fbTrack
REKLAMA
REKLAMA

Firma

Phishing: kto odpowiada za straty klienta banku w wyniku wyłudzenia danych

Adobe Stock
Odkąd bankowość elektroniczna na stałe zagościła w powszechnym obrocie finansowym, w ślad za nią nastąpił rozkwit różnych form przestępczości wymierzonej w osoby korzystające z tego narzędzia.

Jedną z popularniejszych metod wykorzystywanych przez przestępców jest phishing. I chociaż geneza tego terminu jest inna, to skojarzenie z łowieniem pozostaje uprawnione. Pod pojęciem phishingu kryją się rozmaite sposoby wyłudzania danych poprzez podszywanie się pod inną osobę, firmę, a przede wszystkim banki. Klasyczne ataki phishingowe polegają na rozsyłaniu wiadomości mailowych, w których jest link do fałszywej strony banku. Ofiara otwiera link w przekonaniu, że zostanie przekierowana na stronę swojego banku, a następnie postępuje zgodnie z komunikatami mówiącymi o potrzebie uzupełnienia danych logowania, wpisywania jednorazowych kodów otrzymanych sms-em czy też wybranych danych osobowych. Wszystko pod pozorem konieczności dodatkowego zabezpieczenia konta, zatwierdzenia zmian czy innej przynęty. Tak wyłudzone informacje są w czasie równoległym wykorzystywane przez złodziei do dokonania transakcji za pośrednictwem prawdziwego serwisu bankowości elektronicznej.

Czytaj też: mBank musi oddać 100 tys. zł klientowi - ofierze phishingu

Postępowania karne często kończą się umorzeniem. Przestępcy ekspresowo pieniądze transferują na konta bankowe, często założone na tzw. słupy, aby następnie równie szybko je wypłacić w jednym z bankomatów, zwykle już daleko od granic naszego kraju. Wykradane sumy wynoszą od kilku do nawet kilkuset tysięcy złotych. Tym bardziej warto zwrócić uwagę na fakt, że poza okradzionym i sprawcą przestępstwa wydarzenia te mają jeszcze jednego uczestnika, jakim jest bank. I to właśnie także wobec banku można wysuwać konkretne roszczenia z tytułu utraty środków pieniężnych wskutek phishingu.

Jak się bronić

Drogę do odzyskania utraconych pieniędzy należy rozpocząć od bezzwłocznego zawiadomienia banku i złożenia reklamacji. W świetle ostatnich zmian przepisów z czerwca tego roku, bank ma 15 dni roboczych na odpowiedź, pod rygorem uznania reklamacji za rozpatrzoną zgodnie z żądaniem. W razie odmowy pozytywnego rozpatrzenia reklamacji, w większości banków funkcjonuje stanowisko rzecznika klienta, do którego można złożyć ponowne odwołanie. Potem pozostaje wszczęcie postępowania sądowego.

Czytaj też:  Phishing kontrolowany - ataki internetowe nie muszą naruszać prawa

Stosownie do regulacji ustawy o usługach płatniczych, dalej u.u.p., ryzyko związane z tzw. nieautoryzowanymi transakcjami płatniczymi w znacznym stopniu spoczywa na banku. Jak stanowi art. 40 ust. 1 u.u.p. transakcję uważa się za autoryzowaną, jeżeli płatnik, tj. posiadacz konta, wyraził zgodę na jej wykonanie w sposób przewidziany w umowie. Kluczowym z punktu widzenia klienta banku jest ustanowiony tu odwrócony ciężar dowodu. Zgodnie z art. 45 u.u.p. spoczywa on na dostawcy, tj. banku, który aby uniknąć odpowiedzialności musi albo udowodnić, że autoryzacja w istocie miała miejsce albo wykazać, że transakcja chociaż nieautoryzowana nastąpiła wskutek rażącego niedbalstwa płatnika lub że płatnik dopuścił się naruszenia obowiązku korzystania z instrumentu płatniczego zgodnie z umową albo obowiązku niezwłocznego zgłaszania nieuprawnionego użycia takiego instrumentu, przy czym również wskutek rażącego niedbalstwa. Tak wygórowany standard oceny zapewnia skuteczną ochronę większości ofiar phishingu.

Ocena Sąd Okręgowy w Warszawie w wyroku z 12 maja 2018 r., sygn. I C 566/17, osoba, która za pośrednictwem podstawionej witryny internetowej udostępniła swoje dane logowania nieuprawnionym osobom, a następnie wprowadziła także kody otrzymane sms-em od banku, które to zgodnie z treścią tych sms-ów dotyczyły zdefiniowania tzw. zaufanego odbiorcy, wprawdzie uchybiła obowiązkom wynikającym z u.u.p., jednak jej działanie było „niezamierzone i nieświadome, co wskazuje na niedbalstwo, ale w żadnym wypadku nie w stopniu rażącym". Sąd zobowiązał bank do zwrotu poszkodowanemu ponad 100 tys. zł.

W wyroku Sądu Najwyższego z 18 stycznia 2018 r., sygn. V CSK 141/17, poszkodowanym była osoba, która próbowała zalogować się do serwisu bankowości elektronicznej nie zdając sobie sprawy, że wyświetlona w przeglądarce po wpisaniu prawidłowego adresu strona jest tylko wierną kopią witryny banku. Pomimo braku ustalenia okoliczności przestępstwa, sąd ocenił, że nie stoi to na przeszkodzie do zasądzenia zwrotu utraconej przez posiadacza konta około 60 tys. zł. W uzasadnieniu wskazano, że do utraty pieniędzy doszło wskutek działania nieustalonej osoby trzeciej, która „skorzystała z niewłaściwego zabezpieczenia przez bank świadczenia usługi". Sąd podkreślił, że w okolicznościach sprawy nie ma w ogóle mowy o naruszeniu przez poszkodowanego obowiązków wynikających z u.u.p., a niewątpliwie samo wykazanie przez bank zarejestrowanego użycia instrumentu płatniczego nie wystarcza do udowodnienia, że transakcja została autoryzowana.

Odzyskanie utraconych środków odbywa się na podstawie art. 46 ust. 1 u.u.p., który stanowi, że w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie zwraca płatnikowi kwotę nieautoryzowanej transakcji. Bank ma czas na zwrot nie później niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji lub po dniu otrzymania stosownego zgłoszenia od klienta. Zwrot polega na przywróceniu rachunku płatniczego do stanu, jaki istniałby, gdyby do transakcji nie doszło.

O odpowiedzialności w związku z nieautoryzowaną transakcją mówi wyrok SO w Warszawie z 23 listopada 2017 r., sygn. I C 1016/15. Zgodnie ze stanowiskiem sądu „ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża bank, także w sytuacji objęcia umowy rachunku bankowego bankowością internetową", a ponadto „w razie dokonania wypłaty osobie nieuprawnionej, poszkodowanym tą czynnością jest bowiem bank, a nie osoba, która zdeponowała środki na rachunku". Zasadą jest odpowiedzialność banku, a obciążenie nią posiadacza konta bankowego ma charakter wyjątkowy.

W sprawach na gruncie omawianych przepisów, odpowiedzialność banku ma również oparcie w regulacji art. 50 ust. 2 Prawa bankowego. Na jej podstawie bank jako podmiot profesjonalny jest zobowiązany do szczególnej staranności w zakresie zapewniania bezpieczeństwa przechowywanych pieniędzy. Obowiązkiem banku jest dbanie o odpowiednio wysoki poziom zabezpieczeń, bieżące monitorowanie transakcji i identyfikowanie niestandardowych dla danego użytkownika zachowań, a w razie potrzeby uruchomienie dodatkowej autoryzacji np. telefonicznej, czy wreszcie zablokowanie podejrzanych operacji. Katalog środków zapobiegawczych odnaleźć można w Rekomendacjach Komisji Nadzoru Finansowego dotyczących bezpieczeństwa transakcji płatniczych wykonywanych w internecie przez banki i inne instytucje płatnicze. ?

Klaudia Szczupak prawnik Konieczny, Wierzbicki Kancelaria Radców Prawnych Spółka Partnerska

Phishing jest jedną z form cyberprzestępczości, trudną do zidentyfikowania nawet dla wprawnego użytkownika internetu. Konsekwencje wyłudzenia danych w postaci utraty zgromadzonych środków łagodzi przyjęty przez ustawodawcę krajowego, a wcześniej unijnego, rozkład ryzyka na linii bank – posiadacz konta. ?

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA

REDAKCJA POLECA

REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA