10:21
13/2/2019

Bank ma zwrócić pieniądze nawet jeśli jego klient dał się nabrać na możliwą do wykrycia socjotechnikę. Zwracamy wam uwagę na kolejny wyrok tego rodzaju, w którym sąd w Łodzi kazał bankowi oddać niemałą kwotę.

Prawo stanowi, że to głównie banki mają zabezpieczać konta, a klienci mają się trzymać pewnych ogólnych zasad. Jeśli coś zawiedzie, domyślnie odpowiada bank. Już kilkakrotnie pisaliśmy o wyrokach, w wyniku których bank miał zwrócić pieniądze ofiarom socjotechniki, malware’u lub nawet po drobnych zaniedbaniach klienta (drobnych, ale nie “rażących”). Teraz proponujemy wam przegląd kolejnego wyroku tego rodzaju. Został on wydany przez Sąd Okręgowy w Łodzi dnia 30 października 2018 r. (sygn. akt II C 73/16).

Będący ofiarą mężczyzna – nazwijmy go KM – stracił 86 tys. złotych. Nieznany sprawca dostał się na jego konto i najpierw dokonał przelewu wewnętrznego na kwotę 95 tys. zł, a następnie zlecił 5 przelewów zewnętrznych na kwoty 29.6 tys. zł, 29.7 tys. zł, 27,7 tys. zł, 26,3 tys. zł oraz 27 tys. zł. Kradzież miała miejsce w dniach od 6 do 9 grudnia 2013 r.

Niby rebranding, a tu zmiana odbiorcy

KM logował się na swoje konto 6 grudnia jeszcze przed kradzieżą. Po zalogowaniu zobaczył komunikat z informacja o rebrandingu, zmianie nazwy banku oraz połączeniu z innym bankiem, co miało rzekomo wiązać się z przedefiniowaniem numerów rachunków bankowych na nowe. Komunikat wymagał bezwzględnego potwierdzenia hasłem jednorazowym. KM otrzymał z banku SMS-a o treści (pogrubienie nasze).

Operacja nr 1 z dnia 06-12-2013 Definicja odbiorcy z rach.: (…) na rach.: (…), hasło: (…)

Zawsze czytaj SMS-y autoryzacyjne z banku. Upewnij się, czy zlecona przez Ciebie operacja jest tą opisaną w wiadomości. Jeśli robisz przelew koniecznie sprawdź kwotę i numer konta odbiorcy.

Niestety KM nie zauważył podstępu i wpisał hasło w celu “zatwierdzenia komunikatu”. W rzeczywistości zdefiniował odbiorcę zaufanego, do którego można było przesyłać pieniądze w nieograniczonej ilości  i bez dodatkowych uwierzytelnień. Komunikat o rebrandingu tak naprawdę inicjował wysłanie przez bank wiadomości SMS z hasłem jednorazowym do zmiany odbiorcy zaufanego. KM nie wiedział, że na jego komputerze zainstalowany było złośliwe oprogramowanie, które przechwyciło jego dane uwierzytelniające i wyświetliło wspomniany komunikat o łączeniu banków.

Sprawą podobnych kradzieży zajmowała się Prokuratura Okręgowa w Olsztynie, w ramach sprawy o sygn. V ds. 14/14. Postępowanie zostało zawieszone w dniu 16 grudnia 2015 r.

Złożył reklamację i… wystąpił o nakaz zapłaty

KM złożył reklamację i zgłosił sprawę na policję. Mógł stracić 95 tys. złotych, ale ostatecznie przepadło 86 tysięcy. KM uznał, że bank powinien te pieniądze zwrócić gdyż to on miał dbać o bezpieczeństwo jego środków. 16 czerwca 2014 r. KM wezwał bank do zwrócenia pieniędzy. Później – 30 grudnia 2015 r. – uzyskał nakaz zapłaty wydany w tzw. postępowaniu upominawczym. Tego rodzaju postępowanie wiąże się tylko z badaniem dokumentów. Najczęściej tego rodzaju postępowania służą do uzyskiwania nakazów zapłaty np. za niezapłacone rachunki.

To było ciekawe. Po raz pierwszy słyszeliśmy, że ofiara kradzieży chciała odzyskać pieniądze od banku w takim trybie. Dodajmy, że na początku 2016 r. bank wniósł sprzeciw do nakazu twierdząc, że to KM w 100% przyczynił się do powstania szkody. To też było oryginalnie, bo czy ofiara kradzieży naprawdę jest w 100% winna? Ba! Bank poszedł jeszcze dalej i stwierdził, że może sobie potrącić kwotę za jakiś rzekomy dług KM wobec niego. Niestety bank nie wskazał o jaki dług chodzi i jaka była jego wysokość (?!).

Ostatecznie sprawa trafiła do Sądu Okręgowego w Łodzi. Ten uznał, że bank ma zwrócić  kwotę 86.860 zł ponieważ transakcja dokonana przez przestępce nie może być w świetle prawa uznana za transakcję autoryzowaną. Przypominamy raz jeszcze. Autoryzacja w rozumieniu technicznym to coś innego niż autoryzacja w świetle prawa. Skoro przelewów dokonał ktoś inny to w świetle ustawy o usługach płatniczych mamy transakcje nieautoryzowaną, a za taką z zasady odpowiada bank. Uniknięcie odpowiedzialności przez bank jest możliwe wówczas, gdy doszło do “rażącego niedbalstwa” po stronie klienta (zob. art. 46 ust. 3 ustawy o usługach płatniczych).

Klient nie był niedbały, za to bank był… niestaranny?

W tym przypadku Sąd uznał, że rażącego niedbalstwa nie było. W uzasadnieniu wyroku napisał.

Komputer powoda posiadał zainstalowane oprogramowanie antywirusowe i nie przejawiał żadnych problemów z funkcjonowaniem czy zainfekowaniem oprogramowaniem wirusowym, nadto był chroniony hasłem zabezpieczającym dostęp osobom trzecim. W ocenie Sądu, potwierdzenie przez powoda wyświetlonego podczas logowania na stronę (…), komunikatu informującego o połączeniu instytucji bankowych (…) nie nosi cech rażącego niedbalstwa. Powód miał prawo pozostawać w przekonaniu, że komunikat wyświetlający się podczas logowania na stronę Banku pochodzi właśnie od (…) i służy zmianie dotychczasowego numeru konta na nowe. (…) Komunikat zajmował część strony, na której widniało prawidłowe saldo. Był też widoczny symbol zamkniętej kłódki oznaczający bezpieczną stronę. Pozwany nie ostrzegał w dacie zdarzenia swoich klientów przed tego rodzaju komunikatami, nie informował, iż skorzystanie z nich może nieść za sobą negatywne skutki. 

Ciekawy był jeszcze jeden fragment uzasadnienia, w którym sąd zarzucił brak staranności samemu bankowi!

Zobowiązanie Banku względem posiadacza rachunku kształtuje również art. 50 ust. 2 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (…), który stanowi, iż bank jest zobowiązany do dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. W ocenie Sądu w niniejszym przypadku mBank nie dołożył szczególnej staranności w tym zakresie, dopiero, bowiem w 2015 roku wprowadzono system monitoringu antyfraudowego całodobowego.

Warto to podkreślić. Prawo zobowiązuje banki do szczególnej staranności, a od klientów wymaga jedynie by nie dopuszczali się rażącego niedbalstwa. Istnieje niestety “martwa strefa” w której staranność banków już się kończy, a dbałość klienta jeszcze się nie zaczęła. W tej strefie często działają przestępcy.

Podobne wyroki

Przypomnijmy inne wyroki, w których sądy wykazywały takie samo podejście do sprawy.

W sierpniu ubiegłego roku pisaliśmy, że bank ma oddać 107 tys. zł ofierze okradzionej po infekcji złośliwym oprogramowaniem bo nieświadomość nie jest “niedbalstwem”. Pisaliśmy też, że to bank musi udowodnić rażące niedbalstwo jeśli nie chce ponosić kosztów kradzieży (był to wyrok Sądu Najwyższeg0). W czerwcu 2016 r. pisaliśmy o wyroku dotyczącym kobiety, która ustawiła datę urodzenia jako PIN. To też nie było rażące niedbalstwo. Ba! Znamy nawet wyrok potwierdzający, że noszenie karty płatniczej w kieszeni nie jest rażącym niedbalstwem :) (wyrok SR w Gliwicach, sygn. akt I C 2524/14)

Systemy antyfraudowe to konieczność

Wszystkie te wyroki powinny uświadamiać klientom i bankom trzy rzeczy.

  • Odzyskanie pieniędzy ukradzionych przez przestępców jest możliwe poprzez walkę w sądzie, ale…
  • …może to zająć wiele lat i też będzie trochę kosztowało.
  • Banki powinny zdecydowanie wykrywać i blokować nieautoryzowane transakcje, co szczerze mówiąc nie zawsze podoba się klientom. Banki mają też powody by blokować dostęp do kont, które ich zdaniem zostały skompromitowane.

Ten ostatni wniosek wpisuje się ciekawie w niedawno opisaną u nas historię człowieka, który stracił dostęp do konta po tym jak ktoś zapłacił mu za kryptowaluty pieniędzmi z oszustwa. Blokada konta jest uciążliwa. Może nawet sprawić, że komuś odłączą prąd, ale… bank podejrzewał przypadek phishingu i wolał zablokować środki niż dać je ukraść. Nie było to całkiem nieodpowiedzialne jeśli się nad tym głębiej zastanowimy.

Czy taka konstrukcja prawa jest dobra? Czy bank powinien zwracać pieniądze niemal zawsze, jeśli tylko klient nie naruszył najbardziej podstawowych zasad bezpieczeństwa? Udzielając sobie odpowiedzi na to pytanie powinniśmy mieć świadomość, że nie wszyscy są specami od bezpieczeństwa, a marketing “wygodnych i bezpiecznych” produktów bankowych jest dość intensywny.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

48 komentarzy

Dodaj komentarz
  1. To ja się wypowiem jako zwykły użytkownik, który na technikaliach się nie zna.

    Dostęp do banku traktuje jak dostęp do swojego mieszkania. Jeśli komuś podającemu się za administratora mojego budynku dam do skopiowania klucze od mieszkania to gdy zostanie ono splądrowane mam mieć pretensję to prawdziwego administratora?

    • To jest bezpośrednie pytanie, przestępcy nie będą pytać się bezpośrednio, tylko będą się podszywać. Jakby ktoś się podszył pod kogoś z twojej rodziny (z którą mieszkasz), to dałbyś te klucze i zostałbyś okradziony.

      Z drugiej strony administrator budynku (raczej) nie jest zobowiązany prawnie do dbania o bezpieczeństwo twojego mieszkania.

    • Bardzo złe porównanie. Nie da się porównywać sfery cyfrowej z codzienną rzeczywistością, gdyż pierwszą można łatwo sfałszować w przeciwieństwie do drugiej. Czy wchodząc do mieszkania sprawdzasz, czy przypadkiem ktoś nie podmienił pięter i to na pewno twoje mieszkanie?

    • To złe porównanie, ponieważ bank to nie Twoje mieszkanie. Bank jest powiernikiem Twoich środków, a jego zadaniem jest ich pilnować. Zauważ, że to nie Ty robisz przelew, tylko bank w Twoim imieniu, więc to jego robota, żeby wykonać tylko legalne przelewy.

    • @CluelessKiwi ale dostajesz sms więc czytasz co przychodzi a nie lecisz do hasła. Co innego jak w SMS-ie od banku był by samo hasło lub jak w niekturych bankach przychodzi “szybka płądtność z rachunku nr hasło” i brak jest nr konta na które leci przelew.

    • Ale jak mieszkanie jest twoje to nie ma problemu aby zmienić drzwi na antywlamaniowe z zamkiem który bardzo trudno pokonać.
      Natomiast w tym przypadku to bank decyduje o jakosci drzwi.

      A schemat odbiorca zaufany i wyprowadzenie calejbkasy z konta jest tak znany, że to bank powinien pilnować.

    • Koleżko, normalny człowiek traktuje bank nie jak mieszkanie(??), ale jak poważny, bardzo mocno uregulowany przez państwo, podmiot/instytucję, którego zadaniem jest uwolnienie nas od myslenia od bezpieczeństwie. To jest podstawowa misja – zwolnić od zabezpieczania majątku, a nie cedowac to zabezpieczanie na klienta z powrotem.

  2. Zawsze ten “odbiorca zaufany”. Po jakiego taka funkcjonalność?

    • Funkcjonalność całkiem rozsądna, ale udawanie przez banki, że trudne i niezwykle skomplikowane jest wykrycie fraudu polegającego na zmianie lub dodaniu odbiorcy zdefiniowanego, a zaraz potem wytransferowanie tą drogą wszystkich środków, to już “lekka” przeginka. Zrozumiał bym jeszcze jakby puścili jeden przelew. Ale 5 pod rząd? Bez choćby telefonicznego potwierdzenia? Choć to oczywiście też nie zapewni 100% bezpieczeństwa.

    • W sumie racja – odbiorców zaufanych się wielu nie ma (z reguły własny rachunek w innym banku, konto małżonków), więc wymóg żeby odbiorcę zaufanego dodać osobiście w placówce nie byłby bardzo uciążliwy a przestępcom by mocno utrudnił życie.

    • Przydaje się – ułatwia robienie regularnych przelewów dla jakiegoś odbiorcy (np. rachunki, własne konta w innych bankach itp). Jasne jest jednak, że nowy odbiorca, do którego od razu lecą przelewy na tysiące to fraud… Taką sytuację banki powinny wyłapywać automatycznie, ewentualnie wprowadzić limit na wysyłaną kwotę i blokadę czasową na jego zwiększenie. Przykładowo – po dodaniu nowego odbiorcy można wysłać max 1000, zwiększenie limitu po kilku dniach w czasie których następuje weryfikacja.

    • “Odbiorca zaufany” jest po prostu wygodny w przypadku przelewów wykonywanych często a nieregularnie lub na różne kwoty, dzięki temu nie trzeba potwierdzać przelewu osobno. Używać trzeba z głową, jak wszystkiego. Na przykład ja mam zdefiniowane takie pozycje pomiędzy własnymi rachunkami w bankach – nawet jeśli ktoś zdobędzie login i hasło przeleje całą kasę z banku A do B (pomiędzy MOIMI kontami), to nic wielkiego się nie stanie.

      Oczywiście moment DEFINICJI takiego odbiorcy jest krytyczny dla bezpieczeństwa i trzeba bardzo uważać potwierdzając taką operację. Coś za coś.

    • Zgadzam się, ze dodawanie odbiorcy zaufanego powinno mieć o wiele większe zabezpieczenia, ale małe kwoty do tysiąca złotych? Rodzice mi więcej ślą na życie (student), bo wynajem pokoju, książki, jedzenie itd., a konto w banku założyłam na miesiąc przed rozpoczęciem studiow, więc dodali mnie jako zaufanego w ostatniej chwili. Po kij komuś odbiorca zaufany, jak nie można mu wysłać dowolnej kwoty?
      Wyobraźmy sobie wręcz taką sytuację – mamy człowieka, który kont ma kilka w różnych bankach i chce sobie kupić wycieczkę na drugi koniec świata za X złotych. Chce zapłacić z jakiegoś tam banku, bo wycieczkę odkupuje od znajomego, a znajomy ma konto w tymże właśnie banku. W związku z tym sporą cześć X nie jest w stanie przesłać w trybie pilnym z konta własnego na własne, a jeszcze trzeba przekonwertować część kasy na konto walutowe, bo z niego płatność za granicą jest tańsza.
      Ergo – dodatkowa weryfikacja przy dodawaniu odbiorcy zaufanego jak najbardziej ok, limit na jakieś śmiesznie małe pieniądze jest niepraktycznym pomysłem.

  3. Ostatnie zdanie w trzecim cytacie w artykuje ujawnia o jaki bank chodzi:

    > W ocenie Sądu w niniejszym przypadku mBank nie dołożył szczególnej staranności w tym zakresie

  4. W ostatnim cytacie wkradła się nazwa banku ;)

    • Nazwa jest także w treści wyroku-mniemam że to błąd sądu (kiedyś w zamiast podać inicjały szefa gangu Krakowiak czyli Janusza T. sąd podał inicjały J. Trela)

  5. Aguirre- żebyś mógł robić przelewy do żony bez potwierdzenia hasłem. A co do ogółu- mieszkam teraz w UK i to raczej normalne- ja zgubiłem kartę, pobrano z niej drobna kwotę i po 4 dniach miałem pieniądze z powrotem. Znajomy dał się nabrać na smsy, zniknęło mu 2000 funtów, czekał 2 tygodnie i dostał zwrot.

  6. Gdzieśc już pisałem że ta funkcjonalność powinna być możliwa dopiero od drugiego przelewu. O ile wogóle.

  7. Generalnie zasada jest słuszna, w końcu to bank narzuca nam swój regulamin, którego nie możemy negocjować przy zakładaniu konta i jako strona silniejsza powinien też ponosić większą odpowiedzialność.

  8. Banki to jakiś żart jeśli chodzi o bezpieczeństwo. Niedawno zapomniałem hasła do konta internetowego i pzysłali mi nowe SMS-em w plainie.

  9. Jak często dodajecie odbiorcę zaufanego, by potem od razu przelać mu 100 000 zł? To nie brzmi jak standardowa operacja. Normalny anty-fraud powinien od razu to wykryć.
    Poza tym, bank to dziwna instytucja. Potrafią dzwonić co tydzień i przedstawiać nowe, świetne oferty, ale autoryzacja przelewu na 30 000 zł przez telefon już ich przerasta :/

    • Duża część firm jak składa zamówienie to jest ono większe niż 30000zł i przy każdym zamówieniu także odbiorcy zdefiniowanego/zaufanego mieli by dzwonić to by było przegięcie.
      Posiadanie na kompie wirusa przy posiadanym legalnym antywirusie (tak antywirusy też piracą ludzie) można uznać ze to nie jest rażące niedbalstwo ale to że ktoś nie czyta sms-a którego dostaje to już powinno być rażące niedbalstwo.

    • Można w łagodniejszej formie to zrobić, czyli skorzystać z poinformowania sms-em o operacjach na koncie. Przy rozsądnym ustawieniu limitu nie będzie to drogo kosztowało, a przy grubszej akcji przynajmniej wiadomo, że coś się dzieje i można zareagować.

    • CluelessKiwi: a czy sądzisz, że przelew na marne 30000zł to jest coś nietypowego? Jeszcze tego tylko brakuje, żeby bank przy każdym przelewie opóźniał go o kilkadziesiąt godzin i zawracał głowę klientom. Po to właśnie korzysta się z banku z interfejsem dostępnym przez internet, żeby przelewy szły w miarę szybko („w miarę”, bo Elixir nie należy do najszybszych).

    • Nie przy każdym, przy pierwszym. I tyle. Znam kilka historii, gdzie telefon od banku pozwolił wykryć oszustwo, zanim kasa wyszła.

      A co do “rażącego niedbalstwa”, to tutaj zawiódł UX banku – użytkownik jest uczony, aby przepisywać kody z SMSów, więc przepisuje. Nie jest na nim wymuszone, aby przeczytać wiadomość, więc nie czyta. Gdyby np. w kodzie zawsze znajdował się typ operacji, np. “123ABC-NOWY-ODBIORCA-ZAUFANY”, to taki atak nigdy by się nie udał.

      To jest problem z ludźmi, ale nie da się go naprawić. A system można i trzeba.

    • @mpan Zależy dla kogo. Jeśli ktoś przelewa po 100-300 zł za czynsz, wodę i gaz, to 30 tysi jest nietypowe. Jeśli robi co dzień na 30 tysi, to nietypowe są te za 300 tysi. Byle informatyk powinien to ogarnąć.

    • Dokladnie, choc moze z rachunku prawdopodobienstwa wychodzi im taniej zwrot atakowanym niz dodatkowy etat obdzwaniacza.
      Ale przy dobrej socjotechnice to wyciągną od nietechnicznej osoby każdego smsa, nawet jakby ich 10 przyszło – oparte na faktach.
      Dobra socjotechnika to przełączenie psychologiczne w umyśle, a potem to nawet 24h można wałkować ofiarę, jeśli nie ma nikogo kumatego przy sobie.

  10. Banki i należyta staranność o bezpieczeństwo? Koń by się uśmiał.

    Trwa ostra promocja aplkacji mobilnych?
    Podobno bezpieczniejsze od SMSów.

    Niektóre nawet ostrzegają jak appka allegro:
    “system może być zagrożony bo ma odblokowane konto root”

    Ale która appka bankowa ostrzega np o CVE-2019-1987 czy kilku innych podobnych lukach Critical RCE w ciągu ostatniego pół roku?
    Czy równie długiej liście luk typu Privilege Escalation jak np sławna luka GHOST, na którą dalej cała masa smartfonów jest podatna?

    Albo ostrzega, że Android 5 nieaktualizowany oo 3 lat może stwarzać zagrożenie dla pieniędzy pacjenta który w takim systemie używa appki bankowej?

    Znam np Pannę, która “nie będzie co chwila smartfona kupować, ten jeszcze działa i wystarcza”, i używa appki bankowej w Galaxy Note 2 z Androidem 4.2…
    I owa appka żadnych ostrzeżen nie generuje, chociaż moim zdaniem w ogóle nie powinna się uruchomić w takim “bezpiecznym” systemie.

    Na razie do okradzenia konta trzeba beckdoora w kompie pacjenta i ewentualnie sklonować kartę SIM.
    Ale z appkami bankowymi i systemem aktualizacji bezpieczeństwa Androida w telefonach szykuje się prawdziwa “jesień średniowiecza”.

    Pozdro

    • Nic dodać nic ująć. a zważywszy na to, że biedauser prawdopodobnie z tego samego telefonu będzie wpisywał hasło i odbierał kod to równie dobrze mogliby kod wyświetlać pushem na stronie logowania na laptopie i sam by mógł się wpisywać :D

  11. Niedługo konsumenci już za nic nie będą odpowiadać. Z jednej strony chcą, aby ich traktować jak ludzi dorosłych, z drugiej nie potrafią wziąć odpowiedzialności za swoje czyny. Gość otrzymał SMS, w którym było wyraźnie napisane na co się zgadza, po czym twierdzi, że to wina Banku, że udzielił autoryzacji na niezleconą operację. A po prostu nie przeczytał tego, co bank mu komunikował i to według sądu nie jest “rażąca niedbałością”.

    Podobnie jest z umowami – najpierw je zawierają (np. umowy kredytowe) a później twierdzą, że nie wiedzieli co podpisują.

    • Ja by Tobie 80k gwizdnęli to też byś mówił, że nic nie wiesz a tak w ogóle to nawet się tam nie logujesz i nie wiesz o co chodzi.

    • Stary Ty nie rozumiesz – bank ma chronić majątek przed złodziejami. I tyle. To jego misja. Jak to zrobi, to robota dla fachowców. Od AI, od bezpieczeństwa, od developerów. Obowiązkiem klienta jest najogólniej niewspółpracować ze złodziejem.
      Dziwi mnie, że banki nie stosują tokenów sprzętowych.

  12. Podstawą wyroku jest fakt, że bank dokonywał rebrandingu oraz — i to było napisane na prawdziwej stronie banku — wymagał od klientów potwierdzenia używania nowych numerów rachunków bankowych. Niektórzy zdają się zapominać, że niemalże wszyscy klienci banków ani nie mają bladego pojęcia o kwestiach technicznych, ani nie rozumieją używanych przez bank i osoby zorientowane w temacie pojęć. Komunikaty „musisz potwierdzić zmianę numeru rachunu” oraz „cośtam cośtam potwierdzić numeru rachunku cośtam cośtam” są nierozróżnialne. Do tego prawo, ustalone wolą obywateli Rzeczpospolitej, zasadniczo zdejmuje obowiązek myślenia z klientów, a z założenia obwinia za wszystko banki. Biegły też trochę dał ciała, sądząc po fragmencie „do komputera miał dostęp tylko i wyłącznie powód”. Fizycznie może miał dostęp tylko on, ale wypadałoby rozróżnić i zaznaczyć, że istotny jest dostęp do systemu, a nie fizycznie do komputera. Zatem trudno, żeby sąd wydał inny wyrok.

    Banki mogą zabezpieczać lepiej, ale to wnerwia klientów. Bo w świecie, gdzie króluje zasady „szybciej, szybciej, szybciej” i „chcę natychmiast i nie zawracać mi głowy”, weryfikacje to PITA. Jeśli klient pojedzie na wakacje do Tajlandii i zapłaci kartą, a bank odrzuci operację i za kilka minut zadzwoni z prośbą o potwierdzenie, to u wielu klientów skończy się piekielną awanturą na dziesięć gazet i może nawet przejściem do konkurencji „bo bank jest zły”.

  13. Jeśli jesteś bankiem i chcesz praktycznie bezkosztowo naprawić swoją autoryzację SMS bez wdrażania apek:
    – zwiększ długość kodu
    – umieść w kodzie czytelne dla człowieka szczegóły operacji, np: “ODB-1234-ABCDEF”, gdzie:
    – ODB to typ operacji (tutaj: definicja odbiorcy zdefiniowanego)
    – 1234 to 4 ostatnie cyfry numeru konta odbiorcy
    – ABCDEF to kod potwierdzający, który wygląda losowo
    – wyślij użytkownikom wiadomość w Portalu Transakcyjnym (i aplikacji mobilnej, jeśli masz taką), aby zapoznali się z nowym, bezpieczniejszym schematem kodów

    i już, po problemie. Użytkownik, przepisując kod, musi się zapoznać z operacją, którą potwierdza.

  14. Problemem są tutaj, jak i w innych tego typu sprawach, niewielkie możliwości złapania prawdziwego winnego tego przestępstwa – tj. tego, kto ukradł pieniądze.

    • możliwości są, ale policja jest niedofinansowana i ma za nisko ustawioną poprzeczkę na te sprawy.

  15. W Citi wszyscy odborcy są zaufani (nie ma mozliwosci wpisania odbiorcy bez zaufania) wiec jak sie kogoś wpisze to mozna wysyłac ile bozia dała. W ten sposób oszczedzaja na smsach.

  16. Czyli mBank w rzeczy samej zawinił czy też ma tu miejsce gorliwa i dosłowna interpretacja bądź nadinterpretacja kodeksu? Moim zdaniem to trochę miecz obosieczny jaki sąd daje przestępcom.

  17. co to za bank?

  18. A mnie zastanawia dlaczego Niebezpiecznik po kryjomu próbuje wyciągnąć adresy użytkowników Google od odwiedzających tę stronę.

  19. >daj pieniądze złodziejowi prosto do ręki
    >halo bank złodziej ma moje pieniądze, kapitan państwo pomusz!!!

  20. Trochę z innej beczki, ale w temacie “antyfraudy” i monitoringu płatności. Ponad 15 lat temu dokonywałem pełnej przedpłaty kartą za wynajem sali konferencyjnej. Ośrodek uparł się na płatność na miejscu. Jako że wygodniej było mi dokonać płatności kartą, niż biegać w poszukiwaniu bankomatu, zadzwoniłem do banku, podniosłem limity i przeciągnąłem kartę przez terminal. Zanim jeszcze klient zdarzył wystawić fakturę, miałem już na linii opiekuna klienta, proszącego o potwierdzenie czy dokonywałem transakcji.

    • A to widzisz – ja znam przypadek sprzed około 5 lat – dwóch braci kupowało mieszkanie na pół. Kazdy po 100 k. W ramach tego otwarli wspólnie rachunek w banku sprzedającego.
      W ten dzień dodali w swoich bankach zaufanego i zrobili przelew, a kolejnego dnia przelali u notariusza sprzedawcy, który po półgodzinie miał środki zaksięgowane. Po wyjściu od notariusza bracia zamknęli konto.

      Do kogo dzwoniły banki? Do nikogo.

  21. Ale głupoty piszecie w komentarzach. Aż się smutno czyta, popatrzcie na smsa którego dostała ofiara i na potem na wasze propozycje.
    “Operacja nr 1 z dnia 06-12-2013 Definicja odbiorcy z rach.: (…) na rach.: (…), hasło: (…)”
    W sms widać, że chodzi o definicję odbiorcy, każdy techniczny użytkownik powinien rozumieć jakie są konsekwencje potwierdzenia takiej operacji.
    Wasze wypociny można o kant (…) rozbić. Co innego gdyby zaimplementować jedną z opcji:
    – Zmienić treść sms np na “Nielimitowane przelewy z konta (…) dla (…). Hasło: (…).”
    – Domyślnie wyłączyć funkcję odbiorców zaufanych – serio, dla przeciętnego człowieka to jest jednak ryzykowna funkcja, która oszczędza kilka minut. Powiedz komuś, że każdy sms to kasa uciekająca z konta i musi potwierdzać kwotę z smsa za każdym razem i tak być musi bo to bezpieczne. To nie powinien być problem, i tak masz ten telefon przy sobie, więc możesz potwierdzić za każdym razem. Bank mógłby proponować dodawanie odbiorców zaufanych na podstawie wzorców po kilku pomyślnych autoryzacjach przelewów, tam gdzie wysokość strat jest potencjalnie duża można się pokusić o wymóg osobistego stawiennictwa w banku aby potwierdzić listę odbiorców zaufanych, gdzie pracownik banku miałby obowiązek wybadać czy dana osoba sprawia wrażenie kumatej czy nie i zdecydować o późniejszej możliwości samodzielnego zarządzania odbiorcami.
    W zamian za upierdliwość bank mógłby wprowadzić nagrodę dla klienta np. 1zł za 1 przelew, max 5zł na miesiąc za przelewy wychodzące, jest mnóstwo debilnych promocji kredytów, a nie ma ani jednej promocji bezpieczeństwa, sami sobie są winni. Banki słusznie są karane, bo napewno jest ktoś kto zdaje sobie sprawę z ryzyk a i tak ze względów marketingowych decyduje się na umożliwienie ryzykownych akcji.

    • “W sms widać, że chodzi o definicję odbiorcy, każdy techniczny użytkownik powinien rozumieć jakie są konsekwencje potwierdzenia takiej operacji.”

      I tu jest pies pogrzebany.
      Grubo ponad 60% społeczeństwa (albo i więcej) wcale nie jest “techniczna” i są bardziej użyszkodnikami niż użytkownikami.

  22. Co do zaufanych odbiorców…
    Ja u siebie w banku też muszę dodać każdego jako odbiorcę zaufanego przy pierwszym przelewie. Nie jest to zła opcja, bo mam niejako historie rachunków na które robiłem przelewy i nie muszę szukać numerów kont znowu gdy coś chce przelać. Czemu nie jest zła? Bo nieważne jakiej to wielkości przelew, zawsze mam SMS z potwierdzeniem transakcji. Czy to 2 zł, czy 1000. Ostatnio dodawałem konto pasierba i przelałem mu od razu wszystko z konta (kilkaset złotych), bank się nie odezwał że coś jest nie tak. Ale to dlatego że od razu potwierdziłem przelew kodem z SMS, a w SMS mam zawsze niemal pełne dane transakcji.
    Ale trzeba czytać SMSy w pełni…

  23. Ja rozumiem, ze ibany (nie mylić z ikebanami) itd. ale jak by klient dostał smsa o treści:

    „Zdefiniować Janusza Złodziejskiego jako nowego odbiorcę nieograniczonych środków z Twojego konta?”

    to czy efekt nie byłby bardziej hollywoodzki?

  24. jakie produkty bankowe? Bank nie produkuje. Bank świadczy usługi, a wmawianie że bank coś produkuje, to …

Odpowiadasz na komentarz Robal_pl

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: