Sprawa dotyczyła przedsiębiorcy z branży gastronomicznej, który padł ofiarą kradzieży. Prowadzona przez niego spółka z o.o. korzystała z pięciu kart obciążeniowych, których używali prezes oraz pracownicy. Za wyjątkiem dwóch przypadków, w których jedna z kart została wykorzystana do opłacenia noclegu na platformie Booking.com, wszystkie karty obciążeniowe wydane dla pracowników spółki były wykorzystywane do płatności stacjonarnych np. na stacjach, w hurtowniach itp.
Czytaj więcej
Z powodu niewierności żony mąż opuścił się w prowadzeniu sezonowego biznesu, który z nią prowadził, więc nie musi jej tej straty rekompensować przy...
Hakerzy przejęli dane jednej z firmowych kart
Działająca w trzech miastach spółka miała milionowe obroty i dokonywała bardzo wielu transakcji. Nie od razu więc zorientowała się, że z konta znikają pieniądze. Zwłaszcza, że złodzieje działali systematycznie, dokonując stosunkowo niedużych transakcji na 80–450 euro. Kiedy w październiku 2023 r. księgowa spółki odkryła proceder, natychmiast powiadomiono bank oraz policję. Okazało się, że w sumie od maja 2023 r. za pomocą jednej z kart dokonano łącznie 158 podejrzanych transakcji w różnych krajach na ponad 95 tys. zł. Wszystkie były zlecone poprzez podanie numeru karty, daty ważności i kodu zabezpieczającego. Bank odmówił jednak uwzględnienia reklamacji, wskazując, że wszystkie kwestionowane transakcje były autoryzowane za pomocą kodu SMS wysyłanego na numer telefonu użytkownika karty. Sprawa trafiła na wokandę.
Sąd stanął po stronie przedsiębiorcy. Bank musi oddać pieniądze
Przedsiębiorca wygrał. Sąd okręgowy uznał m.in., że bank nie informował spółki w żaden sposób, jaki numer telefonu został powiązany z kartą do autoryzacji transakcji. Bezprawnie więc wprowadził mechanizm silnej autoryzacji transakcji, na którą klient nie wyraził zgody. Co więcej, sąd odmówił wiarygodności przedstawionemu przez bank zestawieniu SMS-ów autoryzacyjnych oraz zapewnieniom, że wszelkie operacje były autoryzowane w sposób zgodny z procedurami tj. kodami jednorazowymi wysyłanymi jako wiadomości SMS.
Czytaj więcej
Jeszcze w tym roku projekt ustawy o instrumentach wspieranego podejmowania decyzji może zostać uchwalony – powiedziała dr Monika Zima-Parjaszewska,...
Analiza bilingów przeprowadzonych przez policję na potrzeby postępowania karnego w tej sprawie wykazała bowiem, że brakuje dużej części SMS-ów autoryzacyjnych wskazywanych przez bank. Poza tym SMS z kodem autoryzacyjnym jest wysyłany w czasie dokonywania transakcji, a różnica może być sekundowa lub minutowa. Tymczasem z zestawienia przekazanego przez bank wynikało, że niektóre transakcje były autoryzowane nawet po jednym czy dwóch dniach. Jak zauważył sąd, przeprowadzone postępowanie dowodowe nie wykazało, aby sporne transakcje były autoryzowane przez użytkownika karty lub klienta (prezesa spółki). A zgodnie z art. 45 ust. 1 ustawy o usługach płatniczych, to na banku jako dostawcy płatnika spoczywa ciężar udowodnienia, że transakcje płatnicze były autoryzowane.
Sygnatura akt: X GC 470/25