14:07
24/9/2019

Pisaliśmy o tym już 6 razy, ale napiszemy raz jeszcze. Banki, zgodnie z ustawą, mają obowiązek oddawać pieniądze ofiarom kradzieży (phishing, malware, SIM swap, etc.). Przed Sądem Apelacyjnym w Warszawie zapadł kolejny wyrok, który to potwierdza. Mimo to spodziewamy się, że banki pewnie jeszcze jakiś czas będą wyrażać opinie, że prawo jest inne niż w rzeczywistości, a wyroki sądów nie mają znaczenia. To jest jak najbardziej zrozumiała strategia z punktu widzenia każdego banku.

Przepisy nie po myśli banków…

W czerwcu tego roku dość dosadnie pisaliśmy o tym, że banki lekceważą prawo chroniące ich klientów. Ustawa o płatnościach mówi jasno, że w razie kradzieży pieniędzy z konta bankowego środki powinny być zwrócone przez bank w ciągu jednego (!) dnia roboczego.

Bank może uniknąć zwracania pieniędzy jeśli klient popełnił tzw. rażące niedbalstwo. Tu jednak wyjaśnijmy, że to bank ma udowodnić, iż rażące niedbalstwo miało miejsce i nie wystarczy powiedzieć, że skoro było ukradzione to klient był niedbały. Rażącym niedbalstwem nie będzie ustawienie prostego PIN-u, podłapanie trojana czy nabranie się na phishing, bo to są działania wynikające z braku świadomości czy wiedzy. Rażące może być tylko świadome zlekceważenie zasad bezpieczeństwa. Oczywiście cały szkopuł tkwi w tym, aby ustalić czym jest świadome zlekceważenie zasad bezpieczeństwa. Rozumienie tego, jak się domyślacie, jest inne po stronie okradzionych niż po stronie banku.

Kolejny wyrok na korzyść klienta!

Sprzyjającą klientom interpretację prawa właśnie potwierdzono w kolejnym wyroku sądowym. Zapadł on w ubiegły piątek (20.09.2019 r.) przed Sądem Apelacyjnym w Warszawie, w sprawie o sygnaturze akt. I ACa 431/18. Wybaczcie, że publikujemy sam wyrok bez uzasadnienia, ale strona pozwana nie złożyła jeszcze wniosku o sporządzenie uzasadnienia.

 

Ofiara nie była “bezrefleksyjna”

Sprawę znamy dość dobrze bo w sierpniu tego roku pisaliśmy o wyroku w pierwszej instancji. Przypomnijmy więc tło sporu.

Powód (nazwijmy go “Panem TL”) dnia 3 czerwca 2015 roku zlecał przelew przez internet. Miał komputer z antywirusem i był pewien, że przed podaniem loginu i hasła sprawdził, czy połączenie jest szyfrowane. Po zalogowaniu Pan TL zobaczył komunikat o tym, że wszystkie transakcje dokonywane za pośrednictwem serwisu internetowego podlegają dodatkowemu ubezpieczeniu. System bankowy wygenerował SMS z jednorazowym kodem, szczegółami i typem operacji.

Pan TL nie zaufał komunikatowi od razu. Wylogował się i zalogował raz jeszcze. Znów zainicjowano operację dodania odbiorcy zaufanego. Pan TL zalogował się do systemu po raz trzeci i system banku ponownie wygenerował potwierdzający SMS o poniższej treści:

Operacja nr 3 z dn. 03-06-2015 Definicja odbiorcy i przelewu zdef. Z rach.:… (…) na rach.(…) h. (…)

SMS był podejrzany. Przyznacie jednak, że Pan TL starał się być ostrożny. Dopiero za trzecim razem dał za wygraną i wprowadził kod z wiadomości SMS. Dzień później nastąpiło dwukrotne logowanie do serwisu transakcyjnego. Ktoś wykonał z jego konta 4 przelewy na kwoty 24 950 zł, 27 340 zł, 27 440 zł i 28,10 zł. Operacje nie wymagały potwierdzenia gdyż były dokonywane do utworzonego wcześniej odbiorcy zaufanego.

Zarówno okradziony mógł wiedzieć więcej, jak i zareagować inaczej (telefon do banku z pytaniem o co chodzi), jak i sam bank miał trochę czasu na zbadanie, czy wykonywane operacje (najpierw taki cykl logowań, potem definicja odbiorcy, potem wytransferowanie pieniędzy) nie jest podejrzany.

To był malspam

To wszystko działo się w czerwcu 2015 roku. Pan TL złożył reklamację, którą bank odrzucił. Sprawa trafiła sądu i ciągnęła się aż do teraz.

Jak już wiecie, sąd I instancji orzekł, że bank ma oddać blisko 107 tys. złotych ponieważ  nie udowodnił klientowi “rażącego niedbalstwa”. Zdaniem Sądu Okręgowego w Warszawie Pan TL “miał prawo być przekonany, iż komunikat pochodzi od banku”. Nie bez znaczenia było to, że Pan TL próbował dwukrotnie “obejść” komunikat, co zdaniem sądu wskazywało iż nie podszedł do sprawy “bezrefleksyjnie”.

Istotne było również to, że ofiara została okradziona w ramach czegoś, co sąd nazwał “kampanią phishingową” (choć w rzeczywistości był to malspam). W uzasadnieniu wyroku I instancji napisano:

Wspólnym mianownikiem tej kampanii było rozsyłanie po przypadkowych użytkownikach wiadomości e-mail podszywającej się pod firmę kurierską, była to na przykład informacja o nieodebranej przesyłce w załączniku do wiadomości kryło się złośliwe oprogramowanie, które infekowało w tle użytkownika i wpływało na późniejsze działanie przeglądarki.

Jak zapewne się domyślacie, ofiar przestępców było więcej. Takie rzeczy też są istotne dla sądów (por. Sąd: Nabranie się na phishing nie jest “rażącym niedbalstwem”. Bank ma oddać pieniądze). Skoro w ramach zorganizowanego działania przestępczego udaje się nabrać więcej osób, trudno uznać pojedynczą ofiarę za kogoś wyjątkowo i rażąco niedbałego.

