8:37
7/6/2023

Kolejny wyrok potwierdził zasadę, że to bank odpowiada za kradzież pieniędzy z konta. Sprawie warto przyjrzeć się bliżej bo dotyczyła ona popularnego i skutecznego oszustwa na dopłatę. Poza tym sąd wskazał bankowi, że proces zgłaszania nadużyć na infolinii mógłby przebiegać sprawniej.

Temat odpowiedzialności banków za transakcje płatnicze wałkujemy w Niebezpieczniku od dawna. Mimo to wiele osób wciąż nie wierzy (albo nie wie), że to na banku ciąży największa odpowiedzialność i powinien on właściwie od razu oddać pieniądze osobie okradzionej. Banki zachowują się tak, jakby tego prawa nie było i ta strategia działa. Okradzionemu klientowi, często pozbawionemu oszczędności, zwykle nie chce się rozpoczynać batalii sądowej z dużą instytucją. O tym, że jednak warto, mówi kolejny wyrok – Sądu Okręgowego w Sieradzu z dnia 28 grudnia 2022 r. (sygn. akt.  I Ca 522/22). Był to wyrok w II instancji, który zapadł po apelacji złożonej do wyroku Sądu Rejonowego w Zduńskiej Woli (I C 329/21).

Przełączę panią do odpowiedniego działu…

Pewna pani (nazwijmy ją “Panią MP”) miała konto w banku, a na nim dokładnie 6152 złote (i jeszcze 79 groszy!). W listopadzie 2020 kobieta dostała SMSa z informacją, że czeka na nią paczka, ale niestety trzeba będzie dopłacić przy odbiorze. Jak zapewne się domyślacie, było to typowe oszustwo na dopłatę. Przy tego typu przekrętach link w wiadomości może kierować albo do aplikacji, którą trzeba pobrać (i nie należy tego robić), albo do fałszywej bramki płatności, która następnie kieruje na fałszywą stronę banku służącą do wyłudzenia danych uwierzytelniających.

W przypadku Pani MP to była ta druga metoda oszustwa – phishing. Przestępcy po wyłudzeniu loginu i hasła próbowali przeprowadzić operację dodania drugiego urządzenia mobilnego do konta. Kobieta przeczytała SMS, który dotyczył tej czynności i zorientowała się, że coś jest nie tak. Skontaktowała się z bankiem. Pierwszy rozmówca na infolinii zorientował się w sytuacji więc… przełączył kobietę do kogoś innego w celu dokonania zastrzeżeń…

rajesh

Grafika poglądowa (niezwiązana ze sprawą), która obrazuje proces załatwiania sprawy na infolinii

Oczywiście kobieta musiała przejść przez kolejną weryfikację, a po około 4 minutach rozmowy jeden z pracowników zapewnił ją, że jej środki są bezpieczne. Rozmowa dotyczyła jednak zastrzeżenia karty, a kobieta chciała dodatkowo zablokować transakcje zlecane z aplikacji mobilnej. Dopiero w 9 minucie rozmowy pracownik zadeklarował, że skontaktuje się z działem nadużyć(!). Nie wiadomo czy by to zrobił gdyby nie to, że do Pani MP ciągle przychodziły SMSy o wykonywanych przelewach. O zablokowaniu dostępu z urządzeń mobilnych poinformowano kobietę dopiero około 12 minuty rozmowy. Ogólnie rzecz biorąc działania infolinii błyskawiczne nie były.

W dniu zdarzenia o godzinie 09:56 dwukrotnie wypłacono z konta kobiety 2,5 tys. złotych (BLIKiem w bankomacie). O godzinie 10:07 kolejne 2 tys. złotych przelano na rachunek w innym banku, a potem przelewem wyszło 3 tys. zł. O godzinie 10:18 poszły kolejne przelewy – 980 i 4 tys. złotych. Łącznie wypłacono 17980 złotych, na co składały się pieniądze z konta oraz pieniądze z możliwego debetu i jeszcze pożyczki wziętej przez oszustów na dane kobiety.

