Bank odda ukradzione przez hakera pieniądze - wyrok Sądu Apelacyjnego w Łodzi

Instytucja finansowa powinna stworzyć pewny i bezpieczny system płatniczy, który wyeliminuje możliwość dostępu do niej osób nieuprawnionych.

Publikacja: 21.10.2017 13:30

Bank odda ukradzione przez hakera pieniądze - wyrok Sądu Apelacyjnego w Łodzi

Foto: Adobe Stock

Usługi bankowości internetowej weszły do powszechnego użytku. Oferują je wszystkie banki, a korzystają z nich chętnie przysłowiowi Kowalscy. Niestety, wiążą się one z ryzykiem. Słyszy się o atakach hakerów, i „czyszczeniu" przez nich kont. Pojawia się pytanie o odpowiedzialność przedsiębiorcy, który oferuje takie usługi.

Białe światło na ekranie

Jedną z takich spraw zajął się Sąd Apelacyjny w Łodzi. Dotyczyła sporu banku z klientką, która straciła środki na skutek ataku hakerskiego.

Pani Anna miała dostęp on-line do rachunku bankowego, z którego korzystała za pośrednictwem laptopa. System w jej komputerze był aktualizowany i zaopatrzony w oprogramowanie antywirusowe. Kobieta uruchomiła komputer i zalogowała się do bankowości elektronicznej. Na ekranie pojawił się komunikat o ubezpieczeniu kart klientów. Wymuszał zaakceptowanie informacji, po to, by dokonać dalszych czynności. Kobieta zaakceptowała informację, ponieważ miała ubezpieczenie karty. Następnego dnia po wyświetleniu się strony banku, ekran zaczął emitować białe światło. Dalsza praca w serwisie była niemożliwa, i konieczne stało się ręczne wyłączenie komputera. Klientka zgłosiła zdarzenie bankowi telefonicznie za, ale została poinformowana, że nie stwierdzono zagrożenia.

Zniknęły pieniądze

Nazajutrz okazało się, że z jej konta zniknęło 49 tys. zł. Zostały przekazane na subkonto jej syna, a następnie wytransferowane na rachunek osoby trzeciej, która wypłaciła większość pieniędzy w bankomatach. Takie operacje nie wymagały potwierdzenia hasłem przekazywanym wiadomością SMS, ponieważ syn miał status odbiorcy zdefiniowanego, a przed wykonaniem operacji nastąpiła autoryzacja przelewu zdefiniowanego.

Jeszcze w tym samym dniu – po dokonaniu transferu środków – system antyfraudowy banku wygenerował komunikat wskazujący, że na rachunku wykonano budzące wątpliwości operacje. Konsultant poinformował telefonicznie klientkę o operacjach. Ta nie potwierdziła ich wykonania oraz zapytała, czy można zablokować środki. Podczas rozmowy nie było możliwe dokonanie blokady, więc połączenie musiało zostać przerwane. Po zakończeniu rozmowy konsultant zablokował niewielką część wytransferowanych środków, pozostała została bowiem wypłacona przed nawiązaniem kontaktu z powódką.

Już w trakcie rozmowy telefonicznej z konsultantem klientka złożyła reklamację w sprawie nieautoryzowanego transferu środków. Reklamacja nie została jednak uwzględniona.

W sprawie toczyło się postępowania karne, które zakończyło się prawomocnym skazaniem jednego z uczestników procederu okradania klientów. Jak się okazało, była to część jednej z tzw. kampanii oprogramowania złośliwego wykorzystującej komunikat w sprawie ubezpieczeń kart.

Doszło do przełamania zabezpieczeń

Klientka postanowiła dochodzić w sądzie zwrotu pieniędzy. Rozpatrujący powództwo Sąd Rejonowy dla Łodzi-Śródmieścia nakazał bankowi zapłatę 49 tys. zł.

Sąd odwołał się do art. 46 ust. 3 ustawy o usługach płatniczych. Zgodnie z tym przepisem, płatnik (w tym wypadku bank) odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości jedynie, gdy doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, tj. korzystania z instrumentu płatniczego zgodnie z umową ramową oraz niezwłocznego zgłaszania dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.

Sąd nie miał wątpliwości, że okradziona klientka zachowała reguły bezpieczeństwa dotyczące korzystania z urządzenia dostępowego i systemu bankowości. Dokonywała aktualizacji systemu komputerowego, stosowała oprogramowanie antywirusowe i nie udostępniała osobom trzecim indywidualnych kodów. Zwrócono uwagę, iż w toku postępowania karnego ustalono, że komputer pani Anny nie został zainfekowany złośliwym oprogramowaniem, a pomimo to doszło do przełamania zabezpieczeń rachunku i nieautoryzowanego wytransferowania środków.

Sąd podkreślił, że klientka wcześniej zgłosiła za pośrednictwem infolinii problemy techniczne związane z dostępem do rachunku polegające m.in. na pojawieniu się komunikatu o ubezpieczeniu kart oraz braku możliwości zalogowania się do systemu bankowości elektronicznej. Uzyskała wówczas informację, że nie stwierdzono zagrożeń. Ponadto, system antyfraudowy banku umożliwił wygenerowanie alertu (komunikatu ostrzegawczego) dopiero po dokonaniu nieautoryzowanych transakcji nie przewidując jednak możliwości natychmiastowego ich zablokowania. – Wskazuje to na nieprawidłowość leżącą u podstaw działania systemu, skoro ostrzeżenie o podejrzeniu wykonania nieautoryzowanej transakcji pojawiło się już po dokonaniu nielegalnego transferu środków – wskazał sąd.

Z tych przyczyn nie stwierdzono podstaw do uznania, aby do wykonania nieautoryzowanych transakcji na rachunku powódki doszło na skutek jej niedbalstwa i niezachowania reguł bezpieczeństwa, czy wręcz umyślnego działania lub zaniechania. – W związku z tym, bank na podstawie art. 46 ust. 1 ustawy o usługach płatniczych ma obowiązek zwrócić środki, do których przekazania na rzecz sprawcy przestępstwa doszło w wyniku dokonania operacji nieautoryzowanej przez powódkę – wskazał sąd.

Nie było ostrzeżenia, a powinno być

Wyrok podtrzymał sąd apelacyjny. Klientka korzystała ze strony internetowej banku i działała w zaufaniu do poleceń. Kobieta korzystała wielokrotnie z usług bankowości elektronicznej, prawidłowo wykonując operacje i stosując się do wymagań. Pojawiające się komunikaty wskazujące na konieczność zatwierdzenia operacji hasłem w połączeniu z wyglądem strony internetowej usprawiedliwiały przekonanie powódki o działaniu zgodnym z poleceniami banku – zaznaczył SA.

Sąd nie miał wątpliwości, iż pani Anna padła ofiarą przestępstwa. Pojawiło się więcej podobnych przypadków. Bank zaniechał ostrzeżenia klientów. Poprzestał na zamieszczeniu ogólnikowej informacji w zakładce bloga, do której można się było dostać dopiero po jej otwarciu. Należyta staranność wymagała komunikatu na stronie głównej – wyjaśniono w uzasadnieniu. – Przesadą nie byłoby też czasowe zawieszenie funkcjonowania serwisu do czasu wyeliminowania zagrożeń. – To bank powinien stworzyć bezpieczny system, eliminujący możliwość dostępu osób nieuprawnionych - podkreślił sąd. Mimo zasobów personalnych i rzeczowych, nie sprostał temu, za niedopuszczalną należało uznać próbę przerzucenia odpowiedzialności na klientkę. Niezwłocznie powiadomiła ona bank i policję o „wyczyszczeniu" jej konta. – Sąd rejonowy prawidłowo ocenił, że transakcje dokonane z konta powódki nie były przez nią autoryzowane – uznał sąd apelacyjny.

Wyrok Sądu Apelacyjnego w Łodzi z 2 maja 2017 r. ?

Sygnatura akt: III Ca 43/17

Usługi bankowości internetowej weszły do powszechnego użytku. Oferują je wszystkie banki, a korzystają z nich chętnie przysłowiowi Kowalscy. Niestety, wiążą się one z ryzykiem. Słyszy się o atakach hakerów, i „czyszczeniu" przez nich kont. Pojawia się pytanie o odpowiedzialność przedsiębiorcy, który oferuje takie usługi.

Białe światło na ekranie

Pozostało 95% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo karne
Przeszukanie u posła Mejzy. Policja znalazła nieujawniony gabinet
Prawo dla Ciebie
Nowe prawo dla dronów: znikają loty "rekreacyjne i sportowe"
Edukacja i wychowanie
Afera w Collegium Humanum. Wykładowca: w Polsce nie ma drugiej takiej „drukarni”
Edukacja i wychowanie
Rozporządzenie o likwidacji zadań domowych niezgodne z Konstytucją?
Praca, Emerytury i renty
Są nowe tablice GUS o długości trwania życia. Emerytury będą niższe