Odpowiedzialność banków w przypadku oszustw bankowych we Francji – ryzyka prawne dla instytucji finansowych

kwiecień 2025Reprezentacja przed sądami

  2. Reprezentacja przed sądami
  3. Odpowiedzialność banków w przypadku oszustw bankowych we Francji - ryzyka prawne dla instytucji finansowych

Wzrost liczby oszustw bankowych we Francji prowadzi do lawinowego wzrostu sporów sądowych przeciwko instytucjom finansowym.

Banki coraz częściej są pozywane przez klientów indywidualnych oraz biznesowych za niedochowanie obowiązków wynikających z przepisów dotyczących przeciwdziałania praniu brudnych pieniędzy oraz zasad należytej staranności przy autoryzacji transakcji.

Stan faktyczny nr 1 – oszustwo na IBAN i odpowiedzialność banku1

Małżeństwo H. dokonało dwóch przelewów bankowych na zakup samochodu. Odbiorca płatności, sprzedawca pojazdu, nie otrzymał jednak środków. Okazało się, że oszust włamał się na skrzynkę e-mail małżeństwa H. i podmienił prawdziwy numer rachunku bankowego sprzedawcy na swój własny. Bank, nie wykrywając żadnych nieprawidłowości, zrealizował transakcję zgodnie z dostarczonym przez klientów numerem rachunku.

Gdy oszustwo wyszło na jaw, klienci zwrócili się do banku o zwrot środków, argumentując, że instytucja finansowa powinna była wykryć podejrzane okoliczności transakcji i zablokować przelew. Bank odmówił zwrotu, powołując się na art. L. 133-21 francuskiego Kodeksu monetarnego i finansowego, zgodnie z którym dostawca usług płatniczych nie ponosi odpowiedzialności za błędnie wykonane operacje, jeśli klient dostarczył nieprawidłowy unikalny identyfikator rachunku bankowego.

Klienci wnieśli sprawę do sądu.

Argumentacja sądów – czy bank miał obowiązek zachowania szczególnej ostrożności?

Sąd apelacyjny przyznał rację klientom, uznając, że bank powinien był wykazać większą ostrożność i dokładnie zweryfikować szczegóły przelewu. Zdaniem sądu, brak analizy okoliczności transakcji, takich jak fakt, że numer IBAN znajdował się wyłącznie w treści wiadomości e-mail, stanowił naruszenie obowiązku należytej staranności. W konsekwencji, sąd apelacyjny uznał bank za odpowiedzialny za utratę środków i nakazał ich zwrot.

Bank złożył skargę kasacyjną, podnosząc, że jego odpowiedzialność powinna być oceniana wyłącznie w świetle wyżej wskazanego art. L. 133-21 Kodeksu monetarnego i finansowego. W jego ocenie, sąd apelacyjny błędnie zastosował dodatkowy reżim odpowiedzialności oparty na ogólnym obowiązku czujności.

Sąd Kasacyjny przyznał rację bankowi i uchylił wyrok sądu apelacyjnego. Uznał, że bank nie ponosi odpowiedzialności za brak dodatkowej weryfikacji, jeśli operacja została wykonana zgodnie z danymi podanymi przez klienta.

1Francuski Sąd Kasacyjny, Izba Gospodarcza, 15 stycznia 2025, sygn. akt 23-15.437

Stan faktyczny nr 2 – oszustwo z użyciem konia trojańskiego2

Dwie spółki odkryły, że z konta ich działu księgowości zlecono sześć przelewów na rzecz nieznanych beneficjentów posiadających rachunki za granicą. Po wykryciu tych nieprawidłowości, obie firmy złożyły zawiadomienie o popełnieniu przestępstwa.

Przeprowadzone dochodzenie wykazało, że oszustwo zostało dokonane poprzez zainfekowanie systemu informatycznego księgowości tzw. koniem trojańskim. Mechanizm działania oszustów był następujący:

  • oszust wysłał wiadomość e-mail do działu księgowości spółek
  • wiadomość zawierała zainfekowany załącznik lub link do szkodliwego oprogramowania
  • pracownik otworzył e-mail, przez co wirus zainfekował system
  • haker przejął kontrolę nad komputerem księgowego i samodzielnie zlecił przelewy bankowe

Bank odmówił zwrotu skradzionych środków, argumentując, że transakcje zostały autoryzowane z komputera księgowego spółek, a zatem bank nie ponosi odpowiedzialności. Spółki skierowały sprawę do sądu, żądając zwrotu całości utraconych środków.

Sąd apelacyjny stwierdził, że wina leży po obu stronach:

  • rażąca niedbałość spółek – zainfekowana wiadomość e-mail była podejrzana (napisana w języku angielskim bez uzasadnienia), a mimo to została otwarta przez pracownika
  • zaniedbanie banku – bank zignorował ostrzeżenia o nietypowych transakcjach i nie uwzględnił sygnałów ostrzegawczych, takich jak wiele nieudanych prób logowania

W konsekwencji sąd apelacyjny uznał, że bank powinien pokryć 50% strat, , które poniosły spółki. Bank wniósł skargę kasacyjną, argumentując, że nie można na niego nakładać odpowiedzialności za błąd użytkownika systemu.

Sąd Kasacyjny przypomniał zasadę zgodnie z którą bank ma obowiązek zwrócenia środków klientowi, który padł ofiarą oszustwa (art. L. 133-18 francuskiego Kodeksu monetarnego i finansowego). Jednak jeśli klient dopuścił się rażącego niedbalstwa, obowiązek ten nie znajduje zastosowania (art. L. 133-19 Kodeksu monetarnego i finansowego).

W omawianej sprawie Sąd Kasacyjny uznał, że z powodu rażącej niedbałości klientów nie można przypisać bankowi odpowiedzialności. Nawet jeśli bank nie dopełnił obowiązku należytej staranności, to zachowanie klientów miało kluczowe znaczenie dla powodzenia oszustwa – otworzenie podejrzanego e-maila i uruchomienie zainfekowanego załącznika było ewidentnym zaniedbaniem.

W związku z tym, decyzja sądu apelacyjnego nakazująca bankowi częściowy zwrot środków została uchylona, a roszczenie klientów oddalone w całości.

2Francuski Sąd Kasacyjny, Izba Gospodarcza, 15 stycznia 2025, sygn. akt 23-13.579

Wnioski dla instytucji finansowych

Orzeczenia te stanowią istotny precedens w zakresie interpretacji obowiązków banków wobec klientów. Sąd Kasacyjny wyznaczył wyraźne granice odpowiedzialności banków, potwierdzając, że nie można nakładać na nie obowiązku dodatkowej kontroli każdej transakcji, jeśli spełnia ona formalne kryteria przewidziane w przepisach.

Jednakże orzeczenie to nie oznacza całkowitego zwolnienia banków z odpowiedzialności w przypadkach oszustw finansowych.

Francuskie sądy wielokrotnie wskazywały, że banki muszą stosować mechanizmy przeciwdziałające oszustwom oraz podejmować działania minimalizujące ryzyko nadużyć.

Przykładem może być obowiązek weryfikacji transakcji o wysokiej wartości lub nietypowych operacji finansowych, prezentujących anomalie dostrzegalne „gołym okiem.

Banki, które zignorują sygnały ostrzegawcze, mogą nadal być pociągnięte do odpowiedzialności.

Podsumowanie

Oszustwa bankowe stanowią rosnące wyzwanie dla instytucji finansowych, a zmieniające się orzecznictwo wymaga od banków ciągłej analizy ich obowiązków prawnych.

W naszej praktyce zauważyliśmy rosnącą tendencję pozywania przed sądami francuskimi, na zasadzie odpowiedzialności deliktowej, polskich instytucji bankowych, jako takich, do których często trafiają środki oszustów.

Powodowie usiłują wówczas wykazać, że polski system bankowy zawiera liczne luki ułatwiające oszustom wykorzystanie otwartych w poszczególnych instytucjach bankowych rachunków do dokonywania przestępstw.

Banki powinny inwestować w skuteczne procedury kontroli tak, aby minimalizować ryzyko prawne i finansowe.

Jeśli Państwa spółka stała się ofiarą tego typu oszustwa tudzież Państwa instytucja została skonfrontowania z roszczeniami z tytułu odpowiedzialności deliktowej za zrealizowanie takiej transakcji, zapraszamy do kontaktu w celu omówienia strategii ochrony Państwa interesów.