Portal Orzeczeń Sądów Powszechnych

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 2 marca 2020 r.

Sąd Apelacyjny w Białymstoku I Wydział Cywilny

w składzie:

Przewodniczący	:	SSA Elżbieta Kuczyńska (spr.)
Sędziowie	:	SA Elżbieta Bieńkowska SA Jarosław Marek Kamiński
Protokolant	:	Anna Bogusławska

po rozpoznaniu w dniu 2 marca 2020 r. w Białymstoku

na rozprawie

sprawy z powództwa T. Ż.

przeciwko Bankowi (...) w B.

przy udziale interwenienta ubocznego (...) w P.

o zapłatę

na skutek apelacji pozwanego i interwenienta ubocznego

od wyroku Sądu Okręgowego w Olsztynie

z dnia 25 października 2018 r. sygn. akt V GC 14/16

I.  oddala obie apelacje;

II.  zasądza od pozwanego na rzecz powoda kwotę 10.600 (dziesięć tysięcy sześćset) złotych tytułem zwrotu kosztów instancji odwoławczej, w tym 8.100 (osiem tysięcy sto) złotych tytułem kosztów zastępstwa procesowego w instancji odwoławczej;

III.  nakazuje pobrać od pozwanego na rzecz Skarbu Państwa – Sądu Okręgowego w Olsztynie kwotę 679,63 (sześćset siedemdziesiąt dziewięć 63/100) złotych tytułem brakujących kosztów sądowych.

(...)

UZASADNIENIE

Wyrokiem z dnia 25 października 2018 r. Sąd Okręgowy w Olsztynie zasądził od pozwanego Banku (...) w B. na rzecz powoda T. Ż. kwotę 344 831 złotych z ustawowymi odsetkami od dnia 23 marca 2015 r. do dnia 31 grudnia 2015 r. oraz z ustawowymi odsetkami za opóźnienie od dnia 1 stycznia 2016 r. do dnia zapłaty (pkt 1) i zasadził od pozwanego na rzecz powoda kwotę 34 388,23 zł tytułem zwrotu kosztów procesu.

Powyższy wyrok został oparty o następujące ustalenia faktyczne i ocenę prawną:

W dniu 13.05.2014 r. strony zawarły umowę o prowadzeniu rachunku rozliczeniowego bieżącego. Zgodnie z § 3 Bank zobowiązał się do przyjmowania powierzanych przez posiadacza środków pieniężnych na rachunki rozliczeniowe prowadzone w ramach tej umowy oraz do wykonywania jego zleceń pod warunkiem ich zgodności z obowiązującymi przepisami prawa, na warunkach określonych w umowie oraz regulaminie otwierania i prowadzenia przez Bank (...) w B. rachunków bankowych dla klientów instytucjonalnych. W § 13 strony ustaliły, że odpowiedzialność z tytułu niewykonania lub nienależytego wykonania zobowiązania uregulowana została w sposób wystarczający w umowie, regulaminie oraz taryfie opłat. Ustaliły, że przepisów art. 17 – 32, 34 – 37, 40 ust. 3 i 4, art. 45, art. 46 ust. 2-5, art. 47, art. 48, art. 51 oraz 144 – 146 ustawy o usługach płatniczych nie stosuje się w całości. Nadto, 27.04.2009 r., strony zawarły umowę o świadczenie usług (...). Na jej podstawie pozwany świadczył na rzecz powoda usługi systemu Internet B. umożliwiające składanie dyspozycji oraz dostęp do informacji oferowanych przez Bank.

Jak ustalił Sąd pierwszej instancji, w dniach 17.03.2015 r. i 18.03.2015 r. doszło do nieautoryzowanych transakcji na kwotę 295 900 zł i 48 931 zł – łącznie 344 831 zł. W dniu 20.03.2015 r. powód pismem powiadomił pozwanego zgłaszając nieautoryzowane transakcje. W zawiadomieniu wskazał, że wywiązał się w całości z obowiązków nałożonych przez art. 42 ustawy o usługach płatniczych i na podstawie art. 46 ust. 1 tej ustawy wezwał do niezwłocznego przywrócenia rachunku płatniczego do stanu jaki istniałby gdyby nie miały miejsca nieautoryzowane transakcje płatnicze. W dniu 19.03.2015 r. Bank zawiadomił Prokuraturę Rejonową w Bartoszycach o popełnieniu przestępstwa na szkodę klienta banku.

Sąd Okręgowy uznał powództwo za uzasadnione w oparciu o przedłożone dokumenty i opinię biegłego I. J., której przypisał decydujące znaczenie. Oparł się też o opinie sporządzone na potrzeby śledztwa: biegłych J. M. i D. W. (1). Materiał pochodzący z osobowych źródeł dowodowych uznał za mający znaczenie drugorzędne, gdyż potwierdzał tylko obie transakcje oraz okoliczności im towarzyszące, które - zdaniem Sądu - i tak nie budziły wątpliwości.

Sąd pierwszej instancji wskazał, że podstawą prawną odpowiedzialności pozwanego jest art. 46 ust. 1 ustawy oraz, że zgodnie z art. 2 pkt 10 ustawy zlecenie płatnicze jest składane przez płatnika przy użyciu instrumentu płatniczego, którym jest zindywidualizowane urządzenie lub uzgodniony przez użytkownika i dostawce zbiór procedur, wykorzystywany przez użytkownika do złożenia zlecenia płatniczego. Wskazał, że na gruncie w/w ustawy zasadą jest, że dostawca ma prawo wykonać transakcję płatniczą tylko w przypadku jej autoryzacji przez płatnika. Ryzyko wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonania rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża bank, także w sytuacji objęcia rachunku bankowością internetową. Jednak, w celu zapewnienia odpowiedniego stopnia bezpieczeństwa obrotu bezgotówkowego ustawodawca wprowadził obowiązki spoczywające na użytkowniku usług płatniczych mające m.in. na celu uniknięcie nieodpowiedzialnego używania i przechowywania instrumentów płatniczych oraz ich zabezpieczeń.

Sąd Okręgowy powołał się na definicję transakcji autoryzowanej wynikającą z art. 40 ust. 1 i wskazał, że transakcję uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą; zgoda może dotyczyć także kolejnych transakcji płatniczych. Sąd od autoryzacji odróżnił pojęcie uwierzytelnienia wskazując, że jest nim odpowiednia procedura, która jest niezbędna w celu weryfikacji tożsamości płatnika i powstania domniemania wyrażenia przez płatnika zgody na transakcję (np. podanie prawidłowego hasła dostępu do serwisu dostawcy). Podkreślił, że uwierzytelnienie zawsze poprzedza samą autoryzację, ale to nie oznacza, że po poprawnym przejściu procesu uwierzytelnienia transakcja będzie autoryzowana.

Analizując obowiązki użytkownika usług omówił art. 44 ust. 1 i wskazał, że powód go wypełnił, bo powiadomił Bank drugiego dnia od ostatniej transakcji nieautoryzowanej. Z kolei, analizując art. 42 ust. 1 pkt 1 (obowiązek korzystania z instrumentu płatniczego zgodnie z umową ramową) i pkt 2 (obowiązek podjęcia z chwilą otrzymania instrumentu płatniczego niezbędnych środków służących zapobieżeniu naruszenia indywidualnych danych uwierzytelniających, w szczególności zobowiązanie do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym) wyraził ocenę, że postępowanie dowodowe nie wykazało, że powód udostępniał innym osobom (w szczególności synowi P.) instrument płatniczy. Powołał się na zeznania P. Ż. (1), który zeznał, że nie znał zabezpieczeń, nie miał do nich dostępu ani nie logował się do systemu przy pomocy tych zabezpieczeń. Sąd ostatecznie wywiódł, że nie ma okoliczności z art. 44 ust. 2 i § 4 ust. 1 pkt 1 umowy o świadczenie usług przez Internet B., które by wyłączały odpowiedzialność pozwanego z art. 46 ust. 1 ustawy o usługach płatniczych.

Odnosząc się do wyłączenia przez strony w umowie art. 45 regulującego rozkład ciężaru dowodu wywiódł, że na powodzie ciążyło wykazanie, że transakcja była nieautoryzowana. Powód sprostał temu składając wniosek o powołanie biegłego. Omawiając opinię biegłego sądowego i opinie ze śledztwa, które uznał za „kluczowe dowody” Sąd Okręgowy wskazał najpierw, że sądowa opinia biegłego M. K. była niemiarodajna z uwagi na brak kopii dysku binarnego; z tego względu biegły wskazał, że nie ma możliwości aby określić prawdziwy przebieg wydarzeń jaki nastąpił w przypadku spornych transakcji. Natomiast opinia I. J. została sporządzona po pozyskaniu dysku twardego, włączonego w poczet materiału dowodowego w postępowaniu prokuratorskim toczącym się w Prokuraturze (...) w L.. Biegły stwierdził, że na badanym dysku nie znaleziono żadnych informacji tyczących się przelewów wskazanych w zleceniu, co oznacza, że na dysku nie ma śladów, które świadczyłyby o autoryzacji dokonanych operacji finansowych przez powoda. Powołał się również na opinię sporządzoną na użytek śledztwa przez biegłego J. M. wskazując, że wypływa z niej taki sam wniosek. Nadto, ten biegły stwierdził, że nie stwierdzono także żadnych danych wskazujących na zainfekowanie dysku w celu wykonania w okresie 17 – 18 marca przelewów w tych kwotach. Dodał, że jeśli nawet zostało wprowadzone do komputera szkodliwe oprogramowanie to mogło ono także prowadzić do usunięcia śladów swojej działalności. Powołując się na opinię ze śledztwa Sąd wskazał, że w jednej z konkluzji biegły stwierdził, że na zabezpieczonym materiale nie ujawniono jakichkolwiek informacji dotyczących obsługi i transakcji na rachunkach bankowych osób, które faktycznie przejęły środki pieniężne powoda; nie ujawniono także śladów korespondencji poczty elektronicznej lub komunikatorów internetowych stanowiących o treści prowadzonych rozmów z osobami wobec których toczy się postępowanie karne (zarówno przed, jak i po transakcjach).

Apelacje od tego wyroku wnieśli pozwany Bank (...) w B. i interwenient uboczny po stronie pozwanej (...) w P..

