Ustawa o usługach płatniczych wyjątkowo jasno reguluje kwestie związane z występowaniem nieautoryzowanych operacji pieniężnych w internetowym serwisie transakcyjnym banku. Zgodnie z art. 46 owej ustawy co do zasady bank ma obowiązek przywrócić stan konta do stanu przed wystąpieniem nieautoryzowanej operacji, tj. transakcji, wypłaty lub wpłaty, czyli de facto musi oddać pieniądze.

Banki się z tego nie zawsze wywiązywały, między innymi przez pewien kluczowy element. Bank jest zwolniony od odpowiedzialności, jeżeli klient dopuści się rażącego niedbalstwa albo doprowadzi do nieautoryzowanej transakcji umyślnie.

Sprawa (sygn. akt I ACa 431/18) opisana przez Niebezpiecznika dotyczyła pewnego klienta jednego z banków, który po zalogowaniu się do serwisu transakcyjnego dostał komunikat, że musi dodatkowo wprowadzić kod SMS. Przelogował się jeszcze dwa razy, aż w końcu dał za wygraną i wprowadził kod z wiadomości tekstowej. Po chwili kilkadziesiąt tysięcy złotych popłynęło do oszusta.

Okazało się, że klient padł ofiarą cyberprzestępcy, który zainfekował komputer ofiary specjalnym wirusem, wyświetlającym w przeglądarce złośliwy kod, jedynie udający dodatkową weryfikację ze strony banku. Zamiast potwierdzić swoją tożsamość, dodał do zaufanych odbiorców konto oszusta, na które ten mógł potem niemalże dowolnie przelewać pieniądze.

Klient niezwłocznie poinformował bank o tym zdarzeniu, a ten — zamiast zastosować się do ustawy o usługach płatniczych — odmówił zwrotu pieniędzy, bo klient rzekomo dopuścił się rażącego niedbalstwa.

Sąd jednak uznał, że nabranie się na phishing nie jest rażącym niedbalstwem, tym samym nie da się go klientowi przypisać. Okazuje się, że jeżeli klient nabierze się na phishing i straci pieniądze, to prawo najczęściej stoi po stronie konsumenta — bank musi oddać pieniądze ukradzione przez cyberprzestępców.

Zgodzę się z Niebezpiecznikiem, że o ile faktem jest, że banki nie chcą stosować się do przepisów prawa (podobno nikt nie słyszał o przypadku, w którym bank oddałby pieniądze), to z drugiej strony taki wymóg może być zbyt prokonsumencki.

Banki wydają mnóstwo środków na kampanie o bezpieczeństwie w sieci, a gros Polaków w dalszym ciągu nie zna choćby podstaw rozsądnego zachowania w internecie. Ponadto, ciężko wyobrazić sobie zabezpieczenia, które całkowicie mogłyby wyłączyć odpowiedzialność banku za nieautoryzowaną transakcję.

Nawet, jakby przelew poprzedzony był dziesięcioma pytaniami „Czy na pewno?”, a do tego telefonem od pracownika banku, to — cytując klasyka — nic by nie dało, bo wirus, który podmienia treść w serwisie transakcyjnym, może zmylić niemalże każdego.

Przykre natomiast jest, że banki — nawet mając przepisy niekorzystne dla siebie — otwarcie nie stosują się do przepisów prawa, stosując nieraz wykładnię contra legem, czyli oczywiście sprzeczną z normą prawną.