Tym co skłoniło mnie do napisania tego artykułu, są liczne telefony i maile, które otrzymuję od ofiar wyłudzeń i oszustw z wykorzystaniem bankowości internetowej oraz kryptowalut. Bardzo często pojawia się wtedy pytanie o to, czy jest możliwość otrzymania zwrotu wyłudzonych pieniędzy od banku, w związku z tym, że przelew nastąpił na rachunek przestępców, lub dlatego, że przestępcy uzyskali dostęp do rachunku osoby pokrzywdzonej w wyniku podstępu lub groźby? Aby odpowiedzieć na postawione powyżej pytanie, najpierw zobaczmy jak przebiegają takie przestępstwa. To będzie ważne dla dalszych rozważań.
Jak przebiegają przestępstwa wyłudzenia pieniędzy pod pretekstem inwestycji w kryptowaluty
O tym jak wyglądają tego typu przestępstwa pisałem już wcześniej w moich wpisach, m.in. tutaj:
W tym wpisie przedstawię w punktach, w pewnym uproszczeniu, najistotniejsze elementy tego typu przestępstw, z którymi najczęściej, biorąc pod uwagę relacje pokrzywdzonych i materiały postępowań przygotowawczych, miałem do czynienia. Jedna uwaga wstępna. Otóż, trzeba zdawać sobie sprawę z tego, że za niemal 100% tych przestępstw odpowiadają zorganizowane grupy przestępcze. Specjaliści, którzy żyją z tego i robią to na chłodno, zawodowo.
Jak przebiega zatem, najczęściej, przestępstwo wyłudzenia pod pretekstem inwestycji w kryptowaluty:
- Sprawcy nawiązują kontakt z potencjalną ofiarą przez reklamy (banery) na stronach www, przez wiadomości masowe w komunikatorach jak WhatsApp czy Telegram, ale także przez fikcyjne ogłoszenia o pracę na Facebook’u czy jak ostatnio na portalach randkowych jak Tinder (!).
- Po nawiązaniu kontaktu, sprawcy spokojnie budują zaufanie (czasem wchodząc nawet w virtualną, ale bliską relację emocjonalną), zachęcając do małych inwestycji np. 200 zł i czasem nawet wypłacając mały zysk np. 500 – 1000 zł, usypiając nieufność ofiary.
- Następnie, przestępcy, gdy czują, że nadchodzi właściwy moment, informują o tym, że zainwestowane niewielkie środki przynoszą ogromne zysku np. 100-200 tys. złotych. Często uwiarygadniają ten fakt, przesyłając link do fałszywego konta ofiary na jednej z giełd kryptowalut. Na takim fake-koncie widać wykres czy saldo konta z owymi nagromadzonymi zyskami.
- Ofiara jest oszołomiona wizją zysku.
- Wtedy przestępcy stosują metodę schock calls, polegającą na skierowaniu wobec ofiary informacji mającej wytracić ją z równowagi, przestraszyć, wzbudzić obawę poważnych konsekwencji. Informują na przykład o tym, że np. „prokuratura uważa, że Pana/Pani środki pochodzą z przestępstwa”, i konieczna jest natychmiastowa wpłata np. 30 000 zł jako „kaucja zabezpieczająca” na czas postepowania wyjaśniającego. Dodatkowo ofiara jest informowana, że brak wpłaty może oznaczać więzienie. Inną historią wymyślaną przez przestępców jest taka, że „organy skarbowe w USA gdzie rzekomo jest giełda (gdzie realizowane są te „inwestycje”) mają podejrzenie, że oszukuje pan/pani na podatkach i należy szybko wpłacić zabezpieczenie „na czas audytu AML”, aby nie stracić pieniędzy i nie mieć sprawy w prokuraturze.
- Zwykle taki mechanizm jest powtarzany 2-3 razy, zanim ofiara zorientuje się, że padła ofiarą oszustów, że nie będzie żadnej wypłaty zysków i należy zawiadomić organy ścigania.
- Bardzo często, ofiary nie posiadają takich pieniędzy i decydują się, przerażone wizją odpowiedzialności karnej i więzienia na pożyczkę w banku lub u rodziny.
- I tutaj dochodzimy do kluczowego momentu: zdarza się, w wielu relacjach poszkodowanych, że znajdując się pod wpływem gróźb, podstępu i perswazji przestępców, udzielają im dostępu do swojego komputera czy smartfona przez oprogramowanie do zdalnego dostępu (najpopularniejsze programy to AnyDesk czy TeamViewer). Przestępcy następnie wykorzystują to do złożenia w banku wniosku o pożyczkę, co oszołomione ofiary akceptują smsami w bankowości mobilnej.
Nie muszę dodawać, że szanse na odzyskanie ukradzionych środków, w wyniku działań organów ścigania są niewielkie. Takich przestępstw nie dokonuje paru znudzonych studentów, z laptopem na kolanach w akademiku u kolegi, w przerwie między zajęciami. To domena profesjonalnych grup przestępczych, chroniących swoją tożsamość za pomocą wyrafinowanych rozwiązań technologicznych. Nie twierdzę, że szanse są zerowe, ale realistycznie mówiąc, są to niezwykle trudne sprawy. Dlatego też, często jedyną opcją do rozważenia jest roszczenie do banku oparte na art. 46 Ustawy o usługach płatniczych.
adwokat Paweł Osiński – expert ds. przestępstw kryptowalutowych i prania brudnych pieniędzy
Obowiązek banku zwrotu kwoty nieautoryzowanej transakcji na podstawie art. 46 ustawy o usługach płatniczych
Przedmiotem ustawy o usługach płatniczych (zwana dalej także „Ustawą”) jest m.in. uregulowanie praw i obowiązków podmiotów dostarczających usług płatniczych czyli m.in. banków. Ustawa ta opisuje także sytuacje, gdy doszło do tzw. nieautoryzowanej transakcje płatniczej. Jedno słowo wyjaśnienia. Ustawa dotyczy tzw. instytucji płatniczych czyli podmiotów świadczących usługi transferu pieniedzy z pomocą rachunku bankowego. Najczęsciej będą to banki ale mogą to być takę instytucje płatnicze jak np. znane szeroko Revolut czy WISE. W tym artykule, dla czytelnosci tekstu zamiennie będę używał słów „bank”, „dostawca usług płatniczych” czy „instytucja płatnicza”. To nie praca doktorska, ale wpis na blogu adwokackim.
I tak, na podstawie art. 46 ustawy o usługach płatniczych, dostawca usługi płatniczej obowiązany jest dokonać zwrotu swojemu klientowi (osoba posiadająca w banku rachunek, z którego została dokonana nieautoryzowana transakcja), kwotę transakcji w sytuacji gdy posiadacz rachunku zaprzecza autoryzacji tej transakcji.
Zanim przejdziemy do wyjaśnienia, kiedy możemy mówić o sytuacji „zaprzeczenia autoryzacji”, warto zacząć od tego, że Ustawa o usługach płatniczych wprowadza istotne uprzywilejowanie konsumenta (czyli najczęściej klienta banku) wobec instytucji płatniczej. Polega to na tym, że co do zasady, w sytuacji gdy klient banku (posiadacz rachunku) zaprzecza autoryzacji transakcji, to bank obowiązany jest zwrócić kwotę takiej transakcji. Bank jest zwolniony z tego obowiązku (tj. natychmiastowego zwrotu kwoty nieautoryzowanej transakcji) jedynie w dwóch sytuacjach:
- klient banku zgłosił nieautoryzowaną transakcję po upływie 13 miesięcy od jej dokonania (przedawnienie związane z upływem czasu);
- dostawca usług płatniczych (bank) zawiadomił na piśmie policję lub prokuraturę, że ma uzasadnione i udokumentowane podejrzenie, że jego klient poprzez nieprawdziwe zgłoszenie i żądanie zwrotu kwoty transakcji próbuje dokonać oszustwa – w tej sytuacji obowiązek zwrotu zostaje zawieszony do czasu ustalenia przez odpowiednie organy, jak było naprawdę.
