Civilinė byla Nr. e2A-803-967/2023

Teisminio proceso Nr. 2-68-3-13333-2022-8

Procesinio sprendimo kategorijos: 2.6.33.4; 3.3.1.18.2.

                                                                     (S)

VILNIAUS APYGARDOS TEISMAS

SPRENDIMAS

LIETUVOS RESPUBLIKOS VARDU

2023 m. balandžio 4 d.

Vilnius

Vilniaus apygardos teismo Civilinių bylų skyriaus teisėjų kolegija, susidedanti iš teisėjų Dalios Trumpulienės, Urmilos Valiukienės ir Sigitos Zubavičiūtės-Montvilienės (kolegijos pirmininkė ir pranešėja),

teismo posėdyje apeliacine rašytinio proceso tvarka išnagrinėjo civilinę bylą pagal ieškovo R. T. apeliacinį skundą dėl Vilniaus miesto apylinkės teismo 2022 m. gruodžio 28 d. sprendimo priimto civilinėje byloje pagal ieškovo R. T. ieškinį atsakovei uždarajai akcinei bendrovei (toliau – UAB) „Paysera LT“ dėl neautorizuotų mokėjimo operacijų lėšų grąžinimo,

Teisėjų kolegija

nustatė :

I. Ginčo esmė

1.       Ieškovas R. T. (toliau – ieškovas) kreipėsi į teismą su ieškiniu atsakovei UAB „Paysera LT“ (toliau – atsakovė) prašydamas priteisti jam iš atsakovės 6 596,19 Eur neautorizuotų mokėjimo operacijų lėšų, 5 procentų dydžio metines palūkanas nuo priteistos sumos nuo bylos iškėlimo teisme dienos iki teismo sprendimo visiško įvykdymo ir turėtas bylinėjimosi išlaidas.

2.       Nurodė, jog 2021 m. lapkričio 4 d. prisijungus prie ieškovo paskyros atsakovės valdomoje platformoje, iš ieškovo sąskaitos buvo atliktos penkios mokėjimo operacijos gavėjui K. K. (C. C.), kurių bendra mokėjimo operacijų suma sudarė 10 550 Eur. Ieškovas 2021 m. lapkričio 4 d. kreipėsi į atsakovę ir pranešė, kad iš jo sąskaitos buvo atliktos penkios mokėjimo operacijos, kurių jis pats neinicijavo ir nedavė joms sutikimo. Atsakovė, gavusi ieškovo pranešimą, pradėjo tyrimą, kreipėsi į lėšų gavėjo finansų įstaigą dėl lėšų sugrąžinimo ir 2021 m. gruodžio 28 d. į ieškovo sąskaitą grąžino 3 953,81 Eur.

3.       2021 m. gruodžio 6 d. ieškovas kreipėsi į atsakovę prašydamas grąžinti jo neautorizuotų mokėjimo operacijų lėšas su pretenzija. Šioje nurodė, kad 2021 m. lapkričio 4 d. į savo mobilųjį telefoną gavo elektroninį laišką apie sėkmingai pakeistą ieškovo paskyros slaptažodį, nors ieškovas slaptažodžio keitimo pats neinicijavo ir neatliko. Ieškovui ši žinutė sukėlė įtarimų, todėl jis prie savo paskyros jungėsi per atsakovės aplikaciją savo mobiliajame telefone, tačiau jam nepavyko prisijungti dėl autorizacijos klaidos. Tuomet ieškovas atnaujino paskyros slaptažodį, prisijungė prie savo paskyros per atsakovės mobiliąją aplikaciją savo telefone ir pastebėjo, kad iš jo sąskaitos buvo atliktos penkios mokėjimo operacijos, kurių ieškovas pats neinicijavo ir nedavė joms sutikimo. Paaiškino, kad valandą prieš ieškovui gaunant žinutę apie jo neinicijuotą slaptažodžio keitimą šis buvo prisijungęs prie atsakovės paskyros nešiojamu kompiuteriu ketindamas atlikti pavedimą į JAV. Šio veiksmo sėkmingai atlikti tuo metu jam nepavyko, nes naršyklės lange pasirodė užrašas, apie įvykusią autorizacijos veiksmo klaidą. Kai mokėjimo operacijos buvo inicijuotos, ieškovas buvo Egipte. Tik po to, kai atsakovė jo paprašė pateikti kompiuterio naršyklės išklotinę, paaiškėjo, kad ieškovas galėjo būti nukreiptas ne į tikrąjį atsakovės interneto puslapį, kuris buvo identiškas tikrajam atsakovės puslapiui. Ieškovas taip pat pažymėjo, kad šiam buvo išsiųsta SMS žinutė su unikaliu vienkartiniu prisijungimo prie paskyros iš kito įrenginio patvirtinimo kodu, kurį ieškovas suvedė suklastotame interneto puslapyje, kad galėtų prisijungti prie savo paskyros.

4.       Ieškovo nuomone, neautorizuotos mokėjimo operacijos buvo įvykdytos dėl nepakankamų atsakovės IT sistemų saugos sprendimų ar jų nebuvimo. Pažymėjo, kad 2021 m. gruodžio 28 d. iš gavėjo finansų įstaigos pavyko sugrąžinti dalį mokėjimo operacijų lėšų, tačiau likusi dalis – 6 596,19 Eur, ieškovui nebuvo sugrąžinta. Atsakovei nesutikus ieškovei grąžinti likusios 6 596,19 Eur sumos, ieškovas kreipėsi į Lietuvos Banką dėl vartojimo ginčo nagrinėjimo. (duomenys neskelbtini) sprendimu Lietuvos Bankas tenkino ieškovo reikalavimą ir rekomendavo atsakovei grąžinti ieškovui 6 596,19 Eur, tačiau atsakovė to nepadarė.

5.       Atsakovė atsiliepime į ieškinį su ieškiniu nesutiko, prašė jį atmesti kaip nepagrįstą. Nurodė, kad atlikusi vidinį tyrimą, atsakovė nustatė, kad pagrindinis IP adresas, iš kurio įprastai prie Paysera paskyros jungėsi ieškovas, yra (duomenys neskelbtini) (Lietuvos Respublika). Prie ieškovo paskyros užfiksuoti prisijungimai ir iš kitų neįprastų IP adresų: 2021 m. rugsėjo 24 d. 02:46:03 val. ir 02:48:13 val. iš IP adreso 83.36.189.156 (Ispanijos Karalystė); 2021 m. lapkričio 3 d. 10:37:04 val. iš IP adreso 41.33.56.98 (Egipto Arabų Respublikoje) 2021 m. lapkričio 3 d. 11:11:48 val. (Lietuvos Respublikos laiku) buvo pakeistas ieškovo sąskaitos mėnesio limitas ir padidintas iki 15 000 Eur. Kadangi tokio pobūdžio pakeitimai, siekiant apsaugoti pinigines lėšas nuo neteisėto piniginių lėšų pasisavinimo, įsigalioja tik po 12 valandų, apie šį sąskaitos limito pakeitimą ieškovas buvo informuotas jo paties nurodytu elektroninio pašto adresu (duomenys neskelbtini). Ieškovas telefonu patvirtino, kad pats inicijavo šį mėnesio limito savo sąskaitoje padidinimą. 2021 m. lapkričio 3 d. ieškovui buvo išsiųsta SMS žinutė Paysera sistemoje nurodytu telefono numeriu su unikaliu patvirtinimo kodu, skirtu slaptažodžio pakeitimui patvirtinti. Prisijungus prie Paysera paskyros iš IP adreso 41.33.56.98 Egipto Arabų Respublikoje, buvo pakeistas ieškovo paskyros slaptažodis. Elektroninio pašto adresu ieškovas buvo informuotas apie sėkmingai pakeistą slaptažodį. Ieškovas Lietuvos bankui patvirtino, kad pats atliko šiuos veiksmus. Atsižvelgiant į tai, jog ieškovas į aukščiau nurodytus pranešimus nesureagavo, atsakovė turėjo pagrindą manyti, jog visi iš IP adreso 41.33.56.98 Egipto Arabų Respublikoje atlikti veiksmai buvo atlikti paties ieškovo. Atkreipė dėmesį į tai, jog ieškinyje pateikiama tikrovės neatitinkanti informacija, kad ieškovas savo prisijungimo prie Payseros paskyros duomenis prarado, kai jungėsi URL laukelyje vesdamas atsakovės pavadinimo pirmas kelias raides ir paspaudęs vieną iš jam iššokusių nuorodų, pateko į suklastotą bendrovės svetainę www.paeyserra.com, tada joje suvedė savo prisijungimo prie paskyros duomenis bei SMS žinute gautą vienkartinį saugos kodą.

6.       Atsakovė, remdamasi vidaus tyrimo medžiaga ir išvadomis, nurodė, kad ieškovas 2021 m. lapkričio 4 d. prie Payseros paskyros mėgino prisijungti per Google naršyklės paieškos rezultatuose pagal įvestą bendrovės pavadinimą „paysera“ rastą suklastotą Payseros interneto svetainės adresą www.paeyserra.com (taigi į minėtą interneto svetainę patekusį dėl savo paties atliktų veiksmų, paspaudus netikros bendrovės interneto svetainės nuorodą Google naršyklės paieškos rezultatuose, gautuose pagal įvestą raktažodį „paysera“, o ne ten nukreiptą nežinomu būdu, kaip bandoma teismą suklaidinti ieškinyje); sukčių suklastotame bendrovės interneto puslapyje suvedė savo prisijungimo prie Payseros sistemos duomenis (elektroninio pašto adresą arba telefono numerį ir slaptažodį) ir taip savo prisijungimo duomenimis pasidalijo su sukčiavimo ataką organizavusiais asmenimis. Paaiškino, kad sukčiai suklastotoje bendrovės paskyroje į patvirtintą įrenginį SMS žinute gautą vienkartinį saugos kodą prašo suvesti jungiantis prie bendrovės paskyros (suvedant prisijungimo vardą, slaptažodį), nors jungiantis prie tikrosios bendrovės paskyros SMS žinute gautas kodas prašomas suvesti tik vėliau, jau esant prisijungus prie paskyros, tačiau dar negalint ja naudotis. Prisijungimas iš naujo įrenginio turi būti patvirtintas atliekant saugesnio autentifikavimo procedūrą. Pabrėžė, kad ieškovas aktyviai naudojosi Payseros paslaugomis, ką patvirtina ir jo ieškinyje nurodyta aplinkybė, kad ieškovas netgi dieną prieš galimai jo paties neinicijuotų piniginių lėšų pervedimą (2021 m. lapkričio 3 d.) atliko pinigų pervedimo operaciją.

7.       Atsakovės vertinimu, ieškovas, kaip vartotojas, aktyviai besinaudojantis bendrovės teikiamomis mokėjimo paslaugomis, turėjo būti rūpestingas ir apdairus bei pastebėti neatitikimus tiek tarp interneto svetainių adresų, tiek ir jų vizualizacijos / turinio. Jeigu ieškovas būtų buvęs tiek rūpestingas, kiek akivaizdžiai būtina esamomis aplinkybėmis (ypatingai šių dienų aktualijų kontekste, finansų įstaigoms įspėjant dėl galimo sukčiavimo atvejų) ir: 1) pirmame etape pastebėjęs neatitikimus tiek tarp interneto svetainių adresų, tiek ir jų vizualizacijos / turinio bei suklastotoje bendrovės interneto svetainėje www.paeyserra.com nesuvedęs savo prisijungimo duomenų; 2) antrame - nesuvedęs į jo mobilųjį telefoną SMS žinute gauto vienkartinio saugos kodo, kuriuo buvo patvirtintas prisijungimas prie ieškovo paskyros ir sąskaitos iš kito (naujo) įrenginio, - tretieji asmenys nebūtų turėję galimybės prisijungti prie ieškovo paskyros ir iš jo sąskaitos inicijuoti mokėjimo operacijų. Taip pat akcentavo, kad net jeigu ieškovas, būdamas nepakankamai atidus, ir neatkreipė dėmesio, kad suklastoto Paysera interneto puslapio adresas akivaizdžiai skyrėsi nuo tikrojo (https://bank.paysera.com/lt/login), jam turėjo sukelti įtarimų bendrovės SMS žinutė, kuria buvo prašoma patvirtinti prisijungimą prie paskyros iš naujo įrenginio. Todėl mano, kad visi nuostoliai dėl ieškovo vardu inicijuotų ir autorizuotų mokėjimo operacijų turėtų tekti ieškovui, juos patyrus ne dėl nepakankamų bendrovės IT sistemų saugos sprendimų ar jų nebuvimo, tačiau dėl jo paties didelio neatsargumo, pažeidus Mokėjimų įstatymo 34 straipsnio 1 dalyje ir Bendrosios mokėjimo paslaugų sutarties privatiems klientams 13.4 punkte nustatytas pareigas (Mokėjimų įstatymo 39 straipsnio 3 dalis).

8.       Taip pat nurodė, kad gavus nukentėjusiojo skundą pradėtas ikiteisminis tyrimas Nr. 01-1-40275-21, o duomenų, kad ikiteisminis tyrimas prokuroro nutarimu ar ikiteisminio tyrimo teisėjo nutartimi būtų nutrauktas, byloje nėra, todėl ieškovas kaip nukentėjusysis, dėl nusikalstamos veikos patyręs turtinę žalą, turi teisę ikiteisminio tyrimo metu pareikšti įtariamajam arba už įtariamojo veikas materialiai atsakingiems asmenims civilinį ieškinį, nagrinėtiną, užbaigus ikiteisminį tyrimą ir kaltinamąjį aktą kartu su visa bylos medžiaga prokurorui perdavus teismui, kuriam ta byla teisminga, kartu su baudžiamąją byla, teismui priimant nuosprendį.

9.       Teismo posėdyje ieškovas ieškinį palaikė. Paaiškino, kad jam viešint Egipte 2021 m. lapkričio 3 d. atliko mokėjimą, pasididino sąskaitos limitą ir ketino atlikti likusios sumos mokėjimą, tačiau prisijungti prie Payseros nepavyko, nes netiko kodas. Po 10 min. gavo pranešimą, kad slaptažodis pakeistas, nors jis to neinicijavo, bandė jungtis prie Payseros, bet netiko slaptažodis, todėl inicijavo slaptažodžio atnaujinimą. Tada pamatė, kad sąskaitos tuščios. Įprastai operacijas atlikdavo telefonu, bet to nepavykus bandė tai padaryti kompiuteriu. Iš karto informavo atsakovę. Į svetainės adresą neatkreipė dėmesio, nes rinko Payseros pavadinimą, esminių skirtumų tarp tikrosios ir suklastotos svetainės nemato ir šiandien. Tikslaus prisijungimo adreso neįvardino. Ieškovo atstovas nurodė, kad ikiteisminis tyrimas vis dar yra vykdomas, kalti asmenys nėra rasti, nukentėjusieji asmenys turi teisę išsiieškoti padarytą žalą iš kaltų asmenų. Atsakovė taip pat galėtų išsiieškoti žalos atlyginimą iš kaltų asmenų. Mano, kad atsakovė atsakinga ne dėl trečiųjų asmenų veiksmų, bet dėl to, kad ji nesiėmė veiksmų, kad iš Google paieškos sistemos būtų pašalinta nuoroda į suklastotą svetainę ir kad nesiėmė priemonių, kad būtų pakankamai apsaugoti ieškovo, kaip kliento, mokėjimo priemonių duomenys.

10.       Teismo posėdyje atsakovė su ieškiniu nesutiko, prašė atmesti kaip nepagrįstą. Laiko, kad ieškovo elgesys ir veiksmai, dėl kurių prarasti jo personalizuoti duomenys, buvo neatsargūs, suklastotos svetainės adresas neatitiko tikrosios, jam nereikėjo spausti pačios pirmos pasitaikiusios nuorodos. Ieškovas turėjo pastebėti neatitikimus tarp svetainių adresų, vizualizacijos, turinio, suprasti, kad dar nepatekus į bendrovės paskyrą vesdamas prisijungimo duomenis ir SMS žinute gautą vienkartinį saugos kodą, jis tvirtina prisijungimą prie savo paskyros būtent iš kito įrenginio, taip suteikdamas teisę valdyti sąskaitą. Ieškovas turi galimybę gauti savo alternatyvų reikalavimo patenkinimą iš kaltų asmenų ir turtinę žalą, patirtą dėl trečiųjų asmenų nusikalstamos veikos, todėl mano, kad atsakovė neturėtų būti įpareigota grąžinti neautorizuotų mokėjimo operacijų lėšas. Papildomai nurodė, kad ribojimo kaip patekti klientui į Payseros puslapį nėra, klientas suvedė teisingą raktažodį paieškos lauke, bet jam buvo pateikti ne visi teisingi paieškos rezultatai. Kliento paieškos rezultatas buvo pateiktas kaip reklama. Šiuo metu paieškos rezultatas su analogišku svetainės adresu atsakovės iniciatyva yra pašalintas, jo rasti nebegalima. Mano, kad Lietuvos bankas neįvertino ieškovo veiksmų kaip didelio neatsargumo.

II. Pirmosios instancijos teismo sprendimo esmė

11.       Vilniaus miesto apylinkės teismas 2022 m. gruodžio 28 d. sprendimu ieškovo ieškinį atmetė.

12.       Teismas nustatė, kad 2021 m. lapkričio 4 d. prisijungus prie ieškovo paskyros atsakovės valdomoje platformoje, iš ieškovo sąskaitos buvo atliktos penkios mokėjimo operacijos gavėjui K. K. (C. C.), kurių bendrą mokėjimo operacijų sumą sudarė – 10 550 Eur. Ieškovas 2021 m. lapkričio 4 d. telefonu kreipėsi į atsakovę ir pranešė, kad iš jo sąskaitos buvo atliktos penkios mokėjimo operacijos, kurių jis pats neinicijavo ir nedavė joms sutikimo. 2021 m. gruodžio 6 d. ieškovas kreipėsi į atsakovę prašydamas grąžinti jo neautorizuotų mokėjimo operacijų lėšas. Atsakovė 2021 m. lapkričio 5 d. kreipėsi į piniginių lėšų gavėjos C. C. finansų įstaigą N26 išsiųsdama SWIFT MT999 pranešimus bei elektroninį laišką dėl galimai neautorizuotų mokėjimo operacijų ir jų metu pervestų piniginių lėšų grąžinimo, ir 2021 m. gruodžio 28 d. į ieškovo sąskaitą grąžino 3 953,81 Eur, kuriuos pavyko sugrąžinti iš lėšų gavėjo finansų įstaigos. Likusios 6 596,19 Eur lėšų sumos atsakovė negrąžino.

13.       Teismas nurodė, kad Mokėjimų įstatymas aiškiai nustato, kad tuo atveju, kai mokėtojas neigia autorizavęs įvykdytą mokėjimo operaciją, mokėtojo mokėjimo paslaugų teikėjo arba atitinkamais atvejais mokėjimo inicijavimo paslaugos teikėjo užregistruotas mokėjimo priemonės naudojimas nebūtinai yra pakankamas įrodymas, kad mokėtojas autorizavo mokėjimo operaciją ar veikė nesąžiningai arba tyčia ar dėl didelio neatsargumo neįvykdė vienos ar kelių šio įstatymo 34 straipsnyje nustatytų pareigų. Mokėtojo mokėjimo paslaugų teikėjas ir atitinkamais atvejais mokėjimo inicijavimo paslaugos teikėjas turi pateikti įrodymų, kuriais patvirtinamas mokėtojo sukčiavimas arba didelis neatsargumas (Mokėjimų įstatymo 37 straipsnio 3 dalis). Iš sisteminio Mokėjimų įstatymo 34, 38, 39 straipsnių nuostatų aiškinimo spręstina, kad mokėtojo mokėjimo paslaugų teikėjas gali būti visiškai atleistas nuo pareigos grąžinti mokėtojui neautorizuotos mokėjimo operacijos sumą tik tuo atveju, jeigu pateikia įrodymų dėl mokėtojo sukčiavimo (nesąžiningumo arba tyčios) arba didelio neatsargumo (Mokėjimų įstatymo 37 straipsnio 3 dalis ir 39 straipsnio 3 dalis). Teismas pažymėjo, kad aplinkybių ir duomenų, kaip ir šalių ginčo dėl to, kad ieškovas galėjo veikti nesąžiningai arba tyčia – nėra, o tai reiškia, kad, siekiant įvertinti, ar atsakovė pagrįstai atsisako kompensuoti ieškovo nuostolius, susijusius su mokėjimo operacijų įvykdymu, ir ar galėtų ieškovo atžvilgiu būtina nustatyti, ar ieškovo elgesys, atskleidžiant personalizuotus jam išduotų mokėjimo priemonių požymius, taip pat kiti veiksmai, dėl kurių galėjo būti įvykdytos mokėjimo operacijos, vertintini kaip didelis ieškovo neatsargumas, dėl kurio visi jo reikalaujami atlyginti nuostoliai turėtų tekti pačiam ieškovui. Remiantis pirmiau minėtų Mokėjimų įstatymo nuostatomis, mokėtojui tenka visi dėl neautorizuotų mokėjimo operacijų atsiradę nuostoliai tik tuo atveju, jei tenkinamos abi sąlygos, t. y. mokėtojas ne tik neįvykdo vienos ar kelių jam Mokėjimų įstatyme nustatytų pareigų, bet ir padaro tai elgdamasis nesąžiningai, tyčia arba būdamas labai neatsargus.

14.       Pažymėjo, kad Kasacinis teismas yra išaiškinęs, kas galėtų būti laikoma dideliu neatsargumu, teikiant mokėjimo paslaugas: „Teisėjų kolegija nurodo, kad ieškovas suprato arba turėjo suprasti, kad jam atsakovės suteikti slapti ir tik jam žinomi prisijungimo prie sąskaitų duomenys apsaugo jo sąskaitas. Jų atskleidimas tretiesiems asmenims, juo labiau neidentifikuotiems telefoniniu ryšiu, pažeidė sąskaitų apsaugą ir sudarė galimybę tretiesiems asmenims pasinaudoti sąskaitose esančiais pinigais, todėl personalizuotų (slaptų, žinomų tik vartotojui) prisijungimo prie sąskaitų duomenų atskleidimas telefoniniu ryšiu tretiesiems asmenims rodo ne tik ieškovo neteisėtus, pažeidžiančius sutarties sąlygas veiksmus (Mokėjimų įstatymo 25 straipsnis), bet ir neprotingą, išskirtinai nerūpestingą elgesį, kuris kvalifikuotinas kaip didelis neatsargumas, lėmęs pinigų iš jo sąskaitų pervedimą tretiesiems asmenims. Todėl jam tenka visi dėl neautorizuotų mokėjimo operacijų atsiradę nuostoliai (Mokėjimų įstatymo 30 straipsnio 2 dalis).“ 

15.       Kriterijai, į kuriuos reikėtų atsižvelgti vertinant kaltės laipsnį, yra iš dalies suformuluoti Antrosios mokėjimo paslaugų direktyvos preambulės 72 punkte: „Siekiant įvertinti galimą mokėjimo paslaugų vartotojo aplaidumą ar didelį aplaidumą, reikėtų atsižvelgti į visas aplinkybes. Įtariamo aplaidumo įrodymai ir laipsnis paprastai turėtų būti vertinami pagal nacionalinę teisę. Tačiau nors aplaidumo sąvoka reiškia, kad pažeidžiamas įsipareigojimas elgtis rūpestingai, didelis aplaidumas turėtų reikšti daugiau nei vien aplaidumą ir apimti labai nerūpestingą elgesį; pavyzdžiui, tai būtų mokėjimo operacijos autorizavimui naudojamų saugumo požymių laikymas prie mokėjimo priemonės atviru ir trečiosioms šalims lengvai atskleidžiamu formatu.“ (Lietuvos Aukščiausiojo Teismo Civilinių bylų skyriaus 2017 m. gegužės 9 d. nutartis civilinėje byloje Nr. 3K-222-219/2017).

16.       Teismas siekdamas nustatyti, ar ieškovo elgesys šiuo atveju gali būti laikomas dideliu neatsargumu, vertino šiuos aspektus: paties ieškovo elgesį, suvedant savo mokėjimo priemonės personalizuotus saugumo duomenis suklastotame interneto puslapyje (www.paeyserra.com), bei pasitikint į telefoną gautame SMS pranešime esančiu nurodymu suvesti vienkartinį saugos kodą, kurio reikalaujama patvirtinti prisijungimą prie paskyros iš naujo įrenginio, taip pat atsakovės veiksmus, kurių ji ėmėsi ir imasi tam, kad mokėjimo paslaugos elektroninėje erdvėje būtų teikiamos saugiai (kreipėsi dėl suklastotos svetainės pašalinimo iš Google naršyklės paieškos rezultatų suvedant į paieškos laukelį raktažodį „paysera“).

17.       Šiuo atveju nustatyta, kad ieškovui nekilo įtarimų ne tik pirmajame žingsnyje – t. y. patekus į suklastotą atsakovės puslapį (kuriame nors ir nežymiai, bet nesutapo tikrosios ir suklastotos svetainės puslapio vaizdas ir pats atsakovės interneto adresas suklastotoje svetainėje buvo nurodytas su klaida - „www.paeyserra.com“), bet ir sekančiame žingsnyje – suklastotoje svetainėje suvedant SMS pranešimu atsiųstą unikalų vienkartinį saugos kodą, kurio paprastai atliekant pavedimus Payseroje ieškovas negaudavo ir kuriuo patvirtino prisijungimą iš kito įrenginio prie ieškovo paskyros ir sąskaitos. Vertinant atsakovės veiksmus, teismas pažymėjo, kad ginčo šalių sutartinių santykių neatskiriama dalimi esančios atsakovės Bendrosios mokėjimo paslaugų sutarties privatiems klientams nuostatose nėra paaiškinama vienkartinio saugos kodo suvedimo reikšmė mokėjimo operacijų vykdymo procese ir jo panaudojimo galimos pasekmės klientui. Taigi, ginčo byloje nėra duomenų, kad ieškovas būtų buvęs kokiu nors būdu tinkamai supažindintas su informacija, kokius veiksmus, suvesdamas vienkartinį saugos kodą, klientas gali atlikti ir kokie veiksmai bei kokiais atvejais, naudojantis šia tapatybės patvirtinimo priemone ir suvedant jį, sukelia atitinkamas teisines pasekmes. Kita vertus, teismas neabejojo, kad vartotojai, naudodamiesi mokėjimo paslaugomis elektroninėje erdvėje, taip pat privalo paisyti saugaus elgesio rekomendacijų ir, pagrįstai tikėdamiesi aukšto profesionalumo, rūpestingumo ir atidumo standartus atitinkančio mokėjimo paslaugų teikėjo elgesio, patys turi būti apdairūs, atidūs ir sąmoningi, nes vartotojų lėšų ir atliekamų mokėjimo operacijų, kaip ir kitų elektroninėje erdvėje teikiamų mokėjimo paslaugų, saugumas priklauso ir nuo tinkamo bei atidaus mokėjimo paslaugų vartotojo pareigų, susijusių su mokėjimo priemonių naudojimu, vykdymo.

18.       Teismas, remiantis bylos duomenimis, nustatė, kad ieškovas yra aktyvus Paysera naudotojas nuo 2016 m. birželio 2 d., todėl negalima teigti, kad ieškovas su vienkartiniu saugos kodu, siunčiamu SMS pranešimu, nebuvo susidūręs anksčiau. Pažymėjo, kad ieškovas ieškinyje pats patvirtino, kad gavo SMS žinutę su vienkartiniu prisijungimo prie paskyros iš kito įrenginio patvirtinimo kodu, taigi jam buvo žinoma vienkartinio saugos kodo paskirtis – patvirtinti prisijungimą prie kliento paskyros iš kito įrenginio, o teismo posėdyje paaiškino, kad vienkartinį saugos kodą suvedė suklastotame interneto puslapyje, tačiau jam nekilo abejonių dėl to, kad prie jo paskyros jungiamasi iš jam nežinomo įrenginio. Ieškovo teiginius, kad papildoma autentifikavimo procedūra yra įprastinis veiksmas, kurį ieškovas, kaip vartotojas, atlieka siekdamas internetu valdyti savo sąskaitą atsakovės platformoje, teismas vertino kritiškai, kadangi įprastai klientui jungiantis prie savo paskyros iš bendrovei pažįstamo įrenginio SMS žinute gautas vienkartinis saugos kodas nesiunčiamas. Akcentavo, kad ieškovas patvirtino, jog atliko 2021 m. lapkričio 3 d. sąskaitos limito padidinimo veiksmus, taip pat inicijavo 2021 m. lapkričio 3 d. slaptažodžio pakeitimą viešėdamas Egipte. Remiantis tuo kas išdėstyta, teismas priėjo prie išvados, kad jeigu ieškovas būtų įvertinęs, kad prašoma patvirtinimo dėl prisijungimo prie jo paskyros iš bendrovei nepažįstamo įrenginio, jau tada būtų pastebėjęs, kad jam nebuvo reikalingumo suvesti kodą, nes jis jungėsi iš atsakovei jau pažįstamo įrenginio, iš kurio jau yra jungęsis prie savo paskyros, ir, tikėtina, būtų susilaikęs nuo tolimesnių veiksmų ir nesudaręs galimybės tretiesiems asmenims prisijungti prie tikrosios ieškovo paskyros bei suformuoti mokėjimo pavedimo. 

19.       Nurodė, kad Bendrosios mokėjimo paslaugų sutarties privatiems klientams taisyklių 13.4 punkte įtvirtinta, klientas įsipareigoja apsaugoti ir neatskleisti bet kokių pagal šią sutartį jo paties sukurtų ar jam suteiktų slaptažodžių ar kitokių mokėjimo priemonių personalizuotų saugumo požymių tretiesiems asmenims ir neleisti kitiems asmenims naudotis paslaugomis kliento vardu. Jei klientas nesilaiko šio įsipareigojimo ir (arba) galėjo, bet neužkirto tam kelio ir (arba) tokius veiksmus atliko tyčia ar dėl didelio savo neatsargumo, Klientas pilna apimtimi prisiima dėl to patirtus nuostolius bei įsipareigoja atlyginti kitų asmenų patirtus nuostolius, jei jie buvo patirti dėl kliento nurodytų veiksmų ar neveikimo. Teismas pažymėjo, kad ginčo byloje nėra duomenų apie tai, kad ieškovas būtų buvęs nesupažindintas su šiomis sąlygomis ar kad būtų jų nesupratęs. Taigi, ieškovas iš esmės turėjo suprasti, kad personalizuotų duomenų suvedimas, įskaitant ir SMS žinute gautą vienkartinį saugos kodą, yra skirtas prisijungimui prie ieškovo sąskaitos patvirtinti ir kad šių duomenų naudojimas iš esmės neturint tikslo atlikti jokių veiksmų savo paskyroje iš bendrovei nepažįstamo įrenginio gali lemti tam tikras teisines pasekmes, šiuo atveju - neautorizuotų mokėjimo operacijų iš jo sąskaitos įvykdymą.

20.       Teismo vertinimu, jeigu ieškovas būtų buvęs pakankamai atidus ir rūpestingas savo su mokėjimo priemone atliekamų veiksmų atžvilgiu, jis būtų galėjęs pastebėti trečiųjų asmenų neteisėtus veiksmus ir tikėtina, jog būtų išvengęs neautorizuotų mokėjimo operacijų iš savo sąskaitos įvykdymo. Tačiau šiuo atveju ieškovas elgėsi nerūpestingai, toliau vykdė trečiųjų asmenų jam pateiktus nurodymus ir netgi neturėdamas tikslo atlikti jokių veiksmų savo paskyroje iš kito bendrovei nepažįstamo įrenginio nesusilaikė nuo tolesnių veiksmų, laiku nesikreipė į bendrovę ir nepranešė bendrovei apie galimus neteisėtus trečiųjų asmenų veiksmus jo paskyroje, o priešingai, vykdė visus jam trečiųjų asmenų pateiktus nurodymus. Ieškovo elgesys, kada į bendrovę buvo kreipiamasi tik suvedus prisijungimo duomenis suklastotoje svetainėje ir papildomai įvedus vienkartinį saugos kodą, kuris reikalingas patvirtinti prisijungimą prie paskyros iš nepažįstamo įrenginio, teismo vertinimu, pripažintinas kaip elgesys, iš esmės besiskiriantis nuo atsargaus elgesio reikalavimų, kuris galiausiai ir lėmė, kad tretieji asmenys įgijo galimybę ieškovo vardu inicijuoti mokėjimo operacijas. Todėl teismas sprendė, kad ieškovas iki mokėjimo operacijų įvykdymo galėjo pastebėti, jog jo mokėjimo priemonę pasisavino tretieji asmenys, todėl šio elgesys laikytinas labai neatsargiu, kas iš esmės ir lėmė neautorizuotų mokėjimo operacijų iš ieškovo sąskaitos įvykdymą, dėl ko teismas konstatavo, kad ieškovo reikalavimas atsakovei grąžinti neautorizuotų mokėjimo operacijų lėšų sumą yra nepagrįstas ir atmestinas.

III. Apeliacinio skundo ir atsiliepimo į jį argumentai

21.       Ieškovas R. T. (toliau – apeliantas) apeliaciniu skundu prašo Vilniaus miesto apylinkės teismo 2022 m. gruodžio 28 d. sprendimą panaikinti ir priimti naują sprendimą – ieškinį tenkinti bei priteisti patirtas bylinėjimosi išlaidas.

21.1.                      Apeliantas nesutinka su pirmosios instancijos teismo vertinimu, kad ieškovo neatsargumui nustatyti pakako fakto, kad siekdamas prisijungti prie atsakovės valdomos platformos kompiuteriu, kuriuo anksc?iau jau prie s?ios platformos buvo junge?sis, i?vede? SMS z?inute gauta? vienkartini? koda?, kuris i?prastai reikalaujamas iš i?renginio prie atsakove?s valdomos platformos jungiantis tik pirma? karta?. Pažymi, kad atsakove?s Bendrosiose moke?jimo paslaugu? sutarties privatiems klientams sa?lygose ne?ra reglamentuota vienkartinio saugos kodo naudojimo tvarka, nenurodyti atvejai, kada toks kodas yra reikalaujamas, is? ko seka, jog atsakove? net nebuvo tinkamai informavusi ies?kovo apie vienkartinio apsaugos kodo naudojimo esme? ir šią aplinkybę pirmosios instancijos teismas buvo nustatęs, tačiau visgi nusprendė priešingai.

21.2.                      Paaiškina, kad diena? pries? s?ioje byloje aptariamas aplinkybes ies?kovas keite? savo prisijungimo prie paskyros slaptaz?odi? ir tokiam veiksmui patvirtinti jam taip pat jo telefono numeriu buvo atsiu?sta SMS z?inute? su vienkartiniu apsaugos kodu, kuri? jis suvede? tam, kad pakeistu? prisijungimo prie savo paskyros slaptaz?odi?. Tode?l ies?kovas gale?jo visis?kai pagri?stai manyti, kad ir s?i? karta? SMS z?inute? jam buvo atsiu?sta tam, kad gale?tu? patvirtinti prisijungima? prie paskyros ir šios aplinkybe?s le?me?, jog ies?kovui nekilo jokiu? i?tarimu?, kad jis gale?jo tapti trec?iu?ju? asmenu? neteise?tu? veiksmu? auka.

21.3.                      Teigia, kad teismas nevertino aplinkybių, kurios iš esmės ir nulėmė neautorizuotų mokėjimo operacijų įvykdymą, t. y. jog trec?iu?ju? asmenu? sukurta schema buvo itin sofistikuota, kas tiesiogiai ir nule?me?, jog ies?kovas objektyviai negale?jo suvokti, kad tretieji asmenys jo atz?vilgiu vykdo neteise?tus veiksmus (svetainės identiškumo; fakto, jog nepaisant to, kad ies?kovas i? „Google“ paies?kos lauka? be klaidu? i?vede? atsakove?s pavadinima? („Paysera“), tac?iau vis tiek buvo nukreiptas ne i? originalia? atsakove?s, o trec?iu?ju? asmenu? suklastota? internetine? svetaine?). Taip pat aplinkybių, kad atsakove? ture?dama visas galimybes kontroliuoti „Google“ svetaine?je pasirodanc?ius paies?kos rezultatus, rodomus interneto naudotojui i? paies?kos lauka? i?vedant „Paysera“, iki byloje nagrine?jamu? aplinkybiu? nesie?me? visis?kai jokiu? veiksmu?, kad sukc?iu? suklastota svetaine? www.paeyserra.com bu?tu? pas?alinta is? „Google“ paies?kos sistemos suvedus z?odi? „Paysera“; ieškovas prisijungima? prie atsakovės valdomos platformos ies?kovas vykde? bu?damas Egipte, todėl ies?kovui nekilo i?tarimo de?l vienkartinio apsaugos kodo i?vedimo, kadangi ies?kovas suvoke?, jog bu?damas uz?sienyje jungiasi is? naujo IP adreso ir pamane?, jog galbu?t tai ir le?me? papildomos autorizacijos bu?tinybe?.

21.4.                      Pažymi, kad pirmosios instancijos teismas savo sprendime nieko nepasisakė dėl Lietuvos Banko sprendimo, kuriuo konstatuota, jog ieškovo elgesys nagrinėjamu atveju negali būti laikomas veikimu didelio neatsargumo sąlygomis. Pažymi, kad supranta, jog Lietuvos banko priimtas sprendimas yra rekomendacinio pobu?dz?io ir nesaisto pirmosios instancijos teismo priimti toki? pat galutini? procesini? sprendima?, tac?iau, ies?kovo i?sitikinimu, priimdamas pries?inga? sprendima?, nei buvo prie?me?s Lietuvos bankas, pirmosios instancijos teismas privale?jo pagri?stai ir motyvuotai paneigti ikiteisminio ginc?o nagrine?jimo organo nustatytas aplinkybes bei pateiktus is?ais?kinimus, tačiau nieko nepasisakė.

22.       Atsakovė UAB „Paysera“ atsiliepimu į apeliacinį skundą prašo Vilniaus miesto 2022 m. gruodžio 28 d. sprendimą palikti nepakeistą ir skundą atmesti.

22.1.                      Nurodo, kad Bendrosios mokėjimo paslaugų sutarties 5.1 punktas numato, kad klientas Paysera Sa?skaita? gali valdyti internetu, prisijunge?s prie savo paskyros savo prisijungimo vardu ir slaptaz?odz?iu bei atlike?s papildomo prisijungimo (saugesnio autentis?kumo patvirtinimo) procedu?ra?. Taigi mine?ta sutartine? nuostata leidz?ia teigti, kad ies?kovui ture?jo bu?ti z?inoma, jog SMS z?inute gautas vienkartinis saugos kodas yra skirtas tam, kad bu?tu? patvirtintas prisijungimas prie jo paskyros bei sa?skaitos. Tode?l i?vertinus tai, jog: 1) ies?kovas savo prisijungimo prie paskyros duomenis prarado juos suvede?s i? sukc?iu? suklastota? svetaine? www.paeyserra.com; 2) bendrove?s tikrosios interneto svetaine?s adresas akivaizdz?iai skyre?si nuo sukc?iu? suklastotos; 3) ies?kovas, registruodamasis bendrove?s valdomoje sistemoje ir sudarydamas bendrosios mokėjimo paslaugų sutartį, susipaz?ino su sutarties ir jos priedu? sa?lygomis, taigi ne?ra pagrindo teigti, jog sutarties 5.1 punkto sa?lyga jam buvo nez?inoma; 4) ies?kovas iki 2021 m. lapkric?io 4 d. i?vykio bendrove?s paslaugomis naudojosi daugiau nei penkerius metus (nuo 2016 m. birz?elio 2 d.), taigi ture?jo ilgamete? patirti?. Ies?kovas, paspausdamas nuoroda? www.paeyserra.com ir atidarytoje sukc?iu? suklastotoje bendrove?s svetaine?je suvesdamas prisijungimo prie paskyros duomenis ir SMS z?inute gauta? vienkartini? saugos koda?, ture?jo suprasti, kad tvirtina prisijungima? prie savo paskyros is? bendrovei nepaz?i?stamo i?renginio ir taip suteikia teise? valdyti paskyra?, kartu ir vykdyti moke?jimo operacijas.

22.2.                      Pažymi, kad iš byloje nustatytų ir įvertinų aplinkybių visumos matosi, jog nepriklausomai nuo trec?iu?ju? asmenu? sukurtos schemos lygmens personalizuotu? saugos duomenu? praradima? le?me? paties ies?kovo labai neatsargus (aplaidus) elgesys ieškovu suteikus galimybe? tretiesiems asmenims prisijungti prie ies?kovo paskyros ir i?vykdyti moke?jimo operacijas. Atsakovė taip pat paaiškina, kad ji e?me?si veiksmu?, kad suklastotos bendrove?s paskyros nuoroda bu?tu? pas?alinta is? Google paies?kos sistemos (kita vertus, laiko tarpas, per kuri? tokia uz?klausa i?vykdoma, nuo atsakove?s nepriklauso) - s?iuo metu toks paies?kos rezultatas yra neprieinamas.

22.3.                      Taip pat akcentuoja, kad Lietuvos Banko sprendimas teismui ne?ra privalomas ir teismo sprendimas turi bu?ti vertinamas pagal vidini? teismo i?sitikinima? kartu su kitais byloje esanc?iais i?rodymais, kuo šioje byloje ir buvo remtasi.

Teisėjų kolegija

konstatuoja :

IV. Apeliacinės instancijos teismo nustatytos bylos aplinkybės, teisiniai argumentai ir išvados

23.       Bylos nagrinėjimo apeliacine tvarka ribas sudaro apeliacinio skundo faktinis ir teisinis pagrindas bei absoliučių sprendimo negaliojimo pagrindų patikrinimas (CPK 320 straipsnio 1 dalis). Apeliacinės instancijos teismas bylą nagrinėja neperžengdamas apeliaciniame skunde nustatytų ribų, išskyrus kai to reikalauja viešasis interesas (CPK 320 straipsnio 2 dalis). Taip pat apeliacinės instancijos teismas, neatsižvelgdamas į apeliacinio skundo motyvus bei reikalavimus, ex officio (pagal pareigas) patikrina, ar nėra CPK 329 straipsnio 2 dalyje ir 3 dalyje nurodytų absoliučių sprendimo negaliojimo pagrindų.

24.       Teisėjų kolegija, išnagrinėjusi bylą, absoliučių sprendimo negaliojimo pagrindų, nurodytų CPK 329 straipsnio 2 dalies 1–7 punktuose, nenustatė.

25.       Apeliacijos objektą sudaro Vilniaus miesto apylinkės teismo 2022 m. gruodžio 28 d. sprendimo, kuriuo buvo atmestas ieškovo R. T. ieškinys atsakovei UAB „Paysera“ dėl neautorizuotų mokėjimo operacijų lėšų grąžinimo teisėtumo ir pagrįstumo patikrinimas.

Dėl faktinių bylos aplinkybių

26.       Bylos duomenimis nustatyta, kad 2021 m. lapkričio 4 d. prisijungus prie ieškovo paskyros atsakovės valdomoje platformoje, iš ieškovo sąskaitos buvo atliktos penkios mokėjimo operacijos gavėjui K. K. (C. C.): 12:45:47 val. 3 000 Eur; 12:46:14 val. 3 000 Eur; 12:47:34 val. 1 030 Eur; 12:56:13 val. 3 400 Eur; 13:05:01 val. 120 Eur (Bendra mokėjimo operacijų suma – 10 550 Eur. Ieškovas 2021 m. lapkričio 4 d. 13:14:46 val. telefonu kreipėsi į atsakovę ir pranešė, kad iš jo sąskaitos buvo atliktos penkios mokėjimo operacijos, kurių jis pats neinicijavo ir nedavė joms sutikimo. 2021 m. gruodžio 6 d. ieškovas kreipėsi į atsakovę prašydamas grąžinti jo neautorizuotų mokėjimo operacijų lėšas.

27.       Atsakovė 2021 m. lapkričio 5 d. 03:39:33 val. kreipėsi į piniginių lėšų gavėjos C. C. finansų įstaigą N26 išsiųsdama SWIFT MT999 pranešimus bei elektroninį laišką dėl galimai neautorizuotų mokėjimo operacijų ir jų metu pervestų piniginių lėšų grąžinimo, ir 2021 m. gruodžio 28 d. į ieškovo sąskaitą grąžino 3 953,81 Eur, kuriuos pavyko sugrąžinti iš lėšų gavėjo finansų įstaigos. Likusios 6 596,19 Eur lėšų sumos atsakovė negrąžino.

28.       Lietuvos banko Teise?s ir licencijavimo departamento direktoriaus (duomenys neskelbtini) sprendimu tenkino ies?kovo reikalavima? ir rekomendavo atsakovei gra?z?inti ies?kovui 6 596,19 Eur.

29.       Šalių ginčas kilo dėl atsakovės atsisakymo grąžinti ieškovui jo vardu atsakovės bendrovėje atidarytoje sąskaitoje atliktų mokėjimo operacijų lėšas, iš viso 6 596,19 Eur, nes šios iš esmės nesutaria dėl aplinkybių, lėmusių tai, kad tretieji asmenys galėjo įgyti ieškovo mokėjimo priemonę ir ja naudotis kaip sava, t. y. iš ieškovo sąskaitos inicijuoti mokėjimo operacijas.

Dėl prarastų lėšų grąžinimo

30.       Apeliantas teigia, kad pirmosios instancijos teismas nepagrįstai priėjo prie išvados, jog jis buvo neatsargus naudodamasis teikiamomis paslaugomis. Nurodė, kad teismas neįvertino visų bylos aplinkybių, t. y. nevertino atsakovės veiksmų dėl susiklosčiusios situacijos.

31.       Mokėjimo paslaugų teikėjų veiklą ir atsakomybę, mokėjimo paslaugas, jų teikimo sąlygas ir informavimo apie šias sąlygas reikalavimus, mokėjimo operacijų autorizavimą ir vykdymą, mokėjimo paslaugų vartotojų ir mokėjimo paslaugų teikėjų teises ir pareigas, susijusias su mokėjimo paslaugomis, kai mokėjimo paslaugų teikimas yra verslas, reglamentuoja Mokėjimų įstatymas. Šio įstatymo 29 straipsnio 1 dalis numato, jog mokėjimo operacija laikoma autorizuota tik tada, kai mokėtojas duoda sutikimą įvykdyti mokėjimo operaciją. Mokėtojas gali duoti sutikimą įvykdyti vieną arba kelias mokėjimo operacijas. Mokėtojas ir jo mokėjimo paslaugų teikėjas turi susitarti dėl sutikimo įvykdyti mokėjimo operaciją davimo formos ir tvarkos. To paties straipsnio 2 dalis nurodo, kad jeigu mokėtojo sutikimo įvykdyti mokėjimo operaciją nėra, laikoma, kad mokėjimo operacija yra neautorizuota.

32.       Mokėjimų įstatymo 37 straipsnio 1 dalyje nustatyta, kad jei mokėtojas neigia autorizavęs įvykdytą mokėjimo operaciją arba teigia, kad mokėjimo operacija buvo įvykdyta netinkamai, jo mokėjimo paslaugų teikėjas turi įrodyti, kad mokėjimo operacijos autentiškumas buvo patvirtintas, ji buvo tinkamai užregistruota, įrašyta į sąskaitas ir jos nepaveikė techniniai trikdžiai arba kiti mokėjimo paslaugų teikėjo teikiamos paslaugos trūkumai. Tai suponuoja, kad mokėtojas neprivalo įrodyti, jog pats neautorizavo mokėjimo operacijų. Mokėtojui nurodžius, kad operacijų neautorizavo, pareiga įrodyti, kad mokėjimo operacijos buvo tinkamai autorizuotas, kyla būtent mokėjimo paslaugų teikėjui.

33.       Vadovaujantis Mokėjimų įstatymo 37 straipsnio 3 dalimi, kai mokėtojas neigia autorizavęs įvykdytą mokėjimo operaciją, mokėtojo mokėjimo paslaugų teikėjo arba atitinkamais atvejais mokėjimo inicijavimo paslaugos teikėjo užregistruotas mokėjimo priemonės naudojimas nebūtinai yra pakankamas įrodymas, kad mokėtojas autorizavo mokėjimo operaciją ar veikė nesąžiningai arba tyčia ar dėl didelio neatsargumo neįvykdė vienos ar kelių šio įstatymo 34 straipsnyje nustatytų pareigų. Mokėtojo mokėjimo paslaugų teikėjas ir atitinkamais atvejais mokėjimo inicijavimo paslaugos teikėjas turi pateikti įrodymų, kuriais patvirtinamas mokėtojo sukčiavimas arba didelis neatsargumas.

34.       Mokėjimų įstatymo 39 straipsnio 3 dalyje nustatyta, kad mokėtojui tenka visi dėl neautorizuotų mokėjimo operacijų atsiradę nuostoliai, jeigu jis juos patyrė veikdamas nesąžiningai arba tyčia ar dėl didelio neatsargumo neįvykdęs vienos ar kelių šio įstatymo 34 straipsnyje nustatytų pareigų. Tokiais atvejais šio straipsnio 1 dalyje nustatytas didžiausios nuostolių sumos ribojimas netaikomas. Mokėjimų įstatymo 34 straipsnyje nustatytos šios mokėjimo paslaugų vartotojo, turinčio teisę naudotis mokėjimo priemone, pareigos: 1) naudotis mokėjimo priemone pagal mokėjimo priemonės išdavimą ir naudojimą reglamentuojančias sąlygas; 2) sužinojus apie mokėjimo priemonės praradimą, vagystę arba neteisėtą pasisavinimą ar neautorizuotą jos naudojimą, nedelsiant apie tai pranešti mokėjimo paslaugų teikėjui arba jo nurodytam subjektui. Mokėjimo paslaugų vartotojas, gavęs mokėjimo priemonę, privalo imtis veiksmų, kad būtų apsaugoti personalizuoti saugumo duomenys (Mokėjimų įstatymo 34 straipsnio 2 dalis). Taigi, net apeliantui teigiant šis neautorizavo mokėjimo operacijų, atsakovės atsakomybė nėra absoliuti.

35.       Kasacinis teismas yra išaiškinęs, kad didelis neatsargumas, kaip kaltės forma, pasireiškia neprotingu arba išskirtiniu rūpestingumo nebuvimu, kai asmuo nėra tiek rūpestingas, kiek akivaizdžiai būtina esamomis aplinkybėmis (Lietuvos Aukščiausiojo Teismo 2017 m. balandžio 13 d. nutartis civilinėje byloje Nr. e3K-3-180-378/2017).  Tai reiškia, kad išvada dėl mokėtojo elgesio vertinimo kaip neatsargaus ar labai neatsargaus dėl neautorizuotos (-mokėjimo operacijos darytina kiekvienu konkrečiu atveju, įvertinus ginčo nagrinėjimo metu nustatytų individualių, specifinių aplinkybių visumą, kurią patvirtina ginčo byloje esantys įrodymai arba yra šalių neginčijamos neautorizuotos mokėjimo operacijos įvykdymo aplinkybės.

36.       Pažymėtina, kad ieškovui tiek įstatymų, tiek sutarties pagrindu kilo pareiga imtis veiksmų, kad būtų apsaugoti jo duomenys. Mokėtojo pareigą saugoti savo duomenis numato Mokėjimų 34 straipsnio 2 dalis, kurioje nustatyta, kad mokėjimo paslaugų vartotojas, gavęs mokėjimo priemonę, privalo imtis veiksmų, kad būtų apsaugoti mokėjimo priemonės personalizuoti saugumo požymiai. Mokėjimų įstatymo 34 straipsnio 1 dalis numato, kad mokėjimo paslaugų vartotojas turi naudotis mokėjimo priemone pagal mokėjimo priemonės išdavimą ir naudojimą reglamentuojančias sąlygas. 

37.       Vadovaujantis Bendrosios mokėjimo paslaugų sutarties privatiems klientams taisyklių 13.4 punktu, klientas įsipareigoja apsaugoti ir neatskleisti bet kokių pagal šią sutartį jo paties sukurtų ar jam suteiktų slaptažodžių ar kitokių mokėjimo priemonių personalizuotų saugumo požymių tretiesiems asmenims ir neleisti kitiems asmenims naudotis paslaugomis kliento vardu. Jei klientas nesilaiko šio įsipareigojimo ir (arba) galėjo, bet neužkirto tam kelio ir (arba) tokius veiksmus atliko tyčia ar dėl didelio savo neatsargumo, klientas pilna apimtimi prisiima dėl to patirtus nuostolius bei įsipareigoja atlyginti kitų asmenų patirtus nuostolius, jei jie buvo patirti dėl kliento nurodytų veiksmų ar neveikimo.

38.       Pirmosios instancijos teismas įvertinęs bylos aplinkybes priėjo prie išvados, kad ieškovas elgėsi nerūpestingai. ieškovo elgesys, kada į bendrovę buvo kreipiamasi tik suvedus prisijungimo duomenis suklastotoje svetainėje ir papildomai įvedus vienkartinį saugos kodą, kuris reikalingas patvirtinti prisijungimą prie paskyros iš nepažįstamo įrenginio, teismo vertinimu, pripažintinas kaip elgesys, iš esmės besiskiriantis nuo atsargaus elgesio reikalavimų, kuris galiausiai ir lėmė, kad tretieji asmenys įgijo galimybę ieškovo vardu inicijuoti mokėjimo operacijas. Todėl teismas sprendė, kad ieškovas iki mokėjimo operacijų įvykdymo galėjo pastebėti, jog jo mokėjimo priemonę pasisavino tretieji asmenys, todėl šio elgesys laikytinas labai neatsargiu, kas iš esmės ir lėmė neautorizuotų mokėjimo operacijų iš ieškovo sąskaitos įvykdymą. Teisėjų kolegija sprendžia, kad pirmosios instancijos teismas nepagrįstai įžvelgė ieškovo didelį neatsargumą šio veiksmuose.

39.       Kaip teisingai nurodė pirmosios instancijos teismas, vertinant ieškovo elgesį, svarbu nustatyti, kaip ieškovas buvo įtikintas atskleisti savo mokėjimo priemonės personalizuotus saugos duomenis tretiesiems asmenims tam, kad būtų inicijuoti ginčijami mokėjimai. Svarbu tai, kad ieškovui nekilo įtarimų ne tik pirmajame žingsnyje – t. y. patekus į suklastotą atsakovės puslapį (kuriame nors ir nežymiai, bet nesutapo tikrosios ir suklastotos svetainės puslapio vaizdas ir pats atsakovės interneto adresas suklastotoje svetainėje buvo nurodytas su klaida – „www.paeyserra.com“), bet ir sekančiame žingsnyje – suklastotoje svetainėje suvedant SMS pranešimu atsiųstą unikalų vienkartinį saugos kodą, kurio paprastai atliekant pavedimus Payseroje ieškovas negaudavo ir kuriuo patvirtino prisijungimą iš kito įrenginio prie ieškovo paskyros ir sąskaitos. Šioje vietoje atkreiptinas dėmesys į tai, pirmosios instancijos teismas teisingai pažymėjo, jog ginčo šalių sutartinių santykių neatskiriama dalimi esančios atsakovės Bendrosios mokėjimo paslaugų sutarties privatiems klientams nuostatose nėra paaiškinama vienkartinio saugos kodo suvedimo reikšmė mokėjimo operacijų vykdymo procese ir jo panaudojimo galimos pasekmės klientui. Taigi, ginčo byloje nėra duomenų, kad ieškovas būtų buvęs kokiu nors būdu tinkamai supažindintas su informacija, kokius veiksmus, suvesdamas vienkartinį saugos kodą, klientas gali atlikti ir kokie veiksmai bei kokiais atvejais, naudojantis šia tapatybės patvirtinimo priemone ir suvedant ją, sukelia atitinkamas teisines pasekmes, todėl priešingai nei teigia atsakovė, nors ieškovas ir buvo aktyvus ir ilgalaikis atsakovės teikiamų paslaugų vartotojas, tačiau tai nesudaro pagrindo daryti išvados, jog pastarasis turėjo žinoti SMS pranešimu atsiųsto unikalaus vienkartinio saugos kodo prašymo ypatybes, kadangi šios paslaugų teikėjos sutartimi nebuvo ieškovui išaiškintos.

40.       Taip pat iš bylos duomenų matyti, kad ieškovas prie savo paskyros bendrove?je jungdavosi is? kitu? i?renginiu? ir is? skirtingose valstybe?se registruotu? IP adresu?. Taip pat, kad apeliantas keite? savo prisijungimo prie paskyros slaptaz?odi? ir tada is? bendrove?s SMS z?inute gavo vienkartini? saugos koda?. Taigi, remiantis pirmiau mine?tomis aplinkybe?mis, galima teigti, kad apeliantas suprato SMS z?inute gauto vienkartinio saugos kodo paskirti?, kuri, priešingai nei nurodė atsakovė, yra patvirtinti prisijungima? prie savo paskyros, ir mane?, kad suvesdamas SMS z?inute gauta? vienkartini? saugos koda? jungiasi prie savo paskyros bendrove?je, tac?iau nepastebe?jo, kad jungiasi prie sukc?iu? suklastotos bendrove?s interneto paskyros. Remiantis tuo, kas išdėstyta, spręstina, kad ieškovas turėjo pagrindą manyti, kad SMS z?inute? buvo atsiu?sta tam, kad gale?tu? patvirtinti prisijungima? prie paskyros ir dėl to jam nekilo jokiu? i?tarimu?, kad jis gale?jo tapti trec?iu?ju? asmenu? neteise?tu? veiksmu? auka. Taip pat, kaip matyti iš bendrove?s Bendru?ju? moke?jimo paslaugu? teikimo sa?lygu? privatiems klientams 5.1 papunkčio, apeliantas ir atsakovė buvo sutare? de?l tokios sa?skaitos valdymo tvarkos: „Klientas Paysera Sa?skaita? gali valdyti internetu, prisijunge?s prie savo Paskyros savo prisijungimo vardu ir Slaptaz?odz?iu bei atlike?s papildomo prisijungimo (saugesnio autentis?kumo patvirtinimo) procedu?ra?.“ Iš to seka, kad apeliantas galėjo manyti, kad papildoma autentifikavimo procedu?ra yra i?prastinis veiksmas, kuri? jis atlieka siekdamas internetu valdyti savo sa?skaita? bendrove?je. Tai, kad siekiant valdyti savo sa?skaita? ne visuomet gali reike?ti papildomai autentifikuotis ir (arba) kad tai priklauso nuo to, is? kokio i?renginio jungiamasi, is? mine?tos sa?lygu? nuostatos ne?ra ais?ku, kaip tokie prisijungimo ypatumai ieškovui buvo išaiškinti. Taigi tai tik patvirtina, jog apeliantas, vesdamas SMS z?inute gauta? vienkartini? saugos koda?, gale?jo pagri?stai manyti, kad su atsakove sutartu bu?du jungiasi prie savo paskyros bendrove?je.

41.       Iš bylos duomenų matyti, kad prie paskyros bendrove?je galima prisijungti ne tik per nuoroda? www.bank.paysera.com, bet ir per www.paysera.lt. O tai reiškia, kad kai jungiasi URL laukelyje suvesdant bendrove?s pavadinima?, vartotojas ne?ra apsaugotas nuo to, kad nepateks i? sukc?iu? suklastota? bendrove?s interneto svetaine?, kuri, be kita ko, ir vizualiai yra labai panas?i i? tikra?ja? bendrove?s svetaine?. Moke?jimo paslaugu? teike?jai, be kitu? moke?jimo operaciju? i?vykdymo sauguma? uz?tikrinanc?iu? priemoniu?, ture?tu? imtis aktyviu? veiksmu?, kad ju? klientai bu?tu? laiku, tinkamai ir ais?kiai informuojami apie visas galimas (z?inomas) rizikas, susijusias su moke?jimo priemone?s praradimu de?l neteise?tu? trec?iu?ju? asmenu? veiksmu?, ypac? bendrovei turint informacija? apie pries? bendrove?s klientus jau surengtas panas?aus pobu?dz?io sukc?iu? atakas. Nagrine?jamu atveju atsakovė į bylą nėra pateikusi informacijos, kuri įrodytų, jog savo klientus, i?skaitant ir apeliantą, bu?tu? informavusi, kad ši savo svetaine?je nepras?o papildomai suvesti SMS z?inute gauto vienkartinio saugos kodo, kuriuo patvirtinamas prisijungimas prie bendrove?s sa?skaitos is? kito i?renginio, arba kad bu?tu? atkreipusi klientu? de?mesi? i? tai, kad ne visais atvejais bendrove? pras?o papildomai autentifikuotis. Iš šių aplinkybių akivaizdu, kad atsakovė nesiėmė aukščiau nurodytų galimų aktyvių veiksmų, siekdama apsaugoti savo paslaugu? vartotojus nuo bendrovei jau z?inomu? tapac?iu? sukc?iavimo ataku?.

42.       Taip pat pažymėtina, kad Antrosios mokėjimo direktyvos 97 straipsnis numato, jog valstybės narės užtikrina, kad mokėjimo paslaugų teikėjas taikytų griežtą kliento autentiškumo patvirtinimą, kai mokėtojas: a) internetu prisijungia prie savo mokėjimo sąskaitos; b) inicijuoja elektroninę mokėjimo operaciją; c) nuotolinio ryšio priemone vykdo bet kokį veiksmą, kuris gali būti susijęs su sukčiavimo atliekant mokėjimą ar kitokio piktnaudžiavimo rizika.

43.       Griežtas kliento autentiškumo patvirtinimas, suprantamas kaip autentiškumo patvirtinimas, grindžiamas dviejų ar daugiau elementų, kurie skirstomi į žinojimo (tai, ką žino tik vartotojas), turėjimo (tai, ką turi tik vartotojas) ir būdingumo (tai, kas būdinga vartotojui) kategorijas, ir yra nepriklausomi, nes vieną iš jų pažeidus nesumažėja kitų patikimumas, ir jo struktūra yra tokia, kad būtų užtikrintas autentiškumo patvirtinimo duomenų konfidencialumas. 

44.       Antrosios mokėjimo direktyvos 98 straipsnio 3 dalis numato, jog gali būti taikomos saugesnio autentiškumo išimtys, atsižvelgiant į šiuos kriterijus: a) suteiktos paslaugos rizikos lygiu; b) operacijos suma arba pasikartojimo dažnumu arba abiem; c) operacijos vykdymui naudotu mokėjimo kanalu. Mokėjimų įstatymo 58 straipsnio 3 dalis numato, jog esant prieš tai minėtiems kriterijams, mokėjimo paslaugų teikėjas gali netaikyti saugesnio autentiškumo procedūrų (Mokėjimų įstatymo 58 straipsnio 3 dalis). Mokėjimų įstatymo 58 straipsnio 1, 2, 3 ir 7 dalys įsigalioja praėjus 18 mėnesių nuo Europos Komisijos priimto deleguotojo teisės akto, nurodyto 2015 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyvos (ES) 2015/2366 dėl mokėjimo paslaugų vidaus rinkoje, kuria iš dalies keičiamos direktyvos 2002/65/EB, 2009/110/EB ir 2013/36/ES bei Reglamentas (ES) Nr. 1093/2010 ir panaikinama Direktyva 2007/64/EB, 98 straipsnyje, įsigaliojimo.

45.       Saugesnio autentiškumo patvirtinimo priemones Lietuvos Respublikoje mokėjimo paslaugų teikėjai privalo taikyti nuo 2021 m. sausio 1 d., o absoliuti dauguma neautorizuotų operacijų buvo atlikta iki 2021 m. lapkričio 4 d., t. y. kai atsakovė turėjo pareigą taikyti saugesnio autentiškumo patvirtinimo priemones.

46.       Taikant saugesnio autentiškumo patvirtinimo priemones, taip pat yra taikomos išimtys, pavyzdžiui, atsižvelgiama į rizikos lygį – mažos rizikos lygis laikytinas, kai atliekama operacija yra būdinga mokėtojui, atliekama mažos rizikos gavėjui, o šiuo atveju 2021 m. lapkričio 4 d. atlikti mokėjimai buvo neįprasti ir atliekami didelės rizikos gavėjui, kadangi operacijos buvo atliktos naujam gavėjui K. K. (C. C.), kurių bendra mokėjimo operacijų suma sudarė 10 550 Eur (nuskaitymai vyko 2021 m. lapkričio 4 d. 12:45:47 val. (3 000 Eur); 12:46:14 val. (3 000 Eur); 12:47:34 val. (1 030 Eur); 12:56:13 val. (3 400 Eur); 13:05:01 val. (120 Eur), šios operacijos taip pat buvo atliktos iš nebūdingų vartotojui IP adresų. Įsigaliojus saugesnio autentiškumo reikalavimams, patvirtinimo buvo galima nereikalauti, kai mokėjimo suma nesiekia 500 Eur, kaip šiuo atveju matoma, šis reikalavimas galėjo būti netaikomas tik operacijai atliktai 2021 m. lapkričio 4 d. 13:05:01 val. (120 Eur). atsižvelgiant į išdėstytas aplinkybes ir į Moke?jimu? i?statymo 39 straipsnio 2 dalies 2 punkto nuostata?, nurodančią, kad moke?tojas neturi patirti jokiu? nuostoliu?, jeigu nuostoliai yra patirti de?l moke?jimo paslaugu? teike?jo, jo darbuotojo, tarpininko, filialo ar asmenu?, kuriems perduotas veiklos funkciju? vykdymas, veiksmu? ar neveikimo, nagrinėjamu atveju spręstina, jog dėl atsakovei nesiėmus pakankamu? aktyvių veiksmu?, kad jos klientai bu?tu? geriau informuoti apie galimas rizikas de?l neteise?tu? trec?iu?ju? asmenu? veiksmu? prarasti savo moke?jimo priemone? bei dėl netaikyto saugesnio autentiškumo patvirtinimo, apeliantas patyrė nuostolius.

Dėl bylos procesinės baigties

47.       Atsižvelgdama į tai kas išdėstyta, teisėjų kolegija konstatuoja, kad pirmosios instancijos teismas netinkamai aiškino materialines ir procesines teisės normas ir priėmė neteisėtą bei nepagrįstą sprendimą, kuris panaikintinas ir priimamas naujas sprendimas – ieškinys tenkinamas. (CPK 326 straipsnio 1 dalies 2 punktas).

48.       Į esminius apeliacinio skundo argumentus atsakyta, dėl kitų apeliacinio skundo argumentų apeliacinės instancijos teismas plačiau nepasisako, nes jie nelemia skundžiamo sprendimo teisėtumo ir pagrįstumo. Teismo pareiga pagrįsti priimtą procesinį sprendimą neturėtų būti suprantama kaip reikalavimas detaliai atsakyti į kiekvieną argumentą, juolab, kad apeliacinės instancijos teismas iš esmės pritaria pirmosios instancijos teismo priimto procesinio sprendimo motyvams (Lietuvos Aukščiausiojo Teismo 2010 m. spalio 5 d. nutartis, priimta civilinėje byloje Nr. 3K-3-382/2010; 2010 m. gruodžio 20 d. nutartis civilinėje byloje Nr. 3K-3-536/2010 ir kt.).

Dėl bylinėjimosi išlaidų

49.       Šaliai, kurios naudai priimtas sprendimas, jos turėtas bylinėjimosi išlaidas teismas priteisia iš antrosios šalies, nors ši ir būtų atleista nuo bylinėjimosi išlaidų mokėjimo į valstybės biudžetą (CPK 93 straipsnio 1 dalis). Apeliacinis skundas tenkinamas, todėl atsižvelgiant į tai, kad pirmos instancijos teisme apeliantas patyrė 1 696,80 Eur bylinėjimosi išlaidų, o apeliacinėje instancijoje 149 Eur (žyminis mokestis) bei 774,40 Eur (atstovavimo išlaidos), šioms neviršijant Rekomendacijose dėl civilinėse bylose priteistino užmokesčio už advokato ar advokato padėjėjo teikiamą teisinę pagalbą (paslaugas) nurodyto maksimalaus dydžio, patirtos bylinėjimosi išlaidos priteisiamos iš atsakovės apeliantui.

Vilniaus apygardos teismo Civilinių bylų skyriaus teisėjų kolegija, vadovaudamasi Lietuvos Respublikos civilinio proceso kodekso 326 straipsnio 1 dalies 2 punktu,

nusprendžia :

apelianto (ieškovo) R. T. apeliacinį skundą tenkinti.

Vilniaus miesto apylinkės teismo 2022 m. gruodžio 28 d. sprendimą panaikinti ir priimti naują sprendimą – ieškinį tenkinti.

Priteisti R. T. (a. k. (duomenys neskelbtini) iš UAB „Paysera LT“ (j. a. k. 300060819) 6 596,19 Eur (šešis tūkstančius penkis šimtus devyniasdešimt šešis eurus 19 centų), 5 proc. dydžio metines palūkanas nuo priteistos sumos nuo bylos iškėlimo teisme dienos iki teismo sprendimo visiško įvykdymo bei 2 620,20 Eur (du tūkstančius šešis šimtus dvidešimt eurų 20 centų) bylinėjimosi išlaidų.

Sprendimas įsiteisėja nuo jo priėmimo dienos.

Teisėjos                                                                Dalia Trumpulienė

Urmila Valiukienė

Sigita Zubavičiūtė-Montvilienė