V CSK 141/17

Sygn. akt V CSK 141/17
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
Dnia 18 stycznia 2018 r.
Sąd Najwyższy w składzie:
SSN Marta Romańska (przewodniczący)
‎
SSN Marian Kocon
‎
SSN Krzysztof Pietrzykowski (sprawozdawca)
w sprawie z powództwa R.T.
‎
przeciwko „B”. w K.
‎
o zapłatę,
‎
po rozpoznaniu na posiedzeniu niejawnym
w Izbie Cywilnej w dniu 18 stycznia 2018 r.,
‎
skargi kasacyjnej strony pozwanej od wyroku Sądu Okręgowego w L.
‎
z dnia 4 listopada 2016 r., sygn. akt VI Ga (…),
1. oddala skargę kasacyjną;
2. zasądza od pozwanego na rzecz powódki kwotę 2700 (dwa tysiące siedemset) złotych tytułem kosztów postępowania kasacyjnego.
UZASADNIENIE
Sąd Rejonowy w D. wyrokiem z dnia 24 lutego 2016 r. oddalił powództwo R.T. o zasądzenie od „B” w K. kwoty 60 981 zł oraz zasądził od powódki na rzecz pozwanego kwotę 3 617 zł tytułem kosztów procesu. Ustalił, że w dniu 17 maja 2005 r. R.T. zawarła z „B” w K. umowę bieżącego rachunku bankowego. W dniu 7 stycznia 2013 r. strony zawarły dodatkową umowę o świadczenie usługi CUI (Centrum Usług Internetowych). Na podstawie tej umowy bank, w celu umożliwienia powódce dostępu do środków pieniężnych zgromadzonych na rachunku za pośrednictwem CUI, wydał jej środki dostępu w postaci identyfikatora umożliwiającego uwierzytelnienie oraz tokena do autoryzacji dyspozycji. Po aktywacji dostępu do CUI powódka ustaliła własne hasło, które wraz z identyfikatorem umożliwiało uwierzytelnienie. Obowiązki powódki zostały szczegółowo określone w
§ 86 pkt 2 i 3 i § 88 Regulaminu otwierania i prowadzenia rachunków bankowych obowiązującego u pozwanego.
W dniu 5 maja 2015 r. powódka usiłowała zalogować się w systemie CUI w celu dokonania przelewu. Po wpisaniu przez nią na stronie „B” danych ze wszystkich środków dostępu, w tym wskazania z tokena, wyświetliła się informacja, według której strona była w trakcie przebudowy i należało zalogować się później. Powódka po jakimś czasie podjęła kolejne próby logowania, lecz również ze skutkiem negatywnym. W dniu 7 maja 2015 r. ok. godz. 19:00 powódka zalogowała się na stronie „B” (na komputerze, z którego zwykle korzysta, z adresem IP[…]) i stwierdziła, że na jej koncie bankowym nie ma pieniędzy. W dniu 5 maja 2015 r. system CUI zarejestrował o godzinie 14:41:03 poprawne logowanie z adresu IP […], a następnie o godz. 14:43:31 błędne logowanie z adresu IP [...]. Kolejne logowania miały miejsce w dniu 7 maja 2015 r. z adresu IP komputera powódki, przy czym cztery pierwsze z nich były błędne, a ostatnie o 19:05:27 poprawne. Powódka, po stwierdzeniu, że na jej rachunku brakuje spornej kwoty, powiadomiła o tym pozwanego.
Sąd Rejonowy ustalił, że w dniu 5 maja 2015 r. po logowaniu o godz. 14:41:03 nieustalona osoba, z wykorzystaniem logowań powódki na podsuniętej jej umiejętnie stronie, dokonała zlecenia przelewu kwoty 60 981 zł z konta powódki na rachunek M.C. w „C” S.A. W tytule przelewu wskazano zapłatę za fakturę nr [...]. W dniu 6 maja 2015 r. nieustalona osoba podjęła z konta M.C. środki pieniężne w tej samej kwocie. Powódka wszczęła u pozwanego postępowanie reklamacyjne, które zakończyło się odmową uznania roszczenia powódki o zwrot kwoty 60 981 zł. Powódka zawiadomiła o zdarzeniu organy ścigania w K., które wszczęły stosowne dochodzenie. Jednocześnie Prokuratura Apelacyjna w (…) prowadzi postępowanie dotyczące działalności zorganizowanej grupy przestępczej, zajmującej się kradzieżą pieniędzy z kont bankowych, a następnie transferowaniem tych środków na Ukrainę. Postępowanie to obejmuje działalność przestępczą 134 podejrzanych, w tym M.C. Dotychczas nie wyjaśniono okoliczności popełnienia przestępstwa. Na zlecenie Banku przeprowadzono w dniu 10 czerwca 2015 r. sprawdzenie komputera powódki pod kątem oprogramowania i historii logowania na stronie Banku.
Sąd Rejonowy uznał, że brak było podstaw do ustalenia, iż pracownicy Banku byli obowiązani do wychwycenia, że logowanie z dnia 5 maja 2015 r. nastąpiło z innego adresu IP niż zwykle używany przez powódkę oraz do telefonicznego potwierdzenia u niej, czy aby na pewno ma ona zamiar zlecić przelew wszystkich środków pieniężnych zdeponowanych na jej rachunku. Stwierdził, że obowiązku takiego nie można było wywieść z podwyższonej staranności Banku przy wykonywaniu umowy. Uznał, że to powódka zachowała się niezgodnie z zasadami bezpieczeństwa, obowiązującymi w bankowości elektronicznej, tj. nie zachowała należytej staranności przy wykonaniu umowy. Przyjął, że nie było podstaw do przyjęcia, iż autoryzacyjna strona Banku była nienależycie zabezpieczona, przez co Bank umożliwił osobie trzeciej dostęp do konta powódki.
Powódka wniosła apelację od wyroku Sądu Rejonowego.
Sąd Okręgowy w L. wyrokiem z dnia 4 listopada 2016 r. zmienił zaskarżony wyrok w ten sposób, że zasądził od pozwanego na rzecz powódki kwotę 60 981 zł z odsetkami ustawowymi i oddalił powództwo w pozostałym zakresie oraz zasądził od pozwanego na rzecz powódki kwotę 6 667 zł tytułem zwrotu kosztów procesu, oddalił apelację w pozostałym zakresie i zasądził od pozwanego na rzecz powódki kwotę 6 650 zł tytułem zwrotu kosztów postępowania apelacyjnego. Podkreślił, że stosownie do art. 725 k.c. ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża Bank, także w sytuacji objęcia rachunku bankowością internetową. Stwierdził, że równoległą podstawą odpowiedzialności banku jest bowiem ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (jedn. tekst: Dz.U. z
2017 r., poz. 2003 ze zm.; dalej: „u.o.u.p.”
), którą Sąd Rejonowy pominął, tymczasem jej przepisy miały zastosowanie w sprawie. Przyjął, powołując się na art. 45 i 46
u.o.u.p.
, że transakcja dokonana na rachunku powódki w dniu 5 maja 2015 r. bezspornie nie była autoryzowana, gdyż została wykonana przez osobę nieuprawnioną. Wskazał, że z wymienionych przepisów w sposób jednoznaczny wynika obowiązek udowodnienia przez pozwanego, iż powódka umyślnie doprowadziła do rzeczonej transakcji płatniczej albo umyślnie lub przez rażące niedbalstwo naruszyła obowiązki wynikające z art. 42 ustawy. Uznał, że pozwana nie przedstawiła żadnych dowodów w tym zakresie, ale poprzestała jedynie na przypuszczeniach co do sposobu dokonania spornej transakcji.
Spostrzegł, że
o umyślnym doprowadzeniu do nieautoryzowanej transakcji płatniczej nie może świadczyć sam fakt podjęcia przez powódkę w dniu 5 maja 2015 r. nieudanej próby logowania, po której na stronie internetowej została podana informacja o przebudowie strony. Zaznaczył, że strona ta została wyświetlona po wpisaniu adresu internetowego pozwanego Banku i była graficznie na tyle podobna do strony Banku, iż nie budziła wątpliwości powódki. Zauważył, że możliwość podejmowania w systemie bankowości elektronicznej czterech nieudanych prób logowania w odstępach jednominutowych świadczy o nieprawidłowych zabezpieczeniach bankowych, zwykle bowiem już druga nieudana próba powinna spowodować blokadę dostępu do konta.
Nadmienił
, że
pozwany powinien opracować takie instrumenty płatnicze i procedury autoryzacji transakcji i ich weryfikacji, aby było niemożliwe posłużenie się nimi przez osoby nieuprawnione.
Pozwany wniósł skargę kasacyjną, zaskarżając wyrok Sądu Okręgowego w całości oraz zarzucając
naruszenie prawa materialnego, mianowicie art. 42 ust. 1 pkt 1 i 2 i art. 42 ust. 2 u.o.u.p. w związku z § 86 pkt 2 i 3 i § 88 Regulaminu otwierania i prowadzenia rachunków bankowych obowiązującego u pozwanego oraz art. 45 ust. 2 u.o.u.p. z art. 6 k.c.
Sąd Najwyższy zważył, co następuje:
Zarzut
naruszenia art. 42 ust. 1 pkt 1 i 2 i art. 42 ust. 2 u.o.u.p. w związku z § 86 pkt 2 i 3 i § 88 Regulaminu otwierania i prowadzenia rachunków bankowych obowiązującego u pozwanego dotyczy niewłaściwego zastosowania tych przepisów i przyjęcia, że powódka prawidłowo wykonywała umowę, gdy z okoliczności faktycznych sprawy wynika, że dopuściła się rażącego niedbalstwa. Zgodnie z art. 42 ust. 1 pkt 1 i 2 oraz ust. 2 u.o.u.p.,
użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany korzystać z instrumentu płatniczego zgodnie z umową ramową oraz zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu. W celu spełnienia obowiązku, o którym mowa w ust. 1 pkt 1, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego instrumentu, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym. W niniejszej sprawie nie ma podstaw do przyjęcia, że powódka naruszyła obowiązek korzystania z instrumentu płatniczego zgodnie z umową ramową lub obowiązek zgłoszenia dostawcy (Bankowi) utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu. Do utraty pieniędzy z rachunku bankowego powódki nie doszło bowiem w okolicznościach opisanych w przytoczonych przepisach, ale wskutek popełnienia przestępstwa przez nieustaloną osobę trzecią, która skorzystała z niewłaściwego zabezpieczenia przez Bank
świadczenia usługi CUI.
Zarzut naruszenia art. 45 ust. 2 u.o.u.p. w związku z art. 6 k.c. dotyczy niewłaściwego ich zastosowania i przyjęcia, że pozwany nie udowodnił, aby powódka dopuściła się rażącego niedbalstwa przy wykonywaniu umowy o świadczenie usług bankowości internetowej. Zgodnie z art. 45 ust. 1 u.o.u.p., w drodze wyjątku od zasady określonej w art. 6 k.c.,
ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy tego użytkownika. Według
art. 45 ust. 2 u.o.u.p.
, wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Jak już wspomniano, w niniejszej sprawie w ogóle nie ma mowy o naruszeniu przez powódkę obowiązków określonych w
art. 42 u.o.u.p.
Poza tym Bank oczywiście nie wykazał, że powódka umyślnie doprowadziła do nieautoryzowanej transakcji płatniczej.
Z przedstawionych powodów Sąd Najwyższy na podstawie art. 398
14
k.p.c. orzekł, jak w sentencji.
jw
a.ł