Sąd Apelacyjny podtrzymał wyrok

W ubiegły piątek Sąd Apelacyjny w Warszawie oddalił apelację banku, który najwyraźniej będzie musiał oddać 107 tys. zł. Nie jest właściwie żadną tajemnicą, że chodzi o mBank (da się to wyczytać choćby z podlinkowanych wcześniej wyroków z bazy orzeczeń).

Powoda w tej sprawie reprezentował adw. Kacper Błaszczak z kancelarii Błaszczak, Agres-Błaszczak Adwokaci sp.p. Mieliśmy okazję krótko porozmawiać z adwokatem o tej sprawie. Interesowała nas zwłaszcza odpowiedź na pytanie o to w jaki sposób mBank się bronił? Przepisy wydają się w takich przypadkach nieubłagane, więc czy mBank brnął w przekonywanie, że jego klient dopuścił się rażącego niedbalstwa?

Linia rozumowania mBanku była taka, że transakcja była autoryzowana. To mnie trochę zdziwiło bo sądziłem, że prawnicy banku będą starali się udowodnić mojemu klientowi rażące niedbalstwo, ale tego robili – wyjaśnił nam Kacper Błaszczak.

Kacper Błaszczak dodał jeszcze, że sąd nie zgodził się z argumentem, iż dodanie odbiorcy zaufanego może być uznane za autoryzowanie transakcji. Jeśli spokojnie się nad tym zastanowimy musimy przyznać, że to bardzo logiczne, a z punktu widzenia prawa istotne jest przecież, by transakcja była autoryzowana.

W czasie rozmowy z adwokatem zahaczyliśmy o inne, podobne sprawy. Czy banki w ogóle mają duże szanse wygrywania takich sporów? Prawo jest w tej kwestii wyraźnie prokonsumenckie. Kacper Błaszczak zgodził się z nami, że takie sprawy mogą być prostsze niż początkowo się wydaje. Zauważył jednak, że nie muszą być to sprawy tanie. W przypadku sporu o 100 tys. zł trzeba na wstępie zapłacić 5 tys zł opłat sądowych, a przecież to nie koniec wydatków.

Niedbałe to bywają… banki

Aktualnie przyglądamy się kilku podobnym sprawom. Jedna z nich jest już w sądzie. Kilka innych jest na etapie rozpatrywania reklamacji lub na etapie interwencji u Rzecznika Finansowego. Generalnie nie spotkaliśmy się z sytuacją, aby jakiś bank postąpił zgodnie z ustawą i po prostu oddał pieniądze po kradzieży. Banki zawsze uważają, że odpowiedzialność za kradzież powinien ponieść wyłącznie klient.

Interesującym dla nas doświadczeniem było czytanie odpowiedzi na niektóre reklamacje. Specjaliści z banków standardowo odpowiadają, że “uważnie przyjrzeli się sprawie”, że traktują ją indywidualnie. Przekonują, że po wnikliwej analizie doszli do wniosku, iż sytuacja jest wyjątkowa i przepisy ustawy nie mają zastosowania w taki sposób, jak wynika to z ich brzmienia lub zapadłych już wyroków. Byłoby to może przekonujące gdyby nie to, że różni specjaliści odpowiadają niemal tym samym szablonem :).

Najciekawszą odpowiedź na reklamację zobaczyliśmy właśnie w mBanku. Jedna z naszych Czytelniczek, która padła ofiarą kradzieży, napisała odwołanie od reklamacji powołując się na wyroki sądów opisane tutaj, tutaj, tutaj, tutaj i tutaj. Dodajmy, że w przypadku tej czytelniczki również doszło do kradzieży po dodaniu odbiorcy zaufanego.

Czytelniczka złożyła reklamację i dostała odmowę. Napisała odwołanie, na które pewien specjalista z mBanku odpisał tymi słowy.

(…) Sytuacja, którą Pani opisuje była zgodna z art. 40 ust. 1. Ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych. Art. 46 ww. ustawy,na który się Pani powołuje nie ma zastosowania w tej sytuacji. Odnosi się on do transakcji wykonanych skradzionym instrumentem płatniczym, np. kartą. Nie odnosi się on do przelewów. (…)

Mamy tu podwójną bzdurę.

Po pierwsze sytuacja osoby okradzionej nie może być zgodna z art. 40 ust. 1 Ustawy, bo ten przepis mówi, że “transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej”. Czyli mBank również w tym przypadku uparł się, że transakcja “technicznie rzecz biorąc potwierdzona” jest równoważna autoryzowanej, ale w świetle prawa tak być nie może. W świetle prawa transakcja autoryzowana to taka i tylko taka, na którą płatnik wyraził zgodę.

Po drugie – i to jest chyba ważniejsze – nie mamy bladego pojęcia jak specjalista mBanku wpadł na to, że Art. 46 ustawy nie odnosi się do przelewów. To po prostu bzdura.

Co mogliśmy zrobić? Najpierw przedstawiliśmy tę interpretację Rzecznikowi Finansowemu. Paulina Krakowska z biura rzecznika finansowego udzieliła nam następującego komentarza.

Taką interpretację należy określić jako contra legem, czyli sprzeczną z brzmieniem ustawy o usługach płatniczych (dalej: UUP). Zakres zastosowania art. 46 UUP, który wskazuje na obowiązek bezwarunkowego zwrotu kwoty nieautoryzowanej transakcji płatnikowi, określa definicja transakcji płatniczej. Zgodnie z ustawą transakcja płatnicza to zainicjowana przez płatnika lub odbiorcę wpłata, transfer lub wypłata środków pieniężnych (art. 2 pkt 29 UUP). Jak widać ustawodawca znacznie szerzej definiuje transakcję płatniczą. Będą to zatem również przelewy czy transfery związane z zalogowaniem się do bankowości elektronicznej, a nie tylko transakcje przy użyciu karty płatniczej.

Pozostawało tylko zwrócić się do mBanku z pytaniem, czy oficjalnie podtrzyma on taką interpretację? Spytaliśmy o sprawę rzecznika prasowego, który ostatecznie przekazał nam takie oto stanowisko.

Art. 46 ust. 2 może mieć zastosowanie do przelewów, ale nie w sytuacji, gdy płatnik doprowadził do nieautoryzowanej transakcji umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.

Bank się poprawił i wysłał to poprawione stanowisko również naszej Czytelniczce, ale… bank w żaden sposób nie wyjaśnił na czym to “rażące niedbalstwo” naszej Czytelniczki miałoby polegać. Doszło tylko do arbitralnego stwierdzenia, że niedbalstwo było, co samo w sobie jest mało wiarygodne.

Inna rzecz, że nawet w “poprawionej” odpowiedzi napisano, że sytuacja była zgodna z art. 40 ust. 1 Ustawy. Tutaj bank popadł w sprzeczność ze samym sobą. Uznał transakcję za autoryzowaną, mimo iż sam zarzucił klientce rażące niedbalstwo doprowadzające do kradzieży, co praktycznie wyklucza możliwość uznania transakcji za autoryzowaną.

Pisząc o tym wszystkim chcemy wam uświadomić, że… no cóż… specjaliści z banków czasem wypisują bzdury. Powiedzielibyśmy nawet, że banki bywają rażąco niedbałe w odpowiedziach na reklamację, a przecież nie każdy klient banku może się cieszyć możliwością skonsultowania uzyskanej odpowiedzi z redaktorem Niebezpiecznika (choć gdybyście chcieli to wiecie gdzie nas szukać). Nasza Czytelniczka mogła poprzestać na przyjęciu do wiadomości tłumaczenia specjalisty, że oto przepisy nie mają zastosowania. Dobrze, że na tym nie poprzestała. Ale czy każdy okradziony będzie tak wytrwały?

Surowe prawo, ale… ma sens

Skłamalibyśmy mówiąc, że nie rozumiemy zachowania banków. Prawo, które wymaga zwracania pieniędzy po kradzieżach, może się z ich perspektywy wydawać surowe.
Ciężko wiec choć trochę nie spojrzeć przychylnie na stanowisko banków. Trzeba pamiętać, że z perspektywy firmy, ochrona swoich środków jest podstawą działania. Banki edukują klientów, ale jak widać, nie jest to zbyt skuteczna edukacja (nie każdy klient jest w stanie rozpoznać symptomy infekcji i phishingu). Pytanie czy powinien i czy powinno go to w ogóle interesować, skoro swoje pieniądze powierza (i za to powierzenie płaci) specjalistom — bankowi? Wreszcie, banki wręcz muszą wykazać się pewną nieufnością w stosunku do klientów. W końcu część z nich wprost kłamie lub mataczy — możliwe jest też, że pozorują kradzież i zarabiają “podwójnie”, jeśli bank zgodzi się na zwrot “ukradzionej” gotówki.

Pamiętajmy jednak, że to banki są profesjonalnymi uczestnikami rynku i to na nich leży obowiązek odpowiedniego zabezpieczania środków. Banki nie mają przykładowo obowiązku wprowadzania do swoich systemów opcji “odbiorcy zaufanego”, który to odbiorca pozwala na przerzucanie środków bez dodatkowej weryfikacji. Coraz więcej osób pyta (i słusznie) dlaczego systemy antyfraudowe nie wykrywają sytuacji, w których ktoś ustala odbiorcę zaufanego i zaraz potem wyprowadza z konta pieniądze zbierane przez całe lata?

Oczywiście systemy antyfraudowe kosztują, a wygoda użytkownika jest atutem na rynku. Banki mają prawo rezygnować z pewnych form weryfikacji i tym samym zgadzać się na pewne ryzyko, ale to banki powinny ponosić koszty tego ryzyka. Przyznacie, że taki sposób rozumowania nie jest pozbawiony sensu.

Aktualizacja 30.09

Dorzuciliśmy do tekstu kopię wyroku. Pisemne uzasadnienie wyroku nie zostało jeszcze sporządzone gdyż strona pozwana w tej sprawie nie złożyła wniosku o jego sporządzenie.

Przeczytaj także:

60 komentarzy

Dodaj komentarz
  1. W takim wypadku bankowość za pośrednictwem telefonu/internetu nie ma najmniejszego sensu, bo nie potrafię sobie teraz wyobrazić procedur w banku, które obroniłyby się z takim orzecznictwem sądu. Nawet gdyby konsultant dzwonił aby potwierdzić operację to i tak klient może powiedzieć później, że myślał, że potwierdza inną operację.

    Jedyna opcja to powrót do bankowości w postaci wizyt w oddziale i nagrywania klientów wraz z dokładną weryfikacją dokumentów tożsamości i podpisów.

    • jest jedna opcja. podwyżka opłat wszystkim klientom :)

    • Może wystarczy… wyłączyć możliwość dodawania odbiorców zaufanych i autoryzować każdą transakcję przez aplikację?

    • @CluelessKiwi

      Autoryzacja w aplikacji nic nie da. Wyobrażam sobie taki scenariusz:

      – Na komputerze jest zainstalowany wirus, podmieniający numer konta bankowego.
      – Klient zleca przelew za nowych samochód na 150 000 zł.
      – Wirus podmienia numer konta bankowego.
      – Podmieniony numer jest wyświetlony w aplikacji podczas potwierdzania.
      – Klient potwierdza przelew, weryfikując czy numer zgadza się z tym na komputerze (zgadza się, bo jest podmieniony)
      – System antyfraudowy wykrywa dziwny przelew.
      – Do klienta dzwoni konsultant aby potwierdzić, czy rzeczywiście chce przelać 150 000 zł na rachunek X.
      – Klient patrzy na numer rachunku na komputerze i potwierdza, że jest prawidłowy.
      – Przelew trafia do autora wirusa.

      Po czym sąd stwierdza, że klient nie miał prawa wiedzieć, że numer rachunku bankowego został podmieniony na jego komputerze i wszystkie potwierdzenia robił w dobrej wierze. Bank ma zwrócić 150 000 zł.

    • Sposobów na wykrycie takiego ataku jest wiele i bank mógłby je wprowadzić. Musiałby tylko wydać pieniądze i inwestować w rozwój bezpieczeństwa.

    • @Piotr

      Czy mógłbyś podać jeden z tych wielu sposobów? Sam jestem ciekaw, bo ja nie potrafię wyobrazić sobie jak bank ma potwierdzić w takiej sytuacji bezspornie przelew.

    • Ale klient nie ma potwierdzać numeru konta z tym co jest w banku tylko z tym co chciał wprowadzić do banku i tym sposobem unikamy takiej sytuacji. Dane do przelewu zawsze dostajesz czy to na kartce czy mailem czy w wiadomości na FB czy tam SMS. I porównujesz z tym co otrzymałeś od osoby a nie z tym co wprowadziłeś do banku. I to jest porównanie a nie porównywanie z tym co wyświetla bank bo mając wirusa nie jest problemem podmienienie czego się chce. A najlepsze w tym jest to, ze przeważnie ofiarami są osoby, które są w wieku gdzie powinny mieć pojęcie o komputerach i takich trywialnych rzeczach. Rozumiem kogoś np po 50 że może nie wiedzieć tego ale osoba lat 30 powinna wiedzieć takie rzeczy.

    • Ja Ci podam bardzo prosty przykład jak bank może weryfikować poprawność przelewu. Wystarczy że banki zaczną (i chyba kiedyś nawet tak robiły, dawno dawno temu) weryfikować czy dane które wpisujesz do przelewu zgadzają się z właścicielem konta. Tyle. Ja jako klient chcę zrobić przelew Piotrowi Nowakowi, to ma te pieniądze dostać Piotr Nowak. I na nic tutaj podmiana numeru rachunku. Bank zawsze może zadzwonić do mnie w celu weryfikacji i zapytać czy chciał pan te pieniądze przesłać Piotrowi Nowakowi… tak on jest odbiorcą… dziękuję, dobranoc.

    • Widzisz, a wystarczyło by żeby bank porównał dane odbiorcy z danymi podanymi do przelewu przed zaksięgowaniem. Bardzo dobrze, że cała odpowiedzialność spada na bank, bo jeśli nie potrafią być równocześnie bezpieczni i wygodni, to może powinni się zastanowić co im się bardziej opłaca. Chociaż wydaje mi się, że już dawno to przemyśleli.

    • @Dev2

      Może to zrobić bank docelowy, nie Twój. Twój nie ma dostępu do danych klientów z innych instytucji. A sąd obarcza odpowiedzialnością bank nadawcy. Zatem nie ma to sensu, o czym piszecie.

    • Panie @Dev, w dobie tak rozwiniętych systemów, banki mogą wypracować masę sposobów bez przekazywania danych osobowych.

      Jeden z najprpstrzych sposobów jaki przychodzi mi do głowy to:
      – Bank nadawcy odpytuje bank odbiorcy (lub jakis cenytralny urząd autoryzacyjny) o numer konta odbiorcy.
      -Bank odbiorcy (lub CUA) zwraca hash danych odbiorcy.
      – Bank nadawcy porównuje hashe i gotowe.

      Przy malych przelewach to mało praktyczne, ale do 50€ (gdzieś tam ustalony limit, za ktory ban nie odpowiada) można sobie to darować. Większe kwoty, to raczej znasz dane odbiorcy.

    • Ja tu widzę pole do popisu. Teraz bardziej ogarnięci Kowalcy będą włamywać się sami na własne konta, albo zlecać to komuś :). Podwójny zarobek xD

  2. jaka w tym wina banku? żadna
    to zadanie państwa aby złapać złodzieja i odzyskać pieniądze

    • Bank udostępnia sposób płatności podatny na kradzieże i fraudy, nic więc dziwnego, że sądy uznają że ponosi on odpowiedzialność za jego funkcjonowanie.

    • system banku jest podatny na kradzieże i fraudy? nawet gdyby przy logowaniu bank wymagał skanu tęczówki, odcisku palca i dupy to i tak nie powstrzymałoby ludzi przed opłacaniem niezamawianej przesyłki na anetakurier.net

    • Banki same pchają się w niebezpieczne zachowania i to ich wina. Kto przykleją zółtą karteczkę do monitora ze swoim hasłem ? to proste – wystawca karty drukuje kod CVV na karcie !!

    • i jeszcze jedno, bo szukałem i nie znalazłem: kto pozwolił (może ktoś zna ustawę ?) bankom na autoryzowanie przelewów czy płatności kartą przy pomocy jakiegoś PINu czy SMSa ? Moja wiedza jest taka, że istnieją jedynie dwie metody autoryzacji: własnoręczny podpis i elektroniczny podpis zaufany.

  3. A co z niedbalstwem banków? Przykładowo w Getinie, przypomienie hasła jest potwierdzane SMSem mimo włącznie autoryzacji poprzez aplikację mobilną…

  4. Ja to bym zadał inne pytania:
    Dlaczego nie można całkowicie zablokować funkcji odbiorców zdefiniowanych
    Dlaczego przy płatności blikiem pojawia się domyślny ekran zgody na płacenie blikiem z przeglądarki bez autoryzacji (mbank)

    Wkurza mnie tez że w Mbanku nie można wyfiltrować w historii, transakcji potwierdzanych kodem CVV. Fakt że moje transakcje kartą chroni funkcja cashback ale co jeśli nie wiem że ktoś mnie okrada? (Konsultant powiedział że mogę każdorazowo składać dyspozycję o taki wyciąg z transakcji)

    • Ten przycisk dodawania do zaufanych przy bliku też mnie strasznie irytuje. Transakcja jest już i tak jest szybka.

      Mi również brakuje filtrów w historii transakcji i nawet takich prostych że jest domyślnie podział wydatków na kategorie, ale z poziomu aplikacji nie mogę sobie sprawdzić ile wydałem np na jedzenie żeby zwyczajnie porównać z innym miesiacem czy rokiem

      Zaufanych odbiorców nigdy nie użyłem i też by się tej opcji pozbył.

      A w świetle prawa chyba ogólnie jest tak przyjęte, że przedsiębiorstwo jest specjalistą i dlatego powini być świadomi wszystkich niepożądanych możliwości, a konsument korzysta z usług które mu zaoferowano i wie tyle co mu powiedziano.

  5. Jak wy te banki szkolicie, że ciągle się dają okradać.

  6. Noż kurczę… Do tej pory tego nie rozumiem. Zainstalowałeś se trojana, klikasz byle gdzie i to nie jest “rażące niedbalstwo”. Jeśli to nie jest, to co jest?

  7. Takie orzecznictwo to jest w ogóle jakiś absurd.
    Ludzie nabierają się na najprostsze sztuczki, albo są zwyczajnie tępi, a potem jeszcze dodatkowo palą głupa …
    Wiec generalnie oczekiwanie sądów wobec banków jest takie, żeby telepatycznie się domyślały, które z operacji, które durny klient autoryzuje, są legitne a które to oszustwa. W jakim my kraju żyjemy…

  8. A może po prostu przelewy na odbiorcę zaufanego powinny mieć domyślnie wbudowane jednorazowe i dzienne limity kwot transakcji, podobnie jak operacje kartą? Czy to nie ograniczyłoby tego procederu?

  9. Rozumiem jak najbardziej potrzebę inwestowania w bezpieczeństwo i to że banki mają ponosić te koszty, ale pytam czy naród mam tak debilnieje?
    Za niedługo dojdziemy do absurdów takich jak w Ameryce, że kubek z gorącą kawą jeżeli nie będzie miał nadrukowanej informacji o tym że zawiera gorący napój to będzie można pozwać kawiarnie za to że się człowiek poparzy.
    Klienci banku są różni, mniej lub bardziej ogarnięci w komputerach, ale jaka w tym wina banku, że ktoś nie ogarnia nowych technologii?
    To mniej więcej tak jak by producentów aut oskarżać za wszystkie wypadki komunikacyjne, albo producentów narzędzi ręcznych za wszystkie wypadki przy pracy.
    Banki dają nam narzędzia do łatwej i wygodnej obsługi, ale to że tymi narzędziami zrobimy sobie krzywdę, bo np. nie potrafimy się nimi właściwie posługiwać, nie powinno z góry i w każdej sytuacji obciążać banku.

    • W skrócie, tak, naród debilnieje. Włącz TV, porównanie dzisiejszych propozycji programowych z tymi sprzed 20 lat jest porażające.

      Wracając do meritum, banki jest instytucją profesjonalną i jako taka powinna zaproponować takie środki techniczne, które zapewnią bezpieczeństwo. Gdyby uznał, że tylko odcisk lewej stopy zapewni, to proszę bardzo. Jednakże banki stwierdzają, że będą mieć więcej klientów i większe obroty, gdy nie trzeba będzie przesyłać odcisku lewej stopy przy każdej operacji, a wlicza sobie w ryzyko, że N kasy straci, ale M zyska przy M > N. Oczywiście już gdy niefortunnie coś się przydarzy, to próbuje bronić każdego grosza, aby N -> 0.

    • @Kenjiro

      Możesz podać przykład zabezpieczenia, które będzie wystarczające zgodnie z wykładnią sądów, jakie możemy zobaczyć w artykule?

    • Jeżeli przeczytałby pan chociaż minimalną ilość informacji o tym kubku z kawą (spoiler – to były oparzenia trzeciego stopnia, klientka chciała tylko zwrotu za leczenie, McDonalds podawał kawę znacznie gorętszą niż inne kawiarnie i wielokrotnie wcześniej były wnoszone skargi, że napoje sa po prostu niebepieczne) to nie powielałby pan wersji wymyślonej de facto przez McDonalds (który płacił za takie, a nie inne przedstawienie sprawy).

    • Fajne to prawo, nie muszę się przejmować co pobieram na komputer, na jakie witryny wchodzę ani szczególnie przejmować się mocnym hasłem. W końcu i tak pieniądze zostaną mi oddane.

      Nie rozumiem, dlaczego niezbezpiecznik promuje takie praktyki na portalu, skoro i tak są zbędne dla konsumenta.

  10. Heh, mam do czynienia z niewprawnymi użytkownikami często. Powiem Wam ciekawostkę: jest ich na świecie wielokrotnie więcej niż tych technicznie zorientowanych. Z wnętrza naszej IT-bańki nie zawsze to widać, ale tak jest. Tylko niektórych z nich da się nauczyć podstaw zabezpieczania sprzętu. To nawet nie zależy od ogólnego poziomu inteligencji, raczej od jej rodzaju czy też focusu – np. ktoś może być dobrym chirurgiem, ale nie być w stanie się skoncentrować na cyfrach na ekranie, ktoś jest prawnikiem z wszelkimi kodeksami w głowie i mapą ich powiązań, ale bierze zbyt dosłownie wyświetlane komunikaty, itd.

    Można z góry założyć, że z dostępu elektronicznego do banku korzystać będą użytkownicy nietechniczni i antytechniczni. Banki to zresztą doskonale wiedzą; dlatego upraszczają niektóre interfejsy poza granice absurdu, żeby tylko KAŻDY użytkownik SZYBKO wiedział gdzie klikać. I żeby mógł wyklikać WSZYSTKO (łącznie z opcjami których nie potrzebuje, bo może da się zarobić na jego kredycie).

    Rozwiązanie byłoby dość proste – możliwość skutecznego i trwałego zablokowania tych opcji bankowości elektronicznej, których użytkownik nie zamierza wykorzystywać (np. kredyty, odbiorcy zaufani). Analogicznie do tego jak na koncie telefonicznym można zablokować połączenia z numerami premium, numerami zagranicznymi, itd. A najlepiej – by opcje szczególnego ryzyka były domyślnie zablokowane, do odblokowania w placówce. I w tym tzw. sęk. Bo utrzymanie placówek z pracownikami jest droższe (szczególnie w mniejszych ośrodkach miejskich; policzcie sobie stosunek kosztów placówki do liczby klientów), niż od czasu do czasu pokrycie strat oszukanego klienta bankowości elektronicznej, który nie dał sobie wmówić winy.

    Inną sprawą są zabezpieczenia antyfraudowe – np u mnie zadziałało przy nietypowej transakcji i jestem z tego zadowolony, mimo że to mi wydłużyło procedurę, wymuszając dodatkowe potwierdzenie telefoniczne. Da się? Da się. Podobnie jak da się wyposażyć użytkowników w ustandaryzowane dla danego banku urządzenia do zabezpieczania autoryzacji, zamiast polegać na rozwiązaniach software’owych wrażliwych na modyfikację systemu urządzenia-matki.
    Technicznie da się bardzo dużo. Nawet wyposażyć użytkowników w indywidualne terminale dostępowe ;) Zawsze jest tylko kwestia – czy to się opłaca? I widocznie póki co bardziej się opłaca słabo zabezpieczać użytkownika, a pokrywać straty ;/

    • ” Podobnie jak da się wyposażyć użytkowników w ustandaryzowane dla danego banku urządzenia do zabezpieczania autoryzacji”

      Jeżeli użytkownik zgubi urządzenie, zostawi na stole w restauracji i ktoś dokona za jego pomocą transakcji to zgodnie z ostatnimi wyrokami winnym będzie bank.

      “Inną sprawą są zabezpieczenia antyfraudowe – np u mnie zadziałało przy nietypowej transakcji i jestem z tego zadowolony, mimo że to mi wydłużyło procedurę, wymuszając dodatkowe potwierdzenie telefoniczne.”

      Jeżeli w wyniku ataku na komputerze użytkownika numer konta bankowego został podmieniony przez wirus (często te numery kont bankowych bierzemy z maila lub strony internetowej) to użytkownik nawet w weryfikacji telefonicznej potwierdzi błędny numer, bo taki mu się będzie wyświetlał na komputerze. I znowu w myśl sądów winnym tego będzie bank, ponieważ użytkownik nie mógł wiedzieć, że wirus podmienił numer konta.

      Bank jako instytucja “profesjonalna” nie ma możliwości potwierdzenia woli klienta inaczej niże poprzez złożenie przez niego osobiście w oddziale podpisanego własnoręcznie zlecenia przelewu. Każda inna forma może być podważona.

  11. Z czułym systemem antyfraudowym jest ten problem, że jak zablokuje legitną transakcję (czyli w efekcie opóźni), a z tego powodu klientowi pierdyknie jakiś gruby kontrakt czy coś w ten deseń, to z tym też pójdzie do sądu i w obecnej rzeczywistości, w której banki są jakimś dziwnym kozłem ofiarnym i naczelnym chłopcem do bicia – i w tymże sądzie też wygra.
    Ludzie mogliby nie być takimi debilami po prostu, a przynajmniej być ostrożniejsi gdy operują swoimi pieniędzmi.

  12. Pomijajac inne kwestje – wiele osob rzuca obelgami w ludzi ktorzy padna ofiara phishingu / malware jakby wiedzieli o czym mowia (a wiedza niewiele).

    Tak, sa glupie kampanie i ludzie sie na nie nabieraja, ale sa tez takie ktorych zwyczajnie nie obejdziesz. Moze zawalic producend hardware (procesory, routery (zwlaszcza tani zlom wmuszony przez dostawce netu), akcesoria usb (bezprzewodowe nawet bardzo) itp. itd.) albo dev’y twojego softu a ile sie mozna uzerac z nietechnicznymi, ze wazne emaile biznesowe nie powinny byc nierozroznialne od phishingu tylko dlatego ze wysylajacy ma taki estetyczno-modowy gust… Jesli twoj klient, sklep, bank, rzad, kurier, etc. wysyla ci niepersonalne(ogolne) wiadomosci z naglowkami rodem z faktu a trescia w wykonywalnym zalaczniku to co ci ludzie maja robic? (niemowiac juz o nagminnym kozystaniu z serwisow skracajacych(ukrywajacych) linki JAKBY KTOKOLWIEK JE ZAPAMIETYWAL CZY MANUALNIE PRZEPISYWAL (duze litery bo z trudem powstrzymuje sie tutaj przed waleniem glowa w stol)). Nawet glupim virtualnym maszyna nie mozna juz ufac bo intel nawalil a OSy tona w dziurach i bledach.

    @(generalnie do nadhakierow) Nie wiesz jak wszyscy okradzeni zostali zainfekowani ~ wiec po co cfaniakujesz obelgami amominowy znafco…

  13. Ps. Polecam zestawic sobie artykuly o wykrytych powaznych dziurach / bledach / olewkach producentow i komentarze inteligentow wyzywajacych wszystkich od paranoicznie neurotycznych nerdow, “no bo co sie stanie jak ktos ci sie wlamie”, zeby zaraz obok wyzywac ofiary kradzieszy, krypto-lockerow itp. od id*, jakby te dwa tematy nie byly z soba wogole powiazane…

  14. “Fachowcom”, którzy kpią z ludzi, którym oszuści ukradli pieniądze bo Ci “głupcy” dali się nabrać na phishing albo zainstalował się u nich trojan proponuję kubeł zimnej wody na głowę aby trochę im pokory przybyło.

    @Panowie z Niebezpiecznika — macie 100% racji — to bank jest profesjonalistą na tym rynku usług finansowych i to bank powinien robić tak, aby Kowalski mógł bezpiecznie wykonywać transakcje.

    Jednak bank o to nie dba… wysyła SMS-y autoryzujące przez obcą firmę która mogła wydać duplikat karty SIM komuś-tam… albo bank pozwala Kowalskiemu powiedzieć, że do kogoś tam nie trzeba autoryzować przelewów… i to bank jak widzi, że ktoś płaci całe życie za zakupy po 200zł, a nagle w jeden dzień transferuje całą zawartość konta na obce konto nie reaguje…

    Wszsystkiemu winna ignorancja banku. Niestandardowe zachowanie? Inny niż zwykle adres IP? Inny niż zwykle przelew? Powinni wstrzymywać ruch pieniądza, dzwonić i pytać osobę czy faktycznie takie coś zleca…

    Ale jeśli bank tego nie robi, ryzykuje, toooooooooo… to niech ryzykuje swoimi a nie klientów pieniędzmi.

    Bo to bank musi udowodnić, że Kowalski zlecił przelew swoich pieniędzy gdzieś-tam.

    Oczywiście w skrajnym przypadku może się to skończyć wizytami w oddziałach i składaniem podpisów… tego nie chcemy… ale jeśli bank nagra czyjś głos, który to głos wyraża chęć wysłania przelewu, to przed sądem już głupa Kowalski nie może udawać.

    • Bank jest profesjonalistą ale Klienci nie! Łatwo jest zrzucić na bank wszystko ale to Klienci są ostatnim ogniwem i wymagają… łatwości. Blokada IP – bez problemu, nawet w bankach spółdzielczych… i co? Bo pon dyryktor Wielki chce wszędzie i z domu sprawdzać a w domu łącza ze stałym IP nie ma tylko biedadostęp wifi 1 na 20-stu innych na routerze admin admin. Potwierdzanie przelewu sms? A po co. Tokeny były lepsze bo główna księgowa znała wszystkie loginy, hasła zarządu oraz miała wszystkie tokeny w szufladzie. Silne uwierzytelnianie kodem wpisywanym w kratki? Kto by się męczył bo ja muszę szybko i łatwo płacić za bzdety z ali….. Zabezpieczenia biometryczne? Nie dam, bo uesej będzie miało moje dane. To nie żarty. To 80% klientów bankowości elektronicznej. O noszeniu kartki z pinem do karty przylepionego do etui karty płatniczej nie wspominam aby nie dobić niektórych. Łatwo głupotę wpuścić … oj łatwo. A później bank zawinił. Choćby zabezpieczenie było prawie idealne ale trudne dla Klienta to Klient pójdzie tam, gdzie jest prościej. I o bezpieczeństwie sobie przypomni pisząc reklamację.

  15. Zlikwidować odbiorców zaufanych.
    Bezpieczeństwo nigdy nie wygra jeśli chcemy być wygodni. Nigdy!

  16. Żeby nie być okradzionym z pieniędzy, wystarczy ich nie mieć. Niezawodne rozwiązanie – polecam, sam praktykuję.

  17. A może wystarczyłoby aby po dodaniu odbiorcy zaufanego pierwszy przelew robiony do niego także wymagał autoryzacji sms kodem albo w aplikacji na smartfonie? Wtedy nie byłoby możliwe opróżnienie konta w środku nocy

  18. “Banki mają prawo rezygnować z pewnych form weryfikacji i tym samym zgadzać się na pewne ryzyko, ale to banki powinny ponosić koszty tego ryzyka.”

    Bardzo podoba mi się to zdanie. Użytkownik, choćby techniczny, nie jest autorem systemu, algorytmów szyfrujących, protokołów przesyłu danych itd. Sam musi się pilnować, żeby nie zaliczyć wpadki, ale choćby nie wiadomo jak się starał, to i tak musi polegać na innych.

    Może nie na temat, ale koszty ryzyka rozciągnąłbym także na udzielane kredyty. Niech banki i firmy od chwilówek pilnują się przy udzielaniu kredytów, a nie z automatu przekazują sprawę do windykatorów.
    Proponuję uwolnienie numerów PESEL. :) Pesel to przecież nie żadne hasło. Ciekawe, jak wtedy zareagowałyby banki?

  19. “Najlepiej opłacanym prezesem polskich banków w 2018 r. był Cezary Stypułkowski, szef mBanku – wynika z zestawienia przygotowanego przez „Parkiet”. Zarobił blisko 5,1 mln zł, o 28 proc. więcej niż rok wcześniej.”

    Że ile trzeba oddać i komu? :-)

  20. A gdyby tak zmienić działanie banków i transakcji w taki sposób, jak “działa” to w przypadku kart kredytowych – mianowicie to, co niejednokrotnie na tym portalu jest przypominanie, czyli płacąc kartą kredytową płacimy tak naprawdę pieniędzmi banku nie swoimi, dopiero na koniec miesiąca jest podliczenie i spłata karty. To samo zastosować do każdej transakcji, czyli żeby płacić pieniędzmi banku w ciągu danego okresu lozliczeniowego, a na koniec miesiąca dopiero bank będzie mógł sobie “wyrównać” z hajsu z naszego konta. To by chyba dość skutecznie “zmotywowało” banki do implementacji lepszych mechanik zabezpieczających…

    Inną kwestią jest doprecyzowanie prawa, żeby było napisane wprost, że w razie kradzieży kasy z konta bank musi jasno uzasadnić rażące niedbalstwo poszkodowanego klienta i że mają zas*%#ny obowiązek jasno i szczegółowo to opisać, żeby cwaniaki nie mogli się zasłaniać żadnym stwierdzeniem, typu “dany paragraf nie ma tu zastosowania”.

  21. Ostatnio się zdziwiłem, kiedy dodałem do listy odbiorców nowego odbiorcę, po czym wykonałem do niego przelew i nie otrzymałem SMSa z kodem autoryzującym. Okazało się, że domyślnie został dodany jako odbiorca zaufany. Niby czemu? Absolutnie tego nie chciałem. Pracuję w IT i jestem raczej ogarnięty w temacie, a jednak podczas dodawania odbiorcy zupełnie nie zauważyłem, że będzie on zaufany. Mało tego, żeby potem “odzaufać” odbiorcę i znaleźć ten checkbox musiałem sporo się naszukać i naklikać, bo wcale go nie było na wierzchu po wejściu w edycję danych odbiorcy. Mowa o tym samym banku.

  22. Brawo! doskonały wyrok z perspektywy konsumenta. Jako słabsza strona obrotu prawnego powinien być chroniony. To zasada prawna, która jest przyjęta już w prawie rzymskim. Dlaczego niektórym to tak trudno zrozumieć?

    • Też jestem bardzo zadowolony z takich wyroków. Wreszcie nie muszę się przejmować tymi zielonymi kłódkami. W końcu mogę przestać zaprzątać sobie głowę, czy mail z Nigerii to jakaś podejrzana wiadomość. Po co wymyślać jakieś trudne hasła, zapamiętywać PIN? Bank odda mi wszystko co do grosza. I tak powinno wszystko funkcjonować w tym kraju.

    • @konsument

      Większość ludzi robi przewidywalne rzeczy, to samo jest z przelewami, przelewamy pieniądze na stałych odbiorców, od czasu do czasu coś kupujemy wysyłając mniejsze lub większe kwoty, Ale bank powinien wychwycić zachowanie polegające na utworzeniu odbiorcy stałego z IP różniącego się od tego z jakiego zazwyczaj logował się klient i zleceniu przelania wszystkich pieniędzy w kilku przelewach

    • Panie “konsument”, bzdury piszesz. A co mnie interesują problemy wewnętrzne i organizacyjne banków. Jeżeli ja nie zleciłem przelewu, to bank odpowiada za to że przyjął zlecenie i nie sprawdził czy jest zgodne z prawem. Śmieszą mnie np. odzywki “chowaj kod CVV”. A co mnie to interesuje ? Wystawca karty pisze go na wierzchu!!!!! A informatycy wszystkim powtarzają: nie przyklejajcie żółtej karteczki z hasłem do monitora …

  23. Dawno temu za czasów poprzedniej władzy obowiązywało prawo, że jeżeli imię i nazwisko podane w przelewie nie zgadzało się z imieniem i nazwiskiem właściciela nr konta podanego w przelewie, to bank odbierający taki fejkowy przelew, odsyłał go do nadawcy. Proste! Niestety władza postanowiła to zmienić i do dziś mamy ten cyrk dzięki posłom-osłom i kochanym lobbystom.

  24. Banki po prostu trzeba wychować gigantycznymi karami. Miliard kary zmusi do przestrzegania prawa.

  25. Zastanawiam się, kiedy niebezpiecznik poprawi to echo date(“Y”) w stopce…

  26. “Specjaliści banków”. Przecież Ci specjaliści banków to specjaliści ds. obsługi klienta/reklamacji, pracujący za 3,5 k brutto, gdzieś w back office, nigdy nie będący nawet w centrali.

    To oczywiste, że w takich przypadkach zawsze będą zdarzały się kwiatki bo na takie sprawy powinni odpowiadać jacyś prawnicy/doradcy prawni. Nikt kto zarabia 3,5 k nie podejmie decyzji o oddaniu klientowi 100 k. A podejście baków do podobnych jednorazowych przypadków jest znane(zresztą nie tylko banków). Ignorujmy najwyżej przegramy w sądzie.

  27. Bardzo dobrze, interesy banków w Polsce i tak są zabezpieczone znacznie lepiej niż ich klientów. Dziedziczenie zobowiązań przez dzieci będące na etapie zlepku komórek w łonie matki? Żaden problem, bank przecież nie może być stratny. Jechać z dziadami bez litości.

  28. A wystarczy załozyć haslo maskowane. Takie to trudne?

  29. Od pewnego czasu podając komuś nr konta do przelewu, dodaję słownie jego dwie pierwsze cyfry (albo dwie pierwsze i cztery ostatnie).
    Mała rzecz, a cieszy :)

  30. A wystarczy zwykłe proste U2F i klucze po 5 euro w detalu (w hurcie dla banku pewnie mniej jak połowę tego).

  31. Prawo staje na głowie. Nieudolni klienci bez pojęcia o internecie na potęgę infekują swoje komputery a potem gdy dochodzi o kradzieży i to na dodatek w sytuacji gdy autoryzują przestępcom transakcje za wszystko ma płacić ten ZŁY bank. To jest chore i NIKT mi nie powie że to jest normalne.

    • Rację masz tylko w połowie. Może spora ilość klientów jest niepełnosprytna, ale to nie oni są autorami coraz to nowszych metod łatwego dostępu do środków z konta oraz dziur i podatności z tym związanych. Skoro bank daje te metody (najczęściej domyślnie włączone) i na całości nieźle zarabia, to odpowiada za ich bezpieczeństwo.

  32. Moim zdaniem zarówno bank jak i klientka dopuścili się rażącego niedbalstwa. Sąd powinien w tej sytuacji ukarać zarówno bank jak i klientkę karząc zwrócić bankowi tylko połowę kwoty.

    Banki są profesjonalistami i powinny zastosować takie zabezpieczenia, które uchronią nawet bardzo nietechnicznego klienta przed utratą pieniędzy (pracownicy baków wciskają bankowość internetową nawet starszym klientom). Moim zdaniem żaden polski bank nie stosuje wystarczających zabezpieczeń dlatego każdy kto korzysta z bankowości internetowej/mobilnej naraża się na duże ryzyko – nie dba o swoje pieniądze.

    Niedbalstwo klientki polega na tym, że zaczęła korzystać z bankowości internetowej nie rozumiejąc ryzyk z tym związanych. Dopuściła się rażącego niedbalstwa 1) otwierając podejrzany załącznik i infekując komputer 2) zauważyła, że prośba o kod sms była czymś niestandardowym i nie zadzwoniła do banku aby potwierdzić, że wszystko ok (co z tego, że podała kod za 3 razem a nie za pierwszym) 3) nie rozumiała, że sms był wysłany w związku z transakcją, której nie zlecała. Generalnie nie zadała sobie trudu aby zdobyć wiedzę umożliwiającą bezpieczne korzystanie z bankowości internetowej (powyższego ataku łatwo można było uniknąć) pomimo niedoskonałych zabezpieczeń. Jej wina byłaby mniejsza np. gdyby przestępcy przejęli kody sms w wyniku sim swap.

    Problem polega na tym, że zarówno klienci jak i banki myślą tylko o tym aby było tanio, szybko i wygodnie. Kiedy jest tanio, szybko i wygodnie to nie może być bezpiecznie.

Odpowiadasz na komentarz Janusz_B

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: