61 C 382/2020 - 154
Citované zákony (7)
Rubrum
Obvodní soud pro Prahu 6 rozhodl v senátu složeném z předsedkyně senátu Mgr. Petry Andršové a přísedících Viktorie Bartoníčkové a Pavly Pečenkové ve věci žalobkyně: [Jméno zainteresované společnosti 0/0], IČO [IČO zainteresované společnosti 0/0] sídlem [Adresa zainteresované společnosti 0/0] sídlem [Adresa zástupce zainteresované společnosti 0/0] proti žalovanému: [Jméno zainteresované osoby 0/0][Datum narození zainteresované osoby 0/0] [Adresa zainteresované osoby 0/1] zastoupený advokátem [Anonymizováno] sídlem [Adresa zainteresované osoby 0/0] o náhradu škody způsobenou zaměstnancem takto:
Výrok
I. Žaloba, aby žalovanému byla uložena povinnost zaplatit žalobci částku ve výši 760 054,50 Kč se zákonným úrokem z prodlení ve výši 8,05 % ročně z částky 760 054,50 Kč od 16. 9. 2020 do zaplacení, se zamítá.
II. Žalobce je povinen zaplatit žalovanému na náhradu nákladů řízení částku 141 328 Kč, do tří dnů od právní moci rozsudku, k rukám právního zástupce žalovaného.
Odůvodnění
1. Žalobce se svým návrhem domáhá vůči žalovanému náhrady škody. Žalobu odůvodnil tím, že žalovaný byl u žalobce zaměstnán na vedoucí pracovní pozici „[Anonymizováno]“ na základě jmenovacího dekretu ze dne [datum], přičemž ode dne [datum] po dobu zástupu a následně od [datum] na základě jmenovacího dekretu ze dne [datum], vykonával vedoucí pracovní pozici „[Anonymizováno]“. Pracovní poměr byl ukončen dohodou o rozvázání pracovního poměru ke dni [datum]. Dne [datum] v 08:52 hodin obdržel žalovaný e-mail z e-mailové adresy [e-mail], podepsaný jako „[jméno FO]“ (domnělý tehdejší generální ředitel žalobce [tituly před jménem] [jméno FO]), s dotazem, zda má žalobce dostatečný zůstatek na bankovních účtech a zda je uvedeného dne schopen zaplatit 47 000 EUR. Tento e-mail si žalovaný zobrazil a přečetl na mobilním telefonu, přičemž nevěnoval dostatečnou pozornost ověření adresy odesílatele, ani tomu, zda se doopravdy jedná o požadavek formulovaný tehdejším generálním ředitelem žalobce. Předmětný e-mail přeposlal vedoucímu odboru [Anonymizováno] žalobce [tituly před jménem] [jméno FO] k ověření disponibilního zůstatku na příslušných bankovních účtech. Ten požadovaný devizový zůstatek telefonicky potvrdil, aniž by blíže věnoval pozornost náležitostem výše uvedeného e-mailu. Žalovaný odeslal pozitivní odpověď zpět na e-mailovou adresu [e-mail] stále v domnění, že se jedná o pracovní e-mailovou schránku tehdejšího generálního ředitele žalobce. Následně byly z předmětné adresy zaslány platební údaje k provedené příslušné transakce. Po následovné e-mailové a telefonické komunikaci mezi žalovaným a vedoucím odboru [Anonymizováno] byly výše uvedené platební dispozice postoupeny ředitelce Sekce [Anonymizováno] a [Anonymizováno] [tituly před jménem] [jméno FO] s požadavkem na neprodlené uskutečnění platby ve výši 47 000 EUR. Ředitelka sekce [Anonymizováno] a daně upozornila žalovaného, že se v tomto konkrétním případě jedná o nestandardní postup, a že generální ředitel musí svůj požadavek specifikovat a odeslat se svým ověřeným elektronickým podpisem v souladu s příslušnou řídicí dokumentací žalobce. Po následné e-mailové komunikaci mezi žalovaným a domnělým tehdejším ředitelem žalobce ohledně požadavku na připojení elektronického podpisu přišla z e-mailové adresy [e-mail] reakce, že příslušné dokumenty budou odeslány později s odůvodněním „když jsem méně zaměstnán“. Takto získanou informaci předal žalovaný prostřednictvím e-mailové zprávy se svým ověřeným elektronickým podpisem ředitelce sekce [Anonymizováno] a [Anonymizováno] žalobce s opakovaným požadavkem týkajícím se realizace předmětné platby. Na základě tohoto požadavku pak ředitelka sekce [Anonymizováno] a [Anonymizováno] postoupila takto učiněný pokyn k realizaci platby vedoucí odboru [podezřelý výraz] žalobce, přičemž tento svůj pokyn podepsala elektronickým podpisem. Požadavek na realizaci příslušné platby 47 000 EUR byl na bankovní účet adresáta platby odeslán [datum] v 10:45 hodin. Po potvrzení realizace bankovní transakce zaslala ředitelka sekce [Anonymizováno] a [Anonymizováno] žalobce tuto informaci již na skutečnou e-mailovou adresu tehdejšího generálního ředitele žalobce, který následně telefonicky kontaktoval žalovaného, že žádné provedení zahraniční transakce nepožadoval. Tímto telefonátem vyšlo najevo, že se jednalo o úspěšně provedený tzv. phishingový útok. Po tomto zjištění byla ze strany zaměstnanců žalobce provedena řada opatření s cílem zastavit provedení platby. O celé záležitosti byla informována Policie České republiky, podáno trestní oznámení na neznámého pachatele. Prostřednictvím bezpečnostního ředitele žalobce byli současně kontaktováni zaměstnanci [Anonymizováno] se žádostí o provedení relevantních opatření. Usnesením Policie ČR ze dne [datum] byla výše uvedená trestní věc odložena, jelikož se orgánům činným v trestním řízení nepodařilo ustanovit pachatele primárního trestného činu, se stejným výsledkem zatím probíhá i souběžně vedené trestní řízení ve [Anonymizováno]. Žalobci vznikla zaviněným jednáním žalovaného škoda ve výši 47 000 EUR, přičemž v důsledku úkonů trestního řízení bylo z výše uvedené částky žalobci navráceno plnění 4 830,49 EUR, celková výše škody tedy činí 42 196,51 EUR. Žalovaný v rozhodné době vykonával práce na vedoucím pracovním místě „[Anonymizováno]“ s tím, že od [datum] zastupoval svého nadřízeného pana [jméno FO] z důvodu čerpání dovolené, na vedoucím pracovním místě ředitel divize [Anonymizováno]. Dle organizačního řádu žalobce spadá divize [Anonymizováno] přímo pod generálního ředitele žalobce. Ředitel divize [Anonymizováno] je tak přímo podřízen generálnímu řediteli, kdy se jedná o vedoucího zaměstnance na úrovni řízení [Anonymizováno]. Divizi [Anonymizováno] jsou podřízeny mimo jiné sekce [Anonymizováno] a sekce [Anonymizováno] a [Anonymizováno]. Ředitel sekce [Anonymizováno] a [Anonymizováno] či ředitel sekce [Anonymizováno] zastává pozici vedoucího zaměstnance na úrovni řízení [Anonymizováno] v přímé podřízenosti ředitele divize [Anonymizováno]. Ke schválení interního příkazu k úhradě 47 000 EUR bylo v souladu s čl. 2 odst. 4 směrnice [Anonymizováno] je nezbytné, aby tento interní příkaz jakožto účetní doklad splňoval náležitosti zde stanovené, mimo jiné obsah účetního případu, kterým může být například proplacení náhrady škody, zálohy na dodávky a služby, úhrada pokut, penále a poplatků, nákladů řízení aj., a dále podpisový záznam osoby odpovědné za účetní případ (osoby tento případ schvalující a osoby odpovědné za jeho zaúčtování). Na tyto náležitosti byl žalovaný upozorněn [tituly před jménem] [jméno FO] na pozici ředitelky sekce [Anonymizováno] a [Anonymizováno], která v rámci telefonátu dne [datum] žalovanému sdělila, že platby jsou realizovány na základě příkazu k úhradě podepsaného oprávněnou osobou s tím, že v případě příkazu k úhradě ze strany generálního ředitele má být tento vyzván k upřesnění svého požadavku a jeho zaslání přímo s elektronickým podpisem. Žalovaný na pozici ředitele divize [Anonymizováno], tj. v pozici nadřízené [tituly před jménem] [jméno FO] trval na pokynu k provedení platby ve výši 47 000 EUR, ačkoli si byl vědom toho, že v daném případě nejsou pro účely realizace této platby na straně generálního ředitele splněny předpoklady stanovené interními předpisy žalobce, přičemž na splnění tohoto pokynu setrvával s tím, že bude-li jakýkoliv problém „nějak to vyřeším“. Aby následně žalovaný realizaci platby umožnil, připojil pod interní příkaz k úhradě svůj vlastní elektronický podpis s žádostí pro [tituly před jménem] [jméno FO] o realizaci platby. Jednalo se finanční plnění ze strany žalobce, jehož celková výše byla větší než 1 000 000 Kč a menší či rovna 2 000 000 Kč, tj. sám byl oprávněn takový příkaz k úhradě učinit. Tím, že připojil svůj podpis k internímu příkazu k úhradě vzešlému původně od domnělého generálního ředitele žalobce, sám tento interní příkaz pro účely umožnění realizace platby podpisem schválil, když takové jednání spadalo do jeho podpisového oprávnění. Tím plně převzal odpovědnost za jeho správnost a důsledky, které z něho měly plynout. To vše i přesto, že si byl vědom nekonkrétnosti obsahu účetního případu převzatého od domnělého generálního ředitele, tím porušil čl. 5 odst. 1 písm. g) [Anonymizováno], který stanoví, že zaměstnanec s příslušným podpisovým oprávněním nesmí učinit právní jednání a žalobce zavázat k budoucím aktivitám nebo plněním, pokud nebyly vystaveny příslušné dokumenty související s transakcí. Za škody a důsledky, které nastanou překročením podpisových oprávnění nebo porušením povinnosti podle čl. 5 odst. 1 a 2 [Anonymizováno] plně odpovídá ten zaměstnanec, který je překročil či porušil. Žalovaný tedy svým jednáním spočívajícím v setrvání na pokynu k realizaci platby a dále tím, že interní příkaz k úhradě schválil svým elektronickým podpisem, to vše i přesto, že si byl vědom nesplnění interních předpisů pro účely realizace této platby, porušil ustanovení čl. 5 odst. 1 písm. g) [Anonymizováno] a ustanovení čl. 2 odst. 4 [Anonymizováno], tj. interní předpisy zajišťující ochranu majetku žalobce před ztrátou a zneužitím. Žalovaný si tak v daném případě v rozporu s ustanovením § 301 písm. d) zákoníku práce nepočínal tak, aby nedocházelo ke škodám na majetku žalobce, když porušil interní předpisy žalobce sloužící k této ochraně. Žalovaný jednal ve vztahu k porušení svých povinností zaviněně ve formě vědomé nedbalosti, kdy věděl, že porušením svých povinností může žalobci způsobit škodu, ale bez přiměřených důvodů spoléhal, že ji nezpůsobí, neboť žalovaný si byl vědom rozporu s vnitřními předpisy, na něž byl upozorněn a s nimiž byl seznámen, neprověřil dostupné informace týkající se odesílatele e-mailu, včetně jeho e-mailové adresy, přičemž je zřejmé, že podvodná e-mailová adresa byla jednoduše odhalitelná, když se tato ([e-mail]) ani částečně neshodovala s formátem e-mailových adres používaných žalobcem - ve formátu [e-mail], nikoli ve formátu – jméno příjmení jako v případě podvodného e-mailu [jméno FO], kdy správný formát byl [jméno FO] [jméno FO] [tituly před jménem] Ke zvýšené pozornosti poté mohl nabádat rovněž nestandardní slovosled používaných v e-mailových zprávách ze strany podvodného odesílatele. I přes tyto zjevné a jednoduše ověřitelné skutečnosti žalovaný bez přiměřeného důvodu spoléhal na to, že pokyn zadává skutečný generální ředitel. Pokud by ze strany žalovaného bylo v rámci e-mailové komunikace s domnělým generálním ředitelem trváno na tom, že pro účely realizace platby je nezbytné, aby byl interní příkaz elektronicky podepsán samotným generálním ředitelem s tím, že bez splnění interních předpisů nemůže dojít k provedení platby, pak by ke vzniku škody spočívající v úhradě finančních prostředků nedošlo. Samotná platba byla totiž provedena až poté, co pokyn k úhradě odeslal žalovaný [tituly před jménem] [jméno FO] se svým elektronickým podpisem a žádostí o provedení, ačkoli si byl vědom toho, že ze strany generálního ředitele nebyly podmínky pro realizaci interního příkazu k platbě naplněny. Z uvedeného vyplývá, že je dána příčinná souvislost mezi porušením pracovních povinností žalovaného a škodou vzniklou žalobci. Žalovanému tak vznikla povinnost podle § 250 zákoníku práce nahradit zaměstnavateli skutečnou škodu v penězích. Výše náhrady škody způsobené zaměstnancem z nedbalosti je omezená a nesmí přesáhnout u jednotlivého zaměstnance částku rovnající se 4,5 násobek jeho průměrného měsíčního výdělku. Průměrný měsíční výdělek činil v případě žalovaného v rozhodném období 168 901 Kč, přičemž 4,5 násobek jeho průměrného měsíčního výdělku činí 760 054,50 Kč. Aktuální výše škody dle měnového kurzu platného k [datum] (1 EUR = 25,660 Kč) činí 1 082 762,45 Kč.
2. Žalovaný s žalobou nesouhlasil a navrhl její zamítnutí. Je pravdou, že v době phishingového útoku dne [datum] vykonával zástup na vedoucí pracovní pozici ředitele divize [Anonymizováno], a to po dobu čerpání dovolené zaměstnance, který tuto pozici dlouhodobě zastával. Právě z důvodu zástupu na něj bylo automaticky přesměrováno nastavení e-mailové schránky s elektronickou poštou originálně adresovanou tehdejšímu řediteli divize [Anonymizováno], panu [jméno FO]. Žalovaný zástup na dané vedoucí pozici vykonával od [datum], tedy den, kdy došlo k předmětnému phishingovému útoku, byl pátým pracovním dnem, kdy zástup vykonával. Dlouhodobě žalovaný pracoval u žalobce na jiné vedoucí pozici, a to jako ředitel sekce [Anonymizováno]. Žalovaný nebyl detailně seznámen se všemi interními akty řízení týkajícími se chodu divize finance, a to vzhledem k tomu, že ředitele divize [Anonymizováno] zastupoval k uvedenému dni pouze velmi krátkou dobu. Pokud jde o samotný průběh událostí, které vedly ke vzniku předmětné škody, je zavádějící, pokud žalobce situace popisuje tak, že e-mailovou korespondenci, která se následně ukázala jako podvodná, žalovaný obdržel z e-mailové adresy [e-mail], přičemž nevěnoval dostatečnou pozornost ověření adresy odesílatele. Ve skutečnosti četl žalovaný předmětnou e-mailovou korespondenci, která se následně ukázala jako podvodná, ve svém mobilním telefonu, kde se e-mailová adresa odesílatele zprávy nezobrazovala ve své autentické podobě, ale zobrazovalo se pouze jméno a příjmení [jméno FO], tj. jméno a příjmení tehdejšího generálního ředitele žalobce. Žalovaný neměl možnost zaznamenat a ověřit z důvodu e-mailové komunikace prostřednictvím mobilního telefonu reálnou e-mailovou adresu odesílatele, který se podepisoval jako generální ředitel [právnická osoba] [jméno FO], a podpis i forma provedení e-mailové zprávy byla zpracována jako autentická, jak vyplynulo z interního šetření ve věci phishingového útoku. Již z tohoto důvodu je vyloučeno žalobcem tvrzené údajné zavinění na straně žalovaného ve vztahu ke vzniklé škodě formou vědomé nedbalosti. Tato forma zavinění totiž vyžaduje, aby jednající osoba věděla o možnosti způsobit škodu, přičemž je zřejmé, že žalovaný neměl vědomost o tom, že ve skutečnosti komunikuje s osobou od generálního ředitele odlišnou. První z e-mailových zpráv, které se následně ukázaly jako podvodné, si žalovaný přečetl, a jelikož právě řídil osobní automobil, přeposlal tento dotaz na svého kolegu [tituly před jménem] [jméno FO], se kterým otázku dostatku finančních prostředků konzultoval následně i telefonicky. Po kladné odpovědi [tituly před jménem] [jméno FO] odpověděl žalovaný ze svého mobilního zařízení domnělému generálnímu řediteli s konstatováním, že zůstatek na účtu je dostatečný. Následně v 09:09 hodin obdržel od domnělého generálního ředitele platební údaje k zahraniční platbě s tím, že následně mu má být odesláno potvrzení o proběhlé platbě. Žalovaný přeposlal tyto údaje kolegovi [tituly před jménem] [jméno FO], který mu telefonicky sdělil, že realizaci plateb má na starosti [tituly před jménem] [jméno FO] jako ředitelka sekce [Anonymizováno] a [Anonymizováno]. Žalovaný se proto obrátil na ni, jednak jí předmětnou e-mailovou korespondenci přeposlal a jednak se výslovně telefonicky dotazoval na správnost postupu při požadavku na realizaci platby. [tituly před jménem] [jméno FO] mu sdělila, že generální ředitel je oprávněn vznášet požadavky na realizace platebního příkazu, nicméně je potřeba forma e-mailu s připojením jeho elektronického podpisu. Mezitím již žalovaný obdržel e-mailovou zprávu z podvodné adresy v 09:48 hodin s urgencí s textem: ???, pozdravy [jméno FO]. Žalovaný v souladu s informací od ředitelky sekce [Anonymizováno] a [Anonymizováno] odeslal domnělému generálnímu řediteli e-mail s textem, že [jméno FO] prosí, jestli by mohl poslat pokyn k provedení platby napřímo s elektronickým podpisem kvůli dodržení interních procesů. Přišla naléhající odpověď v čase 09:58 hodin: Řekněte jí, že pošlu všechny dokumenty později, kdy jsem méně zaměstnán, měla by okamžitě zpracovat platbu. Žalovaný obratem v 09:59 hodin přeposlal e-mail [tituly před jménem] [jméno FO], a to s textem pouze: [jméno FO], prosím … Ta žalovanému sdělila, že ačkoli je tento postup (zadání platby na pokyn bez elektronického podpisu) výjimečný, není ojedinělý, neboť v minulosti proběhl podobným způsobem např. nákup telefonů ze zahraničí. Tuto skutečnost [tituly před jménem] [jméno FO] potvrdila i ve svém zápisu se zaměstnancem ze dne [datum]. Žalovaný poukazuje na to, že ani [tituly před jménem] [jméno FO], které žalovaný předmětné e-mailové zprávy přeposlal na základě vizuální podoby těchto zobrazených zpráv, nepojala podezření, že jde ve skutečnosti o komunikaci s jinou osobou, než generálním ředitelem. Následně [tituly před jménem] [jméno FO] e-mailem své podřízené, paní [jméno FO] sdělila: Prosím, podívejte se, zda jsou dispozice pro platbu dostatečné, pokud ano, prosím o urgentní provedení zahraniční platby dle níže uvedených dispozic [Anonymizováno]. [Anonymizováno] je v tuto chvíli vytížen a oficiální požadavek nám s elektronickým podpisem dle dohody zašle dodatečně. Platbu potřebuje provést obratem, tak mi prosím hned pošlete potvrzení o realizaci, abych mohla [Anonymizováno] informovat. [Anonymizováno] je o platbě informován. Pokud by některá náležitost nezbytná pro provedení platby chyběla, dejte mi obratem vědět, zajistím, díky. [jméno FO]. Zatímco tedy žalovaný ve skutečnosti nepožadoval neprodlené uskutečnění platby, pouze přeposlal e-mailovou komunikaci, následně identifikovanou jako podvodnou, [tituly před jménem] [jméno FO], se slovy: [jméno FO], prosím…, byla to naopak právě [tituly před jménem] [jméno FO], kdo následně výslovný pokyn k urgentnímu provedení zahraniční platby svým podřízeným dal, na základě jejího pokynu byla platba následně realizována. [tituly před jménem] [jméno FO] poté informovala již skutečného generálního ředitele o odeslané platbě. Žalovaný tedy ve skutečnosti požadavek ani pokyn k realizaci platby neučinil. Slova: [jméno FO], prosím, mohla stejně tak znamenat, a ve skutečnosti také znamenala, nic víc a nic méně, než žádost žalovaného vůči [tituly před jménem] [jméno FO], aby se danou záležitostí s požadavkem domnělého GŘ na provedení platby zabývala a vyhodnotila další postup. Žalovaný veškeré žádosti a pokyny pouze zprostředkovával a přeposílal na kompetentní kolegy. Těžko lze přeposílání e-mailu ze strany jednoho zaměstnance na jiného kompetentního zaměstnance považovat za pokyn k platbě či jeho autorizaci. Žalovaný oprávněně spoléhal na to, že jelikož bylo vyřešení požadavku k platbě plně v kompetenci příslušné sekce [Anonymizováno] a [Anonymizováno], a on tento požadavek jen zprostředkoval, tato sekce, pro niž je navíc realizace plateb každodenní pracovní náplní, požadavek řádně překontroluje a bez dalšího bude postupovat výhradně v souladu s právními předpisy, včetně interních. Předpokládal, že naopak v případě jakéhokoliv nedostatku bude tato sekce postupovat adekvátně, například i tak, že odmítne platbu do doby naplnění všech interních požadavků realizovat, nebo bude trvat na připojení elektronického podpisu generálního ředitele. Navíc v momentě ověřování dostatečnosti údajů k platbě nikdo žalovaného neinformoval o tom, že platbu není možné například spárovat s již zavedeným dodavatelem či objednávkou. Žalovaný proto není osobou, která by svým jednáním porušila své pracovní povinnosti. Činnost spočívající v přeposílání e-mailových zpráv na ostatní kompetentní kolegy, nemohla být činností, kterou žalovaný žalobce jakkoliv zavázal. Nadto, pokud žalobce tvrdí, že žalovaný připojil k přeposílanému požadavku svůj elektronický podpis a tím porušil příslušná ustanovení podpisového řádu, žalovaný tuto skutečnost odmítá. V případě zasílání e-mailů z mobilního zařízení byl těmto zprávám připojen integrovaný elektronický podpis, jehož připojení probíhalo automaticky – systémově. Žalovaný tak nejenom, že ze své vlastní vůle tento podpis k žádnému přeposílanému e-mailu nepřipojil, navíc neměl ani možnost jeho připojení ovlivnit či tento elektronický podpis jakkoli z odesílaného e-mail z mobilního zařízení odstranit. Žalovaný v den phishingového útoku plnil neodkladné a podstatou velice významné pracovní záležitosti, zejména měl schůzku s dodavatelem žalobce a ukončoval pracovní poměr s jiným zaměstnancem žalobce. Z důvodu své pracovní vytíženosti přinejmenším celé dopoledne operoval ze svého mobilního telefonu, přičemž se v dobré víře snažil maximálně domnělému generálnímu řediteli vyhovět. Z podvodné e-mailové komunikace je zřejmá její naléhavost, pachatel jednotlivé zprávy přeposílal s odstupem několika minut, své požadavky urgoval. Celá komunikace mezi žalovaným a pachatelem trvala cca jednu hodinu. Žalovaný jednal pod oprávněným dojmem toho, že na vyřízení dané záležitosti naléhá generální ředitel žalobce. V době od 10:00 hodin začínalo setkání žalovaného s kolegou, s nímž byl ukončován pracovní poměr, jednalo se o žalovanému podřízeného ředitele odboru [Anonymizováno], který před žalovaným musel zpřístupnit svůj pracovní počítač, na kterém měl i svá osobní data a žalovanému ho odevzdat. Žalovaný musel velice zásadní pozornost věnovat této činnosti a soustředit se, aby nedošlo k úniku či poškození citlivých dat. S ohledem na přenos dat, předání počítače a podpisy všech souvisejících dokumentu a předávacích protokolů trvala tato aktivita téměř hodinu a půl. Žalovaný byl zároveň na pozici zastupujícího ředitele divize [Anonymizováno] v době útoku velmi krátce, nikdy předtím nepřišel do styku se zadáváním plateb k realizaci, ani nebyl seznámen se směrnicí o oběhu účetních dokladů. Navíc na svém mobilním zařízení neměl možnost vidět nesprávnou e-mailovou adresu odesílatele, tuto možnost však měly ostatní zainteresované osoby, jimž žalovaný požadavek domnělého generálního ředitele přeposílal. Ze zprávy z auditu ze dne [datum] vyplývá, že to byla ředitelka sekce [Anonymizováno]. ([tituly před jménem] [jméno FO]), která přestože vyžadovala elektronický podpis na pokynu k provedení předmětné platby od generálního ředitele, převzala a dala pokyn k platbě na základě e-mailové zprávy podepsané pouze elektronicky ředitelem sekce [Anonymizováno], aniž by tato zpráva obsahovala náležitosti účetního dokladu dle článku 2 odst. 4 [Anonymizováno], podle které zaměstnanec nesmí přijmout k zaúčtování účetní doklad, který nesplňuje všechny předepsané záležitosti. Z uvedeného vyplývá, že nikoli žalovaný, ale [tituly před jménem] [jméno FO] postupovala v rozporu s interními předpisy žalobce, se kterými byla detailně seznámena, neboť to byla její každodenní práce, a právě ona dala pokyn k platbě, aniž by k tomu byly splněny všechny požadavky dle interních předpisů, přitom výslovně doznala, že takto v rozporu s interními předpisy již postupovala v minulosti. Text podvodné zprávy byl velice autentický a zároveň se žalovaný domníval, že domnělý generální ředitel požadavek vyřizoval taktéž ze svého mobilního telefonu, a některé nepřesnosti jsou tak důsledkem automatické opravy textu. Zároveň interní šetření ukázalo, že se jednalo o velice sofistikovaný způsob podvodu, jež se jevil velice autenticky. Ke stejnému závěru dospěla i Policie ČR. Platby v řádově obdobné výši, jako byla předmětná částka 47 000 EUR, byly ze strany žalobce realizovány s frekvencí několika desítek až stovek takových plateb denně, přičemž naprosto běžně šlo i o platby zahraniční, tedy ani v tomto ohledu se požadavek na realizaci předmětné platby zprvu nejevil nikterak výjimečným či podezřelým. Za vznik předmětné škody je pochopitelně především odpovědný ten, na jehož bankovní účet byly připsány finanční prostředky na základě této transakce, jak následně vyšlo najevo podvodné transakce. Tato osoba plus případně její další spolupachatelé se vůči žalobci dopustili úmyslného sofistikovaného podvodného jednání vedeného záměrem škodu žalobci způsobit. Provedeným šetřením ve [Anonymizováno] byl majitel bankovního účtu, na který byly zaslány předmětné finanční prostředky ztotožněn, vyslechnut a je s ním vedeno trestní řízení. Nejde tedy o osobu neznámou, kterou by nebylo možno z pozice žalobce identifikovat. Žalobce přitom zřejmě na uplatnění nároku na náhradu škody či případně bezdůvodného obohacení vůči této osobě rezignuje. Dále ze zprávy z auditu vyplývá, že absolvování školení bezpečnosti informací, jehož součástí je mimo jiné varování před podvodnými e-maily a příklady konkrétních phishingových útoků, nebylo minimálně do doby phishingového útoku dne [datum] po zaměstnancích striktně vymáháno. Žalobce tedy minimálně do doby phishingového útoku [datum] neučinil veškeré nezbytné kroky k tomu, aby bylo podobným útokům na zaměstnance žalobce účinně zamezeno. Rovněž úroveň zabezpečení softwarového systému žalobce nebyla v době incidentu dostatečná. Pracovně vytížený zaměstnanec vykonávající navíc dvě vedoucí pozice naráz, který je celý den ve velkém pracovním shonu, není schopný phishingový útok snadno odhalit, naproti tomu žalobce jako [Anonymizováno] podnik s mnoho miliardovým ročním obratem by měl mít natolik dobře zabezpečený softwarový systém proti bezpečnostním kybernetickým hrozbám, zejména proti phishingovým útokům tak, že by měl těmto útokům být schopen včas účinně zabránit, nebo je aspoň včas detekovat. Je přinejmenším podivné, že se takový e-mail či dokonce série e-mailů dostane do doručené pošty vedoucího zaměstnance na úrovni [právnická osoba] a není eliminován nanejmíň tím, že bude zařazen do složky spam. Následné kroky žalobce (zvýšení intenzity varovných signálů, osobní setkání s vedoucími zaměstnanci k možným phishingovým útokům, zavedení povinného školení v rámci prevence proti kybernetickým útokům) vedly k odvrácení dalších phishingových útoků.
3. V řízení byly prokázány následující skutečnosti:
4. Mezi účastníky nebylo sporu o tom, že žalovaný byl zaměstnán u žalobce na vedoucí pracovní pozici ředitel sekce [Anonymizováno] na základě jmenovacího dekretu ze dne [datum], přičemž ode dne [datum] po dobu zástupu, a následně od [datum] na základě jmenovacího dekretu, vykonával vedoucí pracovní pozici ředitel divize [Anonymizováno].
5. Žalobce se dne [datum] stal terčem tzv. phishingového útoku, přičemž samotný skutkový průběh tohoto útoku byl mezi účastníky nesporný, vyplývá z předmětné e-mailové komunikace ze dne [datum] a byl zjištěn rovněž z připojeného trestního spisu [adresa], sp. zn. [Anonymizováno].
6. Z e-mailové komunikace ze dne [datum], z výpovědi žalovaného v rámci šetření incidentu žalobcem ze dne [datum] a z výpovědi žalovaného na Policii ze dne [datum] bylo zjištěno, že žalovaný dne [datum] obdržel v 08:52 hodin e-mail s dotazem, jaký je současný zůstatek bankovních účtů žalobce a zda můžou dnes zaplatit 47 tisíc eur. E-mail si žalovaný přečetl na svém mobilním zařízení při cestě automobilem. Mobilní zařízení zobrazuje pouze jméno odesílatele, nikoli celou e-mailovou adresu, tedy se domníval, že se skutečně jedná o e-mail od generálního ředitele, aniž mohl zaregistrovat další údaje k odesílateli této e-mailové zprávy. Na základě toho v 08:54 hodin tento e-mail odeslal kolegovi [tituly před jménem] [jméno FO], vedoucímu odboru [Anonymizováno], k ověření zůstatku, a následně mu i volal. Protože telefon nebral, navštívil hned po příchodu do práce jeho kolegyně a ověřil, že na účtech je dostatečný zůstatek. V 09:02 hodin v domnění, že odpovídá generálnímu řediteli, ve skutečnosti však na e-mailovou adresu [e-mail], čehož si nevšimnul, zaslal informaci, že je zůstatek dostatečný. V 09:09 hodin v rámci předmětné e-mailové komunikace obdržel platební údaje s požadavkem na zaslání potvrzení o platbě a v 09:12 hodin odpověděl na podvodnou e-mailovou adresu, že předává k provedení, až platba proběhne, pošle potvrzení. E-mail s platebními údaji v 09:13 hodin přeposlal kolegovi [jméno FO] a následně mu volal. Ten ho informoval, že platbu neprovádí on, ale kolegyně z divize [Anonymizováno] a [Anonymizováno]. S ohledem na to, že v průběhu dopoledne měl žalovaný setkání ještě s jedním z dodavatelů a zároveň se připravoval na rozhovor s jedním z řídících pracovníků o ukončení jeho pracovního poměru, který začínal v 10:00 hodin a který byl psychicky poměrně náročný a upínal proto svou pozornost zejména k tomuto momentu, požádal [tituly před jménem] [jméno FO], aby se na dalším postupu ve věci této platby dohodl s kolegyní [jméno FO], ředitelkou sekce [Anonymizováno] a [Anonymizováno]. Následovalo několik e-mailů, o kterých se žalovaný domníval, že jsou od generálního ředitele, s urgencí v podobě otazníků (v 09:48 hodin) či dotazů, zda již byla platba provedena. Několikrát proto telefonicky hovořil s kolegyní [jméno FO], v jakém to je stavu. Zároveň se dotazoval na správnost postupu, kolegyně sdělila, že generální ředitel je oprávněn vznášet požadavek na provedení platebního příkazu, ale že by to potřebovala formou e-mailu s elektronickým podpisem. V reakci na to odeslal v 09:53 hodin žádost o zaslání pokynu přímo na kolegyni s elektronickým podpisem. V 09:58 hodin přišla reakce: „Řekněte jí, že pošlu všechny dokumenty později, když jsem méně zaměstnán, měla by okamžitě zpracovat platbu“. Protože v 10:00 hodin začínala již zmíněná schůzka, přeposlal tento e-mail obratem (09:59 hodin) na kolegyni [jméno FO] s dovětkem „[jméno FO], prosím“. S ohledem na časový stres neřešil stylistiku příchozích e-mailů, navíc se domníval, že veškerá komunikace ze strany GŘ odchází rovněž z mobilního zařízení a mohlo se jednat o automatickou korekci textu, čemuž odpovídala i forma. V průběhu schůzky přišlo ještě několik urgencí. Odpovídal, že se platba procesuje, a že následně bude přímo kolegyní [jméno FO] zasláno potvrzení. V 11:21 hodin poslala kolegyně [jméno FO] nový e-mail s potvrzením o provedené platbě, a to přímo generálnímu řediteli. Kolegyně nebyla přímou účastnicí původní komunikace mezi žalovaným neznámým pachatelem, který se vydával za [tituly před jménem] [jméno FO], tudíž když ona posílala e-mail, tak použila standardní e-mailovou adresu [tituly před jménem] [jméno FO], zatímco žalovaný pouze odpovídal na předchozí maily, a to prostřednictvím mobilního telefonu. Krátce na to telefonoval generální ředitel s dotazem o jakou platbu se jedná, že on žádný pokyn k platbě nevydal. Sdělil, že se zřejmě jedná o phishingový útok a že mají platbu okamžitě zastavit. Následně se všichni sešli u kolegy [jméno FO], a byl zahájen reklamační proces, následně věc převzala sekce [Anonymizováno] a žalovaný dostal pokyn všechny příchozí e-maily z fiktivní e-mailové adresy přeposílat kolegům z [Anonymizováno]. V průběhu odpoledne a následující ráno přišly ještě tři urgence, všechny tyto e-maily přeposílal kolegům z [Anonymizováno] a dále na ně nereagoval, všechny podvodné e-maily byly předány Policii ČR v rámci trestního oznámení. Žádné podobné operace na [právnická osoba] nikdy v minulosti neřešil, domníval se, že komunikuje přímo s generálním ředitelem, tedy jeho identitu jiným komunikačním kanálem neověřoval. E-mail předal k procesování kolegům a předpokládal, že ověření proběhne v rámci procesu zpracování platebního příkazu. Uvedeného příjemce platby společnost [Anonymizováno] [Anonymizováno] nezná, nikdy se s touto společností žalovaný nesetkal. Předpokládal, že ověření příjemce probíhá v procesu zpracování platebního příkazu.
7. Ze spisu [adresa], sp. zn. [Anonymizováno] bylo zjištěno, že trestní oznámení bylo podáno Policii České republiky dne [datum] zaměstnancem žalobce [jméno FO] ve 12:44 hodin. Věc byla [datum] odložena usnesením o odložení trestní věci podezření ze spáchání zločinu podvod podle § 209 odst. 1, 4 písm. d) tr. zákoníku, kterého se měl dopustit neznámý pachatel tím, že dne [datum] zaslal prostřednictvím e-mailu ve tvaru [e-mail], kde se zobrazovalo jméno ředitele žalobce [tituly před jménem] [jméno FO], zprávu adresovanou zaměstnanci žalobce panu [Jméno zainteresované osoby 0/0] (žalovaný), v níž se dotazoval na zůstatek financí na jejich bankovních účtech a zdali můžou ještě dnes zaslat na účet uvedený ve zprávě částku 47 000 EUR. Následně došlo ze strany zaměstnanců [právnická osoba] k zaslání peněz na uvedený účet, kdy [tituly před jménem] [jméno FO] e-mailovou zprávu adresovanou na e-mailovou adresu skutečně patřící řediteli [tituly před jménem] [jméno FO] potvrdila jejich zaslání, ten však žádné zaslání neinicioval, neboť se nepodařilo zjistit skutečnosti opravňující zahájit trestní stíhání podle § 160 tr. řádu. Žalovaný k věci vypovídal na Policii dne [datum] a popsal průběh útoku ze dne [datum]. Policejní orgán ihned po oznámení případu zaslal žádost o předběžné zajištění finančních prostředků na bankovním účtu, na který byly podvodně vylákané prostředky zaslány, byl vyhotoven rovněž návrh právní pomoci ve [Anonymizováno], neboť se jednalo o bankovní účet ve [Anonymizováno]. Orgány činné v trestním řízení [Anonymizováno] zaslaly zpět shromážděný materiál s tím, že [datum] byl zadržen [Anonymizováno] [Anonymizováno] [Anonymizováno] při pokusu o výběr 7 000 EUR z bankomatu, který byl vyslechnut a uvedl, že jeden kamarád z [Anonymizováno] jménem [jméno FO], původem z [Anonymizováno], chtěl využít jeho bankovní účet, na který měly být zaslány nějaké jeho finanční prostředky. Za poskytnutí bankovního účtu měl obdržet [Anonymizováno] [Anonymizováno] [Anonymizováno] částku 1 000 EUR. Poté, co tyto prostředky přišly na jeho účet, následně vybral na různých pobočkách bankovní spol. [Anonymizováno] částku v celkové výši 41 000 EUR, kterou předal osobě [jméno FO], zbytek peněz měl vybrat a poslat je přes spol. [Anonymizováno] [Anonymizováno] do [Anonymizováno]. Dne [datum] se mu už peníze nepodařilo vybrat, proto šel do banky následující den, aby zde vyzvedl částku 5 000 EUR, tyto peníze mu ovšem bankomat nevydal a následně byl zadržen policisty. Policejní orgán [Anonymizováno] vynaložil značnou aktivitu při objasňování trestného činu i ve snaze ustanovit osobu pachatele primárního trestného činu vystupující pod identitou [jméno FO], toto se však přesto nepodařilo. Za účelem zjištění možných digitálních stop bylo ke spolupráci vyzváno oddělení analytiky – Skupina kybernetické kriminality PČR, jehož pracovníci provedli analýzu hlaviček podvodných e-mailů a dále analýzu IP adres získaných z laviček v předmětných e-mailů a také analýzu samotné domény [Anonymizováno].com. Tato doména umožní uživatelům vytvoření e-mailové schránky, kde si uživatelé mohou nastavit různé atributy, díky kterým se jejich e-mailová schránka může tvářit jako e-mailová schránka jiné osoby. Z tohoto důvodu jsou tyto e-mailové schránky hojně zneužívány pachateli kybernetické kriminality. Ze zdrojového kódu poskytnuté e-mailové komunikace nelze jednoznačně určit, zda odesílatel nevyužil k zaslání zpráv anonymizačních služeb nebo k tomu určených SW nástrojů. Lustrací IP adres bylo zjištěno, že spadají do rozsahu IP adres, které jsou vyhrazeny zahraničnímu subjektu s názvem [Anonymizováno]-[Anonymizováno] se sídlem ve [Anonymizováno], kdy se jedná o společnost poskytující internetové služby, jako například hosting atd., tudíž nejedná se o konečného uživatele internetového připojení. Provedeným šetřením byl ztotožněn majitel bankovního účtu, na který byly zaslány finanční prostředky, tento byl prostřednictvím policejního orgánu [Anonymizováno] vyslechnut a je s ním vedeno trestní řízení v [Anonymizováno], a to pro podezření ze spáchání trestného činu legalizace výnosů z trestné činnosti. Policejnímu orgánu se nepodařilo ustanovit pachatele primárního trestného činu, který odesílal podvodné e-maily, vzhledem k tomu není možné zahájit trestní stíhání konkrétní osoby a nezbylo než věc odložit. Stížnost poškozeného – žalobce proti tomuto usnesení byla [adresa] z důvodu opožděnosti zamítnuta. Nad rámec toho, že byla stížnost podána opožděně, státní zástupkyně uvedla, že napadené usnesení má po formální a obsahové stránce potřebné zákonné náležitosti a policejní orgán v něm podrobně rozebral vše, co učinil k nalezení pachatele, a tedy rozhodl o odložení věci správně. Ze sdělení žalobce na č. l. 291 trestního spisu - aktualizace uplatnění nároku na náhradu škody bylo zjištěno, že [datum] obdržel žalobce jako poškozený na svůj bankovní účet částku 4 803 EUR od příkazce [Anonymizováno] [Anonymizováno] s popisem platby - částečná platba, kterou žalobce použil na částečnou úhradu způsobené škody v původní výši 47 000 EUR. Vzniklá škoda tak činí 42 196,51 EUR. 8. [právnická osoba], provedla šetření ve věci podvodu – finanční operace 47 000 EUR na podkladě podvodného e-mailu, v rámci kterého se k věci vyjadřovala [tituly před jménem] [jméno FO], s níž byl sepsán dne [datum] zápis, ze kterého bylo zjištěno, že zastává pozici ředitele sekce [Anonymizováno] a [Anonymizováno]. S veškerými předpisy souvisejícími s výkonem této funkce byla seznámena a dopodrobna je zná. V úterý [datum] v 09:19 hodin se na ni telefonicky obrátil ředitel odboru [Anonymizováno]. pan [jméno FO] s informací, že obdržel od ředitele [Anonymizováno] pana [Jméno zainteresované osoby 0/0], toho času zastupujícího ředitele divize [Anonymizováno], požadavek na urgentní úhradu částky 47 000 EUR na základě požadavku generálního ředitele (GŘ) s tím, jaké jsou platné postupy. [tituly před jménem] [jméno FO] mu sdělila, že platby jsou realizovány na základě příkazu k úhradě podepsaného oprávněnou osobou. Postup při obdobných finančních transakcích řeší [Anonymizováno]. Následně v 09:23 hodin obdržela e-mailovou zprávu od pana [jméno FO] s komunikací s panem [jméno FO] a zadání k platbě, v rámci jiného probíhajícího jednání se k problematice vrátila na základě telefonátu pana [jméno FO] v 09:50 hodin, kterému sdělila, jaký je standardní postup s tím, že osloví GŘ s upřesněním zaslání požadavku s jeho elektronickým podpisem. V korespondenci od pana [jméno FO] a pana [jméno FO] byl připojen text požadavku se jménem pana generálního ředitele, účet měl název jméno a příjmení pana generálního ředitele. Na základě informace od žalovaného, že se jedná o urgentní záležitost, zahájila komunikaci s odborným útvarem [Anonymizováno]., který tento typ úhrad do zahraničí provádí, a odborem [Anonymizováno]. panem [jméno FO], jaké jsou pro tyto platby podmínky, vzhledem k avizovanému požadavku na urgentní provedení. V průběhu této komunikace byla několikrát telefonicky kontaktována žalovaným s dotazy na možný termín provedení a urgencí k urychlení s tím, že GŘ opakovaně urguje. Na dotaz, proč GŘ požaduje takto rychlou platbu a čeho se týká, obdržela informaci, že GŘ toto neupřesnil, ale že je dohodnuto, že požadované podklady a schválení budou dodány následně, a má informaci o provedení platby s potvrzením o provedení platby zaslat GŘ. Se shodným případem se v minulosti nesetkala, ale v minulosti zcela výjimečně byly podklady po předchozí dohodě doplněny následně během daného dne. Podklady jsou předávány dle stanovených pravidel buď v písemné podobě s podpisem oprávněné osoby, nebo elektronicky e-mailem s elektronickým podpisem oprávněné osoby. Příjemce předmětné platby nezná. V 10:09 hodin poslala pokyn odbornému útvaru [Anonymizováno]. k prověření, zda jsou údaje pro platbu dostatečné, a provedení platby s tím, že uvedla i důvod tohoto ne zcela standardního postupu v rozsahu informací, které měla k dispozici, že požadavek s elektronickým podpisem bude dle dohody zaslán dodatečně. K tomu dále uvedla, že tak učinila na základě pokynu nadřízeného – zastupujícího ředitele divize [Anonymizováno] v době jeho nepřítomnosti. Zastupující ředitel divize [Anonymizováno] byl oprávněn takový pokyn vydat. Komunikace probíhala prostřednictvím e-mailů a průběžně telefonicky, většinou prostřednictvím mobilního telefonu, jinak prostřednictvím pevné linky. Pokyn k platbě převzala od zastupující ředitele divize [Anonymizováno] prostřednictvím e-mailové komunikace. Na základě telefonicky potvrzeného požadavku a urgencí na realizaci z jeho strany následně předala požadavek na konkrétní odborný útvar [Anonymizováno]. Informaci o provedení platby obdržela v 11:01 hodin a ihned toto předala generálnímu řediteli. V průběhu komunikace s žalovaným nevznikly na straně [tituly před jménem] [jméno FO] žádné pochybnosti o tom, že by nekomunikoval s GŘ napřímo.
9. Z e-mailové zprávy zaslané [tituly před jménem] [jméno FO] dne [datum] v 10:09 hodin [jméno FO] a v kopii žalovanému a [tituly před jménem] [jméno FO] bylo zjištěno, že svoji podřízenou poprosila, ať se podívá, zda jsou dispozice pro platbu dostatečné, pokud ano, prosí o urgentní provedení zahraniční platby dle níže uvedených dispozic GŘ. GŘ je v tuto chvíli vytížen a oficiální požadavek s elektronickým podpisem dle dohody zašle dodatečně. Platbu potřebuje provést obratem, žádala ihned o zaslání potvrzení o realizaci, aby mohla GŘ informovat. [Anonymizováno] je o platbě informován. Pokud by některá náležitost nezbytná pro provedení platby chyběla, má jí kolegyně dát vědět a ona to zajistí. Na to [jméno FO], vedoucí odboru [Anonymizováno] a [podezřelý výraz], zaslala e-mail [jméno FO] a v kopii [jméno FO] ve znění: Dobrý den, prosím o provedení urgentní platby a zpětné info o provedení dle pokynů [tituly před jménem] [jméno FO] (e-mail ze dne [datum] v 10:19 hodin).
10. Žalobce ve věci nechal zpracovat audit phishingového útoku, přičemž ze zprávy z auditu č. [Anonymizováno]/[Anonymizováno] bylo zjištěno, že byl zahájen [datum] a ukončen [datum]. Popisuje řídící dokumentaci, vnitřní a kontrolní mechanismy upravující hospodaření s finančními prostředky i vnitřní řídící a kontrolní mechanismy v oblasti kybernetické bezpečnosti. Průběh, rozsah a dopady související s útokem ze dne [datum] byly již předmětem šetření sekce [Anonymizováno], která bez prodlení na podkladě relevantní dokumentace a vyjádření odpovědných zaměstnanců podrobně zjistila a popsala skutkový děj daného případu. Interní auditoři měli k dispozici tuto dokumentaci, zejména předmětnou mailovou korespondenci, jejímž prostřednictvím byl phishingový útok proveden, zápisy s vyjádřeními zaměstnanců, kteří byli účastníci útoku, a další interně zpracované souhrnné informace. Dále byl popsán průběh phishingového útoku se závěry, že žalovaný jako zastupující ředitel [Anonymizováno] porušil ustanovení čl. 5 odst. 1 písm. g) [Anonymizováno] řádu tím, že dal pokyn k úhradě částky 47 000 EUR, aniž měl k dispozici odpovídající dokumenty (fakturu nebo jiný účetní doklad k požadované transakci), svým elektronickým podpisem potvrdil e-mailovou zprávu s phishingovým požadavkem na provedení platby a dal tím pokyn k úhradě předmětné částky, aniž by tento pokyn splňoval náležitosti účetního dokladu dle čl. 2 odst. 4 [Anonymizováno] [Anonymizováno]. Ředitelka sekce [Anonymizováno]. [tituly před jménem] [jméno FO], přestože vyžadovala elektronický podpis na pokynu k provedení předmětné platby od GŘ, převzala a dala pokyn k platbě na základě e-mailové zprávy podepsané elektronicky pouze ředitelem sekce [Anonymizováno] (žalovaným), aniž by tato zpráva obsahovala náležitosti účetního dokladu dle čl. 2 odst. 4 [Anonymizováno]. Selhání lidského faktoru, tj. předmětné jednání a porušení řídící dokumentace [Anonymizováno] umožnilo úspěšné dokončení phishingového útoku s finančním dopadem na žalobce. Následně byla přijata opatření, která zabránila dalšímu phishingovému útoku na [Anonymizováno] uskutečněnému dne [datum] obdobného charakteru, tj. vyžadované platby do zahraničí, kdy vedoucí zaměstnanci již postupovali v souladu s předepsanými postupy poté, co byli varováni v souvislosti s phishingovým útokem z [datum]. Dále bylo konstatováno, že absolvování školení bezpečnosti informací uživateli ICT [Anonymizováno] není kontrolováno. Varování před podvodnými e-maily a příklady phishingových útoků obsahuje povinné bezpečnostní školení, které je zpřístupněno formou e-learningu na intranetu [Anonymizováno]. Absolvování tohoto školení příslušnými zaměstnanci není vedoucími zaměstnanci [Anonymizováno] kontrolováno.
11. Z [Anonymizováno] řádu žalobce [Anonymizováno] účinného od [datum], bylo zjištěno, že pozice ředitel divize [Anonymizováno] je na úrovni řízení [právnická osoba], přímým nadřízeným ředitele divize [Anonymizováno] je generální ředitel. Ředitel divize [Anonymizováno] odpovídá za řízení a zajištění oblastí činnosti, mimo jiné účetnictví, výkaznictví a daňová problematika, provádění všech plateb a spolupráce s příslušnými externími subjekty a institucemi státní správy. Podle článku 3.2.3 na úrovni řízení [Anonymizováno] jsou vedoucí zaměstnanci přímo podřízeni řediteli divize nebo jinému generálnímu řediteli přímo podřízenému vedoucímu zaměstnanci a jimi řízené organizační jednotky. Žalobce jako zastupující ředitel divize [Anonymizováno] byl na řídící úrovni [Anonymizováno], [tituly před jménem] [jméno FO] patřila mezi jeho podřízené na úrovni [Anonymizováno] na pozici ředitelky sekce [Anonymizováno] a [Anonymizováno].
12. Z podpisového řádu žalobce [Anonymizováno] účinného od [datum], bylo zjištěno, že podle bodu 2, který stanoví oprávnění k jednání a podpisu, se právním jednáním pro účely podpisového řádu rozumí zejména uzavírání smluv nebo jiné jednání, na základě kterého vzniká žalobci právo na peněžité nebo nepeněžité plnění nebo povinnost uhradit peněžité plnění, případně povinnost splnit nepeněžité plnění, popřípadě jiná právní jednání uvedená v příloze č. 1 [Anonymizováno] řádu. Podle bodu 2 odst. 3 právním jednáním ve smyslu podpisového řádu nejsou podpisy organizačních nebo interních dokumentů nebo dopisů (sdělení), jejichž podepisování je vymezeno v ostatních vnitřních předpisech. Podle bodu 3, který stanoví obecné zásady pro podepisování ke schválení transakcí aktivit a dat v elektronické podobě (datová zpráva), lze použít zaručeného elektronického podpisu v návaznosti na kvalifikovaný certifikát, kdy v rámci vydaného předpisu pro danou oblast při dodržení stanovených bezpečnostních pravidel se schvalovací akt provede elektronicky dle vymezeného postupu pro danou záležitost. Podle bodu 5 zaměstnanec s příslušným podpisovým oprávněním nesmí učinit právní jednání a žalobce zavázat k budoucím aktivitám nebo plněním, pokud nebyly vystaveny příslušné dokumenty související s transakcí. Podle bodu 6 odst. 2 v případě zastupování v době nepřítomnosti zastupovaného přejímá zastupující podpisová oprávnění zastupovaného a odpovědnost za tato jednání v plném rozsahu, pokud není vnitřním předpisem či zastupovaným stanoveno jinak. V příloze č. 1 jsou stanovena podpisová oprávnění pro smlouvy a dokumenty zakládající finanční plnění ze strany žalobce související s činností podřízené organizační jednotky. Podle bodu 4 za naplnění schvalovacích procesů smluvních dokumentů před jejich podpisem příslušným oprávněným vedoucím zaměstnancem odpovídá zpracovatel, zejména za jasné a srozumitelné vymezení předmětu, specifikaci rizik, za finanční a obchodní stránku, za technickou a provozní realizovatelnost a dodržení stanovených termínů. Tabulka č. 1 stanoví maximální výši limitu podpisového oprávnění (limit rovná se hodnota smlouvy), tzn. celkovou výši finančního plnění ze strany žalobce, a to po celou dobu účinnosti předmětné smlouvy, přičemž výše limitů se liší podle typu jednotlivých dokumentů. Z tabulky vyplývá, že ohledně smluv a objednávek, včetně nákupních požadavků, a interní příkazy k úhradě vytvářející závazek [Anonymizováno] zakládající finanční plnění ze strany [Anonymizováno] a související s činností řízené jednotky s maximální výší limitu podpisového oprávnění v hodnotě přesahující 1 000 000 Kč a nedosahující 2 000 000 Kč, mají podpisová oprávnění ředitelé úseků, ředitelé sekcí na úrovni [Anonymizováno] a [Anonymizováno].
13. Ze [Anonymizováno], účinné od [datum], bylo zjištěno, že upravuje postupy související s oběhem účetních dokladů v rámci žalobce, tj. likvidaci účetních případů, schvalování účetních dokladů, zajištění jejich zaúčtování a odpovědnosti účtujících osob a následnou archivaci. Účetním případem je taková skutečnost, která je předmětem účetnictví a jejíž existence pro účely vyúčtování je doložena účetním dokladem nebo informací na technickém nosiči dat, pokud jsou na něm údaje o těchto skutečnostech zachyceny při jejich vzniku přímo (způsobem uvedeným v projekčně programové dokumentaci SAP). Vznik účetního případu se odvíjí od uzavřeného smluvního vztahu, od vystavené a podepsané objednávky, od vyslání na pracovní cestu, k uskutečnění drobného nákupu apod. Účetní doklad je průkazný účetní záznam obsahující povinné náležitosti k účtování účetního případu, může mít podobu písemného vstupního podkladu k zaúčtování (např. paragon, příjmový/výdajový pokladní doklad, faktura apod.) nebo podobu elektronického zobrazení přímo v daném systému, kde je účtování provedeno, např. účetní doklad v modulech systému SAP. Dále jsou stanoveny povinné náležitosti účetních dokladů a povinnost uvést na každém z účetních dokladů podpisy dvou odpovědných osob, a) odpovědnost za schválení účetního případu – ověření věcné správnosti, tj. porovnání údajů uvedených na účetním dokladu nebo podkladu k účtování s předpokládaným stavem dle smlouvy, dle původní objednávky, dle původního záměru apod., schvalovací pravomoc je uplatněna v souladu s příslušným limitem a danou úrovní řízení. Za škody vzniklé v důsledku nařízení a potvrzení neoprávněné operace odpovídá zaměstnanec, který operaci nařídil a schválil, b) odpovědnost za zaúčtování účetního případu – stanovení účetních souvztažností – výběr odpovídajících účtů s ohledem na jejich obsahovou náplň a možná formální kontrola před zaúčtováním. Zaměstnanec pověřený přijetím účetního dokladu k zaúčtování nesmí přijmout účetní doklad, který nesplňuje všechny předepsané náležitosti. Vymezení druhu účetních dokladů a popisy jednotlivých účetních případů je uvedeno v přílohách 1a, 1b a 1c směrnice. Oběhem účetního dokladu se rozumí proces od jeho vzniku až po jeho skartaci. Podpis na účetním dokladu může mít i projev jako uznávaný elektronický podpis (včetně elektronického schválení prostřednictvím systému [Anonymizováno] [Anonymizováno]). Podle přílohy 1a ke směrnici stanovící obecné pravomoci, bod 9, interní příkaz k úhradě (příkaz k platbě), tedy proplácení závazků neinvestičního charakteru, např. závazky vůči státním institucím, vůči dodavatelům v případech, pokud na tyto závazky nebyly vystaveny dodavatelské faktury nebo k proplácení náhrad škod působených [Anonymizováno] jiným subjektům požadované zálohy na dodávky služby, úhrada pokut, penále, správních a jiných poplatků včetně soudních poplatků, nákladů řízení a nákladů exekuce apod., podléhá schválení podle pravidel podle přílohy č. 1, tabulka č. 1 [Anonymizováno] řádu, v platném znění. V příloze 1a jsou uvedeny i další druhy dokladů, celkem 35 druhů.
14. Z výpovědi svědkyně Ing, [jméno FO] bylo zjištěno, že je zaměstnancem žalobce od roku 2007. V prosinci byla zaměstnána jako ředitel Sekce [Anonymizováno] a [Anonymizováno]. Na této pozici je zaměstnána stále. Dále uvedla, že si na danou situaci vzpomíná. 19.12. ji oslovil jiný kolega z útvaru [Anonymizováno] a [Anonymizováno], že byl osloven žalovaným na základě požadavku pana generálního ředitele prostřednictvím mailu, aby zaplatili částku 47 000 €, že byl dotázán, jestli na to mají peníze a jestli to mohou provést. Ptal se svědkyně, co je k tomu potřeba, protože on spravuje bankovní účty a běžné režijní úhrady nedělá. Sdělila mu, že je potřeba příkaz, že tam musí být základní věci typu, komu mají platit, bankovní účet, kolik peněz a schválení podle oběhu účetních dokladů. Potom následně dostala přeposlaný email, kde vystupoval tehdejší generální ředitel pan [jméno FO] a začali to řešit s žalovaným telefonicky. Opět mu sdělila, co je potřeba. Vzhledem k tomu, že v tom emailu nebyl elektronický podpis, tak řešili, jestli je to oprávněná platba, jakým způsobem, za co to je a několikrát si volali, možná dvakrát nebo třikrát. Svědkyně žádala žalovaného, aby se domluvil s generálním ředitelem a ověřil to. V rámci posledního telefonátu jí žalovaný potvrdil, že pan generální ředitel mu potvrdil tu platbu, že to má být, že dodá ty podklady, že je zaneprázdněn pracovně. Žalovaný podepsal email s tím požadavkem na zaúčtování sám, což mohl. Podle interního předpisu o oběhu účetních dokladů to byl on a pan generální ředitel, který to mohl podepsat. Oni na základě toho provedli tu platbu a po provedení platby obratem informovali žalovaného a pana generálního ředitele a tím se zjistilo, že to byl phishing. Svědkyně uvedla, že si všimla, že email, který byl uveden u jména pana generálního ředitele, nebyl úplně standardní. Proto žádala žalovaného, aby se s ním spojil a ověřil, jestli je to tak správně, protože ona neměla informace, kde se pan ředitel nachází a jestli je přístupný na svém emailu. Žalovaný jí pak volal a potvrdil to. Svědkyně neřešila, zda komunikoval s generálním ředitelem přímo osobně, nicméně to pochopila tak, že je to ověřeno s generálním ředitelem a pak už to dál neřešila. Na požadavky svědkyně, aby byly pokyny generálního ředitele doloženy, sdělil žalovaný svědkyni, že je to v pořádku, že pan generální ředitel teď nemůže, ale že je to potřeba zaplatit rychle a že ty doklady k tomu dodá následně. Všechny emaily, které přišly tenkrát od žalovaného, byly podepsány elektronickým podpisem. Svědkyně měla za to, že se jedná o emaily z normálního pracovního počítače, protože z telefonů vypadají zprávy jinak a je tam informace o tom, že to je z iPhonu. Svědkyně vyrozuměla, že o to požádal generální ředitel, ale nepožádal ji, ale požádal žalovaného. Takže to brala tak, že žalovaný, který je v úrovni [právnická osoba], má oprávnění na tuto platbu, a že potom je to jeho pokyn, který elektronicky podepsal. Uvažovala o tom, že by přímo kontaktovala generálního ředitele, ale nebylo to v její kompetenci, protože byla až na úrovni [právnická osoba], takže kontaktovat ho a obejít svého nadřízeného by považovala za hodně nestandardní. V tu chvíli by v podstatě shodila svého řídícího manažera a znejistěla by jeho manažerskou pozici. Žalovaný byl v té době její kolega, v té konkrétní chvíli zastupoval ředitele na úrovni [právnická osoba] po dobu dovolené. V dané chvíli jí žalovaný sdělil, že má něco na práci, ale nepamatovala si, co to přesně mělo být. Svědkyně měla ve svém počítači v přeposlané korespondenci adresu, ze které podvodné e-maily přišly. Na základě toho posledního telefonického rozhovoru a potvrzení toho posledního emailu od žalovaného usoudila, že mají platbu provést. V e-mailu bylo [právnická osoba] prosím proveďte nebo něco podobného. Žalovaný jí řekl, že mají plat provést platbu, ale na jeho konkrétní slova si svědkyně již nepamatovala. Bylo to něco v tom smyslu, že mají provést úhradu a mají ji provést rychle. Na základě telefonického pokynu úhradu provést nemohla, jenom na základě emailu, kde bylo napsáno, prosím, proveďte nebo něco podobného s elektronickým podpisem žalovaného. Výjimečně se stala situace, že byla provedena platba, která byla doložena až zpětně, ale svědkyně si nevzpomínala, že by k tomu došlo ze strany generálního ředitele. Nevzpomínala si ani na to, že by někdy dostali pokyn týkající se úhrady rychlého nákupu mobilních telefonů ze strany generálního ředitele. Svědkyně dále uvedla, že si je jistá, že upozornila žalovaného na podivnou elektronickou adresu, ze které podvodný email přišel.
15. Z výpovědi žalovaného bylo zjištěno, že se vše odehrálo před Vánoci, což je obecně pro [Anonymizováno] a [Anonymizováno] odbor obzvlášť stresové období. Zároveň ten den v 10 hodin zahájil jednání s kolegou, který pod sebou držel klíčovou oblast, byli s ním dlouhodobě nespokojeni a cílem schůzky bylo ukončit s ním pracovní poměr dohodou, a to takovým způsobem, aby neměl možnost nějak manipulovat se systémem. Velká část jeho pozornosti byla směřovaná k tomu, aby tato schůzka proběhla dobře. Dále popsal průběh phishingového útoku, shodně jako v písemném vyjádření a při výslechu na Policii, tedy že poté, co obdržel daný e-mail volal kolegovi [jméno FO], ale ten mu to nebral. Potom během několika minut dorazil do zaměstnání a navštívil útvar [Anonymizováno]. Ptal se jeho kolegyň, zda zůstatek pro platbu je dostatečný. Ty řekly, že mu dotaz předají, jakmile dorazí do práce. Žalovaný šel do kanceláře, chvíli na tomu volal svědek [jméno FO], že prostředky jsou dostatečné. Toto odepsal žalovaný na podvodný e-mail, ze kterého poté přišly pokyny k platbě. V té době pobíhal po budově a komunikoval prostřednictvím mobilního telefonu. Obrátil se na svědka [jméno FO], ten řekl, že to nespadá do jeho gesce. Poprosil ho, jestli by to mohl řešit s kolegyní [jméno FO], načež kolega [jméno FO] se na ni obrátil. V mezičase žalovanému zase začaly chodit z adresy domnělého generálního ředitele urgence. Byly to dva otazníky, přišlo to asi dvakrát. Žalovaný se cítil pod tlakem. Bylo to někdy kolem 9.45 hod. Kontaktoval svědkyni [jméno FO] a ptal se, jestli je k tomu generální ředitel oprávněn. Ta mu potvrdila, že ano. Potom se ptal, jak dál postupovat a ona řekla, že vidí jediný problém, a to je chybějící elektronický podpis generálního ředitele. V tomto duchu napsal domnělému generálnímu řediteli e-mail, zda by mohl napsat oficiální pokyn s elektronickým podpisem. V 9.58, dvě minuty před zahájením schůzky žalovaného, mu přišla zpráva, že je generální ředitel zaneprázdněn a že podklady dodá následně. Žalovaný ten e-mail vzal a přeposlal ho kolegyni [jméno FO]. To bylo asi v 9. 59 a v 10 hodin začala schůzka s kolegou. V průběhu té schůzky dále chodily urgence, otazníky, jak to vypadá s platbou a někdy kolem 10.30 hod žalovaný volal svědkyni [jméno FO] a ptal se, jak to vypadá, že ho generální ředitel urguje. Svědkyně [jméno FO] říkala, že provést tu platbu je složitější, že to chvíli potrvá a jakmile to bude provedeno, generální ředitel a žalovaný dostanou potvrzení. To se stalo někdy kolem 11.
30. V návaznosti na to generální ředitel volal a sdělil, že pokyn nebyl jeho, načež žalovaný se obrátil na všechny zainteresované útvary, to znamená [Anonymizováno] aby se pokusili tu platbu zastavit, což se bohužel nepodařilo. Žalovaný to vnímal tak, že ten tlak na něj vyvíjí generální ředitel. V té chvíli byl zastupující za divizního ředitele. Když předával pokyn generálního ředitele kolegyni [jméno FO], do jejíž sféry vlivu ta věc spadala, spoléhal na to, že když předá tu věc útvaru, v jehož je to gesci, že se o to postará svědomitě. Jestli jediným problémem, byl chybějící digitální podpis, tak žalovanému přišlo relativně málo na to, aby přistoupil k nějaké eskalaci. Pokud by od svědkyně [jméno FO] dostal jakoukoliv otázku na to, že je to zvláštní dodavatel, že ho neznají, za jaké je to vůbec plnění, to by vzbudilo jeho pozornost a ověřoval by to dál. Takové otázky ale vůbec nepadly. Dostal jedinou informaci, že ten pokyn není podepsán digitálně. To napsal generálnímu řediteli, aby to doplnil, načež přišla odpověď a on jí jenom posunul zpátky k útvaru, který tu věc měl na starosti. Obecně pokud zazněl nějaký pokyn generálního ředitele, tak byla snaha vyhovět v co nejkratším termínu. Žalovaný neměl ke generálnímu řediteli tak blízkou vazbu, aby si troufl mu při jeho zaneprázdněnosti zavolat. Platilo, že generální ředitel se těšil silné autoritě a princip subordinace byl ctěn. Svědkyni [jméno FO] v té době považoval za kolegyni na stejné úrovni, protože nadřízeného na úrovni [právnická osoba] pouze zastupoval. Problém, se kterým on pracoval, byl chybějící digitální podpis, nikoli chybná emailová adresa nebo cokoliv podezřelého. Nepřipadalo mu to tak významné, aby kvůli tomu zvedal telefon a riskoval to, že generální ředitel řekne, je to marginálie. Není pravda, že by ho svědkyně [Anonymizováno] informovala o znění digitální adresy, ze které přišel podvodný email. Kdyby se něco takového stalo, tak by určitě zpozorněl. Žalovaný komunikoval z mobilního telefonu, což potvrdilo i vlastní šetření bezpečnosti. Celou dobu viděl jenom [jméno FO], celé znění elektronické adresy neviděl a nebyl na to upozorněn. Připojení jeho elektronického podpisu ke všem zprávám z mobilního telefonu probíhá automaticky. Nedělal tedy nic pro to, aby ho připojil a ani nemohl udělat nic pro to, aby tam ten podpis nebyl. E-mailem ve znění „[jméno FO], prosím“ zamýšlel, to, že je tady pokyn generálního ředitele, spadá to do tvé gesce, prosím, řeš to ty. K tomuto emailu vědomě elektronický podpis nepřipojil. Zkušenosti s tímto typem plateb neměl žádné. Vzhledem k tomu, v jakých objemech [právnická osoba] realizuje platby, nepovažoval částku 47000 € za něco, co by budilo pozornost, byla to běžná operativní platba. Spoléhal na to, že útvar, který má s platbami zkušenost, transakci provede tak, jak provést má. Žalovaný si nevšiml, že mu domnělý generální ředitel v komunikaci vyká přesto, že si spolu tykali. E-maily poslal kolegovi [jméno FO] i kolegyni [jméno FO]. Ta je poslala svým kolegyním, takže oni měli možnost na počítači vidět tu adresu, ze které email přišel. Přesto jediná připomínka byla, že tam chybí elektronický podpis.
16. Z výpovědi svědka [tituly před jménem] [jméno FO] bylo zjištěno, že je zaměstnancem žalobce asi 15 let, stále na pozici vedoucí [Anonymizováno]. Žalovaný byl po určitou dobu jeho nadřízený jako finanční ředitel. Na phishingový útok ze dne [Anonymizováno] si v podrobnostech již nepamatoval. Prostřednictvím jeho podřízených se k němu dostal dotaz žalovaného na zůstatek prostředků na účtu, což byl běžný dotaz ze strany finančního ředitele. Oddělení [Anonymizováno] neprovádí žádné převody prostředků na základě interních pokynů, pouze spravují prostředky, které má žalobce k dispozici. Nevzpomínal si na to, že by s žalovaným ten den komunikoval elektronicky nebo telefonicky, ani na komunikaci s [tituly před jménem] [jméno FO] v této věci. O tom, že proběhla jakási kauza, se dozvěděl až zpětně.
17. Z ostatních provedených důkazů soud nezjistil žádné skutečnosti, které by měly význam pro rozhodnutí ve věci. Z důvodu nadbytečnosti byly zamítnuty návrhy na doplnění dokazování výslechem zaměstnance žalobce – [Anonymizováno] specialisty ohledně připojování elektronického podpisu ke zprávám odeslaným žalovaným z mobilního telefonu, neboť tato skutečnost byla dostatečně prokázána výpovědí žalovaného a svědkyně [jméno FO], která potvrdila, že elektronický podpis byl připojen ke všem e-mailům od žalovaného, nikoli pouze k poslednímu z nich, který si vykládala jako pokyn k platbě.
18. Po provedeném dokazování soud dospěl k závěru, že žaloba není důvodná.
19. Podle § 250 odst. 1 zák. práce zaměstnanec odpovídá zaměstnavateli za škodu, kterou mu způsobil zaviněným porušením povinností při plnění pracovních úkolů nebo v přímé souvislosti s ním.
20. V řízení bylo prokázáno, že žalovaný od [datum] vykonával zástup na vedoucí pracovní pozici ředitele divize [Anonymizováno], a to po dobu čerpání dovolené zaměstnance, který tuto pozici dlouhodobě zastával, den útoku byl pátým pracovním dnem žalovaného na této pozici. První e-mail od pachatele phishingového útoku, který přišel [datum] v 8.52 hod., žalovaný otevřel cestou do práce ve svém mobilním telefonu, kde se e-mailová adresa odesílatele zprávy nezobrazovala v celé své autentické podobě, ale zobrazovalo se pouze jméno a příjmení [jméno FO], tj. jméno a příjmení tehdejšího generálního ředitele žalobce. Reálná e-mailová adresa nebyla v tomto zařízení zobrazena a forma provedení e-mailové zprávy byla zpracována jako autentická (jak vyplynulo z interního šetření žalobce i z vyšetřování Policie ČR), žalovaný proto nerozpoznal, že se nejedná o e-mail od generálního ředitele. Uvedený den byl žalovaný zaneprázdněn neodkladnými pracovními úkoly (zejména od 10.00 hod jednání s podřízeným zaměstnancem v rámci ukončování pracovního poměru), proto celé dopoledne využíval pro komunikaci pouze svůj mobilní telefon. Pachatel útoku své požadavky urgoval a na uskutečnění platby naléhal. Pouze v jedné ze zpráv se objevila gramaticky nesprávná formulace „když jsem méně zaměstnán“, žalovaný však tuto formulaci připisoval automatické opravě, kterou provádí mobilní zařízení. Žalovaný tak učinil úsudek (bohužel nesprávný), že komunikuje se svým nadřízeným a snažil se mu vyhovět. Žalobce tvrdil, že žalovaný porušil pracovní povinnosti tím, že dal pokyn k úhradě opatřený svým vlastním elektronickým podpisem, aniž by pro to byly splněny podmínky stanovené vnitřními předpisy žalobce. V příčinné souvislosti s tímto porušením pak došlo ke vzniku škody, neboť byla realizována platba ve výši 47 000 EUR na zahraniční účet, ze kterého byly poté prostředky v zahraničí vyzvednuty a předány z velké většiny pachateli trestného činu podvodu.
21. V řízení však bylo prokázáno, že žalovaný pouze přeposlal elektronickou komunikaci od domnělého generálního ředitele, ve skutečnosti však od pachatele phishingového útoku, jednak [tituly před jménem] [jméno FO] a jednak [tituly před jménem] [jméno FO]. V žádném z e-mailů od žalovaného není vyjádřen pokyn či příkaz k provedení platby. Poslední e-mail odeslaný žalovaným [jméno FO] dne [datum] v 09:59 hodin obsahuje pouze slova: „[jméno FO], prosím…“, a přeposlaný e-mail od domnělého generálního ředitele „Řekněte jí, že pošlu všechny dokumenty později, když jsem méně zaměstnán, měla by okamžitě zpracovat platbu. Pozdravy, [jméno FO].“ Na tento e-mail pak reagovala [tituly před jménem] [jméno FO] e-mailem v 10:09 hodin adresovaným [jméno FO] s pokynem k provedení platby, v němž je jednoznačně vyjádřeno, že jedná dle dispozic generálního ředitele, nikoli dle pokynu od žalovaného, s tím, že generální ředitel svůj požadavek s elektronickým podpisem doplní dodatečně, neboť je vytížen.
22. Soud v intencích zrušujícího rozhodnutí Městského soudu v Praze č.j. [spisová značka] doplnil dokazování výslechy svědků a žalovaného a zabýval se podrobně otázkou, co žalovaný zamýšlel slovy „[jméno FO] prosím“, jaká byla jeho skutečná vůle a zda nešlo o právní jednání ve smyslu podpisového řádu, neboť právní jednání se sice posuzuje podle svého obsahu (§ 555 odst. 1 o. z.), avšak vždy je třeba zjistit úmysl jednajícího (§ 556 odst. 1 o. z.), který je podle právní úpravy účinné od 1. 1. 2014 základním hlediskem pro výklad právního jednání (srov. např. rozsudek Nejvyššího soudu ze dne 25. 4. 2017 sp. zn. 21 Cdo 5281/2016). V daném případě pak pouze ze slov „[jméno FO], prosím“, nelze jednoznačně seznat, co žalovaný tímto projevem zamýšlel, jaká byla jeho skutečná vůle, a zda vskutku nešlo o právní jednání ve smyslu podpisového řádu, neboť z vyjádření [tituly před jménem] [jméno FO] dne [datum] pak vyplývá, že e-mailové komunikaci přisuzovala jiný význam, než jaký v řízení tvrdí žalovaný.
23. Žalovaný ve své výpovědi jednoznačně popsal, že slovy „[jméno FO], prosím…“ a předáním elektronické komunikace od domnělého generálního ředitele neměl v úmyslu dát svědkyni [jméno FO] pokyn k provedení platby, ale pouze ji poprosil, aby se požadavkem generálního ředitele na provedení platby zabývala sama, neboť provádění plateb patří do její pracovní náplně a má s nimi podstatně větší zkušenosti než žalovaný. Nelze přehlédnout ani konkrétní situaci, ve které se žalovaný nacházel, tedy že právě začínala náročná pracovní schůzka, které musel věnovat plně svoji pozornost, a proto přesunul záležitost ohledně požadavku generálního ředitele na svědkyni [jméno FO]. K tomu soud uvádí, že samotný text „[jméno FO], prosím…“ přitom nelze považovat za projev konkrétní vůle žalovaného, neboť zcela postrádá uvedení toho, o co prosí, jinými slovy řečeno, z tohoto vyjádření nelze bez dalšího seznat o jakou činnost případně žádá. Za text „[jméno FO], prosím…“ si tak lze dosadit v podstatě libovolnou činnost. S ohledem na neurčitost shora uvedeného sdělení soud postupoval při jeho výkladu podle ustanovení § 556 odst. 1 o. z., podle kteréh, co je vyjádřeno slovy nebo jinak, vyloží podle úmyslu jednajícího, byl-li takový úmysl druhé straně znám, anebo musela-li o něm vědět. Nelze-li zjistit úmysl jednajícího, přisuzuje se projevu vůle význam, jaký by mu zpravidla přikládala osoba v postavení toho, jemuž je projev vůle určen. K významu použitých slov uvedl při výslechu žalovaný, tak jak je uvedeno shora, že jeho úmyslem nebylo dát pokyn k provedení platby. Jak je uvedeno níže, bylo provedeným dokazováním zjištěno, že ve skutečnosti ani svědkyně [jméno FO] uvedené emailové sdělení nechápala jako pokyn přímo od žalovaného, ale jako pokyn od generálního ředitele.
24. Výpověď svědkyně [jméno FO] soud považuje zčásti za nevěrohodnou, zejména pokud popisovala obsah telefonické komunikace s žalovaným. Svědkyně uvedla, že upozornila žalovaného na neobvyklou e-mailovou adresu, ze které pokyn generálního ředitele přišel. Toto její nové tvrzení je v rozporu s její původní výpovědí, kterou učinila na pracovišti den po dané události, kdy se o této skutečnosti vůbec nezmínila a naopak uvedla, že neměla žádné pochybnosti o tom, že žalovaný komunikuje s generálním ředitelem. Rovněž žalovaný popřel, že by ho svědkyně [jméno FO] upozornila na cokoliv neobvyklého, naopak zmínila, že v minulosti došlo k případům, kdy byly podklady po předchozí dohodě doplněny následně během daného dne. Soud považuje za zcela nepravděpodobné, že by si svědkyně po uplynutí několika let byla schopna vybavit nové podrobnosti, které nezmínila při důkladném vyšetřování věci odborem bezpečnosti, a které by přitom odpovídaly skutečnosti. Rovněž jejímu tvrzení, že jí žalovaný pokyn dal telefonicky, soud neuvěřil, přičemž motivací svědkyně k tomuto tvrzení, může být obava z následného postihu zaměstnavatelem.
25. Pokud by si tedy svědkyně [jméno FO] sporný e-mail od žalovaného skutečně vyložila jako pokyn k platbě, pak by se na její straně jednalo o omyl. Soud však dospěl k závěru, že ani toto tvrzení svědkyně neodpovídá skutečnosti, neboť ona sama ve své následné komunikaci s podřízenými jednoznačně uvedla, že se má realizovat pokyn generálního ředitele, nikoli pokyn žalovaného. Konkrétně uvedla, že [Anonymizováno] (tedy odbor. žalovaného) je o věci pouze informován a v 10.09 hod., tedy po obdržení sporného e-mailu ve znění „ [jméno FO], prosím…“, dala pokyn útvaru [Anonymizováno] k prověření, zda jsou údaje dostatečné k platbě s tím, že požadavek s elektronickým podpisem bude dle dohody zaslán dodatečně, z čehož vyplývá, že ani sama svědkyně [jméno FO] nepovažovala předchozí e-mail žalovaného, byť elektronicky podepsaný, za dostatečný pokyn k platbě. Svědkyně [jméno FO] tedy pochybila tím, že přijala pokyn generálního ředitele, který neměl náležitosti dle interních předpisů žalobce a na jeho základě vydala svým podřízeným pokyn k realizaci platby. Na tom nemění nic ani skutečnost, že e-maily od žalovaného byly opatřeny elektronickým podpisem, neboť jednak se tento podpis ke zprávám připojoval automaticky, bez jeho vůle, a jednak ze znění těchto e-mailů nevyplývá, že by podepisoval nějaké právní jednání ve smyslu podpisového řádu, když takto byly podepsány rovněž všechny jeho předchozí e-maily.
26. Soud tak dospěl k závěru, že ve smyslu shora citovaného ustanovení, že provedeným dokazováním nebyla odstraněna neurčitost písemného projevu žalovaného, neboť nelze pro shora popsanou absenci toho, co je požadováno, tomuto projevu přisoudit význam, jaký by mu zpravidla přikládala osoba v postavení toho, jemuž je projev vůle určen. Soud tedy má za to, že e-maily zaslané žalovaným s elektronickým podpisem, které žalobce hodnotí jako pokyn k úhradě, ve skutečnosti nelze jako takový pokyn chápat pro absenci požadavku na provedení určité konkrétní činnosti. V okamžiku, kdy [tituly před jménem] [jméno FO] dala pokyn k platbě, rovněž jednala v omylu vyvolaném pachatelem trestného činu podvodu, že platbu požaduje generální ředitel, který později doplní všechny náležitosti dle [Anonymizováno]. Elektronickou komunikaci žalovaného nelze ani jednotlivě ani ve svém celku považovat za konkrétní právní jednání ve smyslu Podpisového řádu žalobce, neboť nevyjadřuje žádnou skutečnost, na základě které by vznikla žalobci povinnost uhradit peněžité plnění, když slova [jméno FO], prosím… nejsou výrazem právního jednání.
27. Předpokladem pro vznik odpovědnosti zaměstnance vůči zaměstnavateli za škodu podle ustanovení § 250 odst. 1 zák. práce je porušení pracovních povinností zaměstnancem, vznik škody, příčinná souvislost mezi porušením pracovních povinností a vznikem škody a zavinění na straně zaměstnance. Ke vzniku povinnosti k náhradě škody je zapotřebí, aby všechny tyto předpoklady, které je žalobce v řízení o náhradu škody podle ustanovení § 250 odst. 1 povinen tvrdit a posléze i prokázat, byly splněny současně; chybí-li kterýkoliv z nich, odpovědnost za škodu nemůže nastat. Zaměstnanec odpovídá jen za tu škodu, kterou zaviněným porušením pracovních povinností při plnění pracovních úkolů nebo v přímé souvislosti s ním skutečně způsobil; není proto dána jeho odpovědnost za tu část škody, která byla způsobena porušením povinností ze strany zaměstnavatele (§ 250 odst. 2, § 257 odst. 4), případně zaviněním jiného zaměstnance (§ 257 odst. 5) nebo třetích osob vně zaměstnavatele.
28. Vzhledem k tomu, že žalovaný neporušil pracovní povinnosti způsobem, který tvrdil žalobce, ale škoda vznikla v důsledku trestného činu spáchaného neznámým pachatelem, byla žaloba jako nedůvodná zamítnuta.
29. O nákladech řízení bylo rozhodnuto podle § 142 odst. 1 o.s.ř., neboť žalovaný byl ve věci zcela úspěšný. Náklady jsou tvořeny náklady na právní zastoupení žalovaného advokátem za 10 úkonů právní pomoci x 11 380,- Kč (převzetí a příprava zastoupení, písemné vyjádření ze dne 16.2.2021, písemné vyjádření ze dne 23.4.2021, účast na jednání soudu dne 20.1.2022 a dne 28.6.2022, vyjádření k odvolání, účast na jednání odvolacího soudu, účast na jednání soudu dne 9. 11. 2023, vyjádření ze dne 8. 2. 2024, účast na jednání dne 13. 2. 2024) + 10 x režijní paušál 300,- Kč + 21 % DPH, celkem 141 328 Kč.