaszczenia urządzenia mobilnego lub nieuprawnionego korzystania z aplikacji mobilnej, (3) nieudostępniania osobom trzecim narzędzi służących do weryfikacji uwierzytelniania w aplikacji mobilnej (§ 76 ust. 1). 10) Bank nie ponosi odpowiedzialności (1) z tytułu udostępnienia osobom trzecim przez posiadacza rachunku poufnego hasła, numeru millekod oraz udostępnienia przez posiadacza rachunku hasła SMS potwierdzających operacje w K. , (2) w przypadku braku powiadomienia banku przez posiadacza rachunku o stwierdzonych nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcjach płatniczych, niezwłocznie, jednak nie później niż w terminie (…) miesięcy od dnia obciążenia rachunku bankowego albo od dnia, w którym transakcja miała być wykonana. Bank ponosi odpowiedzialność za prawidłowe wykonanie transakcji płatniczej, jeżeli została ona prawidłowo autoryzowana przez posiadacza rachunku (§ 95 ust. 1 i 2). dow ód: regulamin og ólny świadczenia usług bankowych dla osób fizycznych w Banku (...) S.A. (k. 56-65) 18 stycznia 2022 roku D. M. otrzymała od (...) Bank (...) sms o treści „sprzedajesz lub kupujesz na (...) , V. i innych platformach? Zachowaj ostrożność”. dow ód: lista wiadomo ści (k. 75) D. M. wystawiła przedmiot na sprzedaż na stronie internetowej (...) 9 czerwca 2022 roku otrzymała e-mail od nadawcy oznaczonego jako Zespół (...) – jednak z adresu mailowego nienależącego do portalu V. . D. M. otworzyła tę wiadomość – zawierała ona informację, że ktoś zakupił wystawiony przez adresatkę przedmiot, przy czym opłacił towar i dostawę. Poniżej znajdowała się informacja słowna i graficzna, w świetle której kolejno następują po sobie czynności – „kupujący płaci za towar”, „zdobądź pieniądze za towary na swoje konto bankowe”, „przekaż towar kurierowi”, a także, iż V. jest odpowiedzialny za bezpieczeństwo transakcji. Dalej w dwóch kolumnach opisano, „co trzeba zrobić” („Naciśnij przycisk «Przyjmij zlecenie», a następnie «Otrzymaj środki». Następnie znajdź i wybierz SWÓJ BANK do POTWIERDZENIA i podaj dane wymagane na stronie weryfikacji. Po weryfikacji poczekaj na wiadomość z etykietą wysyłkową. Następnie wyślij sprzedany przedmiot do kupującego”) oraz „o bezpieczeństwie”. Zgodnie ze wskazaniem podanym w e-mail’u, D. M. kliknęła na przycisk „przyjmij zlecenie”. W jej rozumieniu miało dojść do połączenia konta na vinted.pl z jej rachunkiem bankowym. Została przekierowana na stronę internetową płatności, na której wybrała logo swojego banku, po czym została dalej przekierowana na stronę internetową, którą poczytywała za stronę bankowości elektronicznej. Strona internetowa łudząco przypominała stronę (...) Bank (...) . Następnie D. M. przeszła przez procedurę logowania i podała swoje dane obejmujące PESEL, hasło do logowania, a także numer i kod (...) karty płatniczej . Nie dostała natomiast wiadomości z kodem autoryzacyjnym potrzebnym do akceptacji logowania. Odebrała połączenie z infolinią banku (...) , po czym na stronie internetowej podała uzyskany kod. Następnie otrzymała powiadomienie, że z jej rachunku bankowego dokonano wypłaty. Po zalogowaniu się do bankowości elektronicznej, D. M. zauważyła, że najpierw doszło do przelewu środków z jej rachunku oszczędnościowego na rachunek oszczędnościowo-rozliczeniowy, a następnie wykonano transakcję w kwocie 15.604,73 złotych na nieznane D. M. konto R. . dow ód: zeznania pow ódki (k. 183-184, fragment nagrania 01:28:19-01:55:57), wydruk e-mail z 9 czerwca 2022 roku (k. 16), nagranie rozm ów na infolinii (k. 74) 9 czerwca 2022 roku zostały wykonane trzy przelewy własne z rachunku oszczędnościowego ( (...) ) na rachunek oszczędnościowo-rozliczeniowy D. M. na kwoty odpowiednio 10.000 złotych, 7.000 złotych oraz 9.000 złotych. Przy użyciu kodów do logowania D. M. została zainstalowana aplikacja mobilna na iPhone. Została ona aktywowana po wprowadzeniu millekodu, hasła mobilnego, wybranych cyfr PESEL oraz po weryfikacji z infolinią banku ( (...) ). Bez znajomości poufnych danych klienta do bankowości elektronicznej oraz kontaktu telefonicznego z automatyczną infolinią ( (...) ) nie ma możliwości aktywacji aplikacji mobilnej na profilu klienta. (...) Bank (...) o 14:43 wysłała do D. M. sms, w którym potwierdziła aktywację aplikacji mobilnej („Na urządzeniu iPhone aktywowano aplikację mobilną Banku (...) . Jeśli to nie Ty ją aktywowałeś, to bezzwłocznie zadzwoń pod numer + (...) ”). O 14:53 (...) Bank (...) otrzymała od usługodawcy R. zapytanie o autoryzację transakcji należącą do D. M. kartą V. Konto 360 numer (...) ****** (...) . Transakcja została potwierdzona w aplikacji mobilnej, w ramach usługi 3D S. . Klient dokonując transakcji internetowej musi podać numer karty, kod (...) oraz datę ważności karty. dow ód: odpowied ź na zgłoszenie z 18 czerwca 2022 roku (k. 19), pismo z 18 sierpnia 2022 roku (k. 67-67v), wyciąg z rachunku bankowego (k. 91v), zrzut ekranu obejmujący aplikację (...) (k. 97), nagranie rozmów na infolinii (k. 74), zeznania powódki (k. 183-184, fragment nagrania 01:28:19-01:55:57) W czasie kontaktu z automatyczną infolinią ( (...) ) jest podawany następujący komunikat – „ Zaczynasz aktywację aplikacji mobilnej Banku (...) . Jeśli to nie twoje zlecenie, to rozłącz się i skontaktuj się z bankiem. Za chwilę usłyszysz poufny 3-cyfrowy kod. Wprowadź go wyłącznie w aktywowanej aplikacji mobilnej banku. Pracownicy banku nigdy nie proszą o ten kod. Nie podawaj go nikomu. Jeśli ktokolwiek poprosi cię o kod podczas połączenia telefonicznego, rozłącz się i skontaktuj się z bankiem. Numer telefonu znajdziesz na stronie internetowej banku”. dow ód: nagranie na p łycie CD (k. 74) Po zauważeniu dokonania transakcji D. M. zadzwoniła na infolinię (...) Bank (...) . W wyniku rozmowy z pracowniczką spółki, doszło do zablokowania możliwości wykonywania transakcji i zastrzeżenia karty debetowej. dow ód: nagranie rozm ów na infolinii (k. 74) 9 czerwca 2022 roku D. M. zgłosiła się do Komisariatu Policji I w S. w celu złożenia zawiadomienia o oszustwie polegającym na wyłudzeniu pieniędzy w kwocie 14.815,19 złotych z rachunku bankowego prowadzonego dla niej przez (...) Bank (...) . Wydział do spraw (...) z Przestępczością Gospodarczą Komendy Miejskiej Policji w S. prowadził postępowanie w sprawie bezprawnego uzyskania 9 czerwca 2022 roku w nieustalonym miejscu ze skutkiem w K. dostępu za pośrednictwem sieci internet do rachunku bankowego pokrzywdzonej D. M. prowadzonego przez (...) Bank (...) i doprowadzenia w celu osiągnięcia korzyści majątkowej do niekorzystnego rozporządzenia mieniem w kwocie 14.815,19 złotych poprzez wprowadzenie w błąd co do uzyskania zapłaty za wystawiony do sprzedaży na portalu vinted.pl przedmiot, to jest o czyn z art. 269b § 1 i art. 286 § 1 w zw. z art. 11 § 2 kodeksu karnego . Dochodzenie w tej sprawie zostało zawieszone z uwagi na długotrwałą przeszkodę uniemożliwiającą prowadzenie postępowania, na mocy postanowienia Prokuratury Rejonowej w Słupsku z 7 grudnia 2022 roku. W toku dochodzenia ustalono, że rachunek bankowy, na który wpłynęły pieniądze z rachunku bankowego D. M. należy do obywatela Łotwy. W związku z tym zwrócono się do Republiki Łotwy z wnioskiem o jego przesłuchanie w charakterze świadka. dow ód: za świadczenie wystawione przez Komisariat Policji I w S. (k. 20), pismo Komendy Miejskiej Policji w S. z 4 września 2023 roku (k. 155), postanowienie o zawieszeniu dochodzenia z 7 grudnia 2022 roku (k. 156) Również 9 czerwca 2022 roku D. M. zgłosiła (...) Bank (...) nieuprawnione wejście na konto i przelanie środków z jej rachunku bankowego. W sporządzonym przez siebie opisie zdarzenia podała, że 9 czerwca 2022 roku chcąc sprzedać przedmiot przez aplikację mobilną V. , po wystawieniu ogłoszenia dostała e-mail z linkiem do realizacji zlecenia. Po kliknięciu w link otworzyła się strona do wyboru banku. Po wyborze banku Millennium została przekierowana na stronę banku w celu podania niezbędnych danych. Po ich podaniu, łącznie z danymi karty płatniczej, zauważyła na telefonie powiadomienie z aplikacji mobilnej o przelewach własnych. Niezwłocznie zadzwoniła na infolinię w celu zgłoszenia nadużycia. Po rozmowie z konsultantką uzyskała informację, że dane zostały zabezpieczenie poprzez zmianę danych logowania, blokadę internetowych płatności oraz blokadę karty debetowej. Z rachunku została wykonana internetowa transakcja na kwotę 14.815,19 złotych. dow ód: dokument przyj ęcia zgłoszenia z 9 czerwca 2022 roku (k. 18), pismo z 9 czerwca 2022 roku zatytułowane „reklamacja” (k. 66) 11 czerwca 2022 roku (...) Bank (...) zaksięgowała transakcję „zakup – bez fizycznego użycia karty” na kwotę 15.604,73 złotych (3.225 euro) z rachunku bankowego D. M. o numerze (...) o tytule „ R. ** (...) *”. dow ód: potwierdzenie wykonania operacji z 11 czerwca 2022 roku (k. 17) W piśmie z 18 czerwca 2022 roku (...) Bank (...) w odpowiedzi na zgłoszenie wskazała, że nie może go uznać. Podano, że instalacja i aktywacja aplikacji mobilnej, a następnie płatność kartą była potwierdzona i spółka nie mogła jej odrzucić. Nie złamano zabezpieczeń banku i nie miał on awarii systemów. Spółka przedstawiła przy tym analizę zdarzeń. dow ód: pismo z 18 czerwca 2022 roku (k. 19-19v) Serwis wystawiania przedmiotów online V. uregulował w regulaminie kwestie związane z korzystaniem z serwisu oraz ostrzegał przed phisingiem. W celu otrzymania płatności za sprzedany towar nie jest konieczne logowanie się do systemu bankowości elektronicznej przez sprzedającego. Informacje o oszustwach na portalu sprzedażowym V. zamieściły w internecie Komenda Powiatowa Policji w T. 9 czerwca 2022 roku oraz czasopismo Rzeczpospolita w artykule z 19 czerwca 2022 roku. Również (...) Bank (...) informowała na swojej stronie internetowej o zjawisku phishingu. dow ód: regulamin V. (k. 102-115), wydruk informacji z zak ładki „help” na stronie internetowej V. (k. 116-120), informacje o oszustwach na portalu V. (k. 121-123), wydruk ze strony internetowej pozwanej (k. 124-129) S ąd zważył, co następuje. Powództwo zasługiwało na uwzględnienie. Stan faktyczny ustalono na podstawie zgromadzonych w sprawie dokumentów, innych środków dowodowych (nagrań rozmów i komunikatu na nośniku w postaci płyty CD) oraz zeznań powódki. Wartość dowodowa dokumentów oraz innych środków dowodowych nie była kwestionowana przez strony, zaś sąd nie znalazł podstaw, by czynić to z urzędu. Zeznania powódki sąd ocenił jako wiarygodne, gdyż były one spójne wewnętrznie i pozostawały w zgodzie z pozostałym zgromadzonym w sprawie materiałem dowodowym. Należy zauważyć, że spór w niniejszej sprawie dotyczył nie tyle faktów, co ich oceny na gruncie przepisów obowiązującego prawa. Przede wszystkim ustalono, że powódka na stronie internetowej, którą poczytywała za stronę pozwanej, podała swoje dane obejmujące PESEL, hasło do logowania, numer i kod (...) karty płatniczej, a następnie kod weryfikacyjny otrzymany podczas połączenia z infolinią banku ( (...) ). Na gruncie tych faktów pozwana zarzucała powódce rażące niedbalstwo. Powódka podnosiła natomiast w szczególności to, że nie była świadoma, iż udostępnia swoje dane przestępcy i nie zamierzała doprowadzić do transakcji na kwotę dochodzoną w pozwie – to nie ona jej bowiem dokonała, a samo zainicjowanie transakcji miało miejsce z obcego urządzenia obsługiwanego przez osobę, której powódka nieświadome podała swoje dane W niniejszej sprawie znajdowały zastosowanie przepisy ustawy z 19 sierpnia 2011 roku o usługach płatniczych (dalej „u.u.p.”), w których dokonano implementacji dyrektywy Parlamentu Europejskiego i Rady (UE) (...) z 25 listopada 2015 roku w sprawie usług płatniczych w ramach rynku wewnętrznego (…) (dalej „dyrektywa (...) ”). Zgodnie z przepisem art. 40 ust. 1 u.u.p., transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych. W myśl przepisu art. 46 ust. 1 u.u.p., z zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. W przypadku gdy płatnik korzysta z rachunku płatniczego, dostawca płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Data waluty w odniesieniu do uznania rachunku płatniczego płatnika nie może być późniejsza od daty obciążenia tą kwotą. W przepisie art. 44 ust. 2 u.u.p. wskazano, że jeżeli użytkownik nie dokona powiadomienia, o którym mowa w ust. 1 (niezwłocznego powiadomienia dostawcy o stwierdzonych nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcjach płatniczych), w terminie 13 miesięcy od dnia obciążenia rachunku płatniczego albo od dnia, w którym transakcja miała być wykonana, roszczenia użytkownika względem dostawcy z tytułu nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcji płatniczych wygasają. Stosownie do przepisu art. 46 ust. 3 u.u.p., płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. W przepisie art. 42 ust. 1 u.u.p. określono, że użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany: (1) korzystać z instrumentu płatniczego zgodnie z umową ramową oraz (2) zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu. Wedle przepisu art. 42 ust. 2 u.u.p., w celu spełnienia obowiązku, o którym mowa w ust. 1 pkt 1, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym. W myśl przepisu art. 45 ust. 1 u.u.p., na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej. Przepis ten należało zestawić z przepisem art. 72 ust. 1 zdanie 1 dyrektywy (...) , stanowiącym, że państwa członkowskie nakładają wymóg, zgodnie z którym w przypadku gdy użytkownik usług płatniczych zaprzecza, że autoryzował wykonaną transakcję płatniczą, lub twierdzi, że transakcja płatnicza została wykonana nieprawidłowo, do dostawcy usług płatniczych należy udowodnienie, że transakcja ta została uwierzytelniona , dokładnie zapisana, ujęta w księgach i że na transakcję nie miała wpływu awaria techniczna ani innego rodzaju usterka związana z usługą świadczoną przez danego dostawcę usług płatniczych. Uwierzytelnieniem jest przy tym – stosownie do przepisu art. 4 pkt 29 dyrektywy (...) – procedura umożliwiająca dostawcy usług płatniczych weryfikację tożsamości użytkownika usług płatniczych lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających tego użytkownika. Pozwana zarzucając niezgodność przepisu art. 45 ust. 1 u.u.p. z przepisem art. 72 ust. 1 zdanie 1 w zw. z art. 4 pkt 29 dyrektywy (...) w tym sensie, że przepis prawa polskiego stawia wyższe wymagania aniżeli przepisy dyrektywy, postulowała tak zwaną proeuropejską (prounijną) wykładnię prawa polskiego. W jej rezultacie pozwana powinna jedynie wykazać fakt uwierzytelnienia transakcji – co prowadziłoby w jej ocenie do oddalenia powództwa – ale już nie fakt autoryzacji. Przede wszystkim nie jest tak, że pozwana ponosi odpowiedzialność jedynie za dokonanie transakcji nieuwierzytelnionych (nieprawidłowo uwierzytelnionych), a nie ponosi jej za dokonanie transakcji prawidłowo uwierzytelnionych, lecz nieautoryzowanych. Takie zapatrywanie jest sprzeczne zarówno z przepisami polskimi, jak i przepisami dyrektywy (...) . Należy zauważyć, że nie ulega wątpliwości, iż ujęcie językowe obu przepisów jest odmienne, gdyż przepis polski wymaga wykazania przez dostawcę usług faktu autoryzacji, zaś przepis dyrektywy (...) – uwierzytelnienia. Kwestię tę należy jednak analizować w kontekście celu dyrektywy (...) , a dopiero wówczas możliwe będzie udzielenie odpowiedzi na pytanie, czy dyrektywa została prawidłowo implementowana do polskiego porządku prawnego. Stosownie do przepisu art. 73 ust. 1 in principio dyrektywy (...) , państwa członkowskie zapewniają, aby – bez uszczerbku dla art. 71 – w przypadku nieautoryzowanej transakcji płatniczej dostawca usług płatniczych płatnika dokonywał na rzecz płatnika zwrotu kwoty nieautoryzowanej transakcji płatniczej. W przepisie art. 72 ust. 1 dyrektywy (...) uregulowano jedynie kwestię rozkładu ciężaru dowodu. W tym kontekście należy zauważyć, że dyrektywa (...) reguluje ową kwestię rozkładu ciężaru dowodu jedynie częściowo. W art. 72 ust. 1 zdanie 1 dyrektywy (...) jasno wskazano, kto powinien wykazać fakt uwierzytelnienia transakcji (dostawca usług). Nie powiedziano natomiast, na kim spoczywa ciężar dowodu w zakresie autoryzacji transakcji. W ocenie sądu równie jasne jest, że kwestia ta została pozostawiona do regulacji ustawodawcy krajowemu. Polski ustawodawca rozwiązał ją w ten sposób, że ciężar udowodnienia faktu prawidłowej autoryzacji nałożył na dostawcę usług. Rozwiązanie to jest w ocenie tutejszego sądu zgodne z celem dyrektywy (...) . Należy bowiem zauważyć, że stosownie do jej motywu 6 i 8, jej celem jest zagwarantowanie dotychczasowym oraz nowym użytkownikom rynku równorzędnych warunki działania, umożliwiając upowszechnienie nowych sposobów płatności wśród szerokiego kręgu użytkowników i zapewniając wysoki poziom ochrony konsumentów przy korzystaniu z tych usług płatniczych w całej Unii Europejskiej, a także uniknięcie stosowania w poszczególnych państwach członkowskich rozbieżnych podejść ze szkodą dla konsumentów. Kwestia ochrony konsumentów czy też użytkowników usług płatniczych jest również podnoszona w motywach w szczególności 13, 28, 29, 33, 37, 42, 53, 59, 63, 70, 71, 73, 75, 76, 95 dyrektywy (...) , co pozostaje zgodne z ogólną tendencją prawa Unii Europejskiej. Szczególnie istotne jest są tu zagadnienia podniesione w motywach 53 („ponieważ konsumenci i przedsiębiorstwa nie są w takiej samej sytuacji, nie potrzebują takiego samego poziomu ochrony. Podczas gdy istotne jest zagwarantowanie praw konsumentów przepisami, od których stosowania nie można odstąpić na podstawie umowy, rozsądne jest umożliwienie przedsiębiorstwom oraz organizacjom dokonywania innych uzgodnień w sytuacji, gdy nie mają do czynienia z konsumentami”) oraz 95 („Bezpieczeństwo płatności elektronicznych ma podstawowe znaczenie dla zapewnienia ochrony użytkowników i stworzenia solidnego otoczenia dla handlu elektronicznego. Wszystkie usługi płatnicze oferowane drogą elektroniczną powinny być wykonywane w sposób bezpieczny, z użyciem technologii będących w stanie zagwarantować bezpieczne uwierzytelnianie użytkownika i w jak największym stopniu ograniczyć ryzyko oszustw”. Należy również zwrócić uwagę na art. 63 ust. 1 lit. b dyrektywy (...) , w myśl którego w określonych w nim przypadkach dostawcy usług płatniczych mogą uzgodnić ze swoimi użytkownikami usług płatniczych, że m.in. art. 72 nie ma zastosowania, jeżeli instrument płatniczy jest używany anonimowo lub dostawca usług płatniczych z innych przyczyn nieodłącznie związanych z instrumentem płatniczym nie jest w stanie udowodnić, że transakcja płatnicza była autoryzowana [w innych znanych sądowi wersjach językowych: „ payment transaction was authorised ” (w porównaniu do „ transaction was authenticated ” z art. 72 ust. 1 zdanie 1); „ ein Z. autorisiert war ” (w porównaniu do „ einen ausgeführten Z. autorisiert zu haben ”); „ betalingstransaktionen var autoriseret ” (w porównaniu do „ betalingstransaktionen var autentificeret ”; „ opération de paiement a été autorisée ” (w porównaniu do „ l’opération en question a été authentifié ”). Prawodawca unijny dopuszcza więc sytuację, w której to dostawca usług ma udowodnić autoryzację, a nie tylko uwierzytelnienie transakcji. W ocenie sądu argumenty te są wystarczające do przyjęcia, że przepis art. 45 ust. 1 u.u.p. prawidłowo implementuje dyrektywę (...) . W doktrynie przedstawiane są również dalsze racje na rzecz tego stanowiska, w tym dotyczące preferencji ustawodawcy unijnego w związku z nowym projektem rozporządzenia oraz brakiem zakwestionowania polskiego rozwiązania przez Komisję Europejską przez cały okres dotychczasowego obowiązywania przepisu art. 45 u.u.p. (szerzej na ten temat – Komentarz do art. 45 ustawy o usługach płatniczych (w) K. Osajda (red. serii), J. Dybiński (red. tomu), Ustawa o usługach płatniczych. Komentarz , Warszawa 2024, system informacji prawnej Legalis). Przenosząc te rozważania na grunt niniejszej sprawy, należy wskazać, że pozwana nie wykazała, zgodnie ze spoczywającym na niej ciężarem dowodu, że sporna transakcja płatnicza została autoryzowana przez powódkę. Treść zgromadzonych dowodów przekonuje natomiast o odmiennym stanie rzeczy. Przede wszystkim bowiem to nie powódka zleciła dokonanie tej transakcji. Nie może być więc mowy o tym, że wyraziła na nią zgodę w sposób przewidziany w umowie. Wbrew stanowisku pozwanej zbadanie, czy płatnik wyraził zgodę w rozumieniu przepisu art. 40 ust. 1 u.u.p. nie polega na „wniknięciu w stan świadomości płatnika” (k. 29v), a sprowadza się do kwestii, czy postąpił w sposób przewidziany w umowie. Chodzi więc o stwierdzenie, czy przejawy zewnętrzne jego zachowania pozwalają na uznanie, że tę zgodę właśnie poprzez nie wyraził. Nie ulegało wątpliwości sądu, że skoro w świetle zgromadzonego materiału dowodowego to nie powódka zleciła transakcję, a przestępca, którego ofiarą padła, to nie doszło do autoryzacji transakcji w rozumieniu art. 40 ust. 1 u.u.p. Wymaga zauważania, że nawet gdyby przyjąć – do czego z przedstawionych już względów brak podstaw – że to na powódce spoczywał ciężar wykazania faktów przemawiających za brakiem autoryzacji przez nią spornej transakcji, powódka sprostałaby ciężarowi dowodu w tym zakresie. Rozważając, czy można powódce zarzucić rażące niedbalstwo w rozumieniu przepisu art. 46 ust. 3 u.u.p. z przewidzianymi tam skutkami, należy wskazać, że powódka niewątpliwie i bezspornie wypełniła obowiązek określony w art. 42 ust. 1 pkt 2 u.u.p. Odnosząc się do kwestii, czy powódka naruszyła wskutek rażącego niedbalstwa obowiązek określony w art. 42 ust. 1 pkt 1 u.u.p. – korzystania z instrumentu płatniczego zgodnie z umową ramową – należy odwołać się do zapisów tej umowy. Rażącym niedbalstwem jest naruszenie podstawowych reguł ostrożności, oczywistych dla każdego rozsądnego człowieka. W przypadku, gdy wykonanie zobowiązania wymaga specjalnych wiadomości lub umiejętności dłużnika za rażące niedbalstwo należy uznać także jego postępowanie poniżej minimalnego elementarnego poziomu tych wiadomości lub umiejętności (J. Rajski (red.), Prawo zobowiązań - część szczegółowa. System Prawa Prywatnego. Tom 7, Warszawa 2018, system informacji prawnej Legalis). Poziom oczywistości i elementarności wyznaczają okoliczności konkretnego stanu faktycznego, związane m.in. z osobą sprawcy, ale przede wszystkim zdarzenia obiektywne, w wyniku, których powstała szkoda (tak np. wyrok Sądu Najwyższego z 10 sierpnia 2007 roku, II CSK 170/07). W tym miejscu należy również zauważyć, że nie budziło wątpliwości sądu, iż przedstawiony przez pozwaną regulamin był dla powódki wiążący w dacie wykonania spornej transakcji. Powódka zakwestionowała ten fakt, jednak nie przedstawiła rzeczowych argumentów przemawiających za stwierdzeniem, iż stosunek umowny został uregulowany w innym regulaminie ani stosownego dokumentu. Skoro przy tym powódka podnosiła, że w dacie spornej transakcji wiązała ją z pozwaną umowa, to nie ulegało wątpliwości, że treść stosunku prawnego stron była wyznaczana postanowieniami regulaminu. Gdyby powódka nie zgadzała się na związanie przedstawioną przez pozwaną regulacją, powinna była wypowiedzieć umowę, czego bezspornie nie uczyniła ( art. 384(1) ustawy z 23 kwietnia 1964 roku kodeks cywilny – dalej „ k.c. ”). Skoro więc powódka nie przedstawiła innego regulaminu, sformułowany przez nią zarzut braku związania postanowieniami regulaminu złożonymi do akt sprawy przez pozwaną był bezskuteczny. Na tle całokształtu materiału dowodowego w sprawie twierdzenie pozwanej, że strony wiązał złożony przez nią regulamin należało więc uznać za udowodnione w wystarczającym stopniu. Stosownie do przepisu art. 45 ust. 2 u.u.p., wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy. Pozwana podniosła, że powódka naruszyła następujące postanowienia regulaminu: 1) Użytkownik K. :  korzystający z systemu millenet – jest zobowiązany do monitorowania serwisu internetowego banku w celu aktualizacji wiedzy na temat obsługi millenet oraz wymagań sprzętowych i programowych (§ 65 ust. 3),  jest zobowiązany przestrzegać zasad bezpieczeństwa przy korzystaniu z K. umieszczonych na stronie internetowej banku (§ 65 ust. 4),  powinien zwracać szczególną uwagę na niestandardowe komunikaty o konieczności przeprowadzenia dodatkowych instalacji na urządzeniu mobilnym lub komputerze . W przypadku pojawienia się takiego komunikatu, użytkownik K. powinien zaprzestać korzystania z K. i niezwłocznie powiadomić bank (§ 65 ust. 5).  powinien posługiwać się danymi identyfikującymi, dokonywać autoryzacji oświadczenia oraz posługiwać się elementami, o których mowa w § 17 ust. 7 w sposób zapewniający zachowanie ich poufności, w szczególności zobowiązany jest do nieudostępniania ich osobom nieupoważnionym (§ 62 ust. 7), 2) Posiadacz rachunku korzystający z aplikacji mobilnej zobowiązany jest do nieudostępniania osobom trzecim narzędzi służących do weryfikacji uwierzytelniania w aplikacji mobilnej (§ 76 ust. 1). W ocenie sądu na gruncie zgromadzonego w sprawie materiału dowodowego nie mogło budzić wątpliwości, że powódka naruszyła wymienione postanowienia regulaminu. Ujmując tę kwestię powierzchownie można by również stwierdzić, że pozwana nie zachowała również elementarnych zasad zdrowego rozsądku, zaś modelowa osoba na jej miejscu postąpiłaby zupełnie inaczej. Argumentując jednak w ten sposób, umykało uwadze pozwanej, że powódka padła ofiarą przestępstwa, tak zwanego phishingu . Jest powszechnie wiadome, że przestępstwo oszustwa w formie phishingu polega na doprowadzeniu do pożądanych przez przestępcę działań ofiary za pomocą socjotechnik, a więc przy znajomości słabości w zakresie codziennego funkcjonowania ludzkiego umysłu, w tym jego swoistego automatyzmu . O tym, jak atrakcyjna dla przestępców jest to metoda pokazują statystyki – phising stanowił 64% (25.625) wszystkich incydentów obsłużonych w 2022 roku przez CERT Polska działający w strukturach Państwowego Instytutu (...) . 2.926 incydentów dotyczyło portalu V. (https://www.gov.pl/web/baza-wiedzy/krajobraz-bezpieczenstwa-polskiego-internetu-w-2022-roku--raport-roczny-cert-polska). Skoro natomiast omawiane zjawisko występuje tak często, to znaczy, że przynosi „dobre” (z punktu widzenia przestępców) rezultaty. Należy zauważyć, że zarówno doktryna i judykatura prawnicza, jak i przestępcy formułują model przeciętnego konsumenta (płatnika) w oparciu o to samo pytanie – „jak powinna zachować się przeciętnie rozsądna osoba w danej sytuacji (ataku phishingowego)?”, lecz zdarza się, że udzielają na nie odmiennej odpowiedzi. W ocenie sądu konstruując wzorzec staranności nie można pomijać aspektu rzeczywistej odpowiedzi przeciętnej osoby na daną sytuację. O ile nie budzi więc wątpliwości, że w idealnym świecie osoba poddana atakowi przestępczemu obejmującego manipulacje bazujące na znajomości jej słabości powinna zachować przytomność umysłu, o tyle równie niewątpliwe jest, że w realnym świecie przeciętny człowiek nie ma takiej umysłowej możliwości. W innym wypadku zbędne byłyby szeroko zakrojone kampanie społeczne, materiały informacyjne, szkolenia itp. mające na celu ustrzeżenie potencjalnych ofiar (znakomitej większości społeczeństwa) przed atakami cyberprzestępców, które notabene – jak pokazuje rzeczywistość – nie przynoszą zadowalających rezultatów, skoro zarówno liczba ataków omawianego rodzaju, jak i ich ofiar rośnie. W realiach niniejszej sprawy powódka w żaden sposób nie spodziewając się ataku, zobaczyła e-mail od – jak zakładała – zaufanego kontrahenta i postępowała zgodnie z jego instrukcjami. Została przekierowana na stronę internetową do złudzenia przypominającą stronę jej banku (pozwanej spółki). Działała w przekonaniu, że swoje dane podaje równie zaufanej kontrahentce, jaką była dla niej pozwana. W czasie podawania danych nie zorientowała się, że pada ofiarą przestępstwa. Na pytanie, czy powódce można zarzucić rażące niedbalstwo – a tym samym, czy rzeczywiście można było oczekiwać od niej innego zachowania w realiach konkretnego przypadku – należy udzielić odpowiedzi przeczącej. Powódka została bowiem zaskoczona i zmanipulowana, zaś jej czujność była uśpiona z uwagi na przeprowadzanie jej przez procedurę na stronach internetowych z pozoru takich samych jak strony, z których wielokrotnie korzystała. O rażącym niedbalstwie powódki można by mówić przykładowo w sytuacji, w której podałaby swoje dane na nieznanej stronie internetowej (a nie takiej, co do której miała podstawy, aby zakładać, że jest stroną banku) bądź przypadkowej osobie trzeciej (ze świadomością, że podaje takie dane przypadkowej osobie trzeciej, a nie bankowi czy portalowi V. ). Nie mógł zmienić tego stanowiska fakt, że jednym z około trzydziestu smsów otrzymanych od pozwanej w 2022 roku był ten zawierający zalecenie ostrożności przy sprzedaży na portalu V. , wysłany na pół roku przed atakiem na powódkę. Pomijając kwestię, że z naturalnych przyczyn powódka mogła nie pamiętać tego smsa, nie zawierał on żadnych konkretnych informacji, a jedynie ogólnik. Z kolei złożone przez pozwaną materiały prasowe nie mogą przemawiać za tym, że powódka rzeczywiście powinna była wiedzieć, że postępuje nierozważnie. Nie ma możliwości, aby powódka się z nimi zapoznała. Brak bowiem racjonalnych podstaw do przyjęcia, że powódka czytuje komunikaty Komendy Powiatowej Policji w T. . Po drugie komunikat Komendy Powiatowej Policji w T. ukazał się w dniu ataku na powódkę, zaś materiał w czasopiśmie Rzeczpospolita dziesięć dni po ataku na nią. Zakładając więc nawet, że powódka codziennie zapoznaje się z pełną treścią wszystkich dostępnych w Polsce dzienników, przedłożonego przez pozwaną materiału prasowego z pewnością nie widziała. Ponadto za odmienną oceną nie przemawia fakt, że na stronie internetowej pozwanej znajdowały się komunikaty dotyczące przestępstwa phishingu. Nie sposób oczekiwać od przeciętnego konsumenta śledzenia, analizowania i zapamiętywania informacji o wszystkich potencjalnych zagrożeniach, w tym cybernetycznych. Poznanie ich wszystkich jest z natury rzeczy niemożliwe, zaś wiązanie przez pozwaną negatywnych skutków z brakiem znajomości po stronie powódki jednego z nich, nie mogło znaleźć aprobaty w oczach sądu. Nawet osoba wyjątkowo starannie zapoznająca się z zagrożeniami, jakie niesie funkcjonowanie we współczesnym świecie, nie jest w stanie poznać całej materii i zastosować modelowych rozwiązań w swoim życiu, zaś ten skądinąd oczywisty fakt wykorzystują właśnie przestępcy. Wymaga podkreślenia, że w tak ukształtowanych realiach wszelkie działania społeczne, w tym sprawowanie wymiaru sprawiedliwości również w sprawach cywilnych, muszą zmierzać do ochrony ofiar, a nie obarczania ich odpowiedzialnością za to, że popełniono na ich szkodę przestępstwo. Co więcej, to pozwana – ze względu na swój organizacyjny i ekonomiczny potencjał, a także rolę, jaką pełni – ma za zadanie rozwiązywać problemy z zagrożeniami bezpieczeństwa systemowo, nie cedując odpowiedzialności na konsumentów za skutki przestępstw popełnionych na ich szkodę. W tym kontekście rację miała powódka podnosząc, że systemy informatyczne pozwanej powinny wychwycić nietypowe czynności na rachunku bankowym powódki, zaś pracownicy spółki odpowiednio zareagować. W ocenie sądu powódka zachowała się niedbale, jednak nie można jej zachowaniu przypisać przymiotu niedbalstwa rażącego. Mając na uwadze powyższe sąd na podstawie art. 46 ust. 1 ustawy z 19 sierpnia 2011 roku o usługach płatniczych w zw. z art. 481 § 1 k.c. zasądził od pozwanej na rzecz powódki kwotę 15.604,73 zł wraz z odsetkami ustawowymi za opóźnienie od 21 czerwca 2022 roku do dnia zapłaty, o czym orzekł w punkcie pierwszym wyroku. Odsetki ustawowe za opóźnienie należało zasądzić zgodnie z żądaniem powódki, która powoływała się na to, że 18 czerwca 2022 roku bank miał wiedzę na temat nieautoryzowanej transakcji, zatem najpóźniej do końca następnego dnia roboczego (20 czerwca 2022 roku) bank był zobowiązany zwrócić kwotę nieautoryzowanej transakcji, do czego nie doszło. Pozwana, która przegrała sprawę w całości, zobowiązana jest do zwrotu kosztów postępowania powódce. Koszty postępowania poniesione przez powódkę wyniosły łącznie 4.637,40 zł, w tym z tytułu opłaty od pozwu 1.000,00 zł, opłaty skarbowej od pełnomocnictwa 17,00 zł, wynagrodzenia należnego radcy prawnemu 3.600,00 zł (§2 pkt. 5 rozporządzenia Ministra Sprawiedliwości z 22 października 2015 roku w sprawie opłat za czynności radców prawnych), kosztów doręczeń 20,40 zł (złożenia pozwu - 6,80 zł, pisma z 10 lipca 2023 roku - 6,80 zł, pisma z 20 marca 2024 roku - 6,80 zł). O kosztach sąd orzekł na podstawie art. 98 §1, 1 1 § 3 k.p.c. w zw. z art. 99 k.p.c. w punkcie drugim wyroku.