11:33
25/9/2020

Kradzież pieniędzy z banku powinna się skończyć bezwarunkowym zwrotem pieniędzy i to w ciągu jednego dnia roboczego. Większość banków ignoruje ten obowiązek i uchodzi im to na sucho. Rzecznik Finansowy od lat wskazuje na istnienie problemu, a teraz postanowił coś zrobić by to zmienić.

Niebezpiecznik już kilka razy pisał o tym jak powinna wyglądać reakcja banków na kradzieże pieniędzy i jak wygląda w praktyce. Przypomnijmy. Jeśli przestępca włamie Ci się na konto i dokona przelewu, w rozumieniu prawa jest to transakcja nieautoryzowana i bank powinien zwrócić te pieniądze. O przepisach, z których to wynika pisaliśmy w tekście pt. Ukradli mi pieniądze z konta i co dalej? Prawo swoje a banki swoje.

Dlaczego takie jest prawo?

Tak skonstruowane przepisy mają sens ponieważ to bank jest profesjonalnym graczem i ma zadbać o odpowiednie zabezpieczenia. Jeśli zaś ludzie nabierają się na phishing albo padają ofiarami malware’u to znaczy, że… zabezpieczenia są zbyt słabe i należałoby zainwestować w lepsze. Mile widziane w bankach byłyby np. w mechanizmy wykrywania podejrzanych transakcji albo dodatkowe środki autoryzacji. Niektóre banki w ogóle ich nie mają. Nikogo nie dziwi, że klient zbierający pieniądze na koncie od kilku lat nagle, w ciągu kilku minut, ustanawia nowego zaufanego odbiorcę i przez niego wyprowadza wszystkie środki kilkoma przelewami.

Prawo zawiera pewną furtkę  dla banków tzn. pozwala obciążyć klienta nieautoryzowaną transakcję jeśli ten dopuścił się tzw. rażącego niedbalstwa. Problem w tym, że wiele ofiar miało bardzo ograniczony lub żaden wpływ na dokonanie kradzieży. Banki – niestety – nie oddają pieniędzy i mówią klientowi: “idź sobie do sądu”. To samo w sobie jest nadużyciem ponieważ prawo wymaga zwrotu pieniędzy, a to bank powinien iść do sądu jeśli chciałby rzekome niedbalstwo klientowi udowodnić.

Typowy klient banku w typowym banku domagający się zwrotu pieniędzy z nieautoryzowanej transakcji (rekonstrukcja zdarzeń).

Prawo w tym zakresie jest nagminnie łamane i właściwie nikogo to nie obchodzi. Wielu klientów po prostu nie stać na proces (zostali przecież okradzeni). Niektórzy się sądzą i wygrywają, ale trwa to latami. Obecnie nikogo to nie obchodzi, może poza samymi okradzionymi oraz Rzecznikiem Finansowym, który stara się występować w ich obronie.

Zwroty się zdarzają, choć rzadko

Do naszej redakcji regularnie zgłaszają się nas osoby, które zostały okradzione i szukają porady lub pomocy. Radzimy wówczas m.in., aby wystąpiły one o opinię do Rzecznika Finansowego. Taka opinia nie zmieni stanowiska banku, ale w sądzie może być dodatkowym argumentem.

Rzecznik Finansowy już dwa razy publikował analizy dotyczące problemu (w roku 2018 i w 2020). Z tegorocznej analizy wynika, że:

  • Do rzecznika trafiają rocznie setki spraw dotyczących niewypłacenia przez banki pieniędzy za nieautoryzowane transakcje (np. było 612 w roku 2018).

Wykres

  • Tylko w pierwszym półroczu 2020 r. wnioski dotyczące nieautoryzowanych transakcji stanowiły aż 80% wszystkich wniosków związanych z naruszeniem ustawy o usługach płatniczych.
  • Jeden z banków przyznał, że na kilkaset zgłoszeń dotyczących nieautoryzowanych transakcji w danym okresie, zaledwie kilka zakończył zwrotem środków płatnikowi w terminie D+1.
  • Istnieją banki, w których znacząca część spraw zainicjowanych wystąpieniem nieautoryzowanej transakcji płatniczej zakończyła się zwrotem środków pieniężnych (nawet 90%). Czyli można szanować prawo jeśli się chce!

Banki nie zgłaszają przestępstw

W analizie RF czytamy, że banki rzadko występują w roli zawiadamiającego o możliwości popełnienia przestępstwa w związku z wystąpieniem nieautoryzowanej transakcji. Co więcej, banki nie posiadają zazwyczaj informacji odnośnie wszystkich postępowań karnych związanych ze zgłoszonymi nieautoryzowanymi transakcjami. To dość dziwne bo wydaje się, że takie informacje powinny być zbierane i analizowane choćby w celu szacowania ryzyka i dostrajania systemu bezpieczeństwa do zagrożeń.

Wydaje się też, że banki potrafią tolerować słabsze zabezpieczenia bo liczy się wygoda użytkowania. Znamienny jest ten fragment analizy RF.

Wdrożenie nowych zasad związanych z silnym uwierzytelnianiem nie nastąpiło całkowicie wobec wszystkich transakcji płatniczych. Banki skorzystały z wyłączeń od ich stosowania, bądź z uwagi na indywidualną zgodę organu nadzorczego zostały wdrożone później.
(…)
Większość udzielanych przez banki odpowiedzi wskazuje jednak, że wciąż motywem wprowadzonych bądź planowanych zmian w zakresie sposobu zlecania i przeprowadzania transakcji jest szybkość i łatwość dostępu do usług bankowości elektronicznej. Banki wskazują, że jako dostawcy usług płatniczych kierują się względem wygody swoich klientów, którzy coraz chętniej korzystają z udogodnień technologicznych (por. PSD2: Banki wprowadzają logowania 2FA, wycofują “zdrapki”, aktualizują aplikacje i co jeszcze?).

Rzecznik idzie do sądu

23 września 2020 r. Rzecznik Finansowy złożył do Sądu Okręgowego w Warszawie pozew w imieniu klienta BNP Paribas Bank Polska S.A.  To jedna z tych spraw, w której bank odmówił zwrotu pieniędzy. Rzecznik Finansowy wniósł o zasądzenie na rzecz klienta zapłaty 140 tys. zł. Klient banku jest rolnikiem z województwa lubuskiego. Z materiałów medialnych na temat okoliczności sprawy wynika, że w tym przypadku do kradzieży mogło dojść po wyłudzeniu karty SIM.

Z opisu sprawy wynika, że klient padł ofiarą zorganizowanego oszustwa. Trudno tu mówić o jakimkolwiek niedbalstwie z jego strony. Transakcja została przeprowadzona bez jego wiedzy i zgody. W opinii moich ekspertów w tej sytuacji bank jest zobowiązany do niezwłocznego zwrotu środków w ustawowych terminach – mówi dr hab. Mariusz Jerzy Golecki, Rzecznik Finansowy.

Recznik Finansowy doskonale zdaje sobie sprawę, że to tylko wierzchołek góry lodowej. Z drugiej strony… od czegoś trzeba zacząć. Sprawa ma dużą szansę powodzenia bo już nie raz w podobnych sprawach banki przegrywały. W tym kontekście można przypomnieć inną sprawę, jak to Sąd nakazał oddał bankowi oddać 107 tys. zł ofierze infekcji złośliwym oprogramowaniem. Podobny wyrok zapadł wcześniej w Sądzie Najwyższym, a jeszcze w czerwcu 2016 r. Pisaliśmy też o wyroku, który nakazał bankowi zwrócenie 86 tys. zł, a już szczególnie ciekawy był wyrok potwierdzający, że noszenie karty płatniczej w kieszeni nie jest rażącym niedbalstwem (wyrok SR w Gliwicach, sygn. akt I C 2524/14).

Sami mamy na radarze kilka bulwersujących spraw, w których banki odmówiły zwrotu pieniędzy, mimo iż wina ewidentnie nie była po stronie klientki. Szczególnie niepokojące są te sytuacje, w których klient nie miał absolutnie żadnego wpływu na kradzież bo np. operator wydał kartę SIM osobie, która nawet nie potrafiła płynnie zweryfikować się na infolinii(!). Do tematu zapewne będziemy jeszcze wracać.

