Jedro

Nedopustno ravnanje je le tisto, če lahko kot njegovo posledico objektivno predvidimo možnost nastanka škode.

Pod pojem objektivno predvidljive posledice ne spadajo le običajne in najpogostejše posledice, ampak tudi manj verjetne. Pri presoji objektivne predvidljivosti pa so bistvene okoliščine konkretnega primera, ki so spremljale določeno ravnanje.

Zahteva po obveščanju uporabnika oziroma celo tožeče stranke, ki ni bila naročnik storitev, brez vednosti o predhodnem vdoru v informacijski sistem tožeče stranke, o DDoS napadu oziroma še več, celo pojasnjevanju hipotetično možnih razlogov za tak napad bi bila v konkretnih okoliščinah pretirana in nerazumna.

Izrek

I. Pritožbi se ugodi in se sodba sodišča prve stopnje spremeni: - v izpodbijani I. točki izreka tako, da se tožbeni zahtevek zavrne tudi za znesek 38.536,50 EUR z zakonskimi zamudnimi obrestmi od 14. 11. 2012 dalje do plačila; - v izpodbijani III. točki izreka pa tako, da je dolžna tožeča stranka v roku 15 dni plačati toženi stranki 3.046,95 EUR stroškov postopka, v primeru zamude pa tudi zakonske zamudne obresti od zamude dalje do plačila.

II. Tožeča stranka je dolžna v roku 15 dni toženi stranki povrniti stroške pritožbenega postopka v znesku 2.047,13 EUR, v primeru zamude pa tudi zakonske zamudne obresti od zamude dalje do plačila.

Obrazložitev

1. Sodišče prve stopnje je z izpodbijano sodbo: - v I. točki izreka odločilo, da je tožena stranka dolžna tožeči stranki plačati 38.536,50 EUR z zakonskimi zamudnimi obrestmi od 14. 11. 2012 dalje do plačila; - v II. točki izreka zavrnilo tožbeni zahtevek za znesek 89.918,50 EUR z zakonskimi zamudnimi obrestmi od 14. 11. 2012 dalje do plačila; - v III. točki izreka odločilo, da je dolžna tožeča stranka v roku 15 dni plačati toženi stranki 900,63 EUR stroškov tega postopka, v primeru zamude pa tudi zakonske zamudne obresti od zamujenega zneska od prvega dne zamude dalje do plačila.

2. Proti tej sodbi se je pravočasno pritožila tožena stranka iz pritožbenih razlogov bistvene kršitve določb pravdnega postopka, zmotne uporabe materialnega prava ter zmotne in nepopolne ugotovitve dejanskega stanja. Pritožbeno sodišče je štelo, da jo izpodbija v tistem delu, v katerem ni zmagala v sporu (prim. prvi odstavek 350. člena Zakona o pravdnem postopku, v nadaljevanju ZPP). Pritožbenemu sodišču je predlagala, da pritožbi ugodi ter izpodbijano sodbo spremeni tako, da v celoti zavrne tožbeni zahtevek, podrejeno pa, da izpodbijano sodbo razveljavi ter vrne zadevo sodišču prve stopnje v novo sojenje. Zahtevala je povrnitev stroškov pritožbenega postopka.

3. Tožeča stranka je v odgovoru na pritožbo predlagala zavrnitev pritožbe kot neutemeljene. Priglasila je stroške pritožbenega postopka.

4. Pritožba je utemeljena.

5. Tožeča stranka je s tožbo od tožene stranke zahtevala povrnitev škode v višini 128.455,00 EUR.

6. Sodišče prve stopnje je ugotovilo naslednje relevantno in neizpodbijano dejansko stanje. Tožena stranka je kot ponudnik internetnih storitev zagotavljala dostop do internetnega omrežja na odjemnem mestu, kjer je prišlo do vdora v informacijski sistem tožeče stranke in kraje denarja z njenih transakcijskih računov, odprtih pri dveh različnih bankah. Tatvina je bila izvršena tako, da je S. M.1 na računalnik tožeče stranke namestil zlonamerno programsko opremo, s katero je pridobil nadzor nad njenim informacijskim sistemom. Nato je z neupravičeno pridobljenim kvalificiranim potrdilom, uporabniškim imenom in geslom vdrl v računalnik tožeče stranke in na podlagi storitev elektronskega bančništva dne 14. 11. 2012 med 5.15 uro in 5. 33 uro odtujil z računov tožeče stranke skupno 128.455,00 EUR tako, da jih je prenesel na drug račun, ki ga je nekaj dni pred tem neznana oseba odprla pri banki X s pomočjo ponarejene osebne izkaznice (prilogi B13 in B14). Sodišče prve stopnje je ugotovilo, da tožena stranka za ta dogodek, torej za vdor v informacijski sistem tožeče stranke in tatvino, ni vedela. Po izvršenih protipravnih transakcijah je bil istega dne 14. 11. 2012 ob 6.10 uri na uporabnika S. F., začet DDoS napad. O tem je bila tožena stranka obveščena ob 9.00 uri (priloga A4). Ko je tožeča stranka opravila poizvedbe glede nedelujočega interneta, ji je zaposleni pri toženi stranki podal le informacijo, da „odpravljajo napako“. Tatovi so še istega dne ob 12.45 uri na bančnem okencu pri banki X na podlagi ponarejene osebne izkaznice dvignili ukraden denar v znesku 128.455,00 EUR, s čimer je izginila vsaka sled za tem denarjem.

7. Tožeča stranka je protipravnost ravnanja tožene stranke utemeljevala z dejstvom, da je bila ta obveščena o DDoS napadu, pa tega ni takoj sporočila ne tožeči stranki ne policiji; celo zavedla jo je s pojasnilom, da odpravljajo napako. Navajala je, da bi z obvestitvijo bank in policije lahko preprečila dvig ukradenega denarja z bančnega okenca, v kolikor bi jo tožena stranka o spornem napadu nemudoma obvestila. Tožena stranka pa se je branila predvsem s trditvijo, da je v kritični situaciji ravnala pravilno, strokovno in kot je v takšnih situacijah običajno s tem, ko je blokirala IP naslov napadenega uporabnika, medtem ko obveščanje glede tovrstnih motenj v dostopu do interneta ne izhaja ne iz predpisov ne iz pogodbe, niti to ni v navadi in potrebno. Prepričana je, da je vtoževana škoda posledica kršitev tožeče stranke same kot tudi banke, ki je gotovino izplačala.

8. Sodišče prve stopnje zahtevek presojalo na podlagi splošne neposlovne odškodninske odgovornosti (131. člen Obligacijskega zakonika, v nadaljevanju OZ). Odločilo je, da so podane vse predpostavke za odškodninsko odgovornost tožene stranke. Pojasnilo je, da je konkretna posledica opustitvenega ravnanja tožene stranke v tem, da niti okradena tožeča stranka niti nihče drug ni bil obveščen o zaznavi DDoS napada, prav prikrivanje tega pa je omogočilo, da je bil opravljen dvig denarja in s tem dokončno povzročena škoda. Tatovi so si namreč skozi DDoS napad zagotovili čas za dvig denarja, zato bi morala tožena stranka o napadu in s hipotetično možnimi razlogi za napad obvestiti tožečo stranko, ne pa je pustiti v prepričanju, da zaposleni pri toženi stranki zgolj odpravljajo napako. S tem je tožeča stranka po prepričanju prvostopenjskega sodišča utrpela izgubo možnosti, da bi ustavila izplačilo ukradenega denarja pri bančnem okencu. Ravnanje tožene stranke tako ni ustrezalo standardu profesionalne skrbnosti ter je nasprotovalo 10. členu OZ. DDoS napad po oceni prvostopenjskega sodišča v očeh strokovnjaka utemeljuje predvidevanje, da napad na konkretnega naročnika ni bil naključen, saj je napadalec želel zagotoviti nemožnost uporabe interneta; objektivna predvidljivost je tako podana ne glede na pogostost povezave med DDoS napadom in vdorom v računalniške sisteme. Vzročno zvezo je sodišče prve stopnje utemeljilo na podlagi teorije o adekvatni vzročnosti. Ob tem je poudarilo, da gre za vprašanje pravične porazdelitve rizika med obe pravdni stranki. Na podlagi okoliščin konkretnega primera pa je ocenilo, da je z neustreznim obvladovanjem svojega računalnika neskrbno ravnala tudi tožeča stranka ter zato presodilo, da je za nastalo škodo odgovorna tožeča stranka v deležu 70 %, tožena pa 30 % (drugi odstavek 171. člena OZ).

9. Iz izpodbijane sodbe izhaja, da sta bili na podlagi naročniške pogodbe za podatkovne/internetne storitve številka 20026/Zal z dne 17. 10. 2007 v pogodbenem razmerju pravdni stranki, in sicer tožeča stranka kot naročnik, tožena stranka pa kot ponudnik (operater)2 oziroma, da je bil naročnik S. F.3 Pritožbeno sodišče opozarja, da je bil pogodbeni naročnik le S. F., direktor tožeče stranke, kot fizična oseba in ne neposredno tožeča stranka. Pogodba ustvarja pravice in obveznosti zgolj za pogodbeni stranki (prvi odstavek 125. člena OZ). Kršitev pogodbe je kršitev obveznosti, ki izvira iz pogodbe. Zato lahko odgovornost za škodo, povzročeno s kršitvijo pogodbe, v skladu z načelom relativnosti pogodbenih razmerij uveljavlja le pogodbena stranka.4 Ker tožeča stranka ni bila pogodbena stranka zgoraj navedene naročniške pogodbe, je sodišče prve stopnje odškodninsko odgovornost tožene stranke pravilno presojalo na podlagi pravil o neposlovni odškodninski odgovornosti.

10. Za obstoj splošne odškodninske odgovornosti morajo biti kumulativno izpolnjene štiri predpostavke: (1) škodljivo dejstvo oziroma protipravnost, (2) škoda, (3) vzročna zveza med nastalo škodo in protipravnostjo ter (4) odgovornost na strani povzročitelja škode (prvi odstavek 131. člena OZ).

11. Pritožbeno sodišče soglaša s stališčem sodišča prve stopnje, da se je pri presoji, ali je neko ravnanje protipravno, treba opreti na vrednostno merilo, ki je vsebovano v temeljnem načelu prepovedi povzročanja škode. Določba 10. člena OZ predpisuje, da se je vsak dolžan vzdržati ravnanja, s katerim bi utegnil drugemu povzročiti škodo. Iz tega sledi, da za odškodninsko odgovornost praviloma zadošča že takšno ravnanje (storitev ali opustitev), ki je na splošno nedopustno, in ni potrebno, da bi bilo s pravno normo posebej prepovedano.5 Po drugi strani pa ni prepovedano že vsako ravnanje, ki povzroči škodo. Nastanek škodnega primera sam po sebi namreč še ne potrjuje obstoja nedopustnega povzročiteljevega ravnanja niti njegove odškodninske odgovornosti.6 Nedopustno ravnanje je le tisto, če lahko kot njegovo posledico objektivno predvidimo možnost nastanka škode oziroma škodnega dogodka.7 Predvidljivost prepovedane posledice in skrbnost sta merili, ki sta pomembni tako pri presoji protipravnosti, vzročne zveze in krivde ter je zato običajno podana neločljiva povezanost in prepletenost obravnavanja obojega.8

12. Ni dvoma, da je tožena stranka strokovnjak na področju informacijske tehnologije. Ali je v konkretnem primeru ravnala s profesionalno skrbnostjo, je odvisno od meril, ki izhajajo iz pravil stroke. Teh tožeča stranka ni zatrjevala. Merila dolžnega ravnanja so razvidna tudi iz ustaljene prakse strokovnjakov iste stroke. Tudi te pa tožeča stranka ni dokazala. Zgolj ravnanje enega subjekta, to je R. K., zaposlenega pri D., ki je o DDoS napadu obvestil toženo stranko (in ne naročnika internetnih storitev) ustaljene prakse obveščanja o takšnih napadih še ne dokazuje. Za presojo protipravnosti je zato v tem sporu odločilno, ali je bil škodni dogodek objektivno predvidljiva posledica ravnanja tožene stranke.9

13. Pod pojem objektivno predvidljive posledice ne spadajo le običajne in najpogostejše posledice, ampak tudi manj verjetne, kot je to pravilno pojasnilo sodišče prve stopnje. Pri presoji objektivne predvidljivosti pa so bistvene okoliščine konkretnega primera, ki so spremljale določeno ravnanje.

14. Da bi lahko presojali protipravnost ravnanja, ki se očita toženi stranki, je treba ponovno osvetliti, kaj DDoS napad sploh pomeni. Tožeča stranka je zatrjevala, da gre za pogost način poskusa ohromitve informacijskega sistema in učinkovit način prikrivanja sledi napada na informacijski sistem. Tožena stranka je po drugi strani poudarjala, da gre za razmeroma nov pojav, ki ne pomeni vdora v informacijski sistem, temveč onemogočanje storitev uporabnika z uporabo večjega števila izvorov oziroma za usmerjen napad na posamezne uporabnike s strani tretjih oseb z namenom, da se onemogoči storitev za določeno obdobje. Iz izpisa iz Wikipedije, ki ga je predložila tožeča stranka (priloga A25), izhaja, da gre za „Distributed Denial of Service“ ali porazdeljeno zavrnitev storitve: proces, s katerim hekerji s pomočjo podračunalnikov („DoS boxi“ ali „zombiji“), ki sledijo njegovim ukazom, napadejo tarčo z določeno kapaciteto podatkov. Po navadi so prvi znaki napada upočasnjena miška in počasnejše delovanje interneta, rezultati pa so odklop in včasih tudi samodejen ponoven zagon računalnika. Kot je pravilno izpostavilo sodišče prve stopnje, DDoS sam po sebi torej ni povzročil obravnavane škode, kajti povzročil je le nedelovanje interneta.

15. Kakšno je bilo torej dolžnostno ravnanje tožene stranke ob zaznavi DDoS napada na uporabnika S. F.? Nedvomno je bila na mestu blokada IP naslova tega uporabnika, zagotovitev nemotene dobave storitve ostalim uporabnikom na kritičnem območju ter čimprejšnja vzpostavitev delovanja internetnih storitev za napadenega uporabnika. To je tožeča stranka storila. Med strankama nadalje ni sporno, da tožena stranka za vdor v informacijski sistem tožeče stranke in prenos tožničinega denarja na transakcijski račun neznane osebe, kar se je oboje zgodilo pred DDoS napadom, ni vedela niti ni bila dolžna vedeti. Ključno vprašanje je zato, ali je bil dvig denarja z bančnega okenca po že opravljenem vdoru v informacijski sistem tožeče in izvršeni tatvini res predvidljiva posledica ravnanja tožene stranke, ki o DDoS napadu ni nemudoma nikogar obvestila, temveč je to storila šele naslednji dan, oziroma je tožeči stranki pojasnila, da zaradi nedelujočega interneta odpravlja napako. Po oceni pritožbenega sodišča je odgovor nikalen.

16. Sodišče prve stopnje je ugotovilo, da sta DDoS napad, ki je usmerjen v prekinitev delovanja interneta, in posledična pridobitev časa za izvedbo ali prikrivanje kaznivih dejanj med seboj „poročena“, tožena stranka pa je s svojo neaktivnostjo omogočila internetnim tatovom pridobiti nujno potreben čas za dokončanje postopka kraje denarja. Vendar po presoji pritožbenega sodišča škoda, ki se je odrazila v uresničenem dvigu gotovine s transakcijskega računa neznane osebe na bančnem okencu ob 12.45 uri, ni bila predvidljiva posledica očitanega ravnanja tožene stranke, to je opustitve takojšnje obvestitve oziroma zamolčanja oziroma podaje neverodostojne informacije o DDoS napadu. Tožena stranka je sicer strokovnjak na svojem področju in se je morala zavedati tako pomena kot možnih posledic DDoS napada. Vendar je za odločitev v obravnavani zadevi bistveno, da za vdor v informacijski sistem tožeče stranke ne za že izvršeno tatvino ni vedela; posledično tudi ni mogla predvideti, da bo že odtujen denar gotovinsko izplačan na banki. Ob tem ni nezanemarljivo, da veljajo za banke stroga pravila o pregledih strank oziroma ugotavljanju istovetnosti pred izplačilom večjih zneskov gotovine.10 Četudi se DDoS med drugim (!) uporablja za prikrivanje kaznivih dejanj, pa nadaljnjih ravnanj „internetnih tatov“, po že izvršeni tatvini, v obliki dviga gotovine s ponarejeno osebno izkaznico objektivno ni bilo moč predvideti. To velja kljub poudarjanju sodišča prve stopnje, da je predvidljivost širok pojem. Ustrezna stopnja predvidljivosti se sicer res ne odraža v tem, da bi odgovorna oseba lahko predvidela konkretno vrsto in konkreten obseg škode, vendar pa predpostavlja, da odgovorna oseba lahko predvidi vsaj vrsto, tip in možen nabor škodnih posledic oziroma, da ji takšno predvidljivost življenjsko lahko pripišemo.11 Zahteva po obveščanju uporabnika oziroma celo tožeče stranke, ki ni bila naročnik storitev, brez vednosti o predhodnem vdoru v informacijski sistem tožeče stranke, o DDoS napadu oziroma še več, celo pojasnjevanju hipotetično možnih razlogov za tak napad, pa bi bila v konkretnih okoliščinah pretirana in nerazumna.

17. Pritožbeno sodišče ob tem ne soglaša s stališčem sodišča prve stopnje, da je zaradi neobvladovanja poslovnih rizikov tudi tožena stranka v dometu vzročne zveze oziroma je prispevala k nastanku škode. Uporaba spletnega bančništva in z njim povezanih tatvin namreč ne sodi med tveganja, ki bi jih morala obvladovati tožena stranka kot ponudnik internetnih storitev.12 Tudi iz tega razloga škode ni mogoče objektivno pripisati v sfero tožene stranke.

18. Zaključek prvostopenjskega sodišča, da je bil dvig denarja z bančnega okenca posledica protipravnega ravnanja tožene stranke ter da je bila s tem dokončno povzročena škoda, zato ni pravilen. Posledično je zmotna tudi materialnopravna presoja sodišča prve stopnje, da je tožena stranka (so)odgovorna za vtoževano škodo.

19. Čeprav je pritožnik primarno izpodbijal odločitev prvostopenjskega sodišča z uveljavljanjem procesnih kršitev, je v okoliščinah konkretne zadeve ključna izpodbijana zmotna presoja sodišča prve stopnje, da so izpolnjene vse predpostavke za odškodninsko odgovornost tožene stranke. Zatrjevane procesne kršitve zato ne vplivajo na končno odločitev pritožbenega sodišča. Ker je torej pritožba utemeljena že iz navedenih razlogov, ostale pritožbene navedbe za odločitev niso bile pravno odločilne in pritožbeno sodišče nanje ni posebej odgovarjalo (prvi odstavek 360. člena ZPP). Pritožbi je zaradi zmotne uporabe materialnega prava ugodilo in sodbo v izpodbijani I. točki izreka spremenilo tako, da je tožbeni zahtevek tudi v tem delu zavrnilo (peta alineja 358. člena ZPP).

20. Pritožbeno sodišče je na podlagi drugega odstavka 165. člena ZPP odločilo o stroških vsega postopka.

21. Tožeča stranka je s tožbenim zahtevkom propadla, zato je dolžna toženi stranki povrniti njene pravdne stroške (prvi odstavek 154. člena ZPP). Te je odmerilo že sodišče prve stopnje na 3.046,95 EUR, čemur pravdni stranki v pritožbenem postopku nista nasprotovali. Navedeni znesek ji je tožeča stranka dolžna povrniti v roku 15 dni, v primeru zamude pa z zakonskimi zamudnimi obrestmi od zamude dalje do plačila. Zato je pritožbeno sodišče prvostopenjsko sodbo ustrezno spremenilo tudi v izpodbijani III. točki izreka.

22. Tožena stranka je s pritožbo v celoti uspela. Zato je pritožbeno sodišče tožeči stranki naložilo, da ji povrne pritožbene stroške, in sicer nagrado za postopek z rednimi pravnimi sredstvi v znesku 942,40 EUR (tar. št. 3210), pavšalni znesek za plačilo poštnih in telekomunikacijskih storitev v znesku 20,00 EUR (tar. št. 6002), 22 % DDV ter sodno takso za pritožbo v znesku 873,00 EUR, skupaj torej 2.047,13 EUR pritožbenih stroškov. Navedeni znesek je dolžna tožeča stranka plačati v roku 15 dni, v primeru zamude pa z zakonskimi zamudnimi obrestmi do zamude dalje plačila. Ker tožeča stranka v pritožbenem postopku ni uspela, sama krije svoje stroške z odgovorom na pritožbo.

1 Kasneje pravnomočno obsojen za nadaljevalno kaznivo dejanje velike tatvine. 2 Glej 1. točko obrazložitve izpodbijane sodbe. 3 Glej 17. točko obrazložitve izpodbijane sodbe. 4 Prim. sklep VSRS II Ips 526/2005. 5 Prim. odločbe VSRS II Ips 526/2005, II Ips 451/2010, II Ips 224/2013 ter Cigoj, Obligacijska razmerja, ČGP Delo, Ljubljana, 1978, str. 15. 6 Prim. sodbo in sklep VSRS II Ips 543/2008. 7 Tako je uveljavljeno stališče teorije in sodne prakse. Prim. Plavšak v: Obligacijski zakonik s komentarjem, GV Založba, Ljubljana 2003, 1. knjiga, str. 704 in nasl. ter npr. sklep II Ips 526/2005. 8 Prim. sodbo VSRS II Ips 744/2007. 9 Prim. Plavšak v: Obligacijski zakonik s komentarjem, 1. knjiga, GV Založba, Ljubljana 2003, str. 725 in sodbi VSRS II Ips 224/2013 ter II Ips 85/2016. 10 Glej Zakon o preprečevanju pranja denarja in financiranja terorizma. 11 Prim. sodbo VSRS II Ips 331/2015. 12 Prim. 9. člen Zakona o elektronskem poslovanju na trgu.