W każdym innym przypadku, gdy klient banku, poszkodowany przez działania przestępców, których efektem jest bezprawne pozyskanie z jego rachunku bankowego środków pieniężnych, zaprzecza autoryzacji takiej transakcji i domaga się zwrotu tych środków od banku, bank zobowiązany jest do niezwłocznego zwrotu tych pieniędzy. Tyle w teorii, na podstawie przepisów ustawy. A jak to wygląda w praktyce? O tym za chwilę, ale najpierw wyjaśnimy co to jest nieautoryzowana transakcja.
Czym jest nieautoryzowana transakcja
Starając się ująć sprawę zwięźle, ale i zrozumiale, autoryzacja transakcji, to bezpośrednie, osobiste udzielenie zgody na daną transakcję przez posiadacza rachunku (najczęściej klient banku czy instytucji płatniczej). Mówiąc językiem prawnym jest to tzw. oświadczenie woli. Technicznym wyrazem takiej autoryzacji (oświadczenia woli) jest tzw. czynność uwierzytelnienia czyli np. podanie numeru PIN czy potwierdzenie transakcji przez SMS.
Najczęściej w naszych codziennych transakcjach, mamy do czynienia równocześnie z autoryzacją i uwierzytelnieniem transakcji, którą dokonujemy. Inaczej mówiąc, potwierdzenie techniczne transakcji jest wyrazem naszej woli jej dokonania. Jednak, w określonych sytuacjach, szczególnie gdy mamy do czynienia z przestępstwami w intrenecie z wykorzystaniem rachunków bankowych (jak np. phising) odpowiedź na pytanie czy mamy do czynienia z autoryzacją transakcji nie jest już taka klarowna.
Są sytuacje, gdzie stan faktyczny jest niezwykle jasny, czarno-biały: przestępcy bez wiedzy i jakiegokolwiek współdziałania osoby poszkodowanej uzyskują dostęp do rachunku osoby poszkodowanej. Oczywiście, tutaj nie mamy do czynienia z transakcją autoryzowaną.
Najczęstsze są sytuacje, gdy mamy do czynienia z pewną nieuwagą i nieostrożnością posiadacza rachunku bankowego (np. klikniecie na fałszywy link przesłany przez sms, wzywający do dopłaty 1,5 zł w związku z ostatnią przesyłką kurierską czy zapłaty za zaległy rachunek za prąd itp.). W takiej sytuacji, możemy ocenić, że posiadacz rachunku bankowego, owszem, naruszył przyjęte reguły ostrożności, ale w żadnym wypadku nie możemy powiedzieć, że autoryzował on/ona, jako wyraz swojej woli, transakcje na rachunku bankowym, w wyniku których, przestępcy dokonali kradzieży.
Jednakże, mamy także do czynienia z sytuacjami jeszcze bardziej nietypowymi i zagmatwanymi, gdy ofiara takiego przestępstwa np. pod wpływem gróźb i presji przestępców, udziela np. zdalnego dostępu do swojego komputera i systemu bankowego, a przestępcy lub czasem sama ofiara sama, pod wpływem presji sprawców, uzyskuje pożyczkę w banku i przerażona możliwą odpowiedzialnością karną przekazuje pieniądze przestępcom.