Sąd: Po dokonaniu zgłoszenia klient nie odpowiada

Pani MP złożyła reklamację. Bank przyznał, iż przelewy udało się zatrzymać (zostały one wychwycone przez bank jako podejrzane). Instytucja finansowa odmówiła zwrotu kwot wypłaconych i dlatego Pani MP poszła do sądu. W pierwszej instancji wyrok zapadł po jej myśli. Sąd Rejonowy uznał, że bank powinien zauważyć nagłą zmianę urządzenia zaufanego i następujące krótko po tym operacje wyprowadzenia pieniędzy. Sąd miał też zastrzeżenia do tego, że proces blokowania dostępów do konta był niepotrzebnie rozciągnięty w czasie.

Co do umowy pożyczki – wiadomo, że to nie kobieta zawarła tę umowę więc była ona nieważna. W odniesieniu do innych operacji zadziałał wielokrotnie opisywany w Niebezpieczniku art. 46 Ustawy o płatnościach. Przepis ten mówi, że za pieniądze odpowiada bank, chyba że udowodni klientowi tzw. rażące niedbalstwo.

Powódce nie można przypisać rażącego niedbalstwa, bowiem jako ofiara phishingu została podstępem skłoniona do udostępnienia danych dostępu do bankowości internetowej, a jej działanie było niezamierzone i nieświadome, co wskazuje na niedbalstwo, ale nie w stopniu rażącym – stwierdził Sąd Rejonowy i jeszcze raz podkreślamy, że wiele innych sądów reprezentowało już takie stanowiska.

Bank złożył apelację do Sądu Okręgowego. Ten jednak uznał, że Sąd Rejonowy miał rację i tyle. Na szczególną uwagę zasługuje pewien fragment uzasadnienia sądu II instancji.

Powódka nie udostępniła świadomie identyfikatora, hasła ani innych danych osobom trzecim, a ponadto podjęła działania mające na celu zapobieżenie działaniom przestępców. Między dokonaniem zgłoszenia, które miało miejsce o godzinie 9:45 a pierwszą wypłatą środków upłynęło 11 minut, a jak stanowi art. 46 ust 4 wyżej wymienionej ustawy, po dokonaniu zgłoszenia zgodnie z art. 42 ust. 1 pkt 2, płatnik nie odpowiada za nieautoryzowane transakcje płatnicze.
(…)

Podsumowując, należy zgodzić się z Sądem Rejonowym, że choć powódka udostępniła dane logowania na skutek niezachowania niezbędnych środków ostrożności, to jednak następnie zrealizowała obowiązki, o jakich mowa w art. 42 ustawy o usługach płatniczych, a właściwa reakcja banku na dokonane zgłoszenie, czyli niezwłoczne zablokowanie dostępu do bankowości mobilnej, uniemożliwiłoby przestępcom dokonanie transakcji i zawarcie umowy o limit kredytowy.

Art. 46 to nie tylko teoria

Chyba wypada jeszcze raz powiedzieć to, w co niektórzy zdają się ciągle nie wierzyć. Prawo naprawdę jest skonstruowane tak, aby to bank częściej odpowiadał za oszustwa. Owszem, banki starają się omijać skutki tego prawa poprzez “spuszczanie klientów na drzewo” i liczenie na to, że klient nie złoży pozwu. Interwencję w tej sprawie zapowiedział UOKiK, ale on jest niezbyt szybki. Klienci coraz częściej decydują się na sąd, a kancelarie prawnicze coraz częściej wprost reklamują usługi w zakresie odzyskiwania pieniędzy z art. 46. My przypomnimy w tym kontekście kilka innych wyroków np. wyrok dotyczący ofiary infekcji, inny wyrok dotyczący ofiary phishingu, albo jeszcze inny wyrok, w którym znajdowała się sugestia dla banku, że lepiej jest mieć system antyfraudowy.

Walka z oszustwami po stronie banku nie może się to odbywać wyłącznie poprzez wyświetlenie komunikatów o phishingu na stronie logowania i mówienie “klient powinien wiedzieć”. W tym stanie prawnym rozwijanie i wdrażanie systemów antyfraudowych wydaje się koniecznością. Dodatkowe zabezpieczenia – np. wprowadzenie obsługi kluczy U2F na kontach internetowych – byłoby fajnym dodatkiem (i jest bank, który o tym myśli). Owszem, to może oznaczać pewne ograniczenia w zakresie wygody, ale w usługach bankowych wygoda nie może być stawiana przed bezpieczeństwem.

Przeczytaj także:

25 komentarzy

Dodaj komentarz
  1. Ta historia pokazuje, że czas, w którym następuje połączenie z doradcą infolinii ma ogromne znaczenie. Niestety czasami trzeba długo czekać na połączenie z doradcą. Na infoliniach niektórych firm zaraz po połączeniu, klient może wybrać kategorię “zgłaszania incydentów bezpieczeństwa”. Niestety, nie słyszałem aby jakiś polski bank oferował takie rozwiązanie.
    Warto pamiętać, że sami możemy zablokować dostęp 3-5 razy błędnie wpisując hasło.
    Dobrą praktyką po stronie banku byłoby gdyby doradca mógł jednym kliknięciem zamrozić wszystkie operacje na rachunku.

  2. To jest jakiś kosmos. Bank ma się tłumaczyć za to, że niewiele myśląca klientka dała się nabrać naciągaczom. Z perspektywy Banku wszystko było poprawnie i legalne. Oszuści zalogowali się do konta przecież prawidłowymi danymi. Klient jest odpowiedzialny za trzymanie w tajemnicy swoich danych do konta i tyle, jeśli je komuś udostępnił to jego problem.

    • Ale przecież bank wiedział o tym, że z konta korzystają nieuprawnione osoby (został o tym poinformowany przez klienta za pośrednictwem infolinii), tylko słabe zarządzanie sytuacją po stronie banku doprowadziło do utraty środków.
      Wg tekstu wynika, że klient powiadomił bank o 9:45, a pierwsze wypłaty środków były o 9:56.
      Ewidentnie w banku procedury leżą i kwiczą. Lub oszczędności i za mało infrastruktury białkowej w krytycznych wydziałach.

    • W tym przypadku klient nie podał danych logowania, tylko zostały podstępem wyłudzone/wykradzione.
      A idąc Twoim tokiem rozumowania…
      Jeśli ktoś wyciągnie Ci portfel z kieszeni, to będzie to Twoja wina, bo nie pomyślałeś o kieszeni zabezpieczonej przed rozcięciem i zamykanej na kłódkę.

    • Tu raczej haczyk tkwi w tym, że transakcji dokonano w trakcie, kiedy klientka zgłaszała swoje podejrzenia.

    • @Tomek
      Idac tym tokiem muslenia, mozna twierdzic ze nigdy nic nie zostalo skradzione czy zgubione bo przedmioty/pieniadze powracaja do wlascicielu, powoli ale powracaja (pomijajac nawet dobre intencje czlowieka ktory akurat mial ci podac twoj portfel bo wystawal z kieszeni i mogl wypasc – logicznie kiedy cos straciles i tego nie masz to nie mozesz tego nie miec bardziej czyli tez kazda zmiana przybliza cie losowo do odzyskania swojej wlasnosci)

    • @Tomek
      TL;DR:
      Akcje i tranzakcje maja ramy czasowe i nie sa one bynajmniej dowolne.

  3. […] Sąd uznał, że pieniądze wyłudzono z banku, więc ofiara nie musi ich spłacać. Teraz Niebezpiecznik pisze o innym wyroku, w którym to poszkodowana może liczyć na zwrot skradzionych […]

  4. Mam tylko nadzieję, że teraz banki nie zaczną nagle traktować otwartoźródłowych wersji Androida (np. LineageOS) jako niebezpiecznych i blokować działania swoich apek na nich.

    • Niestety niektóre już to robią, choć nie słyszałem jeszcze o takiej sytuacji w Polsce. Niemniej, jako iż sam korzystam z LOS na telefonie, czytałem o takich przypadkach w zagranicznych bankach. Myślę, że u nas też prędzej czy później to nastąpi, np. Santander bez Magiska “widzi” odblokowany bootloader ale na teraz poprzestaje na komunikacie ostrzegającym. Z innych nie-bankowych aplikacji na pewno mObywatel potrafi przysporzyć problemów na LOS. Zobaczymy jak to się rozwinie w przyszłości.

  5. Blokować lepiej przez aplikację/www bo na infolinii się czeka po 20min na odebranie…

  6. Kpina jakaś, jak zablokują kara, jak puszcza kara a wygrywa zawsze idiota który mimo pombardowania ostrzezeniami ze wszystkich stron daje się naciągnąć …

    • Skoro biedne banki tak cierpią i tyle strat ponoszą, to może niech zrezygnują z bankowości mobilnej, skoro nie umieją jej prowadzić w sposób nienarażający ich na straty?
      A nie czekaj…

    • bank powinien mieć zaimplementowaną blokadę w sytuacjach kiedy po dodaniu nowego urządzenia od razu wypłacane są środki. gdyby to nie był pishing tylko jakieś malware które wykradło login/hasło/kod sms bez jakiejkolwiek interakcji ofiary (eg przez dziurę w imesage na iphone), to czym się różni zabezpieczenie przed takimi przypadkami, a pishingiem?

      banki ściągają miliony od ludzi z kredytów mieszkaniowych, zamiast stawiać kolejne szklane biurowce, mogliby zainwestować w lepszą ochronę.

  7. Poprawcie mnie jeżeli się mylę, ale czy aplikacje bankowe nie są sparowane tylko z jednym urządzeniem mobilnym i jednym numerem telefonu? Czy rejestracja kolejnego urządzenia automatycznie nie wyrzuca tego pierwszego z zaufanych?

    • Zależy od banku. W PKO tak jest, ale w mBanku możesz mieć tyle urządzeń, “ile wlezie”

  8. W tej sytuacji zawsze bym stał na stanowisku że bank nie jest winien. Dlaczego bank ma uwierzyć klientowi na słowo, że był zrobiony phishing, a nie że to klient specjalnie zrobił by miał: i pieniądze wypłacone blikiem z bankomatu i pieniądze zwrócone przez bank “no bo kradzież to była”.

    Dla mnie to, że sądy w tej sytuacji stoją po stronie klienta, który podał dane logowania osobie trzeciej, jest niedorzeczne.

  9. Na razie to banki tną limity przelewów dostępne online. I tyle z wygody :)

  10. Jedno mnie zastanawia. Posiadanie samych danych logowania do banku nie daje za bardzo pola manewru. Jak logujesz się z nowego urządzenia, musisz potwierdzić to SMS/apką. Jak chcesz dodać drugi telefon z apki, to trzeba podać kod sms, jak z komputera, to apka/sms.
    Przynajmniej tak jest w ING. Czyli ona im to wszystko zaakceptowała?

  11. Idiotyzmów sądowych ciąg dalszy. Bank odpowiada za wszystko co klient chce lub nie chce zrobić i zabezpiecza całą jego fantazję, niewiedzę i niekompetencję swoimi środkami. Super. Żeby przybliżyć Wam nieco kompetencje sadów i prokuratorów w zakresie cyberbezpieczeństwa przytoczę pismo z sądu jakie miałem “przyjemność” czytać – “proszę podać adres IP karty płatniczej”. Dziękuję nie mam pytań.

  12. Chwila, chwila ! nie doszło do SIM swapu, sms dotyczył “przelewu” ale pomimo tego, że złodzieje znają login i hasło do banku to jakim cudem doszło do dodania aplikacji mobilnej ? Panna potwierdziła dodanie kolejnej aplikacji ? niezły burd…macie tu siostry(bank).

  13. Czy zabezpieczenie stosowane np. przez Bank PeKaO SA w postaci podawania jedynie wybranych znaków hasła chroni przed kradzieżą danych logowania? Wydaje mi się, że tak. Strona podstawiona przez złodzieja musiałaby prosić o całe hasło, co byłoby ewidentnie podejrzane. Dlaczego niektóre banki tego nie stosują (np. PKO BP)?

    • Chociażby dlatego że z gruntu prowadzi do używania słabych i krótkich haseł (takich w których łatwo policzyć znaki) i uniemożliwia korzystanie z silnych haseł generowanych przez manager haseł.

  14. Powinni dodać w końcu 2FA TOTP
    Numer telefonu jest słabą formą zabezpieczenia i nawet niemieckie banki z jego zrezygnowały.

  15. Urzekające są te komentarze w obronie banków, po prostu urzekające.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: