Stosownie do regulacji ustawy o usługach płatniczych, dalej u.u.p., ryzyko związane z tzw. nieautoryzowanymi transakcjami płatniczymi w znacznym stopniu spoczywa na banku. Jak stanowi art. 40 ust. 1 u.u.p. transakcję uważa się za autoryzowaną, jeżeli płatnik, tj. posiadacz konta, wyraził zgodę na jej wykonanie w sposób przewidziany w umowie. Kluczowym z punktu widzenia klienta banku jest ustanowiony tu odwrócony ciężar dowodu. Zgodnie z art. 45 u.u.p. spoczywa on na dostawcy, tj. banku, który aby uniknąć odpowiedzialności musi albo udowodnić, że autoryzacja w istocie miała miejsce albo wykazać, że transakcja chociaż nieautoryzowana nastąpiła wskutek rażącego niedbalstwa płatnika lub że płatnik dopuścił się naruszenia obowiązku korzystania z instrumentu płatniczego zgodnie z umową albo obowiązku niezwłocznego zgłaszania nieuprawnionego użycia takiego instrumentu, przy czym również wskutek rażącego niedbalstwa. Tak wygórowany standard oceny zapewnia skuteczną ochronę większości ofiar phishingu.
Ocena Sąd Okręgowy w Warszawie w wyroku z 12 maja 2018 r., sygn. I C 566/17, osoba, która za pośrednictwem podstawionej witryny internetowej udostępniła swoje dane logowania nieuprawnionym osobom, a następnie wprowadziła także kody otrzymane sms-em od banku, które to zgodnie z treścią tych sms-ów dotyczyły zdefiniowania tzw. zaufanego odbiorcy, wprawdzie uchybiła obowiązkom wynikającym z u.u.p., jednak jej działanie było „niezamierzone i nieświadome, co wskazuje na niedbalstwo, ale w żadnym wypadku nie w stopniu rażącym". Sąd zobowiązał bank do zwrotu poszkodowanemu ponad 100 tys. zł.
W wyroku Sądu Najwyższego z 18 stycznia 2018 r., sygn. V CSK 141/17, poszkodowanym była osoba, która próbowała zalogować się do serwisu bankowości elektronicznej nie zdając sobie sprawy, że wyświetlona w przeglądarce po wpisaniu prawidłowego adresu strona jest tylko wierną kopią witryny banku. Pomimo braku ustalenia okoliczności przestępstwa, sąd ocenił, że nie stoi to na przeszkodzie do zasądzenia zwrotu utraconej przez posiadacza konta około 60 tys. zł. W uzasadnieniu wskazano, że do utraty pieniędzy doszło wskutek działania nieustalonej osoby trzeciej, która „skorzystała z niewłaściwego zabezpieczenia przez bank świadczenia usługi". Sąd podkreślił, że w okolicznościach sprawy nie ma w ogóle mowy o naruszeniu przez poszkodowanego obowiązków wynikających z u.u.p., a niewątpliwie samo wykazanie przez bank zarejestrowanego użycia instrumentu płatniczego nie wystarcza do udowodnienia, że transakcja została autoryzowana.
Odzyskanie utraconych środków odbywa się na podstawie art. 46 ust. 1 u.u.p., który stanowi, że w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie zwraca płatnikowi kwotę nieautoryzowanej transakcji. Bank ma czas na zwrot nie później niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji lub po dniu otrzymania stosownego zgłoszenia od klienta. Zwrot polega na przywróceniu rachunku płatniczego do stanu, jaki istniałby, gdyby do transakcji nie doszło.
O odpowiedzialności w związku z nieautoryzowaną transakcją mówi wyrok SO w Warszawie z 23 listopada 2017 r., sygn. I C 1016/15. Zgodnie ze stanowiskiem sądu „ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża bank, także w sytuacji objęcia umowy rachunku bankowego bankowością internetową", a ponadto „w razie dokonania wypłaty osobie nieuprawnionej, poszkodowanym tą czynnością jest bowiem bank, a nie osoba, która zdeponowała środki na rachunku". Zasadą jest odpowiedzialność banku, a obciążenie nią posiadacza konta bankowego ma charakter wyjątkowy.
W sprawach na gruncie omawianych przepisów, odpowiedzialność banku ma również oparcie w regulacji art. 50 ust. 2 Prawa bankowego. Na jej podstawie bank jako podmiot profesjonalny jest zobowiązany do szczególnej staranności w zakresie zapewniania bezpieczeństwa przechowywanych pieniędzy. Obowiązkiem banku jest dbanie o odpowiednio wysoki poziom zabezpieczeń, bieżące monitorowanie transakcji i identyfikowanie niestandardowych dla danego użytkownika zachowań, a w razie potrzeby uruchomienie dodatkowej autoryzacji np. telefonicznej, czy wreszcie zablokowanie podejrzanych operacji. Katalog środków zapobiegawczych odnaleźć można w Rekomendacjach Komisji Nadzoru Finansowego dotyczących bezpieczeństwa transakcji płatniczych wykonywanych w internecie przez banki i inne instytucje płatnicze. ?