Czy w tej sytuacji możemy mówić, że osoba poszkodowana świadomie dokonała autoryzacji transakcji, które były przedmiotem przestępstwa przeciwko tej osobie? Ostateczna odpowiedź w takich sytuacjach zawsze oczywiście należeć będzie do sądu, jednakże uważam, że w wielu z wyżej przedstawionych stanów faktycznych, jest bardzo wiele argumentów za tym, aby twierdzić, że osoba poszkodowana przez przestępców, klient/klientka banku, czy instytucji świadczącej usługi płatnicze, nie autoryzowała feralnej transakcji bankowej. Inaczej mówiąc, nie wyraziła świadomego i swobodnego oświadczenia woli, mimo tego, że dokonała uwierzytelnienia (potwierdzenia) transakcji płatniczej, która skutkowała przestępstwem na jej szkodę. Aczkolwiek, jeszcze raz podkreślę, wszystko zależy od danej sytuacji i okoliczności sprawy.
Co powinien zrobić bank w przypadku zgłoszenia transakcji nieautoryzowanej? Teoria i praktyka
Na postawie przytoczonych przepisów bank ma obowiązek niezwłocznie zwrócić kwotę, co do której jego klient zaprzecza autoryzacji. Zwalniają go od tego jedynie dwa wcześniej opisane wyjątki tj.:
- Klient banku zgłosił nieautoryzowaną transakcję po upływie 13 miesięcy od jej dokonania (przedawnienie związane z upływem czasu);
- dostawca usług płatniczych (bank) zawiadomił na piśmie policję lub prokuraturę, że ma uzasadnione i udokumentowane podejrzenie, że jego klient poprzez nieprawdziwe zgłoszenie i żądanie zwrotu kwoty transakcji próbuje dokonać oszustwa – w tej sytuacji obowiązek zwrotu zostaje zawieszony do czasu ustalenia przez odpowiednie organy, jak było naprawdę.
Potwierdzenie ww. poglądu można znaleźć m.in. w wystąpieniu Prezesa UOIK, w którym porusza on ten problem.
Jak można się domyślać, banki niechętnie realizują ten obowiązek, zasłaniając się winą klienta banku i bardzo często konieczne jest wystąpienie na drogę sądową. Zresztą UOKIK, prowadził i być może dalej prowadzi postepowanie wyjaśniające w sprawie jak banki w Polsce realizują obowiązki Ustawy w związku z nieautoryzowanymi transakcjami. Postepowanie to doprowadziło już do postawienia zarzutów 5 bankom.
Banki odmawiają wykonania ww. obowiązku powołując się na to, że do nieautoryzowanej transakcji doszło w wyniku umyślnego działania posiadacza rachunku lub w wyniku jego/jej rażącego niedbalstwa. Jednakże, takie działanie jest niezgodne z przepisami Ustawy. Prawidłowe zastosowanie przepisów Ustawy wymaga, aby bank niezwłocznie po oświadczeniu osoby poszkodowanej o tym, że w wyniku nieautoryzowanej transakcji utraciła ona środki z rachunku (I nie zachodzą dwa ww. wyjątki) zwróił jej utracone środki. Następnie, jeśli bank uważa, że do sytuacji doszło z winy tej osoby, powinien zgłosić do niej takie roszenie. W przypadku gdyby pomiędzy stronami zaistniał spór co do zwrotu tej kwoty, to powinien on być rozstrzygnięty przez sąd.
Inaczej mówiąc, bank powinien po zgłoszeniu przez osobę poszkodowaną automatycznie dokonać jej zwrotu utraconych pieniędzy (poza dwoma, wąsko ujętymi wyjątkami) i jeśli uważa, że zwrot jest jednak nienależny to powinien skierować odpowiednie żądanie. W razie potrzeby kierując sprawę do sądu.
Orzeczenia sądów w sprawach zwrotu kwoty nieautoryzowanej transakcji
Przepisy Ustawy dot. obowiązku zwrotu kwoty nieautoryzowanej transakcji, który ciąży na dostawcy usług płatniczych zostały wprowadzone do porządku prawnego stosukowo niedawno. Pojawiły się one bowiem dopiero w 2018 roku w wyniku implementacji postanowień Dyrektywy PSD2 (Payment Services Directive). Od tego czasu pojawiły się już pierwsze prawomocne orzeczenia sądów krajowych, w sprawach wszczętych przez klientów banków poszkodowanych w związku z oszustwami dokonanymi z wykorzystaniem ich rachunków bankowych.
