W dniu 14 czerwca 2023r. Sąd Apelacyjny w Białymstoku w sprawie o sygn. akt I AGa 36/22 przeciwko bankowi oddalił apelację strony pozwanej.
W przedmiotowej sprawie Sąd Okręgowy w Białymstoku w całości uwzględnił powództwo i zasądził od pozwanego Banku Spółdzielczego na rzecz powoda kwotę 76.000 zł wraz z odsetkami ustawowymi z tytułu odszkodowania za szkody wynikłej z nieautoryzowanych przelewów z rachunku bankowego spółki. Kwota ta to cześć szkody dochodzonej przez stronę powodową. Sąd Apelacyjny uznał, że wyrok ten odpowiada prawu. W tej sprawie stan faktyczny, w ocenie Sądu Apelacyjnego, był niesporny. Strony łączyła umowa rachunku bankowego, a powód i pozwany zawarli umowę o bankowość internetową w ramach wcześniejszej umowy. Druga umowa stanowiła, że do przelewów wymagana była autoryzacja przez etoken. Poza sporem pozostaje, że doszło do 2 przelewów rachunku bankowego na rachunki innych podmiotów. Oba te przelewy nie zostały autoryzowane przez powodową spółkę. Doszło do wykonania tych przelewów na skutek ataku hakerskiego. Z powodowej spółki wyprowadzono kwoty, z czego jedynie część udało się odzyskać, Nie odzyskano 228.131 zł. Nie jest kwestionowane, że komputer będący przedmiotem ataku hakerskiego spełniał odpowiednie wymagania bankowości elektronicznej – zainstalowane było i aktualizowane było oprogramowanie antywirusowe i zapora bezpieczeństwa. Apelacja tego nie kwestionowała. Nie było też dowodów że sprawcy uzyskali dostęp do komputera na skutek jego działań czy z uwagi na zaniedbania powoda. Fakty te wskazują, że do wyprowadzenia kwot z rachunku owego doszło na skutek przestępstwa do którego nie przyczyniła się powodowa spółka. Z art 725 k.c. wynika, że umowa rachunku bankowego polega na tym, że Bank zobowiązuje się do przechowywania środków pieniężnych oraz do przeprowadzania na zlecenie posiadacza rozliczeń co oznacza że środki wpłacane stają się własnością banku, a bank zobowiązuje się do ich zwrotu na każde żądanie posiadacza, chyba że umowa wymaga wcześniejszego wypowiedzenia. Środki pieniężne nie są zatem własnością posiadacza rachunku, a posiadaczowi przysługuje wypłata określonej sumy pieniężnej. Autoryzacja transakcji bankowej, to nic innego jak zgoda posiadacza na wykonanie transakcji. Gdy brak tej zgody - gdy dokonała jej osoba nieuprawniona na skutek hakerskiego ataku dochodzi do nieuprawnionego przesunięcia środków. Jeżeli bank uwzględni nieautoryzowaną transakcję przy ustalaniu salda rachunku i odmówi ewentualnej reklamacji posiadacza to poszkodowanym jest posiadacz rachunku. Taka sytuacja miała miejsce w tym wypadku. W orzecznictwie przyjmuje się, że ryzyko dokonania wypłaty na rzecz osoby nieuprawnionej czy dyspozycji wdanej przez osobę nieuprawnioną obciąża bank. W przypadku dokonania transakcji na rzecz osoby nieuprawnionej bank nie może uwolnić się od obowiązku wykonania zobowiązania wobec posiadacza rachunku nawet gdy wykaże, że spełnił wymagania co do należytej staranności przy wykonywaniu swoich działań, co oznacza, że podnoszone w apelacji okoliczności, że brak było uznania co do tego że przelewy były podejrzane albo nietypowe nie mogą uwolnić pozwanego banku od odpowiedzialności wobec powodowej spółki z tytułu przelania środków bez zgody tej spółki.