Przeczytaj także:



95 komentarzy

Dodaj komentarz
  1. “Jeden z banków przyznał”.
    “Istnieją banki”,…

    Jakie to banki?
    Bardzo chciałbym wiedzieć, które banki tak postępują.
    Czy jest gdzieś czarna lista takich banków?

  2. A co sądzicie o potwierdzaniu przelewów przez apkę na androida? W millennium włączyli to bez pytania i niby lepiej bo duplikat karty nie zadziała, ale zastanawiam się czy wirus na telefonie nie mógłby oczyścić konta. I co wtedy rażące niedbalstwo bo ktoś oglądał porno na telefonie i złapał wirusa? :)

    • MILLENIUM to ten bank co jako autoryzację wymusza PESEL :-D
      A HASŁO TO CYFERKI !

      Jeszcze jakieś pytania dodatkowe ?!??!

      Najlepsze zabezpieczenia maił EUROBANK – talken do banku (ten pierwszy na nokię) można było łamać latami. Każde hasło było OK, każde generowało kody, ale tylko właściwe hasło generowało właściwe kody, które przyjmował bank.

  3. A co z telekomami? Czy w takiej sytuacji nie ponoszą odpowiedzialności i czy nie można podać do sądu operatora, który wydał duplikat karty sim?

    • Może niech bank zwróci pieniądze klientowi i to niech bank pozwie telekoma o odszkodowanie. Albo niech bank stosuje inne zabezpieczenia, niezależne od obcego podmiotu,

    • Można choć tylko w zakresie usługi telekomunikacyjnej. Oszust zadzwoni na Twój koszt na drugi koniec świata, to odpowiedzialność operatora. Ale nie coś wykraczającego ponad to, gdyż operator nie ponosi odpowiedzialności za to do czego wykorzystujesz telefon (przez jego brak mogłeś zostać okradziony, albo stracić klienta, albo żona dowiedzieć się o kochance itp. to Twoja sprawa nie telekomu).

    • Chcesz załatwiać wszystko osobiście w coraz mniej licznych punktach?

    • @Jakub
      Telekomy powinny mieć wspólną platformę, z której banki odczytywałyby przed każdym grubszym przelewem (lub serią), czy klient nie miał wymienianej SIMki. Ale nie ma ich kto zobligować do tego.

      Plus jeszcze to: panienka w salonie operatora, przed wymianą, karty powinna przynajmniej spróbować zadzwonić na wymieniany numer. Albo sprawdzić w systemie, kiedy numer się loguje. Wystarczy procedura.

  4. Taka jest strategia banków, przeciąganie w czasie. Każdy miesiąc bez oddania pieniędzy to dla banku wystarczający powód.
    Banki to w Polsce święte krowy, to samo jest z klauzulami abuzywnymi zawartymi we wzorcach umów, umieszczonymi w rejestrze klauzul niedozwolonych. One z mocy prawa nie wiążą konsumentów. A bank na każde zgłoszenie klientów odpowiada że to były warunki indywidualnie negocjowane, wykorzystuje taką furtkę w przepisach. Trzeba isć do sądu i udowodnić że to co jest we wzorcu umowy nie zostało utworzone w wyniku indywidualnych negocjacji.

  5. Rekonstrukcja zdarzeń, gdy nie było komórek w Polsce? Jakoś trudno mi to zrekonstruować… Internetu wtedy też nie było (zwłaszcza w PL). Do autoryzacji obowiązkowa jest komórka z Internetem, a także komputer.

  6. Banki są dość czułe na zły PR, więc trzeba głośno i po nazwie wymieniać które z nich migają się od odpowiedzialności finansowej za swoje usługi. W końcu pieniądze trzyma się w banku żeby były “bezpieczne”.

    • Znacznie prościej będzie wymieniać te, które się nie migają. Tylko to będą raczej malutkie banki spółdzielcze, bo tylko im zależy na pojedynczych klientach.

      A poza tym, w banku nie trzyma się pieniędzy, tylko wierzytelności, czyli obietnice banku, że Ci odda co wpłaciłeś, gdy ładnie poprosisz. Jak widać kurs takich obietnic raczej spada…

  7. Istnieją banki, w których znacząca część spraw zainicjowanych wystąpieniem nieautoryzowanej transakcji płatniczej zakończyła się zwrotem środków pieniężnych (nawet 90%). Czyli można szanować prawo jeśli się chce!

    Które to banki?

  8. Zasada D+1 mówi o zwrocie w ciągu 1 dnia roboczego gdy doszło do transakcji nieautoryzowanej, a nie jeśli tylko zaszło jej podejrzenie. Zatem jest to 1 dzień nie od zgłoszenia reklamacji, lecz od potwierdzenia jej zasadności. To może być nadużywane przez banki (które na rozpatrzenie reklamacji mają ustawowe 2×30 dni i niektóre nawet w tym czasie się nie wyrabiają).

    Co do wyroku ws. karty, to nie mówił on, że nie jest niedbalstwem noszenie karty w kieszeni, lecz iż ten konkretny człowiek nosząc ją w kieszeni nie dopuścił się niedbalstwa. Inny sąd w identycznej sprawie może rozstrzygnąć zupełnie inaczej. Taki kraj, takie prawo.

  9. Zapewne skończy się tak:
    https://www.google.com/search?q=bttf+thumb+paying

  10. A gdzie monitorowanie fraudów. Jeżeli Klient nigdy nie zlecał przelewów na 5 k a nagle to robi, to chyba jest podejrzane i bank powinien zweryfikować taką transakcję innym kanałem.

    • Na przykład dzwoniąc na numer, który przestępcy właśnie wyłudzili u operatora. Sprawa nie jest taka prosta jak się wydaje.

    • Robią tak, zwłaszcza przy większych kwotach, nie rzędu 5 000zł

      Wtedy dodatkowo autoryzują klienta na podstawie różnych informacji dodatkowych np. czy ma Pan lokaty u nas, czy w pln/euro/usd i inne takie.

  11. Banki to robią i robić będą bo nic nie ryzykują a zyskać mogą dużo – jedyne wyjście to dodatkowe kary (a nie sam zwrot kasy) zasądzane przez sądy bo dopóki się im opłaca nic się nie zmieni.

  12. Droga redakcjo niebezpiecznika, zaniżacie poziom. Od Was wymagam więcej niż od rzecznika finansowego, który na finansach się nie zna. Po pierwsze, w 99% wyłudzeń klient nie sprawdza komunikatów, treści smsów i tego co autoryzuje, bo ma to w nosie i nie zwraca na to uwagi. Oprócz tego rozdaje swoje dane tu i tam. Rozumiem RF, który nie złoży pozwu przeciwko policji, która nie jest kompletnie w stanie sobie z tym poradzić i złapać grupy wyłudzające pieniądze oraz nutę chce mu się wprowadzić regulacji ułatwiających życie policji, więc idzie na łatwiznę i zwala odpowiedzialność na banki.

    I teraz uwaga do komentujących – za sim swap odpowiedzialność ponosi wyłącznie operator i to od niego klient powinien się domagać zwrotu kasy, nie od banku. Dodatkowo, większość banków ma mocne systemy zapobiegające wyłudzeniom, które zapobiegają wyciekowi setek milionów złotych. Ale żaden system nie pomoże, jeżeli klient pozwala nieznanym osobom na zdalny dostęp do swojego komputera i logowanie do banku… W imię super oferty…Selekcja naturalna…

    • Robercie, chyba zbyt pobieżnie przeczytałeś artykuł, bo jego clue to właśnie taki atak, który powoduje, że klient nie ma szans na przeczytanie “treści smsów z banku” i niczego nie autoryzuje.

    • Ktoś w Szwecji obrobił mi kartę kredytową na “parę” złotych. Płatności w Uber Eat. Pekao zawiadomione kilka godzin po transakcjach. W reklamacji proponowałem aby sprawdzili moje logowania do BTS i zapisy z GPS mojego auta. Odpowiedź była taka że dane karty musiałem ujawnić bo nie ma możliwości aby ktoś je znał. Na mój wniosek żeby złożyli zawiadomienie że staram się ich naciągnąć na kasę nie otrzymałem odpowiedzi. Jest to ich ustawowy obowiązek żeby takie zawiadomienie złożyć. RF okazał się pomocny. Czekałem kilka miesięcy ale się doczekałem. Banki olewają klientów. Wiem o tym bo pracuję w banku.

  13. Banki tylko wykorzystują niewydolność sądów. Zamiast przelać D+1 wolą przelać w D+500. Kto by nie wolał? Chcesz naliczyć odsetki? Znowu idź do sądu. Ludzie nie mają na to ani czasu, ani zasobów. Nie oceniam tego moralnie, bo ten gość co stracił 140k jest zapewne moralnym zwycięzca… z brakującymi 140k na koncie, więc na kolację może zjeść “moralność w sosie własnym”. Rozumiem banki: wszystko co nie jest zabronione jest dozwolone. A zabronione jest tylko wtedy kiedy istnieje REALNE zagrożenie karą! Nie widzę tu żadnej winy Banków. Grają tak jak pozwala przeciwnik: Państwo z kartonu.

  14. Ehhh … niestety sam doświadczyłem “przeprawy” z bankiem o zwrot środków. Środki zeszły z konta karty kredytowej – mimo, że nie było mojej autoryzacji. Złożyłem reklamację i … po trzech miesiącach po awanturze w oddziale banku z dyrekcją – pieniądze się znalazły w 30 min. Dziewczyna, która zajmowała się reklamacją – zwolniła się i nikt nie przejął sprawy. Wystarczyło, że dyr. zadzwonił pod dwa numery i “da się”.

    Najgorsze w tym wszystkim, że a przypadku Alior Banku – dział windykacji nie rozmawia z działem reklamacji i to, że ja złożyłem zasadną reklamację nie powoduje wstrzymania całego procesu windykacji – z nękaniem telefonami, listami z pogróżkami (wezwania, ostateczne wezwania przedsądowe itd) poczynając, po windykatorów terenowych, kancelarie adwokackie i różne biura dochodzenia wierzytelności kończąc.

    Banki od zaplecza mają taki syf w procesach biznesowych i przepływach informacji między działami, że to się w pale nie mieści.

    • W bankach jest syf i dlatego np. kredytów i w ogóle większości usług trzeba… unikać, a już napewno oddzielić rachunki krytyczne (opłaty za mieszkanie itp) od podróżnych, do zakupów w sieci, karty kredytowej…. itp. Santander wywinął kiedyś taki numer – kredyt na samochód, spłacany sumiennie bez problemów. Ostatnia pełna rata poszła i został jakiś śmieszny ogonek z innym terminem zapłaty (wcześniejszym) – telefon z banku, dlaczego nie ma kasy. Wyjaśnienie przyjęte, OK, wpłynie w terminie. Następnego dnia kolejny telefon groźby windykacji etc.
      Zaś Alior to w ogóle robi się materiał na skecz – zaczęłi z dobrą promocą i ofertą, teraz to w najlepszym razie McBank.

  15. Teoretycznie nie. To banki uznały, że telefon komórkowy jest bezpiecznym składnikiem uwierzytelnienia bo jest wygodny i tani. W praktyce koszt zabezpieczenia konta przerzucany jest na zewnątrz

    • Przerzuciły… Z drugiej strony – gdyby nie “przerzucały”, to zamiast jednej komórki nosiłbym komórkę i trzy “tokeny” (środki autoryzacji) do trzech moich banków.
      Że trzy to dużo? A dywersyfikacja ryzyka to co?

    • Szczególnie dla seniorów po 80tce w połączeniu z PSD2 :>

  16. Jednej rzeczy nie rozumiem. A artykule jest napisane jest stosowne prawo regulujące w opisywanych sytuacjach zwrot pieniędzy, ale banki są we wszystkich sprawach bezkarne i robią co chcą czyli działają omijając prawo.
    Podobna sytuacja że zwrotem kosztów wcześniej spłaconego kredytu. Jedne banki się zastosowały po wyroku TSUE , a inne nie np. CiTI bank. Dlaczego dopiero wyrok sądu może cokolwiek zmienić, skoro wszyscy jesteśmy zobowiązani do przestrzegania prawa?. Tylko przestępcy łamią nagminnie prawo. W takim razie banki to instytucje przestępcze i nikomu z rządzących to nie przeszkadza. RF podejmuje działania po latach wiedząc doskonale o tym, że prawo jest łamane bo różne sygnały są kierowane przez pokrzywdzone osoby.
    To wszystko jest chore i niezrozumiałe. Bank złapany na łamaniu prawa powinien być zamykany a miliardy zysków przekazywane osobom pokrzywdzonym przez te pazerne instytucje.

  17. Dokładnie tak. Jesli takie dane są dostępne, ktory bank oddaje pieniądzeto to moze trzeba to zacząc rozpowszechniać. Niech ta informacja też wpływa na świadomość ludzi przy wyborze banku i bedzie nagrodą dla tych, ktore szanują prawo.

  18. Dlaczego autor boi się podać nazwy banków? Myślę że banki z szybkimi zwrotami byłyby za darmową reklamą. A te które robią pod górkę – no cóż- czy ktoś napisałby nieprawdę czy tylko przedrukował słowa rzecznika (chyba że on sam nie podał nazw).

  19. Dlatego nie mam i nie bede miec konta w Polsce. Jak nie urzednik ktory moze zablokowac wszystko bez procesu czy nakazu sadowego to banki ktore pomagaja zlodziejom.

    Ostatnio mialem taka sytuacje w zagranicznym banku ze zglosilem chargeback ale mi go master card odrzucilo. Bank zwrocil ze swojej strony piszac ze jestem stalym klientem wiec zwroca sami. Wyobrazacie sobie cos takiego w Polsce?

    Zamykajcie konta, wyplacajcie gotowke, niech jedza piach.

  20. Mieszkam w UK. Około rok temu koledze ukradli z konta 4tyś funtów poprzez duplikację karty. Bank przyjął reklamację i po kilkunastu dniach miał zwrot kasy. Zarówno bank jak i operator pomagają policji w śledztwie. A w Polsce minister sprawiedliwości interesuje się preferencjami seksualnymi obywateli zamiast redukcją przestępczości.

  21. Mogłyby nie chcieć reklamy, bo to ściągnie nadużywajacych.

  22. @Jakub
    Telekomy powinny mieć wspólną platformę, z której banki odczytywałyby przed każdym grubszym przelewem (lub serią), czy klient nie miał wymienianej SIMki. Ale nie ma ich kto zobligować do tego.

    Plus jeszcze to: panienka w salonie operatora, przed wymianą, karty powinna przynajmniej spróbować zadzwonić na wymieniany numer. Albo sprawdzić w systemie, kiedy numer się loguje. Wystarczy procedura.

  23. I wszystko jasne, wygoda czyli prostota wypiera bezpieczeństwo. Wydanie duplikatu karty sim nieuprawnionej osobie to z kolei ewidentna wina operatora GSM. I nikomu nie zależy na właściwym zabezpieczeniu kont klientów. Jak u Barei, nie mamy pańskiego palta i co nam Pan zrobisz.

  24. wystarczy do stałych kont przypisać max limit – nie przekraczający limitu dziennego.

    Do numeru rachunku – obowiązkowo poprawną nazwę beneficjenta . Kiedyś w tej materii zmieniono prawo – śmiem twierdzić ze komuś na tym zależało .

  25. Na tym banki oparły bankowość elektroniczną.
    Koszty i ryzyko po stronie klienta .

  26. Wysyłałem do niebezpiecznika info, że Play się za to wziął i teraz proces uruchomienia nowej karty sim trwa około 3 godzin i w tym czasie klient jest dosłownie bombardowany mailami i smsami że taki proces ma miejsce.