I tak, wymienić można jako ciekawsze orzeczenia: wyrok Sądu Okręgowego w Sieradzu z dnia 28 grudnia 2022 roku, Sygn. akt. I Ca 522/22, wyrok Sądu Okręgowego w Olsztynie z dnia 28 stycznia 2022 roku, sygn. akt. V Ga 328/21 czy wyrok Sądu Okręgowego w Warszawie z dnia 27 października 2020 roku, sygn. akt. I C 1001/18.
Wszystkie ww. orzeczenia potwierdzały obowiązek zwrotu przez bank kwoty utraconej w wyniku nieautoryzowanej transakcji, na podstawie art. 46 Ustawy. Przy czym wszystkie wyroki dotyczyły stanów faktycznych gdzie mieliśmy do czynienia z sytuacją pewnego błędu po stronie klienta banku, który to błąd (w połączeniu z innymi okolicznościami) doprowadził następnie do utraty środków pieniężnych z rachunku bankowego. Warto zwrócić uwagę na argumentację sądów w www. sprawach, która może być pomocna przy ocenie, jak inne sądy mogą odnieść się do podobnych spraw tego typu.
Sądy w swoich wyrokach m.in. zwracały uwagę, na to, że w sytuacji, gdy autoryzacja transakcji została uzyskana poprzez doprowadzenie użytkownika bankowości elektronicznej (powoda w takich sprawch) podstępem do autoryzacji transakcji, której de facto nie chciał wykonać (np. poprzez podmianę danych faktycznych odbiorcy) to taka transakcja jest traktowana jako nieautoryzowana. Co może oznaczać, że sytuacja podstępu, ale także groźby może być przesłanka wyłączającą autoryzacje transakcji w rozumieniu Ustawy.
Taka argumentację wspierają przepisy Kodeksu Cywilnego dot. podstępu i groźby, które pozwalają na uchylenie się od skutków czynności prawnej dokonanej w wyniku podstępu czy groźby (art. 82 – 87 Kodeksu Cywilnego). Co istotne, przepisy Dyrektywy PSD2 implementowane do Ustawy o usługach płatniczych oraz przepisy samej Ustawy, w żadnej mierze nie wyłączają stosowania przepisów Kodeksu Cywilnego do spraw dot. nieautoryzowanych transakcji. Na argumentację ze wskazaniem na przepisy KC dot. podstępu powołał się m.in. Sąd Okręgowy w Olsztynie w wyroku z 28 stycznia 2022 roku.
Ponadto, sądy zwracały uwagę na fakt, że zgodnie z art. 50 ust. 2 Ustawy prawo bankowe, na bankach ciąży powinność dołożenia szczególnej staranności w zakresie prowadzenia rachunków bankowych oraz zapewnienia maksimum bezpieczeństwa dla wkładów pieniężnych i przeciwdziałania wypłaty tych środków na rzecz osób nieuprawnionych. Tymczasem, w wielu tego typu sytuacjach mamy do czynienia z działaniami banków, polegającymi na braku odpowiedniej reakcji na działania dokonywane na kontach bankowych takie jak np. przelewy w krótkim czasie znacznych kwot na konto giełdy kryptowalutowej czy przelew na konto osoby za granicą, całości kwoty uzyskanej tego samego dnia pożyczki…
Jaskrawym przykładem takiej praktyki banków jest – opisywany przez UOKUK w swoim stanowisku – przypadek 72-letniej emerytki. W tym zdarzeniu, oszust uzyskał dostęp do danych uwierzytelniających i wyprowadził z konta emerytki 170 tys. zł oszczędności oraz zaciągnął kredyt na 80 tys. zł. Zdaniem UOKiK: „bank bezrefleksyjnie zmienił walutę i przelał pieniądze za granicę, doliczając do każdego przelewu opłatę za szybkość realizacji transakcji oraz udzielił wysokiej pożyczki osobie, która ma niską emeryturę, a w całej dotychczasowej historii konta preferowała bezpieczne inwestycje. Instytucja finansowa nie zareagowała nawet w chwili, gdy oszust podszywając się pod emerytkę zmienił jej stan cywilny z mężatki na wdowę, żeby nie była potrzebna zgoda męża do zaciągnięcia kredytu”. Bank, rzecz jasna, nie zwrócił środków poszkodowanej na jej żądanie na podstawie art. 46 Ustawy. Stojąc na stanowisku, że winę za zaistniałą sytuację ponosi emerytka.
Podsumowując, można stwierdzić, po zapoznaniu się z orzeczeniami sądowymi w tego typu sprawach, że sądy wykazują tendencję do stawania po stronie konsumentów, klientów instytucji płatniczych. Zwalniając ich, przynajmniej w sprawach, które zostały skierowane do sądu, z odpowiedzialności za nieautoryzowane transakcje i nakazując zwrot utraconych środków pieniężnych instytucjom płatniczym (bankom).
Wnioski dla osób poszkodowanych
Z moich doświadczeń wynika, że zastosowanie art. 46 Ustawy może być najbardziej sensownym środkiem odzyskania utraconych pieniędzy przez ofiary przestępstw z wykorzystaniem rachunków bankowych. Biorąc jednak pod uwagę stanowisko banków w tym zakresie należy spodziewać się znaczącego oporu prawnego z ich strony i konieczności skierowania sprawy do sądu. Podkreślić jeszcze raz należy, że wszystko zależy jednak od danej sprawy i stanu faktycznego – nieraz dość skomplikowanego – oraz na koniec, od oceny sądu w tym zakresie.
Pamiętać także trzeba, że nawet wygrana posiadacza rachunku płatniczego w sprawie o zwrot kwoty nieautoryzowanej transakcji, nie wyklucza roszczenia instytucji płatniczej o zwrot takiej kwoty na podstawie art. 46 ust 3 Ustawy.
W praktyce jednak, w przypadku wygrania pierwszej sprawy (czyli klienta instytucji płatniczej przeciwko tej instytucji) bank może odstąpić od występowania z takim roszczeniem zwrotnym do swojego klienta, zdając sobie sprawę z tego, że szanse na jego pozytywne rozstrzygniecie są wątpliwe, a to z tego powodu, że te same okoliczności zostały już raz przez inny sąd ocenione na korzyść klienta banku. Znowu, wszystko jednak zależy od okoliczności danej sprawy oraz od oceny sądu czy też mówiąc konkretnego sędziego.
Niewątpliwe jednak, ww. podstawa prawna daje jakieś szanse na odzyskanie utraconych środków i uporządkowanie swojej sytuacji finansowej i życiowej. Często bowiem jest tak, że ofiarami takich przestępstw są osoby o niskich przychodach i bez majątku, które w skutek nieostrożności i nieuwagi ale także pod presją i groźbami niezwykle bezwzględnie działających przestępców, biorą pożyczki w banku. Takie osoby oceniając swoją sytuację oraz możliwe roszczenia wobec banku (oraz ew. roszczenia zwrotne banku), powinny także rozważyć wniosek o upadłość konsumencką, która właśnie jest m.in po to aby osobom, którym zdarzył się w życiu błąd rujnujący ich sytuację finansową, umożliwić uporządkowanie swojej sytuacji prawnej i nowy start. Jest to z korzyścią nie tylko dla takie osoby ale także dla jej wierzycieli oraz społeczeństwa.
Paweł Osiński
Adwokat specjalizujący się w sprawach dot. przestępczości internetowej, oszustw kryptowalutowych oraz prania brudnych pieniędzy.
Zapraszam do kontaktu:
Email. pawel@osinski-legal.pl
Tel.+48 698 765 048