Pozwany Bank zaskarżając wyrok w całości zarzucił mu:

A. Naruszenie przepisów postepowania, które miały istotny wpływ na treść orzeczenia, a mianowicie:

1) art. 233 k.p.c. poprzez brak dopuszczenia jako dowód w sprawie opinii biegłego mgr. inż. R. P. (1) z akt postępowania karnego jak również brak uwzględnienia (oraz brak odniesienia się) do wniosków dowodowych powoda i interwenienta ubocznego;

2) art. 233 k.p.c. poprzez zaniechanie wszechstronnej oceny materiału dowodowego i dokonanie na jego podstawie niespójnych i nielogicznych ustaleń, co skutkowało twierdzeniem, że roszczenie powoda zasługuje na uwzględnienie;

3) art. 231 k.p.c. poprzez brak zastosowania domniemania faktycznego, że z ustalonych w okoliczności faktów wynika – iż do kwestionowanych transakcji doszło poprzez naruszenie przez powoda należytej ochrony instrumentu płatniczego;

4) art. 321 k.p.c. w zw. z art. 481 § 1 k.c. oraz art. 359 § 2 k.c. poprzez zasądzenie wbrew żądaniu odsetek ustawowych za opóźnienie zamiast odsetek ustawowych.

B. Naruszenie prawa materialnego, a mianowicie:

1) art. 46 ust. 1 ustawy o usługach płatniczych poprzez jego błędną wykładnię i niewłaściwe zastosowanie, polegające na uznaniu że pozwany jest obowiązany zwrócić powodowi kwotę kwestionowanych transakcji płatniczych, jak również brak zastosowania umowy stron w miejsce art. 46 ust. 2 – 5 w zw. z art. 33 w/w ustawy;

2) art. 42 ust. 1 pkt 1 ustawy o usługach płatniczych w zw. z art. 42 ust. 1 ust. 2 w/w ustawy poprzez jego błędną wykładnię i niewłaściwe zastosowanie, polegające na uznaniu że powód nie naruszył obowiązków należytej staranności w przechowywaniu instrumentu płatniczego;

3) art. 45 ustawy o usługach płatniczych w zw. z art. 6 k.c. w zw. z art. 232 k.p.c. poprzez brak uwzględnienia obowiązku powoda w wykazaniu winy pozwanego w przeprowadzeniu kwestionowanych transakcji.

Wskazując na powyższe zarzuty, na podstawie art. 368 § 1 pkt 5 k.p.c. pozwany wnosił o:

1) zmianę zaskarżonego wyroku przez oddalenie powództwa w całości;

2) dopuszczenie znajdującego się w aktach dowodu w postaci opinii biegłego mgr. inż. R. P. (1) na okoliczność sposobu wykonania transakcji kwestionowanych przez powoda;

3) dopuszczenie dowodu z uzupełniającej opinii biegłego powołanego przez sąd orzekający lub dopuszczenie dowodu z opinii innego biegłego;

4) zasądzenie od powoda na rzecz pozwanego zwrotu kosztów procesu wraz z kosztami zastępstwa procesowego według norm przepisanych za obie instancje.

Natomiast interwenient uboczny, również zaskarżając wyrok w całości, zarzucał mu:

I. Naruszenie prawa materialnego mające istotny wpływ na wynik sprawy, w szczególności:

1) art. 45 ust. 2 ustawy o usługach płatniczych w zw. z art. 6 k.c. poprzez przyjęcie, ze powód wykazał, że transakcja sporna miała charakter nieautoryzowany oraz przyjęcie, że uzasadnione jest uznanie, że pozwany ponosi winę z uwagi na obciążające go obowiązki w sytuacji w której to z zebranego w sprawie materiału dowodowego niemożliwe jest ustalenie, że pozwany ponosi winę za zaistniałe zdarzenie, zaś niewykazane pozostaje, by transakcja miała charakter nieautoryzowany;

2) art. 46 ust. 1 w/w ustawy w zw. z art. 361 k.p.c. w zw. z art. 6 k.c. poprzez błędne przyjęcie, że istnieją podstawy do uznania, że pozwany ponosi odpowiedzialność w sprawie i uzasadnione jest żądanie powoda dot. zwrotu kwoty wypłaconej poprzez przywrócenie obciążonego rachunku powoda do stanu jaki istniałby, gdyby nie miała miejsce nieautoryzowana transakcja płatnicza,

3) art. 42 ust. 1 pkt 1 w/w ustawy w zw. z art. 42 ust. 2 poprzez przyjęcie, że powód korzystał z instrumentu płatniczego w sposób zgodny z umową ramową, podczas gdy w ocenie interwenienta ubocznego – mając na uwadze zebrany w sprawie materiał dowodowy – uzasadnione jest twierdzenie, zgodnie z którym powód udostępniał instrument płatniczy osobom trzecim (P. Ż. (1)) naruszając tym samym warunki umowy,

4) art. 362 k.c. poprzez nieuwzględnienie zarzutu przyczynienia się powoda do zaistnienia zdarzenia, podczas gdy z treści zebranego w sprawie materiału dowodowego wprost wynika, że komputer powoda nie nadawał się do przeprowadzania operacji o charakterze wrażliwym, takich jak operacje bankowe z uwagi na brak właściwej ochrony, która umożliwiała wykorzystanie go przez osoby trzecie bez wiedzy właściciela.

II. Naruszenie przepisów prawa procesowego mające istotny wpływ na wynik sprawy, w szczególności:

1) art. 227 k.p.c. w zw. z art. 286 k.p.c. poprzez niedopuszczenie dowodu z opinii uzupełniającej biegłego sądowego dr. inż. I. J. i pominięcie wniosków pozwanego oraz interwenienta ubocznego w tym zakresie, podczas gdy złożona przez w/w biegłego opinia była lakoniczna, niepełna oraz ogólnikowa, zaś wynikające z niej ustalenia nie mogły stanowić podstawy rozstrzygnięcia niniejszego sporu,

2) art. 246 § 1 k.p.c. w zw. z art. 308 k.p.c. w zw. z art. 227 k.p.c. poprzez zaniechanie zobowiązania powoda do dołączenia do akt sprawy dysku twardego jego komputera, z którego w dniu 17 oraz 18 marca 2015 r. dokonane zostały transakcje na rzecz D. S., podczas gdy materiał ten stanowi istotny dowód w sprawie i powinien zostać zbadany przez biegłego przy wydawaniu opinii,

3) art. 233 k.p.c. w zw. z art. 227 k.p.c. poprzez dokonanie dowolnej, sprzecznej z zasadami doświadczenia życiowego oceny zebranego w sprawie materiału dowodowego oraz przekroczenie zasady swobodnej oceny dowodów, w szczególności poprzez:

- nieuzasadnione uznanie, że powód nie udostępniał innym osobom instrumentu płatniczego, podczas gdy z zebranego materiału dowodowego (w szczególności notatki ze spotkania pracowników pozwanego z powodem oraz P. Ż. (1) w dniu 19 marca 2015 r. załączonej do odpowiedzi na pozew) wynika, że P. Ż. (1) dokonywał operacji na koncie powoda, w szczególności logował się na rachunek bankowy w ramach bankowości internetowej,

- nieuwzględnienie rażących uchybień po stronie powoda, będących przejawem rażącego niedbalstwa przy korzystaniu z rachunku bankowego, w szczególności objawiających się:

a) korzystaniem z komputera posiadającego przestarzały system W. (...) (do którego producent nie prowadził już wsparcia technicznego w momencie zdarzenia),

b) brakiem zabezpieczenia komputera, z którego dochodziło do logowania się hasłem,

c) brakiem posiadania aktualnego oprogramowania antywirusowego, zabezpieczającego przed ew. atakami z zewnątrz,

d) ustaleniem obecności złośliwego oprogramowania na komputerze powoda, w szczególności mając na uwadze ustalenia znajdujące się w opinii biegłego W. w opinii przygotowanej na potrzeby postępowania karnego (stwierdzono plik zawierający złośliwe oprogramowanie w plikach systemowych, pobrany na dysk twardy komputera),

- pominięcie przy rozstrzyganiu sprawy okoliczności przywoływanych przez pozwanego oraz potwierdzonych przez opinie biegłych sporządzone w sprawie, zgodnie z którymi to brak jest podstaw do uznania, że strona pozwana dopuściła się jakichkolwiek zaniedbań przy realizacji umowy zawartej z powodem (w szczególności prawidłowość postępowania pozwanego została wykazana poprzez stosowne certyfikaty bezpieczeństwa oraz pismo (...) z dnia 14 maja 2015 r., jak również poprzez zeznania J. A.),

- błędne przyjęcie, że w trakcie transakcji nie korzystano z tokena w celu realizacji płatności, podczas gdy z treści zebranego materiału dowodowego wynika, że powód udostępniał go osobom trzecim – w tym P. Ż. (1),

4) art. 328 § 2 k.p.c. poprzez sporządzenie uzasadnienia w którym Sąd I instancji odniósł się jedynie do części argumentów podnoszonych przez strony, w szczególności w zakresie całkowitego pominięcia argumentacji pozwanego oraz interwenienta ubocznego dotyczącej zarzutów rażącego niedbalstwa powoda przy korzystaniu z rachunku bankowego.

Ponadto, w trybie art. 382 k.p.c. w zw. z art. 227 k.p.c. wnosił o:

- zobowiązanie powoda w trybie art. 248 § 1 k.p.c. do dołączenia do akt sprawy dysku twardego komputera w celu przedłożenia go biegłemu na potrzeby przeprowadzenia dowodu z opinii uzupełniającej,

- dopuszczenie przez sąd II instancji dowodu z uzupełniającej opinii biegłego dr. inż. I. J. w której ustosunkuje się on na piśmie do zarzutów interwenienta ubocznego podniesionych w piśmie z dnia 24 lipca 2018 r. stanowiącym zarzuty do opinii w/w biegłego oraz zarzutów zawartych w piśmie pozwanego z dnia 20 lipca 2018 r.

Mając powyższe na uwadze interwenient uboczny wnosił o:

1) zmianę zaskarżonego wyroku poprzez oddalenie powództwa w całości,

2) zmianę zaskarżonego wyroku poprzez zasądzenie od powoda na rzecz interwenienta ubocznego zwrotu kosztów procesu za I instancję,

3) zasądzenie od powoda na rzecz interwenienta ubocznego zwrotu kosztów procesu za II instancję,

ewentualnie

4) uchylenie zaskarżonego wyroku w całości i przekazanie sprawy Sądowi pierwszej instancji do ponownego rozpoznania,

5) zasądzenie od powoda na rzecz interwenienta ubocznego kosztów postępowania apelacyjnego wg norm przepisanych.

Sąd Apelacyjny zważył, co następuje:

Zarzuty obu apelacji chociaż były częściowo uzasadnione, ostatecznie nie uzasadniały wniosków apelacji o zmianę zaskarżonego wyroku przez oddalenie powództwa.

W szczególności uzasadnione były te zarzuty obu apelacji , które dotyczyły naruszenia przez Sąd Okręgowy przepisu art. 233 § 1 k.p.c. i art. 286 k.p.c. Sąd Okręgowy niezasadnie nie uwzględnił wniosków strony pozwanej i interwenienta ubocznego zmierzających do uzupełnienia opinii biegłego I. J., uznając że jest ona miarodajna i nie wymaga dalszych wyjaśnień, z czym nie sposób się zgodzić. W istocie z opinii tej nie wynikało nic co byłoby przydatne do rozstrzygnięcia sprawy, nie została ona uzasadniona i bliżej wyjaśniona, biegły przeszukiwał i analizował udostępnioną mu kopię dysku posługując się błędnymi kluczowymi słowami, powielając błąd zawarty w postanowieniu dowodowym Sądu ( (...) oraz D. S. zamiast (...) i D. S.). Mimo, że Sąd uznał ją za kluczowy dowód, podobnie jak opinia biegłego M. K. również nie zawierała ona analizy pod kątem prawdopodobnego przebiegu wydarzeń, jaki nastąpił w przypadku spornych transakcji. Z uwagi na jej mankamenty i lakoniczność, zdaniem Sądu Apelacyjnego wskazujące na brak dostatecznego zasobu niezbędnych do opiniowania w tej sprawie wiadomości specjalnych biegłego, nie było celowe podejmowanie próby jej uzupełnienia na etapie postępowania apelacyjnego, natomiast uzasadniony był wniosek apelacji pozwanego o przeprowadzenie dowodu z opinii innego biegłego.

W postępowaniu odwoławczym, uwzględniając potrzebę odniesienia się do zarzutów obu apelacji tyczących się obowiązków stron umowy i ewentualnego ich naruszenia przez powoda Sąd Apelacyjny uzupełnił postępowanie dowodowe w celu dokładniejszego ustalenia zarówno treści umowy łączącej strony, jak i okoliczności, w jakich zostały przeprowadzone zakwestionowane transakcje. Z przeprowadzonej w postępowaniu odwoławczym opinii biegłego J. K. (1) (k. 762) wynikało, że na badanej kopii dysku (która – jak wskazał – nie była tą samą kopią, którą badał biegły D. W. (1) w postępowaniu prokuratorskim) nie ujawniono śladów plików zawierających szkodliwe oprogramowanie w dacie dokonania kwestionowanych przelewów. To, które ujawnił biegły D. W., zdaniem biegłego J. K., mogło umożliwić przejęcie kontroli nad komputerem powoda przez osoby trzecie, a fakt jego obecności przyczynić się (chociaż z małym prawdopodobieństwem) do zaistnienia zdarzenia z 17 – 18 marca 2015 r. Biegły wyjaśnił, że ujawnione oprogramowanie należało do rodziny programów wyświetlających dodatkowe reklamy podczas przeglądania Internetu, instalujących rozszerzenia przeglądarki internetowej. Wskazał, że na komputerze powoda był zainstalowany system M. (...), który od kwietnia 2014 r. nie był oficjalnie wspierany przez producenta, co narażało użytkownika na znacznie większe zagrożenie przejęcia kontroli nad komputerem powoda przez osoby trzecie. Nadto, na komputerze powoda był zainstalowany darmowy system antywirusowy A., z tym że biegły nie mógł stwierdzić, czy był zaktualizowany, ani też czy był aktywny. Co istotne, biegły podkreślił, że nawet posiadanie systemu operacyjnego ze wsparciem producenta oraz komercyjnych programów antywirusowych nie gwarantuje bezpieczeństwa pracy w Internecie, a posiadanie przez powoda innego oprogramowania nie wyeliminowałoby niebezpieczeństwa przejęcia kontroli nad komputerem przez osoby trzecie, choć znacznie by je zmniejszyło. Zdaniem biegłego do kwestionowanych przelewów mogło dojść przy obejściu zabezpieczeń systemu bankowości elektronicznej. Biegły przeanalizował tryb postępowania posiadacza rachunku korzystającego z usługi (...) niezbędnego do skutecznego zalogowania się w systemie elektronicznym banku i autoryzacji transakcji płatniczej. Wskazał, że autoryzacja transakcji z 17.03.2015 r. została dokonana przy pomocy tokena, co jest zapisane w logach bankowych (w których nie jest zapisany nr tokena), przy czym mógł to być również inny token, niż ten którym dysponował powód. Wymagałoby to zmiany sposobu autoryzacji transakcji przez właściciela rachunku w systemie transakcyjnym, co musiałoby znaleźć odzwierciedlenie w logach autoryzacji.

Biegły przeanalizował różne prawdopodobne scenariusze wykonania w/w transakcji. Wskazał, że na dysku powoda brak jest śladów, żeby o porze dokonania kwestionowanych transakcji łączył się on ze stroną banku i brak jest śladów interwencji w logi. Przyjął i analizował różne hipotezy: (1) wykonanie przelewu przez hakera, (2) wykonanie przelewów przez powoda lub kogoś z nim współpracującego, (3) wykonanie przelewów przez kogoś z banku (administratora systemu), (3a) wykonanie przelewów przez hakera, który włamał się do systemu bankowego, (3b) wykonanie przelewów przez pracownika operatora bankowego. Analizując w każdym przypadku argumenty za i przeciw biegły J. K. uznał za najbardziej prawdopodobny scenariusz opisany w pkt 3b opinii, wskazując, że obalenie lub potwierdzenie wariantu 3b jest możliwe jedynie przy współpracy z operatorem systemu bankowego (A.). Biegły odpowiedział na pytania i wnioski stron (k. 905), wyjaśnił, że aktualnie bezużyteczne byłoby badanie dysku komputera powoda, którym on dysponuje. Po uzyskaniu dodatkowych danych od firmy (...) wydał opinię uzupełniającą (k. 893), w której stwierdził, że nie wpływają one na wnioski sporządzonej wcześniej opinii, bowiem w oparciu o te dane które zostały przekazane nie można stwierdzić, jaki konkretnie token (o jakim numerze) został użyty.

Co istotne, w toku postępowania apelacyjnego, po wydaniu opinii przez biegłego, okazało się że w Sądzie Okręgowym w Lublinie zapadł prawomocny obecnie (uprawomocnił się 19.12.2019 r.) w stosunku do oskarżonego M. S. (1) wyrok z 25.07.2018 r. w sprawie IV K 166/18 (k. 963 i nast. – wyciąg wyroku ze stwierdzeniem prawomocności i z uzasadnieniem), w świetle którego doszło do wyprowadzenia środków z konta powoda zgodnie z wersją opisaną przez biegłego w pkt 3a, tj. włamania hakerskiego przez M. S. (1) do systemu bankowego, który dokonał włamania nie tylko do pozwanego Banku, ale i wielu innych banków, w tym niewspółpracujących z firmą (...) i działających za granicą (m.in. niemieckich, hiszpańskich, holenderskich). Czyn przestępczy polegał na tym , że w okresie od co najmniej 6 marca 2012 r. do 13.11.2015 r. M. S. (1) brał udział w międzynarodowej grupie przestępczej kierowanej przez D. O., mającej na celu kradzieże z włamaniami z rachunków bankowych, dokonywanych po uprzednim przełamaniu zabezpieczeń elektronicznych i włamaniu się do systemu bankowości elektronicznej banków, a następnie nieuprawnionym przetworzeniu danych informatycznych w systemie bankowości elektronicznej oraz przelewaniu przywłaszczonych środków pieniężnych na założone uprzednio na terenie UE rachunki płatnicze oraz do innych ustalonych i nieustalonych krajów. Wyrok skazujący M. S. (1) obejmuje też skazanie za kradzież z rachunku powoda (str. 34, 90 i 120). W tymże wyroku nałożono na skazanego M. S. obowiązek naprawienia szkody wyrządzonej T. Ż. w kwocie 48 931 zł i 295 900 zł.

Pozwany w oparciu o ten wyrok wywodził, że „brak jest udowodnienia zaistnienia szkody w niniejszym postępowaniu cywilnym po stronie powoda (powód posiada roszczenie o zwrot poniesionej straty wobec M. S. (1)).” Podtrzymywał też tezę o zawinieniu powoda i powoływał się na opinię biegłego R. P..

Dokonując ponownie oceny wszystkich dowodów i mając na uwadze uzupełniony w postępowaniu odwoławczym materiał dowodowy Sąd Apelacyjny nie miał wątpliwości, że prawidłowa okazała się ocena Sądu Okręgowego, że transakcje, poprzez które środki objęte pozwem zostały wyprowadzone z rachunku bankowego powoda, nie były autoryzowane przez płatnika, tj. powoda. Z opinii biegłego J. K. wynika jednoznacznie, że na dysku powoda brak jest śladów, żeby o porze dokonania kwestionowanych transakcji łączył się on ze stroną banku i brak jest śladów interwencji w logi. Z dołączonego do akt sprawy odpisu prawomocnego wobec M. S. (1) wyroku Sądu Okręgowego w Lublinie wynika zresztą wprost, że to zorganizowana międzynarodowa grupa przestępcza, w której działał też skazany tym wyrokiem M. S. (1), dokonywała kradzieży z włamaniami z rachunków bankowych prowadzonych przez wiele banków, w tym pozwany Bank (...)w B., po uprzednim przełamaniu zabezpieczeń elektronicznych i włamaniu się do systemu bankowości elektronicznej, a następnie nieuprawnionym przetworzeniu danych informatycznych w systemie bankowości elektronicznej oraz przelewała przywłaszczone środki pieniężne na założone uprzednio na terenie UE rachunki płatnicze oraz do innych ustalonych i nieustalonych krajów.

Należy wiec przyjąć, że ustalona i prawomocnie skazana osoba przełamała elektroniczne zabezpieczenia rachunku bankowego powoda w pozwanym Banku bez jego udziału i wpływu. Brak jest przy tym jakichkolwiek danych, by wiązać to przestępcze działanie z ujawnionym na komputerze powoda plikiem zawierającym kod złośliwego oprogramowania (...) (opinia D. W. (1) k. 255), czy schematem nieautoryzowanych transakcji opisywanym w przywołanej w apelacji pozwanego opinii biegłego R. P.. Zdaniem biegłego J. K., ujawnione przez biegłego D. W. oprogramowanie należało do rodziny programów wyświetlających dodatkowe reklamy podczas przeglądania Internetu, instalujących rozszerzenia przeglądarki internetowej i mogło umożliwić przejęcie kontroli nad komputerem powoda przez osoby trzecie, a fakt jego obecności przyczynić się do zaistnienia zdarzenia z 17 – 18 marca 2015 r. jednak prawdopodobieństwo tego biegły określił jako małe.

Jednocześnie, ten wyrok karny, wyklucza skuteczność obrony strony pozwanej, jakoby powód nie zabezpieczył należycie dostępu do komputera, a także tokena przed dostępem osób trzecich i udostępnił go w szczególności swemu synowi P. Ż. (1), umożliwiając wykonanie transakcji, przez które z jego rachunku zostały wyprowadzone środki na konta podmiotów ustalonych w toku postępowania i cywilnego i karnego. Z opinii biegłych wynika, że nr IP 63.141.217.154, z którego dokonano transakcji nie należał do komputera powoda.

Zdaniem Sądu Apelacyjnego, w sprawie nie wykazano również rażącego niedbalstwa powoda w przestrzeganiu obowiązków przewidzianych w art. 42 ustawy z 19.08.2011 r. o usługach płatniczych. Nie wykazano, by powód nie zabezpieczył należycie komputera i tokena przed dostępem osób trzecich i zwłaszcza, by miało to wpływ na przeprowadzenie kwestionowanych transakcji. Z zeznań P. Ż. (1) wynikało, że nie znał loginu i hasła do logowania na stronę internetową pozwanego Banku, poza powodem i świadkiem nikt z pracowników nie dysponował dostępem do komputera. Dostęp do tokena miał natomiast tylko powód i nie dysponował nim poza siedzibą firmy. Transakcji dokonano zresztą z komputera o innym IP, niż nr IP komputera powoda. Trudno zeznaniom w/w świadka odmówić wiarygodności tylko z uwagi na treść sporządzonej jednostronnie przez pracownika banku notatki, na którą wskazuje w apelacji interwenient uboczny. Nie ma więc dostatecznych podstaw do przyjęcia, że powód naruszył obowiązek korzystania z instrumentu płatniczego zgodnie z umową ramową.

Samo korzystanie z nieaktualizowanego oprogramowania operacyjnego, jak i darmowego oprogramowania antywirusowego – choć miało miejsce – to nie daje jeszcze wystarczających przesłanek do oceny, że miało rzeczywiście wpływ na przestępcze wyprowadzenie środków z konta powoda przez osobę trzecią, nieznaną powodowi, która w analogiczny sposób wyprowadziła, bądź usiłowała wyprowadzić środki z rachunków wielu podmiotów w różnych bankach w Polsce i zagranicą przełamując systemy zabezpieczeń elektronicznych i włamując się do systemów bankowości elektronicznej. Należy zwrócić uwagę, że z przedłożonego regulaminu także nie wynika, by Bank stawiał użytkownikowi szczegółowe wymogi co do używanego oprogramowania operacyjnego, czy antywirusowego (także zeznania P. Ż.). W regulaminie świadczenia przez Bank(...) w B. usług (...) dla osób fizycznych prowadzących działalność gospodarczą (k. 769) w § 3 wskazano jedynie, że prawidłowe działanie(...) wymaga korzystania ze sprawnego sprzętu komputerowego i oprogramowania zapewniającego dostęp do sieci Internet, wyposażonego w przeglądarkę internetową umożliwiającą stosowanie protokołu szyfrującego (...), a w § 6 ust. 1 wskazano, że użytkownik Systemu IB jest zobowiązany do zapewnienia odpowiedniego sprzętu i oprogramowania, umożliwiającego dostęp do Systemu IB, we własnym zakresie i na swój koszt. Jak wynika z opinii biegłych, gdyby to był tzw. phishing”, to nawet aktualne oprogramowanie antywirusowe mogłoby okazać się niewystarczające. Należy też mieć na uwadze, że w 2015 r. informacje o przestępstwach internetowych w bankowości elektronicznej nie były jeszcze tak rozpowszechnione, jak obecnie; ten konkretny pozwany bank nie wykazał też w istocie w toku procesu należycie, że przestrzegał swoich klientów przed takimi przestępstwami i informował w wystarczającym stopniu, jak nim zapobiegać (na k. 758 – jest komunikat ze strony logowania do 18.03.2015 r., ale z opinii biegłego (k. 827) wynika, że w historii zapisanych stron internetowych strona logowania pozwanego Banku pojawia się dopiero 28.04.2016 r., strona ta nie jest zarchiwizowana; zdaniem biegłego można przyjąć, że w marcu 2015 r. miała wygląd identyczny jak strony logowania innych banków spółdzielczych obsługiwanych w tym czasie Przez (...) za pośrednictwem (...) S.A., a więc można przyjąć że bank w tym czasie informował o zagrożeniu złośliwym oprogramowaniem i o zasadach bezpiecznego korzystania z bankowości internetowej).

Dlatego, Sąd Apelacyjny uznał ostatecznie rozstrzygnięcie Sądu Okręgowego za prawidłowe, w szczególności jego ocenę, że żądanie powoda znajdowało należyte oparcie w art. 46 ust. 1 ustawy o usługach płatniczych. Zostało bowiem w sprawie wykazane, że transakcje nie były autoryzowane przez powoda. Przytoczenie przez Sąd Okręgowy w motywach wyroku tego przepisu w brzmieniu nieobowiązującym w dacie transakcji nie miało żadnego wpływu na wynik rozstrzygnięcia. Jednocześnie, brak jest podstaw do przyjęcia, że naruszył on obowiązki przewidziane w art. 42 ustawy, w szczególności korzystał z instrumentu płatniczego niezgodnie z umową ramową, przechowywał go bez zachowania należytej staranności oraz udostępnił osobie trzeciej dane do logowania i tokena. Nie było też sporu co do tego, że powód niezwłocznie zawiadomił Bank o nieautoryzowanych transakcjach. Brak było przesłanek wyłączających odpowiedzialność pozwanego Banku, bowiem nie było podstaw do ustalenia, że powód doprowadził do nieautoryzowanych transakcji płatniczych umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy o usługach płatniczych

Powództwo było uzasadnione także w kontekście art. 471 k.c. w zw. z art. 725 k.c. (tę podstawę powód dodatkowo powołał w piśmie z k. 635 - druga strona 635, po stronie 639). Powód wykazał naruszenie obowiązku Banku, tj. wykonanie nieautoryzowanych przez niego przelewów, szkodę i związek przyczynowy. Przepis art. 471 k.c. konstruuje domniemanie winy dłużnika i w istocie, w przedmiotowej sprawie na Bank przerzuca ciężar wykazania, że nie ponosi winy. Zatem, to nie powód powinien wykazywać zawinione działanie banku.

Zdaniem Sądu Apelacyjnego, niczego nie zmienia – gdy chodzi o możliwość domagania się przez powoda zasądzenia dochodzonej pozwem kwoty od Banku – fakt, że wyrokiem karnym sprawcy przestępstwa nakazano naprawienie szkody wyrządzonej powodowi. Brak jest jakichkolwiek podstaw do ustalenia, że sprawca szkody zadośćuczynił temu obowiązkowi. Zachodzi tu natomiast przypadek współodpowiedzialności sprawcy szkody i Banku zbliżonej do tzw. solidarności nieprawidłowej – in solidum, tzn. odpowiedzialności dwóch różnych podmiotów w oparciu o różne podstawy prawne (umowną i deliktową). Nie zwalnia to z odpowiedzialności Banku, który po zaspokojeniu powoda będzie mógł wystąpić z roszczeniem regresowym do sprawcy czynu przestępczego.

Nie był również uzasadniony zarzut apelacji pozwanego naruszenia art. 321 k.p.c. w zw. z art. 481 § 1 k.c. oraz art. 359 § 2 k.c. Sąd Okręgowy nie dopuścił się zarzucanego mu uchybienia zasądzając odsetki ustawowe za opóźnienie od dnia 01.01.2016 r. Należy mieć na względzie, że w pozwie z 22.01.2016 r. (data wpływu do Sądu) powód domagał się zasądzenia należności głównej z odsetkami ustawowymi od dnia 23 marca 2015 r. do dnia zapłaty. Taki sposób sformułowania roszczenia o odsetki w dacie wniesienia pozwu nie mógł jednak budzić wątpliwości co do tego, że przedmiotem żądania są odsetki należne w oparciu o przepis art. 481 § 1 k.c. (za opóźnienie), bowiem wynikało to z okoliczności przywołanych w pozwie. Faktem jest, że z dniem 01.01.2016 r. doszło do zmiany stanu prawnego (w zakresie art. 359 k.c. i 481 k.c.) wprowadzonej ustawą z 9 października 2015 r. o zmianie ustawy o transakcjach handlowych, ustawy – Kodeks cywilny oraz niektórych innych ustaw (Dz.U. 2015 r. poz. 1830), a zgodnie z art. 56 ustawy zmieniającej do odsetek należnych za okres kończący się przed dniem wejścia w życie niniejszej ustawy stosuje się przepisy dotychczasowe. Przed nowelizacją, wysokość odsetek za opóźnienie była jednolita i określana przez odesłanie do odsetek ustawowych określanych przez rozporządzenie Rady Ministrów wydawane na podstawie art. 359 § 3 k.c. Wpływało to na ukształtowaną wówczas praktykę sądową, polegającą na zasądzaniu należności pieniężnej z odsetkami ustawowymi. Pojęcie to było jednoznaczne i pozwalało na bezproblemowe ustalenie łącznego obciążenia dłużnika. Po nowelizacji, ponieważ wyrażenie odsetki ustawowe, bez dodatkowych określeń, oznacza tylko odsetki kapitałowe (obowiązujące na podstawie art. 359 § 2 k.c. ) praktyka musiała ulec zmianie. Z dniem tym do języka prawnego weszło nowe wyrażenie – odsetki ustawowe za opóźnienie, które odpowiada dawnemu pojęciu odsetek ustawowych. Sposób redakcji orzeczenia Sądu pierwszej instancji w zakresie zasądzonych odsetek za opóźnienie nie stanowi zatem o wyjściu ponad żądanie powoda, ale jest wyrazem uwzględnienia zmiany stanu prawnego i zmierza jedynie do rozróżnienia dwóch stanów prawnych odnoszących się do tych samych odsetek za opóźnienie poprzez wyodrębnienie odsetek za opóźnienie należnych do 31.12.2015 r. i odsetek za opóźnienie należnych od 01.01.2016 r. do dnia zapłaty.

Podsumowując, obie apelacje okazały się ostatecznie nieuzasadnione i podlegały oddaleniu na podstawie art. 385 k.p.c.

Wynik postepowania uzasadniał na mocy art. 98 § 1 k.p.c. obciążenie pozwanego Banku kosztami procesu poniesionymi przez powoda (2500 zł – zaliczka na opinię biegłego plus 8100 zł wynagrodzenie pełnomocnika). Należało nadto pobrać od Banku na rzecz Skarbu Państwa – Sądu Okręgowego w Olsztynie kwotę 679,63 zł tytułem brakujących wydatków na opinię biegłego, pokrytych tymczasowo ze Skarbu Państwa.

(...)