Gwałtownemu rozwojowi bankowości elektronicznej nieodłącznie towarzyszy też wzrost zagrożeń związanych z cyberprzestępczością. Teoretycznie klientów banków chronią przepisy ustawy o usługach płatniczych, które przewidują konieczność dokonania przez bank natychmiastowego zwrotu środków w przypadku dokonania nieautoryzowanej transakcji płatniczej. Wyjątkiem są przypadki, w których klient poinformuje o stracie z nieuzasadnioną zwłoką. W praktyce odzyskanie utraconych środków jest bardzo trudne, bo banki bardzo często odmawiają uznania reklamacji w pełni, twierdząc np. że po stronie klienta doszło do rażącego niedbalstwa, które ułatwiło przejęcie danych przez oszustów. Jak się okazuje, zdarzają się też przypadki odmowy zwrotu środków, nawet gdy to bank po swojej stronie dopuścił się niewytłumaczalnych zaniedbań.

Przekonał się o tym jeden z przedsiębiorców działających w branży gastronomicznej. Prowadzona przez niego spółka z o.o. korzystała z pięciu kart obciążeniowych, których używali prezes oraz pracownicy. Za wyjątkiem dwóch przypadków, w których jedna z kart została wykorzystana do opłacenia noclegu na platformie Booking.com, wszystkie karty obciążeniowe wydane dla pracowników spółki były wykorzystywane do płatności stacjonarnych (na stacjach benzynowych, w hurtowniach spożywczych itp.)

Czytaj więcej

Udostępnienie karty płatniczej lub PIN-u bliskiej osobie może utrudnić odzyskanie pieniędzy po nieau
Finanse
Banki ostrzegają przed częstym błędem małżonków. Chodzi o przekazywanie karty

Złodziejski proceder trudno było szybko namierzyć 

Działająca w trzech miastach spółka miała dość wysokie obroty (kilka milionów) i dokonywała bardzo wielu transakcji. Nie od razu więc w firmie zorientowano się, że z konta zaczynają znikać pieniądze. Zwłaszcza że złodzieje działali systematycznie, dokonując stosunkowo niedużych transakcji na 80–450 euro. Kiedy w październiku 2023 r. księgowa spółki odkryła proceder, natychmiast powiadomiono bank oraz policję. Okazało się, że w sumie od maja 2023 r. za pomocą jednej z kart dokonano łącznie 158 podejrzanych transakcji na łączną kwotę ponad 95 tys. zł.

Transakcje były dokonywane u sprzedawców w Estonii, Kenii, Uzbekistanie, Francji, Wielkiej Brytanii, Ugandzie, Belgii, Nigerii i Kambodży. Wszystkie były zlecone poprzez podanie numeru karty, daty ważności i kodu zabezpieczającego. 

Bank odmówił jednak uwzględnienia reklamacji, wskazując, że wszystkie kwestionowane transakcje były autoryzowane za pomocą kodu SMS wysyłanego na numer telefonu użytkownika karty.

Różne wersje w sprawie transakcji 

Gdy sprawa trafiła do sądu, w odpowiedzi na pozew bank podnosił również, że spółka co miesiąc dostawała zestawienie transakcji i nie zgłaszała reklamacji. Bank bronił się też, podnosząc, że spółka mogła łatwo zapobiec dalszym nieautoryzowanym transakcjom, ustalając limity dla transakcji w internecie na… 0 zł.

Prezes spółki zaprzeczył nie tylko temu, że dostawał jakiekolwiek SMS-y autoryzacyjne, ale przede wszystkim podniósł, że w ogóle nie wskazywał numeru telefonu do autoryzacji transakcji online. Bank twierdził zaś, że numer ten został wskazany przez pracownika spółki 29 grudnia 2017 r. Sąd, rozpoznając sprawę, stwierdził jednak, że nie było to możliwe, ponieważ wniosek o kartę został złożony w sierpniu 2019 r., a więc półtora roku później. Jak ustalił sąd, we wniosku o wydanie karty klient nie wskazywał numeru do autoryzacji transakcji, natomiast bank samodzielnie powiązał numer telefonu do autoryzacji. Był to numer prywatny żony pracownika spółki, który używał karty, a który to pracownik miał w tym banku swoje indywidualne konto.

Czytaj więcej

Dała się nabrać na fałszywy link. Czy bank miał prawo odmówić zwrotu pieniędzy?
Konsumenci
Dała się nabrać na fałszywy link. Czy bank miał prawo odmówić zwrotu pieniędzy?

Jak zauważył sąd, bank nie informował spółki w żaden sposób, jaki numer telefonu został powiązany z kartą do autoryzacji transakcji. Sąd uznał więc, że pozwany bank bezprawnie wprowadził mechanizm silnej autoryzacji transakcji, na którą klient nie wyraził zgody.

Zestawienie autoryzacji sąd uznał za niewiarygodne 

Co więcej, sąd odmówił wiarygodności przedstawionemu przez bank zestawieniu SMS-ów autoryzacyjnych oraz zapewnieniom banku, że wszelkie operacje były autoryzowane w sposób zgodny z procedurami bankowymi, tj. kodami jednorazowymi wysyłanymi jako wiadomości SMS. Analiza bilingów przeprowadzonych przez policję na potrzeby postępowania karnego w tej sprawie wykazała bowiem, że brakuje dużej części SMS-ów autoryzacyjnych wskazywanych przez bank. Poza tym z zeznań pracownika banku wynikało, że SMS z kodem autoryzacyjnym jest wysyłany w czasie dokonywania transakcji, a różnica może być sekundowa lub minutowa. Tymczasem z zestawienia przekazanego przez bank wynikało, że niektóre transakcje były autoryzowane nawet po jednym czy dwóch dniach od przeprowadzenia transakcji.

Jak zauważył sąd, przeprowadzone postępowanie dowodowe nie wykazało, aby sporne transakcje były autoryzowane przez użytkownika karty lub klienta (prezesa spółki). A zgodnie z art. 45 ust. 1 ustawy o usługach płatniczych, to na banku jako dostawcy płatnika spoczywa ciężar udowodnienia, że transakcje płatnicze były autoryzowane.

Jak stwierdził sąd, bank nie tylko bezprawnie wprowadził silniejszą autoryzację i naruszył umowę poprzez przypisanie do autoryzacji transakcji prywatnego numeru telefonu pracownika, ale również realizował sporne transakcje mimo wyczerpania w danym miesiącu limitu wynoszącego 3 tys. zł.

Dość rzec, że w maju 2023 r. sporne transakcje kartą opiewały na kwotę 18,1 tys. zł, w czerwcu 15,9 tys., a w październiku  na 8,17 tys. zł. Tymczasem zgodnie z § 4 ust. 6 regulaminu, klient, wnioskując o wydanie karty obciążeniowej upoważnia użytkownika karty do dysponowania środkami do wysokości przyznanego limitu.

Sąd stwierdził, że doszło do zaniedbań po stronie banku

Ale to nie wszystko. „Przeprowadzone postępowanie dowodowe wykazało nadto, że jest prawdopodobne, że w serwisie Booking.com doszło do nieuprawnionego ujawnienia danych tejże karty, których użyto następnie do nieautoryzowanych transakcji płatniczych” – wynika z uzasadnienia wyroku Sądu Okręgowego w Łodzi. Ponadto jak ustalił sąd, 23 maja 2023 r. bank otrzymał informacje od operatora kartowego VISA o możliwym wycieku.

– Mimo że 27 maja 2023 r. na stronie internetowej banku pojawił się komunikat o wycieku danych z serwisu Booking.com oraz o świadomości banku co do kart, których dane mogły zostać skradzione, to karta mojego klienta nie została zablokowana. Spółka nie została też ostrzeżona przed niebezpieczeństwem wynikającym z posiadania takiej karty – mówi adwokat Ewa Hanusz-Gintowt, która reprezentowała poszkodowaną spółkę. Jak dodaje, przedsiębiorca posiada rachunek w tym samym banku od 17 lat.

Czytaj więcej

Kiedy bank nie zwróci pieniądzy przejętych przez oszustów
Konsumenci
Kiedy bank nie zwróci pieniądzy przejętych przez oszustów

 – Rodzaj i charakter dokonywanych transakcji powinien być więc doskonale znany bankowi. Poza tym instytucje finansowe szczycą się tym, że nie tylko stosują zabezpieczenia fizyczne przed nieautoryzowanymi transakcjami, jak dwupoziomowe uwierzytelnienie, ale również biometrię behawioralną, dzięki której automatycznie powinny być wychwytywane niestandardowe zachowania klienta i blokowane podejrzane transakcje – mówi mec. Hanusz-Gintowt.

Biometria behawioralna to zaawansowana technologia, która polega na tworzeniu unikalnego profilu klienta na podstawie sposobu, w jaki korzysta on z banku. Działa w tle, analizując setki mikrozachowań, automatycznie blokując lub weryfikując podejrzane operacje.

 – Karty używane w tej firmie, poza dwoma transakcjami, były użytkowane wyłącznie do płatności stacjonarnych. Mimo iż nagle zaczęły się pojawiać płatności w dziwnych krajach i o dziwnych godzinach, nie wzbudziło to podejrzeń banku, nie mówiąc już o wywołaniu jakiejkolwiek reakcji. To, że bank nie potrafił udowodnić rzekomych autoryzacji spornych transakcji, to jedno ale dlaczego możliwe było wykonywanie operacji znacznie powyżej ustanowionego na karcie limitu? Banki są instytucjami zaufania publicznego, jednak nie oznacza to, że jeśli chodzi o nieprzestrzeganie procedur bezpieczeństwa wina zawsze leży po stronie nieostrożnego klienta. Nasz przypadek pokazuje, że czasem winna jest instytucja – dodaje pełnomocniczka poszkodowanej firmy.

Sąd, oprócz dochodzonej kwoty ponad 114 tys. zł (95 tys. zł strat w wyniku nieautoryzowanych transakcji plus odsetki) nakazał również zwrot kosztów procesu w podwójnej wysokości. Nie tylko ze względu na obszerny materiał dowodowy i skomplikowany charakter sprawy, ale także z uwagi na fakt, że bank odmówił poddania się mediacji. Trudno było bowiem za koncyliacyjne podejście uznać fakt, że bank wobec roszczenia opiewającego na kwotę blisko 100 tys. zł zaproponował spółce wypłatę… 5 tys. zł.

Sygnatura akt: X GC 470/25

Opinia dla „Rzeczpospolitej”

prof. Grzegorz Sikorski, adwokat, specjalizujący się w prawie bankowym.

Choć to bank jest silniejszą stroną stosunku prawnego, to nie zawsze w sprawach dotyczących nieautoryzowanych transakcji płatniczych sądy przyznają rację instytucjom finansowym. Zdarzają się sprawy, w których to bank musi dokonać zwrotu za sporne operacje.Kluczową kwestią jest w takich sprawach to, czy doszło do rażącego niedbalstwa ze strony klienta, w kwestii zabezpieczenia dostępu do narzędzi autoryzacji udostępnionych przez bank: do danych karty płatniczej, kodów autoryzacyjnych niezbędnych do wykonywania transakcji itp. Druga sprawa to udowodnienie autoryzacji transakcji i właściwego działania systemu. Bank jest odpowiedzialny za udowodnienie tego, że doszło do prawidłowej autoryzacji transakcji. W razie braków w prawidłowej autoryzacji lub nieudowodnienia przez bank, bo to na nim spoczywa ciężar dowodu, że autoryzacja została dokonana, bank może nie uwolnić się od odpowiedzialności za następstwa takiej transakcji.

Opinia dla „Rzeczpospolitej”

dr Michał Ziemiak, rzecznik finansowy

Źródłem sporu między bankiem a konsumentem jest często ocena, czy klient dopuścił się rażącego niedbalstwa. Z naszej praktyki wynika, że większość poszkodowanych to ofiary wyrafinowanych metod socjotechnicznych, dlatego trudno uznać, że w sposób oczywisty zlekceważyła zagrożenie. Aby ograniczyć skalę oszustw, potrzebne są nowe zabezpieczenia po stronie banków, ale też większa odpowiedzialność telekomów i platform społecznościowych za identyfikację i blokowanie scamów. Niestety projekt unijnego rozporządzenia PSR (Payment Services Regulation) nie odpowiada w pełni na te wyzwania. Warto jednak podkreślić, że po wejściu w życie tego rozporządzenia w sprawach podobnych do omawianej jest wysoce prawdopodobny brak odpowiedzialności klienta. PSR będzie nakładał na dostawców usług płatniczych obowiązek monitoringu transakcji.