Coraz częściej pojawiają się przypadki oszustw polegających na ściągnięciu pieniędzy z konta bez wiedzy lub zgody jego właściciela. Ofiarami padają także przedsiębiorcy. Wówczas rodzi się pytanie, kto odpowiada za nieautoryzowaną transakcję na rachunku bankowym. W tym artykule postaram się wyjaśnić kilka kluczowych zagadnień, w oparciu o analizę przepisów prawa krajowego i unijnego, orzecznictwa oraz praktyki bankowej.
Wyobraźmy sobie sytuację, kiedy przedsiębiorca prowadzący działalność gospodarczą padł ofiarą kradzieży środków z firmowego rachunku bankowego. Przelew środków został wykonany bez jego wiedzy ani zgody na rachunek bankowy osoby trzeciej, najprawdopodobniej w wyniku zastosowania technik socjotechnicznych (phishing), wykorzystania złośliwego oprogramowania lub przejęcia danych uwierzytelniających. Bank, do którego klient zgłosił reklamację, odmówił zwrotu środków, powołując się na jego status jako przedsiębiorcy – wskazując, że ochrona przysługująca konsumentom nie ma w tym przypadku zastosowania.
Sytuacja ta stawia pytanie o zakres odpowiedzialności banku względem klienta niebędącego konsumentem, a także o praktyczne możliwości dochodzenia roszczeń w takich przypadkach – zarówno w ramach reklamacji, jak i powództwa cywilnego.
Zgodnie z art. 45 ust. 1 ustawy o usługach płatniczych, dostawca usług płatniczych ponosi odpowiedzialność wobec użytkownika za wykonanie nieautoryzowanej transakcji płatniczej, z zastrzeżeniem art. 46 ust. 2 i 3 ustawy o usługach płatniczych. W przypadku konsumenta obowiązuje domniemanie braku zgody na transakcję – to bank musi wykazać, że transakcja została uwierzytelniona i autoryzowana.
W relacjach z przedsiębiorcami sytuacja jest bardziej złożona. Ustawa przewiduje możliwość modyfikowania lub wyłączania obowiązków banku w umowach zawieranych z klientami niebędącymi konsumentami. W praktyce oznacza to, że banki często w ogólnych warunkach umów (OWU) wyłączają swoją odpowiedzialność za transakcje uznane przez nie za autoryzowane – co budzi istotne wątpliwości prawne i może być uznane za działanie sprzeczne z dobrymi obyczajami kontraktowymi.
Warto również przywołać art. 50 ustawy o usługach płatniczych, który nakłada na dostawcę usług obowiązek zapewnienia odpowiednich środków technicznych umożliwiających korzystanie z usług płatniczych w sposób bezpieczny. Bank nie może uchylić się od odpowiedzialności tylko dlatego, że jego klient jest przedsiębiorcą – jeśli sam nie spełnił obowiązku zapewnienia należytego poziomu bezpieczeństwa.
Prowadząc tego rodzaju sprawy od pewnego czasu obserwuję, że pomimo wyłączenia ochrony konsumenckiej w relacjach B2B, sądy na szczęście coraz częściej uznają odpowiedzialność banków za nieautoryzowane transakcje, jeśli doszło do uchybień po stronie instytucji finansowej. Przykładowo:
- Wyrok Sądu Apelacyjnego w Warszawie z dnia 30 listopada 2020 r., sygn. akt VI ACa 407/19 – wskazuje, że w relacjach z klientami biznesowymi bank powinien stosować się do tych samych standardów staranności, co w relacjach z konsumentami. Odpowiedzialność banku wynika z art. 471 k.c. w związku z art. 355 § 2 k.c., który określa miernik należytej staranności profesjonalisty.
- Wyrok Sądu Okręgowego w Katowicach z dnia 18 maja 2022 r., sygn. akt I C 764/21 – sąd uznał, że jeśli bank nie wdrożył mechanizmów silnego uwierzytelnienia (SCA) lub zignorował nietypowe cechy transakcji (np. wysoka kwota, przelew na egzotyczne konto, aktywność z innego kontynentu), ponosi odpowiedzialność nawet względem przedsiębiorcy.
Dodatkowo, zgodnie z wyrokiem TSUE z dnia 25 listopada 2021 r. w sprawie OTP Bank (C-287/19), sama techniczna implementacja zabezpieczeń nie wystarcza – bank musi działać „aktywnie i dynamicznie” w przeciwdziałaniu oszustwom, w tym np. automatycznym blokowaniu podejrzanych operacji.
W orzecznictwie unijnym i doktrynie podkreśla się, że zróżnicowanie pomiędzy konsumentami a przedsiębiorcami nie może prowadzić do całkowitego uchylenia ochrony prawnej drugiej kategorii użytkowników usług płatniczych.
Zarówno orzecznictwo Bundesgerichtshof (BGH), jak i francuskiego Cour de cassation wskazuje, że klient – niezależnie od statusu prawnego – ma prawo oczekiwać od banku profesjonalizmu i adekwatnych zabezpieczeń.
W orzeczeniu BGH z dnia 26 stycznia 2021 r., sygn. akt XI ZR 22/20, sąd stwierdził, że „profesjonalna staranność banku oznacza m.in. monitorowanie wzorców zachowań klienta i automatyczne reagowanie na anomalie” – i brak takiego działania uzasadnia odpowiedzialność banku.
Z kolei Europejski Urząd Nadzoru Bankowego (EBA) w wytycznych do PSD2 zwraca uwagę na konieczność stosowania silnego uwierzytelnienia nawet w transakcjach wysokokwotowych B2B, jeżeli klient nie zastosował własnych zabezpieczeń wewnętrznych.
Podsumowując, uważam, że przedsiębiorcy powinni świadomie czytać zapisy OWU i umów z bankami – w tym dopytać o możliwość wprowadzenia dodatkowych zabezpieczeń, takich jak potwierdzenia SMS dla transakcji przekraczających ustalony próg.
W przypadku nieautoryzowanej transakcji warto natychmiast zgłosić reklamację, zażądać logów systemowych banku, złożyć zawiadomienie o podejrzeniu przestępstwa (art. 286 k.k.) skonsultować się z informatykiem śledczym celem wykazania braku zawinienia po stronie przedsiębiorcy. Możliwe jest także dochodzenie roszczeń z tytułu nienależytego wykonania zobowiązania (art. 471 k.c.) lub rażącego naruszenia obowiązków przez bank jako instytucję zaufania publicznego.
Pomimo ograniczenia ustawowej ochrony przedsiębiorcy względem banku, nie oznacza to automatycznego wyłączenia odpowiedzialności instytucji finansowej za nieautoryzowane transakcje.
Każdy przypadek powinien być indywidualnie oceniony pod kątem spełnienia przez bank obowiązku należytej staranności, zastosowania SCA, reakcji banku na anomalie w zachowaniach klienta, adekwatności środków zabezpieczających system bankowy.
W przypadku nieautoryzowanej transakcji, także przedsiębiorca ma realne podstawy do domagania się zwrotu środków – przy zachowaniu właściwej ścieżki dowodowej i wykazaniu uchybień po stronie banku. Warto również wykorzystywać orzecznictwo unijne i krajowe jako narzędzie argumentacyjne w sporze z instytucją finansową – szczególnie w świetle obowiązujących norm profesjonalizmu, transparentności i ochrony interesu klienta.