  27. “Niebezpiecznik już kilka razy pisał o tym jak powinna wyglądać reakcja banków na kradzieże pieniędzy” – a czy coś stoi na przeszkodzie, aby Niebiezpiecznik założył sobie bank i w nim stosował swoje pomysły? I skąd pomysł, że bank ponosi ma odpowiedzialność za głupotę klienta? Jakim cudem we własnych w umowach z klientami macie zapisu, które są tak naprawdę waszymi dupochronami i NIE BIERZECIE ŻADNEJ ODPOWIEDZIALNOŚCI ZA AUDYT, ZA KTÓRY BIERZECIE KASĘ.

    • Coś Ci się chyba nie do końca po polsku napisało ostatnie zdanie. Ale jeśli sugerowałeś, że nie mamy takie zapisu, który wywaliłeś w capsach, to mamy.

    • @Piotr Konieczny owszem, brakuje słowa nie przed słowem masie.

      A co do zapisów w waszej umowie i waszej odpowiedzialności, to potrafisz udowodnić, że nie umiesz jeździć na łyżwach lub nie znasz języka niemieckiego?

    • Ale po co mam to udowadniać? Chyba znów zabrakło jakiegoś słowa albo nie do końca rozumiem jaki to ma związek z przedmiotem dyskusji. Wytłumaczę, że usługi testów bezpieczeństwa są usługami best effort. My jesteśmy szczerzy w kontakcie z klientem i nigdy nie obiecujemy, że “znajdziemy wszystko” albo damy “gwarancję 100% bezpieczeństwa” po wykonanych testach. Uważam, że to nie jest możliwe i ktoś, kto coś takiego obiecuje jest szarlatanem :-) Usługi testów bezpieczeństwa wymagają pewnej dojrzałości po obu stronach i bazują na zaufaniu. Prawnicy klientów, jak to prawnicy, czasem mają z tym problem, ale dość łatwo przychodzi nam dojście do kompromisu. To jednak temat na dyskusję w zupełnie innym miejscu.

    • @Piotr Konieczny przedmiotem dyskusji jest odpowiedzialność banków za błędy klienta.
      Łatwo być sędzią w nieswojej sprawie czy też Janosikiem, Robin Hoodem i rozdawać cudze pieniądze. To takie fajne stawać po stronie ciemiężonych biednych ludków, przeciw złym banksterom.

      Analogią są wasze umowy audytu. W gwoli ścisłości w zasadzie każda umowa audytu dowolnej firmy nie pociąga żadnej odpowiedzialności audytora, no chyba, że wystawił fakturę i nawet nie widział przedmiotu audytu.
      Ty oczywiście twierdzisz, że zgodnie z zapisami umowy poniesiesz koszty np. 3 mln PLN za włam do firmy, którą audytowałeś np. tydzień wcześniej, nawet jeśli hackerzy użyli nieznanej wam sztuczki.
      Prawda z audytami jest taka, że biorąc dwie firmy audytorskie uzyskam różne wyniki, a rozbieżność audytu będzie na poziomie 30-40%.
      Chociaż lepszy audyt niż jego brak.

      Ps.
      “Uważam, że to nie jest możliwe i ktoś, kto coś takiego obiecuje jest szarlatanem :-)” – więc nie możesz mieć zapisu o odpowiedzialność za audyt. Dokładasz staranności, ale to słowo ma bardzo szerokie znaczenie i tak naprawdę nic nie znaczy.
      Całość opiera się na przekonaniu, anie zaufaniu, że zrobisz audyt lepiej od innych, ale to tylko przekonanie.

    • “Ty oczywiście twierdzisz, że zgodnie z zapisami umowy poniesiesz koszty np. 3 mln PLN za włam do firmy,”

      Nigdzie tak nie twierdzę…

      “więc nie możesz mieć zapisu o odpowiedzialność za audyt.”

      I nie mamy takiego zapisu.

      Ty chyba coś źle przeczytałeś.
      Pozdrowienia.

  28. Czy możecie podać jakie to są banki, w których “znacząca część spraw zainicjowanych wystąpieniem nieautoryzowanej transakcji płatniczej zakończyła się zwrotem środków pieniężnych (nawet 90%)”???

    Rozumiem, że może nie chcecie robić im darmowej reklamy, ale to chyba jedyny sposób, żeby coś w tej kwestii się zmieniło. Tylko odpływ klientów od banków-krzaków i przypływ do poważnych banków może globalnie cokolwiek tutaj zmienić.

    Osobiście bardzo doskwiera mi postawa typu “nie mamy pańskiego płaszcza i co nam Pan zrobi?” wśród wielu instytucji i u mnie na pewno przy wyborze banku informacja o stosunku do kwestii reklamacyjnych przeważałaby ponad np. wysokość miesięcznej opłaty za prowadzenie rachunku. Tylko gdzie takie informacje znaleźć??? Dajcie chociaż wędkę!

    Pozdrawiam!

    JD

    • Mogłyby nie chcieć reklamy, bo to ściągnie nadużywajacych.

  29. Piszecie o drugim składniku, a taki bank Millennium do logowania używa ciągu 8 cyfr z dodatkowym wymogiem znajomości peselu. Nie jest to może tragedia, ale znając ten ciąg i 4-cyfrowy PIN można autoryzować każdą transakcję i niewiele tu pomaga wymóg MFA z aplikacji. W sensie prawnym się zapewne wybronią (chyba musiałem potwierdzać dodanie nowego drugiego składnika starym, więc dodanie drugiego składnika niezwiązanego ze mną bank potraktowałby jako niedbalstwo), ale to nie jest podejście proklienckie. Np. wolałbym wpisywać ciąg dowolnych 8 znaków, niekoniecznie cyfr, wtedy wybierając słownikowe hasło np. imię psa faktycznie popełniłbym niedbalstwo (tym gorzej jak pies ma na imię Burek), ale będzie możliwość wybrania czegoś, co będzie dużo trudniej zbruteforce’ować. Marzenia typu uwierzytelnienie czy autoryzacja za pomocą U2F i tak się nie ziszczą.

  30. Klient BNP Paribas miał szansę zapobiec tej kradzieży. Gdyby zadał sobie trud poznania ryzyk jakie się wiążą z korzystaniem z bankowości internetowej to wiedziałby, że to, iż telefon przestał działać może oznaczać sim swap. Ponieważ jego telefon (karta sim) przestała działać podczas rozmowy telefonicznej miał możliwość natychmiastowego zaalarmowania banku. Lepszy fałszywy alarm niż utrata środków.

    A najbezpieczniej jest trzymać pieniądze na koncie bez dostępu przez internet i telefon.

    • Banki niby wszystko muszą przewidzieć i za skrajną głupotę klientów odpowiadać tylko narzędzi ku temu nie mają – to sprzeczność. Alternatywą wyższe ich ubezpieczenie za które tak czy inaczej zapłacą… klienci.
      Tym razem jednak przesadziłeś: niby każdy klient ma wiedzieć co to sim-swap? Mnie wcześniej do głowy nie przyszło jak łatwo wyłudzić kartę (i dane klienta) od operatora – przekonałem się przypadkowo kilka lat temu w czasie przymusowej totalitarnej rejestracji pre-paidów.
      Poza tym telefon przestaje działać w czasie rozmowy. Skąd weźmiesz drugi? Do którego banku najpierw zadzwonisz (konta w 3 różnych)?
      Ale też się zgodzę – bez dostępu przez internet (bez dostępu a nie z dostępem nieaktywowanym – zależnie od banku to nie to samo) niby bezpieczniej. Ale czy w dobie koronawirusa (zdecydowana grupa ryzyka)?

    • Chyba żartujesz… To nie klient ma się znać na wszystkim, tylko bank dostosować zabezpieczenia do takiego poziomu ryzyka, jaki akceptuje. Nic nie stoi na przeszkodzie, żeby bank wymagał rozmowy telefonicznej przy każdym logowaniu*.

      * Nic poza czasem, wygodą i pieniędzmi. Tylko dlaczego to klient ma tu ponosić odpowiedzialność?

    • @ mielony @Oskar
      Jestem śmiertelnie poważny.
      Klienci dają się namówić pracownikom banków na rzeczy, których nie rozumieją a potem ponoszą tego konsekwencje – tracą pieniądze.
      Myślę, że wynika to z przywiązania do idei, że to bank odpowiada za bezpieczeństwo pieniędzy klientów – niestety te czasy minęły wraz z wprowadzeniem bankowości telefonicznej i internetowej.

      Skąd weźmiesz drugi (telefon)?
      Po przemyśleniu sim swap doszedłem do wniosku, że trzeba mieć telefon dual sim – drugi numer na kartę, u innego operatora aby w takiej sytuacji można było błyskawicznie zadzwonić do banku. 

      Do którego banku najpierw zadzwonisz (konta w 3 różnych)
      Polecam konto z dostępem przez telefon i internet tylko w jednym banku – wtedy sytuacja jest prosta. Najlepiej trzymać w nim ograniczoną ilość środków – taką, której utrata nie zrujnuje naszych finansów.

  31. Być może, lecz już banku to sprawa kogo pozwie.

  32. od razu widać że nikt z was nie miał do czynienia z bankiem – to już nie te czasy kiedy podstawą funkcjonowania banku był zadowolony klient – teraz bank zajmuje się wprowadzaniem procesów i wykonywaniem poleceń regulatorów (np. KNF) a nie jakiegoś Kowalskiego. Dlatego jeśli procesy zostały wprowadzone i zaudytowane, to winny zawsze jest albo klient, albo pracownik banku – nigdy zaś bank. Z drugiej strony trochę się bankom nie dziwię – jak masz do wprowadzenia kilkanaście tysięcy stron regulacji, to nie będziesz przejmował się jakimś leszczem który jak pójdzie do sądu i jeszcze mu się poszczęści to dostanie te same pieniądze które mu się należą bez żadnego odszkodowania. Zawsze możesz iść do innego banku (póki istnieje jeszcze jakaś konkurencja), może tam będą bardziej o ciebie dbali. Obrazić się na bank nie możesz bo płacisz za niego oddając procent od stwoich dochodów prowizją karty-jak nie w tym to w innym bo musisz. Tak więc cieszcie się póki nie jest jeszcze gorzej, bo na pewno będzie – takich wybraliście polityków którzy tak zbudowali regulacje że możecie z czapką w rękach pocałować stronę banku internetowego.

  33. Fajnie wydaje się cudze pieniądze, zarządza cudzym majątkiem i mówi się mu jak ma żyć i postępować?

  34. Widzę, że będę odosobniony, ale jednak to napiszę: nie zgadzam się z tym, co pada w tekście. Nie można w nieskończoność ratować ludzi przed ich własną bezmyślnością. Już teraz jest zwykle zrobiona niezła forteca, 2FA jest wszędzie. No to wprowadźmy 100FA, to się może ktoś zmęczy przy podawaniu złodziejowi 59 i go uratujemy? :)

    Ściągasz lewiznę na kompa i masz opanowany przez wirusy, a wykonujesz na nim operacje bankowe – Twoja wina. Dajesz się nabierać na banalną socjotechnikę typu, że syn miał wypadek, bez krzty weryfikacji – Twoja wina.

    Można wprowadzać kolejne warstwy bezpieczeństwa, autoryzacje, pytania, tylko co z tego, jeśli i tak jeśli ktoś jest bezmyślny, to je udostępni wszystkie. Jednocześnie rozsądny człowiek będzie zwykły przelew robić godzinę, przedzierając się przez warstwy autoryzacji bez możliwości dezaktywacji, bo wyjdzie, że głupi sobie dezaktywowali, więc dezaktywację też trzeba było wyłączyć.

    Sam już raz padłem ofiarą odwrotnej akcji w mBanku. Zablokowali mi kartę za nietypowe transakcje i musiałem się ratować gotówką, którą na szczęście miałem. Co było nietypowe? Zachorowałem i biegałem po różnych aptekach, zbierając niedostępne leki pojedynczo. Nigdy nie chorowałem, aptek nie odwiedzałem, uznali za fraud i zostałem nagle w zadku, nie dość, że zmęczony i chory, to bez dostępu do jednego z istotnych źródeł kasy.

    Takiej przyszłości chcemy? Żeby np. kupując PC-ta, czego często się nie robi, trzeba było wykonywać milion działać i potwierdzeń, a może nawet wybierać się osobiście zaświadczyć własną krwią w oddziale?

    Musi być zachowany pewien złoty środek między poziomem zabezpieczeń, a wygodą użytkowania i logiką.

    Nie rozumiem też czemu to bank ma oddawać – bank ukradł? Nie. W normalnym państwie prawa należy łapać złodzieja. Trudno złapać? No to trzeba się bardziej postarać, dofinansować w końcu policję i zatrudnić w niej speców od cyberprzestępstw, których jest coraz więcej. Ciekawe, czy nie doganiają pod względem ilości normalnych przestępstw…

    Przykład: dziadek zawinął cukierka, to mu dowalili mandat. A mi gość z Allegro wysłał cegłę, konto skasował i wszyscy się wypięli :) Tyle, że jestem mądry i zrobiłem chargebacka, w bonusie mam czerwoną cegłę. Dlaczego Allegro nie ścigamy? Byłoby analogicznie jak z bankami, które próbujemy. Może i na biednego nie trafiło, ale Robin Hoodowanie sugeruję zostawić Robin Hoodowi.

    Prawidłowe działania:
    – docierać do ludzi i im tłumaczyć, że np. jeśli się ściąga na komp cracki albo na telefon aplikacje nie wiadomo skąd i do czego – to środowisko jest skażone i nie robi się z niego żadnych operacji bankowych
    – KASA DLA POLICJI! Każda komenda ma mieć swój wydział od cyber, najmniejsze z minimum 1 człowiekiem w pełni kumającym sytuację
    – płatności escrow w sieci, coś co reszta normalnego świata dawno ogarnęła (chociaż w Polandii zaraz by się znaleźli tacy, co by wyłudzali towar, bo u nas za duży poziom kombinatorstwa)
    – dopiero tu na końcu: lepsza analiza wykonywanych operacji po stronie banku; ale naiwne jest myślenie, że to coś zmieni – tak jakby przestępca nie obszedł tego dodając się do zaufanych i transferując małe kwoty dla zmylenia

    Zapraszam do oświecenia mnie co może zrobić lepiej bank – ale konkretnie, a nie lanie wody, że wykrywanie podejrzanych transakcji (mało skuteczne) albo dodatkowe środki autoryzacji (aka 100FA). Dodatkowe środki oznaczają po prostu włączanie kolejnych FA, coraz bardziej dokuczliwych i wcale nie zerujących ryzyka, bo jak pisałem – kto się da nabierać, nabierze się dalej i kolejne FA też przekaże.

    Ja mogę bez trudu wskazać co może lepiej robić użytkownik: DOUCZYĆ SIĘ. Nie umiesz jeździć autobusem – nie masz prawa jazdy, nie jeździsz. Nie umiesz obsługiwać komputera i zadbać o bezpieczeństwo środowiska – to może dla własnego dobra lepiej z komputera zrezygnować, a nie czekać na wypadek, a później szukać winy wszędzie, tylko nie po swojej stronie.

    Kontrowersyjne, ale rozwala mnie, gdy ktoś się skarży, że go okradli, a następnie okazuje się, że robił przelewy z konta po widocznych śladach ransomware. W takich chwilach po prostu ręce opadają.

    • Aleś się Waść rozpisał, ale sprawa dotyczy zupełnie czegoś innego, na co klient banku nie ma żadnego wpływu. Chodzi o wydanie duplikatu karty SIM nie dotychczasowemu właścicielowi, a przestępcy. Na ten temat nie raczyłeś się w ogóle wypowiedzieć.

      A sprawa jest moim zdaniem bardzo prosta. Wystarczy w bazie operatora jeszcze jedno pole z długim np 32 znakowym kodem, który klient dostaje *wydrukowany* (z zastrzeżeniem aby go nie przepisywać do telefonu lub na inne urządzenie) przy zakupie usługi z nową kartą SIM. Może też go otrzymać w dowolnym momencie po dokładnym zweryfikowaniu klienta.
      I *tylko ten kod* może być podstawą do otrzymania duplikatu karty SIM. Jeśli kod zgubiłeś, to trudno, tylko zmiana numeru.

    • Banki muszą wszystko, tylko narzędzi nie mają a złodziei się nie łapie. Zgadzam się niemal ze wszystkim co pisał Wiesław, za wyjątkiem:

      “nie umiesz obsługiwać komputera i zadbać o bezpieczeństwo środowiska – to może dla własnego dobra lepiej z komputera zrezygnować, a nie czekać na wypadek, a później szukać winy wszędzie, tylko nie po swojej stronie.”
      Niestety samo państwo wręcz wymusza posiadanie komputerów i to nie tylko w dobie koronawirusa – przykładem przedsiębiorcy. Skandalem jest np., że bez prądu i internetu w aptece leków za gotówkę można nie kupić. Może więc państwo walczące z gotówką i stręczące płatności elektroniczne weźmie część odpowiedzialności?

      I jeszcze jedno – kradzieże w internecie są niejako “odmiejscowione” – nie tyle cyberwydział w każdej komendzie, raczej dogodny kontakt ze specem (zdalny), który poszkodowanego a i lokalnego glinę za rączkę poprowadzi i będzie miał prawo błyskawicznych działań np. zablokować konta okradanego.

  35. Przede wszystkim należy pamiętać, że zgodnie z prawem bankowym jak i umowami o otwarcie i prowadzenie rachunku bankowego w momencie wpłacenia środków na konto (złożenia ich do depozytu) to bank staje się właścicielem tych środków. Klient ma “jedynie” wymagalną wierzytelność względem banku do wysokości depozytu złożonego na tym koncie.

    Kto zgadnie co z tego wynika w przypadku, gdy z jakiegoś powodu środki na koncie znikają bez woli klienta?

    • Według takiej logiki pożyczając książkę z bibioteki stajemy się jej właścicielem, a nasze zobowiązanie do jej zwrotu staje się czysto umowne. Jednak tak to nie działa, ponieważ jest zasadnicza różnica pomiędzy posiadaniem a własnością.
      Gdzie jest w takim razie fala pozwów wobec pracodawców sprzeniewierzających wynagrodzenia, przekazując je na własność podmiotom innym niż wynagradzani pracownicy (bo chyba to nie banki są stroną zawartych umów o pracę)?
      Wreszcie, gdy nadejdzie (nieunikniona według niektórych) likwidacja gotówki, wtedy obywatel już nie będzie mógł posiadać żadnych pieniędzy?

    • > Według takiej logiki pożyczając książkę z bibioteki (…)

      Zauważ, że w stosunkach z bankiem stosuje się prawo bankowe, a ono może przewidywać konstrukcje, które mogą być sprzeczne ze zdrowym rozsądkiem. Polecam lekturę tej ustawy i jej pokrewnych.

      > Wreszcie, gdy nadejdzie (nieunikniona według niektórych)
      > likwidacja gotówki, wtedy obywatel już nie będzie mógł
      > posiadać żadnych pieniędzy?

      Jest wiele rzeczy których już teraz państwo zabrania Tobie, wolnemu człowiekowi, mieszkańcowi Polski, posiadać.

      Zabrania na przykład posiadania marihuany, konta bankowego poza terytorium UE/EOG/Szwajcarii, pistoletu i paru innych rzeczy.

      Myślisz że jak rządzący będą w stanie i zechcą zakazać posiadania pieniądza w gotówce, to się zawahają?

      :D

      Dlatego dopóki możesz, kup anonimowo, poza Polską, trochę złotych sztabek i schowaj je w bezpiecznym miejscu (część w Polsce, część w innym, normalniejszym państwie).

    • @Guest

      Władza wprowadziła najpierw “konfiskatę rozszerzoną”, teraz wprowadza “konfiskatę prewencyjną”. Przy likwidowaniu gotówki nawet okiem nie mrugną i brew im nie zadrży.

    • [citation needed]

      Kłamiesz i bredzisz. Nie przestajesz być właścicielem.

    • “Według takiej logiki pożyczając książkę z bibioteki stajemy się jej właścicielem, a nasze zobowiązanie do jej zwrotu staje się czysto umowne. Jednak tak to nie działa, ponieważ jest zasadnicza różnica pomiędzy posiadaniem a własnością.”

      No właśnie – wypożyczyłeś książkę z biblioteki i została skradziona. Kto poniósł stratę – biblioteka, czy Ty? Kto musi zapłacić za nową książkę?

      Podobnie w banku – pożyczyłeś bankowi pieniądze i zostały skradzione. Kto jest za to odpowiedzialny? Ty, czy bank? Jak weźmiesz kredyt i zostaniesz okradziony z pożyczonych pieniędzy, to chyba jednak musisz zwrócić cały dług, prawda? Dlaczego ma to działać tylko w jedną stronę?

    • @Serio – owszem, przestajesz być właścicielem a stajesz się wierzycielem, tak jak to napisałem. Tak samo na odwrót, kupujesz coś na kredyt za pieniądze pożyczone od banku i to nie bank jest mimo wszystko właścicielem tej rzeczy (albo nieruchomości), tylko Ty. Bank jest natomiast twoim wierzycielem, i wymagalność tej wierzytelności zależy od zawartej umowy. W ostateczności bank często może stać się właścicielem tej rzeczy jeżeli nie oddajesz długu, i tak samo jest w przypadku depozytu na koncie bankowym – klient zgodnie z umową wydaje bankowi dyspozycje względem zgromadzonych tam środków, a w ostateczności może stać się ponownie ich właścicielem w przypadku wycofania depozytu.

      Różnice tkwią tylko w konstrukcji umowy.

  36. Zapytajcie ministra sprawiedliwości ile jest wakatów na stanowiskach sędziów – załóżcie, że każdy z wakatów poprowadziłby jedną sprawę rocznie przeciwko bankom. Rzecznik Finansowy nie miałby co robić. :)

  37. W Końcu p.Rzecznik Finansowy zauważył łamanie prawa przez Banki,Bank Millenium także nagminnie łamie prawo,nam już 3 miesiąc nie zwraca naszych skradzionych pieniędzy,z konta internetowego,przelewy były wysyłane na konto jakiś Ukraińców,konto również w banku Millenium,przelewy nieautoryzowane przez mojego męża właściciela kąta, sprawa jest u p.Rzecznika i nic zadnej decyzji,a bank dalej nie widzi w sobie winy i nie odali do tej pory naszych pieniędzy,nie uwzględniają reklamacji nawet wysyłaną przez naszego Prawnika.tylko w p.Rzeczniku i w Sądzie mam jeszcze nadzieję.

  38. > Ściągasz lewiznę na kompa i masz opanowany przez wirusy, a wykonujesz na nim operacje bankowe – Twoja wina.

    > na biednego nie trafiło, ale Robin Hoodowanie sugeruję zostawić Robin Hoodowi

    > Nie umiesz jeździć autobusem – nie masz prawa jazdy, nie jeździsz.
    > Nie umiesz obsługiwać komputera i zadbać o bezpieczeństwo
    > środowiska – to może dla własnego dobra lepiej z komputera
    > zrezygnować, a nie czekać na wypadek, a później szukać winy
    > wszędzie, tylko nie po swojej stronie.

    AMEN!!!

  39. Drogi Piotrze, przeczytałem ze zrozumieniem. Wina za brak zwrotu kasy waszym zdaniem leży po stronie banku . A ja sądzę, że po stronie operatora, który umożliwił wymiana karty sim bez zachowania należytej staranności w weryfikacji klienta. Wystarczy np. zrobić to, co zrobiły kraje z tym problemem – robimy wiadomość SMS o wygaszeniu karty na istniejący sim + cooling period 2 dni na zmianę. Można wesprzeć to two way ivr. I klient ma czas na reakcję. Chyba że przyniesie stary sim do operatora, to wtedy od ręki. No i jeszcze oczywiście nie należy rozdawać danych umożliwiających zmianę, ale o tym już pisałem. I takiego podsumowania artykułu się spodziewałem..

    • “Chyba że przyniesie stary sim do operatora, to wtedy od ręki.”
      A po czym operator rozpozna, że to jest ten SIM, o którego chodzi (jest uszkodzony i nie działa)?

    • Robercie — w poprzednich artykułach zwracaliśmy uwagę na słabość mechanizmów weryfikacji klientów w telekomach. Po naszym artykule niektórzy wprowadzili dodatkowe zabezpieczenia, także te o których wspominasz. Warto tu jednak zwrócić uwagę na to, że usługa telekomunikacyjna nie jest usługą uwierzytelnia klientów bankowości — a tak jest przez banki traktowana. Dlatego właśnie to banki powinny “ogarnąć” temat, gdzie ogarnięciem może być porozumienie się z telekomami jak robić to lepiej. Wiemy wszyscy jak robić to lepiej. Ale chodzi o to, kto za to zapłaci.

  40. toyman mówisz że doswiadczyles przeprawy. A z twojego opisu wynika że poszedłeś i w pół godziny ci załatwili. Nie wyglada to tak źle, zero sądów itd.

    Co do dziadków windykacji to pewnie połowa dlużnikow składa przeróżne reklamacje i się nauczyli nieuwzgledniac tego.

  41. Wiera prosta sprawa jak zawsze. Klient przychodzi i mówi że został okradziony, banki mówi że w systemie widzi że transakcja została poprawnie autoryzowana. I dlatego dalej niech rozstrzyga sąd.
    Każdy kij ma dwa końce. Gdyby banki z automatu wypłacały takie transakcje to zaraz pojawiłby się ktoś kto wyśle pieniądze do przestępców z Afryki od banku dostanie zwrot bo został okradziony a od nich procent.

  42. Mirku, murawie miruniu. Zgodziłbym się ale przykład z autobusem jest nietrafiony. Jest wielu kierowców którzy mają prawo jazdy i jeżdżą według przepisów jakie obowiązywały 20 lat temu. Lub nie szkoła się wcale. To jest zwykły użytkownik popełniający błędy, nie wiedzący i nie chcący wiedzieć. Prosty przykład droga jednokierunkowe i skręt w lewo. Zobacz ilu kierowców wykonuje ten manewr błędnie z prawej części drogi.

  43. Mi bank nie odpowiedział na reklamację w ustawowym terminie i po terminie kilka tygodni potem odpowiedział że uznanie banku reklamacji jest jego wolna wola. Bank to Paribas Bank – że mogę zgłosić się do rzecznika finansowego jaki za założenie sprawy chciał wziąć 500 zł. Tak działają banki legalna mafia taka sama jak urzędnicy państwowi.

  44. Banki zbierają informację o każdym zdarzeniu nazywa się to Ryzyko Operacyjne to ich obowiązek. Nawet jak braknie prądu.

  45. Za bezpieczeństwo środków zgromadzonych na koncie odpowiada Bank. Bank jest również odpowiedzialny za efektywność projektową i operacyjną bezpiecznego uwierzytelniania transakcji. Bank błędnie założył, że posiadanie numeru MSISDN jest wystarczająco bezpieczną formą identyfikacji posiadacza konta i autoryzacji transakcji. Wobec tego jest to wina Banku. Bank nie ma szans o jakiekolwiek odszkodowanie od operatora, bo nie zawarł z operatorem żadnej umowy dotyczącej bezpieczeństwa numerów MSISDN. Jest to unilateralna decyzja Banku, z całą pewnością wsparta analizą ryzyka takiego rozwiązania i ryzykiem zaakceptowanym przez zarząd Banku.
    Ponadto, jeżeli klient banku zawiadamia o braku dostępu do środków powierzonych Bankowi, a Bank nie zawiadamia prokuratury o możliwości popełnienia przestępstwa, jest to rażące niedbalstwo Banku.

  46. Witam.
    Rzadko się udzielam na forach, ale tu zrobię wyjątek.
    Case 1
    Zespół bezpieczeństwa banku uznaje kartową transakcję zagraniczną za podejrzaną. Zgłasza oddziałowi, żeby się skontaktował z Klientem.
    Oczywiście się nie da, bo Klient za granicą nie odbiera “bo roaming”
    Pytanie – bank ma zrealizować transakcję czy nie?
    Może kupuje ukochanej pierścionek u jubilera w Singapurze, a może bilety na samolot, bo nagle musi wrócić do kraju?
    Case 2
    Mamusia kupiła synkowi konsolę i podpięła kartę kredytową.
    Oczywiście nie założyła mu konta dziecka, ani kontroli rodzicielskiej.
    W dwa dni synek natrzaskał 3000zł kupująć skiny, broń i amunicję.
    Matka NIE AUTORYZOWAŁA transakcji.
    Pytanie – bank ma oddać kasę czy nie?
    Case 3
    Zespół bezpieczeństwa widzi, że klient likwiduje wszystkie lokaty i puszcza wieeelki przelew. Blokuje transakcję.
    Klient zgłasza roszczenie, bo przepadł mu okazyjny zakup nieruchomości albo kombajnu.
    Pytanie – chciałbyś być w takiej sytuacji.

  47. Czy nie wydaje się Wam jednak, że to i inne ryzyka jednak bardzo szybko się materializują i to w dużym zakresie? Oczywiście ryzyka a raczej pokrycie już tych fraudów rzeczywiście spada li tylko na klienta banku? Powyżej to tylko 1 przykład przełamania zabezpieczeń. Mogą być innych typy fraudów jak np płatności z użyciem NFC. Przecież “gawiedź” bierze te wszystkie nowości ale czy firma je wydająca (bank) informuje swoich klientów o ryzykach pojawiających się z tymi technologiami? No i jeszcze ostatnie pytanie retoryczne. Czy gawiedź szeroko rozumianą można w jakiś sposób edukować co jest lub nie jest bezpieczne? To samo co w przypadku kredytów indeksowanych.

  48. “Szczególnie niepokojące są te sytuacje, w których klient nie miał absolutnie żadnego wpływu na kradzież bo np. operator wydał kartę SIM osobie, która nawet nie potrafiła płynnie zweryfikować się na infolinii(!).”

    Dlaczego to w takim razie ma bank odpowiadać za nieautoryzowana transakcję? Przeciez według bezpieczeństwa banku jest wszystko zrealizowane. Co bank miał zadzwonic do klienta i dopytac “Panie robi Pan przelew na taka kwote?” przeciez i tak to był SWIMSWAP i tak zlodziej był w posiadaniu numeru. Przy swimswapach powienien odpowiadać operator komórkowy, który to tak łatwo umożliwia wymianę karty sim.

    Poza tym nie możliwe jest aby do kazdej stransakcji bank dzwonił do klientów – ilu z nich ma pretensje, ze znowu ktos do nich dzwoni i co to tak na prawde bank interesuje co on robi ze swoimi pieniedzmi.

    Pracuje na infolinii jednego z banków i nie raz słyszę pretensje kiedy to blokujemy klientowi karty ze względu na podejrzane próby transakcji. Oj nasłuchamy sie wtedy duzo ciekawych rzeczy i o sobie i o banku.

    Niestety moim osobistym zdaniem kazdy powinien dbac o swoje a jak dajesz sie oszukac to miej pretensje tylko do siebie a nie do banku.

    • @Pamela ““Szczególnie niepokojące są te sytuacje, w których klient nie miał absolutnie żadnego wpływu na kradzież bo np. operator wydał kartę SIM osobie, która nawet nie potrafiła płynnie zweryfikować się na infolinii(!).”

      Dlaczego to w takim razie ma bank odpowiadać za nieautoryzowana transakcję?”

      bo to bank “przechowuje” pieniądze i ustala zasady bezpieczeństwa a nie klient, pieniądze ukradziona z banku a nie z domu klienta – proste?

    • Dlatego że bank mógłby oprzeć autoryzację o inny, bezpieczniejszy niż karta SIM mechanizm. Albo chociaż dać klientom taką możliwość.

    • @Piotr Konieczny

      Dokladnie. Fizyczne tokeny (te flashdrivy generujace liczby) to nie jest cos so moze byc jakos specjalnie drogie do ogarniecia (ze strony organizacyjnej/ekonimicznej), do tego sa banalne w uzytkowaniu nawet dla laika, a od lat nie widzialem ich dostepnych – ba, nie mozna sie o nie doprosic…

      Czyli banki uwazaja ze sms’y sa absolutnie wystarczajace i problemu nie ma, co czyni ich olewanie praw klientow absolutnie karygodne a wrecz jawnie kryminalne (bo to praktycznie wspolodzial). Te pieniadze na drugi dzien powinny zostac przyniesione w zebach wraz z osobistymy przeprosinami od szefa.

    • No nie zgodzę się, że to jest “karygodne”. To jest normalne. Ponieważ jest to świadoma, profesjonalna i oparta na analizie ryzyka decyzja. Wszystko jest “policzone” i bazuje na statystykach (kosztach obsługi) fraudów. Banki znają plusy i minusy takiego podejścia.
      To co można zarzucić, to że te minusy powinny być właśnie “brane na klatę”, bo są wynikiem takiej, a nie innej decyzji kogoś, kto wynik analizy ryzyka zaakceptował.

    • Dlaczego ociaganie sie z pieniedzmi jest karygodne? Bo dochodzi do kradzierzy a bank odnosi kozysc (oszczednosc na bezpieczenstwie) co stanowi *motyw*. Gdyby oddawali pieniadze jak powinni mozna by uwazac banki za ofiary, ale tak sie nie dzieje wiec nie moga sie stawiac w roli ofiary. Co wazniejsze (i tutaj pojawia sie przeklamywanie rzeczywistosci) nie jest tez tak ze klient zostaje okradziony przez zlodziei – co naprawde sie dzieje to: “bank przekazuje pieniadze klientow zlodziejom” a to jest k* duza roznica, zwlaszcza kiedy klient nie ma wplywu na warunki weryfikacji.

      I jaki jest skutek? Nic sie nie zmienia! Bo niby dlaczego, jesli zlodziej decyduje czy wolno mu krasc – ciekawe co wybierze…

    • Odpowiedz mi Pamelo jak “kazdy powinien dbac o swoje a jak dajesz sie oszukac to miej pretensje tylko do siebie a nie do banku”, kiedy TO BANK NARZUCA STANDARDY AUTORYZACJI PODATNE NA FRAUDY?
      Wdróżcie sobie bezpieczną autoryzację przez aplikację banku, to nie będziesz musiała słuchać pretensji klientów.

    • @ Piotr Konieczny
      “Dlatego że bank mógłby oprzeć autoryzację o inny, bezpieczniejszy niż karta SIM mechanizm. Albo chociaż dać klientom taką możliwość.”

      Klienci mają możliwość autoryzowania swoich transakcji własnoręcznym podpisem w oddziale banku – to najbezpieczniejsza metoda autoryzacji. Nikt ich nie zmusza do korzystania z bankowości internetowej.

  49. Banki generalnie maja klientów gdzieś – tyle się mówi o przewałach na blik’a w Alior Bank nie można ustawić limitów na BLIK

  50. Tak. lepiej zwalać wszystko na banki. A ciemnogród dalej będzie klikał we wszystko jak leci i instalował aplikacje nie sprawdzając na jakie uprawnienia zezwala. Banki są jaki są ale przed głupotą ludzką nie da się wprowadzić zabezpieczeń.

  51. Psioczycie na to, że ktoś zwala winę na banki, że to ludzi wina, że dali się okraść, a przecież ten artykuł jest o czym innym – że banki nieprzestrzegają prawa i mają to gdzieś (razem z klientami). Jak Ci się nie podoba, to se idź do sądu. Powinno być odwrotnie – po kradzieży bank oddaje kasę a potem niech zgłasza na policję czy idzie do sądu jeśli myśli, że to ja go naciągnąłem – niech oni to wyjaśniają.

    Mnie osobiście bulwersuje postawa banków i widzę, że mam konto w chyba jednym z najgorszych, bo kilka razy był tu wymieniany. To może dorzucę swoją historię:

    W knajpie z karty zdjęto mi więcej niż było na rachunku (mała różnica, raptem $4). Pewnie bym olał, ale akurat obsługa była nieprzyjemna i nie chciałem dawać napiwku, więc widocznie sama se wzięła. Sytuacja ewidentna – na wydruku z knajpy inna kwota, z konta zdjęta inna kwota. Złożyłem reklamację w Paribasie i pierwsze zderzenie ze ścianą było takie, że na prośbę o założenie reklamacji “charge-back” Pani w słuchawce radośnie powiedziała, że oni charge-back nie przyjmują i ona może przyjąć zwykłą reklamację transakcji albo się rozłączyć. No i tyle w temacie. Przyjęła reklamację, po czym po 2 miesiącach zadzwoniłem z zapytaniem o status bo nie było żadnych informacji i okazało się, że tamta reklamacja została anulowana, bo konsultantka źle ją przyjęła. Czujecie? Anulowali reklamację nic mi nie mówiąc i sprawa zamknięta – nie toczy się dalej. Oczywiście żadnej przyczyny, żadnej odpowiedzialności, w ogóle nie ma z kim gadać…

    Złożyłem więc ponownie tę reklamację, przy czym tym razem napisałem też do rzecznika klienta – raczej po to żeby się wyżalić, bo niestety nie oczekiwałem rezultatu. O dziwo odpowiedź przyszła chyba po miesiącu, że ten rzecznik przeprasza, że sprawa jeszcze się toczy bo jest trudna, ale on osobiście zadecydował w trosce o nasze dobre relacje, że zwróci mi te pieniądze. Jak się zakończyła druga reklamacja nie wiem – pewnie też anulowali. Nie mam złudzeń, że oddali tę kasę tylko dlatego, że to była taka śmiesznie mała kwota. Pewnie byłoby inaczej jak zamiast 24,99 zdjęliby mi z konta 2499. Wtedy pewnie czekaj se albo jak Ci się nie podoba to idź do sądu.

    Chętnie zmieniłbym bank, tym bardziej, że Paribas właśnie powitał mnie w nowej “bankowości premium”, co oznacza 40zł opłaty za konto, ale nie wiem na jaki. Do tej pory myślałem, że wszędzie jest takie bagno, ale skoro napisaliście, że niektóre banki rozpatrują pozytywnie 90% reklamacji, to chciałbym się dowiedzieć, które to są. Dajcie jakieś wskazówki.

    Pozdro!

    JD

  52. Dlaczego taki Rzecznik Finansowy albo wy nie zrobicie takiej czarnej listy, który bank jest najbardziej paserny!? Gdyby taka lista poszła porządnie w świat i doszła by to do tych grubych kotleów na szczycie banków, może coś by się zaczeło powoli zmieniać.

  53. Wszystkie banki i wszystkie firmy tak dzialają jeśli kwota jest duża. Kazdy, kto ma stracić/oddać 100 000 będzie to utrudniał.

  54. to się zmieni dopiero wtedy, kiedy klient pójdzie do sądu, i nie dość że bank będzie zmuszony do oddania całej kwoty wraz z odsetkami karnymi ustawowymi (to im się nadal opłaca), to jeszcze będzie musiał oddać sporo kasy (co najmiej 50% spornej kwoty) za straty z powodu urazu psychicznego.

    niestety banki jadą po całości, zaś UOKiK nie nakłada na banki kar finansowych za takie traktowanie. nawet z odsetkami karnymi bankowi to się opłaca, bo na obracanej kasie zarobi więcej, a tym bardziej bo przy niższych kwotach klient rezygnuje bo nie warto się kopać z koniem.

  55. wczoraj przed godziną 19, z konta mbank pobrano mi ok. 350 PLN w 3 transakcjach, podmiot streamgames.com,
    wychodzi na to, iż dane mojej karty debetowej do konta zostały wykorzystane w celu przeprowadzenia tych transakcji;
    oczywiście transakcje nie były przez mnie autoryzowane, zgłosiłam sprawę do banku;
    mbank odpowiedział, że reklamację mogę złożyć dopiero jak te transakcje się rozliczą (mam czekać nawet do 14 dni), nie mogę obecnie nic zrobić,
    gdybym miała na koncie więcej, zabraliby więcej, uwaga: nawet w Jenach została transakcja wystawiona, dostałam w jednej chwili z 5 powiadomień o błędnym CVV a potem o braku środków…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: