13:27
15/5/2018

Jeśli pieniądze z waszego konta znikną w tajemniczych okolicznościach, bank nie będzie chętny do pokrywania straty. Bank nie ma też obowiązku blokować każdej dziwacznej transakcji. W jednej z takich spraw wypowiedział się Sąd Najwyższy i to na korzyść klientki banku. Przy okazji warto przypomnieć o innych sprawach, gdzie bank zarzucał klientowi tzw. “rażące niedbalstwo”, ale sąd ostatecznie kazał zwracać pieniądze.

Co robić, kiedy okradną Ci konto w banku?

Niedawno przez media i Wykop przewinął się temat wyroku Sądu Najwyższego, który dotyczył odpowiedzialności banku za “internetową kradzież”. Sprawa została potraktowana jako nowość, ale ten wyrok zapadł już 18 stycznia. Gdybyście szukali sygnatury to jest ona następująca: V CSK 141/17 (niestety wiele mediów nie podaje nawet daty wydania wyroku, o sygnaturze już nie wspominając).

Ofiara grupy przestępczej

Tło sprawy było następujące. Pewna kobieta w styczniu 2015 roku zawarła umowę z bankiem i umowa ta obejmowała dostęp do bankowości elektronicznej. Kilka miesięcy później (dokładnie 5 maja 2015) logując się do usługi kobieta zobaczyła komunikat o tym, że strona jest w trakcie przebudowy.

Powódka po jakimś czasie podjęła kolejne próby logowania, lecz również ze skutkiem negatywnym. W dniu 7 maja 2015 r. ok. godz. 19:00 powódka zalogowała się (…)  i stwierdziła, że na jej koncie bankowym nie ma pieniędzy. W dniu 5 maja 2015 r. system CUI (Centrum Usług Internetowych – red.) zarejestrował o godzinie 14:41:03 poprawne logowanie z adresu IP […], a następnie o godz. 14:43:31 błędne logowanie z adresu IP […]. Kolejne logowania miały miejsce w dniu 7 maja 2015 r. z adresu IP komputera powódki, przy czym cztery pierwsze z nich były błędne, a ostatnie o 19:05:27 poprawne. Powódka, po stwierdzeniu, że na jej rachunku brakuje spornej kwoty, powiadomiła o tym pozwanego.

“Sporna kwota” w tej sprawie to było ponad 60 tys. zł. Sprawa trafiła do Sądu Rejonowego. Ten ustalił, że…

…nieustalona osoba. z wykorzystaniem logowań powódki na podsuniętej jej umiejętnie stronie, dokonała zlecenia przelewu kwoty 60 981 zł z konta powódki na rachunek M.C. w „C” S.A.

Tą samą sprawą zajęła się jedna z prokuratur apelacyjnych. Ustalono, że kobieta padła ofiarą zorganizowanej grupy przestępczej, która zajmowała się kradzieżą pieniędzy z kont bankowych i transferowaniem tych środków na Ukrainę. Postępowanie objęło 134 podejrzanych.

Dodajmy jeszcze, że na zlecenie Banku przeprowadzono (w dniu 10 czerwca 2015 r.) sprawdzenie komputera kobiety pod kątem oprogramowania i historii logowania do banku.

Bank: To wina klientki!

Tak czy owak kobieta złożyła reklamację, którą bank odrzucił. Rozpatrujący sprawę Sąd Rejonowy uznał, że pracownicy Banku wcale nie musieli wychwycić dziwnego logowania, które nastąpiło z innego adresu IP niż zwykle używany przez powódkę. Pracownicy banku nie musieli też – zdaniem sądu – potwierdzać przelewów telefonicznie (a zauważcie, że z konta w krótkim czasie wypłynęło sporo pieniędzy). Sąd Rejonowy uznał, że to powódka zachowała się niezgodnie z zasadami bezpieczeństwa choć… nie bardzo wiadomo na czym to niewłaściwe zachowanie miałoby polegać.

“To jej wina” – klasyczna wymówka

Apelacja i skarga kasacyjna

Sprawa trafiła do Sądu Okręgowego, który wydał swój wyrok w roku 2016. Sąd Okręgowy uznał, że Sąd Rejonowy powinien wziąć pod uwagę przepisy zawarte w Ustawie o usługach płatniczych. Powołując się na tę ustawę SO stwierdził, że transakcja dokonana na rachunku powódki nie była autoryzowana, gdyż została wykonana przez osobę nieuprawnioną. Jeśli zaś klientka dopuściła się “rażącego niedbalstwa” i przez to miałaby ułatwić sprawę złodziejom, bank powinien to rażące niedbalstwo udowodnić.

Bank wniósł skargę kasacyjną, zaskarżając wyrok Sądu Okręgowego. W ten sposób sprawa trafiła do Sądu Najwyższego.

Sąd Najwyższy: Bank ma udowodnić “rażące niedbalstwo”

Sąd Najwyższy  oddalił skargę kasacyjną. Uznał, że bank powinien udowodnić, że jego klientka dopuściła się rażącego niedbalstwa. Najlepiej przytoczmy tutaj fragment uzasadnienia.

W niniejszej sprawie nie ma podstaw do przyjęcia, że powódka naruszyła obowiązek korzystania z instrumentu płatniczego (…) Do utraty pieniędzy z rachunku bankowego powódki nie doszło bowiem w okolicznościach opisanych w przytoczonych przepisach, ale wskutek popełnienia przestępstwa przez nieustaloną osobę trzecią, która skorzystała z niewłaściwego zabezpieczenia przez Bank świadczenia usługi CUI.

Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.

Podobne wyroki

“Rażące niedbalstwo” to kluczowy termin przy tego typu sprawach. Tylko czym jest “rażące niedbalstwo”?

W czerwcu 2016 r. pisaliśmy o wyroku dotyczącym kobiety, która ustawiła datę urodzenia jako PIN. Choć takie zachowanie trudno uznać za ostrożne to zdaniem sądu nie było to “rażące niedbalstwo”. Bank musiał zwrócić znaczną część ukradzionych pieniędzy.

Co jeszcze może być “rażącym niedbalstwem”? Czy będzie nim noszenie karty w portfelu schowanym tylko w kieszeni? A może ustalenie wysokich limitów wypłat może być “rażącym niedbalstwem”? Na to pytanie odpowiada inny ciekawy wyrok wydany 18 lipca 2016 przez Sąd Rejonowy w Gliwicach (sygn. akt I C 2524/14).

Tło sprawy: mężczyzna wybrał się na wakacje do Grecji. Tam niestety skradziono mu portfel, w którym mężczyzna przechowywał karty, dowód osobisty, prawo jazdy i gotówkę. Do kradzieży prawdopodobnie doszło rano, ale mężczyzna zorientował się dopiero wieczorem. Niestety już na infolinii banku dowiedział się, że z jego konta wypłacono 12.054,98 zł. Wszystkich transakcji dokonano za pomocą karty i tylko pierwsza próba podania PIN była nieudana. Później nastąpiła seria wypłat.

Mężczyzna uznał, że bank powinien oddać mu pieniądze. Tymczasem bank zarzucił mężczyźnie brak ostrożności. Skoro PIN został “złamany” tak szybko to – zdaniem banku – gdzieś w portfelu musiała być informacja wskazująca na ten PIN. Poza tym mężczyzna zbyt późno zorientował się, że został okradziony. Zdaniem banku nieostrożne było także trzymanie kart w kieszeni krótkich spodenek i nieograniczenie limitów transakcji przed wyjazdem za granicę.

Zgadnięcie PIN-u jest… prawdopodobne (1:3333)

Sąd uznał, że mężczyzna nie wykazał się niedbalstwem. Nie można bowiem domniemywać, że skoro ktoś “trafił” PIN to ten numer musiał być gdzieś zapisany.

Należy zauważyć, że kod do karty składa się z czterech cyfr, zatem występuje 10.000 kombinacji (od kodu: 0000 do kodu 9999). Uwzględniając możliwość trzykrotnej próby do zablokowania karty, prawdopodobieństwo trafienia kodu wynosi w ocenie Sądu 1:3333, a nie jak wskazywał biegły i pełnomocnik strony pozwanej. Nie jest to przecież sytuacja niemożliwa do zaistnienia.

Sąd nie zgodził się również, że mężczyzna miał obowiązek ustalić niższe limity wypłat. Skoro przebywał daleko od domu to mógł nagle potrzebować dużej gotówki. Poza tym nie można uznać, że ustalenie wyższego limitu jest “rażącym niedbalstwem”. Sam bank nie widział nic niepokojącego w tym, że jego klient nagle wypłaca 12 tys. złotych w Grecji.

Noszenie karty w kieszeni spodenek też nie było niedbalstwem. Niedbalstwem byłoby np. pozostawienie karty na stole w restauracji. Jeśli jednak ktoś chronił kartę jak mógł (trzymał ją w kieszeni) a złodziej naruszył prawo kradnąc tę kartę to trudno mówić o niedbalstwie ze strony posiadacza karty.

Dorzućmy jeszcze fragment z uzasadnienia wyroku.

Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy tego użytkownika. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.). Okoliczności tych pozwana nie wykazała – czytamy w uzasadnieniu

Rozumowanie Sądu Okręgowego było tu podobne jak rozumowanie SN ze sprawy przywołanej na początku. W tym drugim przypadku sąd zasądził od banku na rzecz mężczyzny kwotę 11.434,87 zł. Zaistniała bowiem sytuacja o jakiej mowa w treści art. 46 ust. 2 pkt 1 Ustawy o usługach płatniczych. Płatnik odpowiadał za transakcje nieautoryzowane do kwoty 150 euro według kursu NBP z dnia kradzieży (150 x 4,1341 zł), tj. do kwoty 620,11 zł. Pozostałą kwotę bank ma oddać.

Banki mają technologie antyfraudowe i powinny ponosić odpowiedzialność za fraudy, ale…

Przytoczone powyżej wyroki są dobre i potrzebne. Banki wymuszają na ludziach, którzy niekoniecznie “urodzili się ze smartfonem w ręku i dostępem do internetu” korzystanie z komputera jako w zasadzie jedynego sprawnie działającego kanału dostępu do ich pieniędzy. Każą ludziom używać technologii — która nie jest w pełni zrozumiała, jednocześnie niewiele robiąc aby klienta wyedukować i uczulić na ataki, pokazać poprawny sposób postępowania i upewnić się, że klient rozumie.

Nie ma (niestety!) “egzaminów” przed uzyskaniem dostępu do serwisu internetowego banku. To powoduje, że nawet ludzie techniczni, nienadążający za wciąż nowymi formami ataków komputerowych, tracą pieniądze (znamy takie przypadki!). Często są to oszczędności całego życia. A najgorzej mają osoby starsze, mniej techniczne, zmuszone przez bank do korzystania z komputera aby zarządzać swoim kontem. Kontem, na którym mają oszczędności całego swojego życia. Jedno przeoczenie i zarabiane przez lata pieniądze znikają bez śladu, a bank mówi:

Twoja wina babciu! Powinnaś wiedzieć, co to jest phishing i zauważyć, że w domenie banku zamiast litery k była litera ķ.

Skoro banki “zamykają marmurowe oddziały” i zmuszają klienta do korzystania z niezrozumiałej technologii to powinny brać odpowiedzialność za to, że mniej techniczni ludzie klikają w co popadnie i się infekują. To powinien być problem banków i to one powinny myśleć nad tym jak podnosić świadomość klientów i uodparniać ich przed atakami. Wina za fraud powinna leżeć po stronie banku, jeśli nie udowodni on, że odpowiednio skutecznie uczulił klienta na zagrożenia. Ale przez uczulenie nie rozumiemy zapisu maczkiem na siódmej stronie regulaminu będącego załącznikiem do 20 stronnicowej umowy. Dziś do klienta banki mogą skutecznie dotrzeć na wiele sposobów. Niestety póki co, większość banków, tego typu możliwości skutecznego dotarcia wykorzystuje jedynie w trakcie prób sprzedaży kredytów lub ubezpieczeń, a nie edukacji związanej z bezpieczeństwem. Choć są drobne wyjątki oczywiście, bo istnieją w Polsce banki, które otwarcie w mediach mówią o atakach, ostrzegają przed nimi i starają się na nie uczulać klientów (brawo mBank!).

Żeby nie było, że jesteśmy tylko po stronie ofiar… Uważamy, że nie zawsze banki powinny całą winę brać na siebie i zwracać pieniądze każdej ofierze fraudu. Jedną z klarownych sytuacji, kiedy w 100% winny jest klient jest kradzież “autoryzowana” przez klienta wynikająca z tego, że klient nie przeczytał SMS-a, w którym było napisane, że autoryzowany jest nie przelew, a dodanie odbiorcy zaufanego. To w naszej opinii jest rażące niedbalstwo. Z tym, że odmowa zwrotu wykradzionych środków powinna dotyczyć tylko tych klientów, którzy wcześniej przeszli przez “samouczek” lub inną ścieżkę edukacji, gdzie było napisane:

DOKŁADNIE CZYTAJ SMS-Y Z BANKU, TAM ZAWSZE* JEST NAPISANE CO POTWIERDZASZ.

W wielu bankach klientom nie zapewnia się tej wiedzy przy otwieraniu konta… Ba! Jak wynika z rozmów z uczestnikami naszych wykładów “Jak nie dać się zhackować?” — wiele osób nie wie nawet, że może sobie ustawić limity na koncie albo szyfrowanie wyciągów, czy powiadomienia SMS o transakcjach wychodzących… Dlatego każdego, kto płaci przez internet, zachęcamy do lektury naszego artykułu pt. 6 rad, jak bezpiecznie wykonywać przelewy przez internet.

* — tak, wiemy, że nie dotyczy to każdego banku. Na marginesie, jeśli nie zauważyłeś przy którym zdaniu umieściliśmy gwiazdkę, to jesteś jak ofiara bankowego fraudy. One też “nie zauważają”, czasem mniejszych różnic niż ta duża gwiazdka w adresie domeny, czasem większych niż ta gwiazdka różnic w numerze rachunku na który wysyłają przelew. Nie przejmuj się, to zdarza się każdemu. Warto jednak, abyś podniósł swoją czujność i wiedzę w zakresie phishingu.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

99 komentarzy

Dodaj komentarz
  1. A czy bank wykazuje sie nrazacym niedbalstwem przysylajac karte, ktorej cvv jest 123 ?
    Jesli nie to ustawienie pinu np 1234 tez nie powinno byc zadnym razacym niedbalstwem.

    • Nie.

      Ustawienie sobie PINu na 1234 jest przynajmniej nieostrożnością. Dlaczego? Bo PIN można sobie wybrać, dlatego rozkład częstościowy jest bardzo nierównomierny wskutek lenistwa i nieświadomości użytkowników, których większość wybiera “łatwe” PINy, stąd nadreprezentacja takowych.

      CVV ustawia bank (zakładam, że z użyciem bezpiecznego generatora) i jest on niezmienialny, więc rozkład częstościowy jest równomierny. CVV 123 jest tak samo prawdopodobny jak każdy inny. “Intuicyjnie” 000, 111, 999 czy 123 są “mniej losowe” niż, dajmy na to, 472, ale to nieprawda.

    • A czy bank wykazuje sie razacym niedbalstwem przysylajac karte, ktorej jedyna roznica wzgledem poprzedniej jest inny CVV i data waznosci?
      Bo tak np w UK robi HSBC. Zanim sie zorientowalem, stara karte dalem dzieciom do zabawy “w sklep” na szczescie sa na tyle male, ze z domu same nie wychodza i nic nie wynosza wiec w pore stara karte udalo sie odzyskac i zniszczyc.

    • Za “rażące niedbalstwo” uznałbym sam fakt że kod cvv jest nadrukowany na karcie.

    • @Rysiek z Klanu
      Na czym ma polegać “niedbalstwo”? Przecież bank nie wydaje nowej karty, a tylko i wyłącznie przedłuża ważność aktualnej. Nic niezwykłego, w Polsce też są banki które tak robią.

    • @Malgond: “Bo PIN można sobie wybrać, dlatego rozkład częstościowy jest bardzo nierównomierny wskutek lenistwa i nieświadomości użytkowników”
      “CVV ustawia bank (zakładam, że z użyciem bezpiecznego generatora) i jest on niezmienialny, więc rozkład częstościowy jest równomierny. CVV 123 jest tak samo prawdopodobny jak każdy inny.”

      Niby wszystko ok, ale: wniosek jest taki, jesli komputer wylosuje 1234 to jest ok, jeśli człowiek to jest nie ok :). Przeczysz sam sobie :) – bo skoro człowiek może mieć “black liste” pinów łatwych i często powtarzalnych, to również super wyczochrany w kosmos generator banku tez ową listę mieć może prawda? Rozkład możliwych kodów jest zawsze taki sam nieważne kto je generuje, ale częstotliwość występowania w rzeczywistości już nie koniecznie.
      Jeśli użytkownik do generacji PINu wykorzystał KeePass-a to w świetle Twojej teorii jest to niedbalstwo czy nie (sam nie wymyślał tylko jego super wyczochrany w kosmos generator kodów wymyślił).
      Można też popaść w inną paranoję – jeśli zrobisz listę najczęściej występujących PIN-ów i z listy wszystkich możliwych usuniesz te najczęstsze a z pozostałych zrobisz listę “najbardziej losowych” i wybierzesz ten naj to ktoś znając Twoją paranoję może postąpić identycznie. Czy to jest też Twoja wina? :)

    • @krzysiekj Mangold wcale nie przeczy sam sobie. Jeżeli algorytm generowania CVV2 nie gwarantuje rozkładu jednostajnego, to mógłbyś istotnie zarzucić wydawcy karty (to nie bank generuje ten kod) rażące niedbalstwo. Takich danych niestety nie ma dostępnych, więc ciężko powiedzieć czy mamy do czynienia z tym przypadkiem. A teraz załóżmy przeciwny przypadek – że algorytm istotnie wygeneruje kody CVV2 w rozkładzie jednostajnym. W tym przypadku 123 będzie tak samo prawdopodobne jak 472. A teraz poszukaj sobie statystyk odnośnie rozkładu kodów PIN – bo przeprowadzano badania na ten temat. I wtedy zobaczysz, że rozkład NIE jest jednostajny, innymi słowy prawdopodobieństwo że PIN jest 1234 jest dużo większe niż 4726. Stąd wybierając 1234 narażasz się na większe ryzyko, bo złodziej będzie próbował te najbardziej prawdopodobne liczby. Podsumowując wywód – CVV2 ma inny rozkład niż PIN, dlatego nie możesz stosować takiego sposobu oceny. W mojej osobistej ocenie ustawienie PINu na datę/rok urodzenia albo 0000/1111/itd albo 1234 JEST rażącym niedbalstwem, więc osoby ustawiające taki PIN “na łatwiznę” powinny zmierzyć się z konsekwencjami swoich działań.

    • Znaczy Malgond, przepraszam (auto-correct). @krzysiekj tutaj (http://www.datagenetics.com/blog/september32012/) znajdziesz rozkład PINów, które na przestrzeni czasu wyciekały tu i tam. Jeszcze prościej ująwszy to co napisałem – uważasz że CVV2 o wartości 123 jest intuicyjny bo zakładasz że ma taki sam rozkład jak rozkład PINów, a (najprawdopodobniej) tak nie jest – ergo wcale nie jest “intuicyjny” w swoim rozkładzie.

    • PKO BP też mi przysłał nową kartę która jest identyczna z że stara, a jedyną różnicą to data i CCV. CCV zapamieetałem, wydrapałem i zamazałem, tak by przypadkiem nikt po znalezieniu nie mógł sobie coś kupić.

      Ogólnie karty nie są bezpieczne, łatwo wykraść dane a po znalezieniu można płacić zbliżeniowo za towary, bez żadnej autoryzacji…

    • Bank Zach. Przysłał mi pocztą kartę kredytowa i pin w osobnych kopertach jaednak tego samego dnia, zwykłym listem. Kilka dni później upominek wartości 10zł listem poleconym.
      zy to jest rażące niedbalstwo?

  2. Ciekawe… taka zagwozdka filozoraptora: klient zostawia paypassa na terminalu i odchodzi bez karty. Z metra ciety (czytaj kurdupel) pracownik tego nie zauwaza, podobnie jak nastepni klienci (sic!), ze na terminalu lezy karta no i … nastepne zakupy robi sie przypadkiem na karte gapy. Co robic, jak zyc? Mamy dwa warianty – robimy zwrot na w/w karte i ja zabezpieczamy lub olewamy sprawe i czekamy na reklamacje klienta. Jak bank by to interpetowal? Ot, jak wspomnialem, rozkminka…

    • Z tego co pamietam z pracy przy terminalu jest blokada na wypadek takiej sytuacji i raczej nie uda sie drugi raz sciagnac transakcji bez ruszania karty.

    • Nie ma żadnej blokady! Miałem taką sytuację. Kobieta przede mną zapłaciła za moje zakupy, nie było już jej w sklepie, wyszła. Zanim ktokolwiek się zorientował, że ta karta tam leży transakcja została już zaakceptowana. Ja tez chciałem płacić kartą, dlatego terminal się uaktywnił. Ze sprzedawcą zrobiliśmy tak, że ja zapłaciłem tę kwotę i tak, a on jej odda w gotówce tę kwotę (albo tylko tak mówił ;) ).

    • Tesco, kasa samoobsługowa. Moja karta została w terminalu, i uwaga następna osoba zapłaciła nią, ponieważ terminal odczytał ja bezprzewodowo tylko stuknął “plac karta’.

      Przy szukaniu karty, koperta z kartą w obsłudze klienta wraz z dwoma paragonami i gotówka na kwotę zakupów następnej osoby.

    • Jak sie jest frajerem i ma wlaczone na karcie transakcje PayPass to sie placi. Za glupote ZAWSZE sie placi. Pretensje do siebie.

    • *Nie oceniam, nie komentuję, nie krytykuję*
      Pytam, bo chcę wiedzieć i dzięki za dotychczasowe odpowiedzi.

      Chłopcy i dziewczęta, kto miał taką sytuację i jak się zachował oraz jaka była ewentualna rozmowa z bankiem. “Czardżbaek” czy inna opcja?

  3. Mnie zastanawia co bank mialby zrobic w takiej sytuacji? Blokowac wszystkie IP poza tym z ktorego bylo pierwsze logowanie? Wydzwaniac do klientow z pytaniem czy aby na pewno chca zrobic przelew?

    Nie widze mozliwosci ochrony kogos kto podaje login, haslo i kody sms na podstawionej stronie albo ma zainstalowane malware na komputerze. Hardware U2F moglby pomoc ale ludzie posiadajacy tokeny i ludzie podatni na ataki do dwa odrebne zbiory.

    Dziwie sie ze portal zajmujacy sie bezpieczenstwem podwaza argumentacje banku nie podajac zadnych konkretow.

    • Może wystarczy wprowadzić dwustopniowe logowanie (np. wiadomość sms od banku z drugim kodem do wpisania na terminalu lub www) w przypadku gdy system banku wykryje odbiegające od normy działanie użytkownika lub ustaloną regułę np. logowanie z innego IP lub z za granicy? Wydaje mi się to dość proste i skuteczne rozwiązanie.

    • Banki mają narzędzia, dzięki którym potrafią określić nietypowe transakcje.
      Przykład: pierwszy raz płacę kartą przez internet za zakupy w firmie X z kraju Y. Telefon z banku: czy potwierdza pan operację?
      Rok później już nie, bo gszkr+X+Y = ok.
      A jeżeli nie mają takich narzędzi, to powinny się uczyć od najlepszych.

    • Czyjaś obsługa PR-owa zadziałała? Argumentację banku podważył sąd, a konkrety są w uzasadnieniach wyroków.

    • Bank od tego ma algorytmy, żeby wykrywały podejrzane transakcje i wtedy może dzwonić do klientów. Tak zresztą robią, tylko nie wszystko wykryją.
      A jak nie wykryją? To powinni pokryć z ubezpieczenia.

    • A jednak bank może.
      1. Nietypowe zachowanie skutkuje w niektórych bankach telefonem do posiadacza konta.
      2. I jak najbardziej – logowanie z nowego IP powinno być najpierw potwierdzone choćby mailem. Robi to np. LastPass. Oczywiście, można to wyłączyć, ale nie widzę powodu, by sobie tak “ułatwiać” życie. Banki powinny też to wprowadzić.

    • Właściwie to owszem, bank powinien dzwonić do klienta jeśli uzna transakcje za podejrzaną w celu jej potwierdzenia. Taką operacją może być większa niż zwykle kwota, lub nawet dowolna operacja na rachunku podwyższonego ryzyka. W sumie nietypowe logowania też powinny być w jakiś sposób potwierdzane.

    • przy setkach tysięcy klientów i różnych transakcji, musiało by być kilka tysięcy takich telefonów dziennie, a ty byś się wkurzal, że odbiorca jeszcze nie ma kasy (została zablokowana i czeka na potwierdzenie)

    • Mi bank zablokował transakcję na dużą kwotę z karty firmowej. I dopiero po telefonicznym kontakcie z infolinią została odblokowana. I to transakcję z obecnością karty.

    • @Tristian43 – mBank – 3 lata temu – wyplata jednorazowo 5tys – jeszcze nie wyszedlem ze sklepu a juz mialem telefon z prosba o potwierdzenie. Niecale 2 lata temu – platnosc karta w wawie kiedy godzine wczesniej platnosc byla w poznaniu – od razu mialem telefon czy potwierdzam (ktos sklonowal). Od reki moglem tez zablokowac karte i zamowic nowa za free. Dodam jeszcze ze nie mam wykupionych zadnych dodatkowych ubezpieczen i innych pierdow.
      Nie wiem jak jest teraz, ale pewnie podobnie i pewnie tak jest w kazdym sensownym banku.

    • W bankach pewnie część osób potrafi liczyć, więc jeśli obecnie zwracają parędziesiąt tysięcy rocznie poszkodowanym klientom, to nie będą wprowadzać lepszego systemu antyfraudowego za paręset tysięcy by ograniczyć obecne zwroty o połowę. To, że bank nie dzwoni przy każdej dziwnej transakcji, nie oznacza, że ignoruje bezpieczeństwo, a po prostu mu się to nie opłaca.

    • Do mnie bank dzwonił potwierdzić dosyć wysoki przelew. Póki nie potwierdziłem, to pieniądze nie opuściły konta. Tak więc można takie rzeczy zabezpieczyć po stronie banku.

    • Przecież bank wie ile masz lat, ma historię co i gdzie kupujesz, średnio na jakie kwoty, ile wydajesz, czy zdarzyło Ci się wyzerować rachunek, ba wie gdzie jesteś i w sprzyjających warunkach wie kiedy do kibla idziesz, więc sorry – jeśli nagle jakaś babcia robi przelew na konto X, kwoty przekraczającej jej miesięczny przychód no to chyba każdemu włączyłaby się czerwona lampka.

    • Nie ma to jak mieć 2FA, a następnego dnia obudzić się i spostrzec, że bank je wyłączył, bo ma nową wersję serwisu – tak mi zrobił T-Mobile. Mogę je włączyć ponownie, ale muszę zainstalować inną aplikację: wcześniej tylko do autoryzacji (bez uprawnień), teraz musiałbym mieć pełną aplikację, która chce mieć dostęp do wszystkiego. Do tego zablokowali mi dostęp do serwisu internetowego przez bezpieczną przeglądarkę, bo zezwalają na dostęp na zasadzie whitelisty useragentów – mogę za to skorzystać z niej korzystając z dziurawego jak sito Firefox.

  4. Dodam, że z udowodnieniem mamy do czynienia wtedy, kiedy sytuacja przeciwstawna do dowodzonej jest niemożliwa lub bardzo mało prawdopodobna. Tak więc cieżkie czasy przyszły dla banków bo jak udowodnić, że trafienie właściwego PIN-u jest niemożliwe?

    Z tym trzymaniem kart w kieszeni krótkich spodenek bank pojechał na całość. To jakby klient chodził w długich to nie byłoby “rażącego niedbalstwa”? A może karty trzeba nosić w zębach jak 12 groszy? :)

  5. A przecież to takie proste… nawet „durne” Google żąda dodatkowego kodu zabezpieczajacego przy logowaniu się z innego komputera, sama znajomość hasła nie wystarczy.

    • Z tym, że taki kod można “obejść” albo zphishować…

  6. Znowu ktoś inny ponosi odpowiedzialność za błędy “użytkownika”. Jeżeli środki zniknęły przy użyciu prawidłowych danych do logowania to bank powinien mieć to w dupie i nie ponosić żadnych kosztów związanych z głupotą, nieuwagą lub umyślnym działaniem użytkownika. W prawie jest taka zasada: “nieznajomość prawa nie zwalnia z odpowiedzialności”. Ta sama zasada powinna się tyczyć pozostałych aspektów życia.
    Może w końcu ludzie zaczną myśleć sami a nie za pomocą smartphone’ów, itp.
    PS jeżeli miała wykupione ubezpieczenie od tego typu przypadków to powyższy post nie ma zastosowania (:

    • @Przemek – taaa widzialem juz takich co glosili podobne teorie do czasu az sami nie wpadli. Wtedy niewiedziec dlaczego ich sposob postrzegania zmienial sie nagle o 180 stopni :P

      Gadasz ze bank powinien miec to w dupie. Ciekawe jak bedziesz spiewal kiedy ktoregos dnia wejdziesz na strone, ktorej adres bedzie sie zgadzal, certyfikat bedzie sie zgadzal, zalogujesz sie i nagle pyk nie ma kasy. Bo nie zauwazyles malej krpki na koncu domeny. Bank moglby zablokowac i zweryfikowac nagly wyciek 100 tys cebulionow z Twojego konta, ale tego nie zrobil, bo to przeciez Twoja wina, ze dales sie wkrecic.

    • Totalnie zgadzam się z przedmówcą. Równie dobrze mogłaby podać komuś numer karty i ccv, i co? też wina banku? albo (bardziej pasująca sytuacja) ktoś mógłby się włamać do domu klientki spisać te dane i ściągnąć kase. I kogo teraz winimy? bank? dewelopera budowlanego? ślusarza? Kompletny idiotyzm!

    • To bank decyduje o protokołach bezpieczeństwa. On decyduje co jest wymagane do uwierzytelnienia transakcji. Więc to bank odpowiada za przełamanie tych zabezpieczeń. Szczególnie jeżeli mówimy o danych które są stałe w czasie (login i hasło) to już problem banku. Jeżeli przestępca wyłudziłby token/hasło sms itp to już problem klienta (szczególnie to drugie, jeśli sms zawiera opis co ma być zrobione)

    • @grekus

      Samo logowanie przez złodzieja nie powoduje utraty kasy, ta pani musiała zatwierdzić kodem przelew lub dodanie odbiorcy zaufanego.

  7. Prawdopodobieństwo złamania pinu w co najwyżej dwóch (rożnych) próbach wynosi 1:5000.

    • @Iuriusz
      może masz rację…
      Nie jestem matematykiem a mimo to wydaje mi się, że racji nie masz…
      Jeśli – jak mniemam – niedostępne są piny składające się z czterech takich samych cyfr, to jest 9990 możliwych kombinacji. Wtedy za pierwszym razem masz 1:9990, za drugim razem 1:9989, a za trzecim, ostatnim razem jest 1:9988. I to jest to co się liczy, bo jak masz szczęście wcześniej to masz w d…e prawdopodobieństwo… a jak szczęścia nie masz to w najlepszym wypadku pozostaje 1:9998, jeśli możliwe są piny z czterech takich samych cyfr.

    • Tak, ale masz 3 próby wpisania pinu.
      Podchodząc do bankomatu nie wiesz, czy trafisz, bo gdybyś wiedział, że tak, to prawdopodobieństwo wynosiłoby 1:1

  8. To był przelew na 60k złotych do nowego odbiorcy. W banku gdzie mam konto przelew do nowego odbiorcy, albo modyfikacja listy odbiorców wymaga podania kodu przesłanego smsem. Przejecie loginu i hasła nie wystarczy do wyczyszczenia konta, chyba że ktoś przeleje wszystko do zaufanego odbiorcy (żona, przedszkole, inny bank, gdzie też do wszystkiego potrzeba podawać kody sms) :)

    Jak to było zrobione w opisywanym banku?

  9. Wyjaśnijmy sobie jedno: nie doszło do żadnego przełamania zabezpieczeń banku, przestępca wyłudził prawidłowe dane od ofiary i podał je bankowi. Kody sms można wyłudzić tak samo jak hasło: dajesz komunikat po błędnym logowaniu, że ze względów bezpieczeństwa potrzebny jest jeszcze kod sms który zaraz przyjdzie i gitara.

    Uzasadnienie SN jest pełne absurdów (blokada konta po drugim błędnym logowaniu) i bez zrozumienia czym jest phishing. Obstawiam, że sędzią rejonowy był najmłodszym rocznikiem spośród wszystkich i wiedział jak się włącza komputer.

    Wyobraźmy sobie taką sytuacje: dajesz kumatemu znajomemu login i hasło + telefon i mówisz żeby ci sczyścił konto i kupił sobie jakieś bitcoiny. Potem idziesz do SN żeby ci przyklepał zwrot kasy od banku a prokuratura szuka wiatru w polu. To jest identyczna sytuacja.

    Potwierdzanie telefoniczne oznacza że na przelew będzie się czekać godzinami albo w ogóle tylko od 08:00 do 16:00 będzie można je robić it to tylko z domu z jednego komputera.

    Prawda jest taka, że prędzej czy później zapłacą za to wszyscy ci którzy nie dają się nabrać.

    • Sytuacja z kumatym znajomym nie jest identyczna. Bo phishing/vishing tym się różni od “kumatego znajomego” że jest oszustwem i przestępstwem popełnionym na Tobie a dogadanie się ze znajomym nie. To jest Twój współudział. I od tego są organy ścigania by rozróżnić te dwie sytuacje.

    • Bank określa zabezpieczenia i albo potrafi je tak przygotować, że rozróżni dwie sytuacje, albo kalkuluje brak takich możliwości w ubezpieczeniu bankowym i swojej marży. Niemniej jednak to należy do banku, a nie klienta, bo klient nie ma możliwości wybrać sobie własnych opcji bezpieczeństwa, które go uchronią przed danym atakiem.

    • @Tristian43
      zaskakująco dużo wywnioskowałeś ze skrótu o wyroku. Skąd wiesz, że ten bank stosował kody smsowe? Gdzieś jest powiedziane, że poszkodowana je gdzieś wpisywała? Może nie doczytałem, ale to bank decyduje jakie środki bezpieczeństwa zapewnia klientom i czasami – nie mówię, że zawsze – bardziej bankowi zależy na marketingu i nowych klientach, niż na bezpieczeństwie środków zgromadzonych na kontach. Mnie na przykład do tzw. szewskiej pasji doprowadzają skrócone linki stosowane przez bank we wiadomościach prywatnych (tych dostępnych po zalogowaniu). Skąd mam wiedzieć jaki jest adres i dokąd prowadzi jeśli ma formę “bit.ly/34253652”. Klikać? C..j wie. W najlepszym wypadku jest to próba “negatywnej edukacji” ze strony banku (“klikajcie w co popadnie”).
      Mam nadzieję, że nie muszę dodawać, że próba poinformowania banku o moich wątpliwościach co do tej procedury trafiła na “halinę”/”janusza” nie rozumiejących w ogóle o co biega.

    • Jest pytanie czy doszlo tylko do przejecia loginu I hasla, czy klientka potwierdzala cos kodem i czy przebieg tego nieudanego logowania byl innny niz zazwyczaj – ze proszono o wpisanie jakichs kodow sms, kiedy normalnie potrzeba tylko loginu/hasla itp. Jezeli kase udalo sie wyprowadzic na obce konto po przejeciu jedynie loginu I hasla to wiadomo czyj fakap. Jezeli natomiast bezpiecznicy banku zakladaja ze komputer klienta jest zabezpieczony tiptop a za klawiatura siedzi klon redaktora niebezpiecznika to to zle zalozenie.

  10. @erwin
    Z punktu widzenia banku jest identyczna. Jak bank ma je rozróżnić? Jeśli uważasz, że powinien zaczekać aż organy ścigania złapią sprawcę to się w 100% zgadzam.

    • Bardzo łatwo (dla instytucji takiej jak bank) – kumaty znajomy jakoś fizycznie pieniądze musiał wyciągnąć. Musiałbyś mieć baaaardzo kumatego znajomego by zrobić to tak by nie dojść, poza tym wymagałoby to złamania prawa – założenia konta na słupa.

  11. Warto byłoby przy okazji zwrócić uwagę, że niektóre banki na dodatkowych mechanizmach bezpieczeństwa starają się wręcz zarobić.

    W moim przypadku był to TMUB i ich usługa powiadomień SMSowych o operacjach na rachunkach i kartach. Chcąc mieć zawsze informację kiedy coś dzieje się na moim koncie, aktywowałem taką usługę. Moim błędem było, że nie spojrzałem w tabelę opłat zwiedzony właśnie brakiem gwiazki przy aktywacji usługi. Jeżeli mamy do wyboru darmowe powiadomienia emailowe, oraz płatne powiadomienia SMS jako klient oczekuję, że zostaną one jakoś wyróżnione, chociażby tą gwiazdką kierującą do tabeli opłat.

    Okazało się, że powiadomienia to koszt 30 gr. Za SMSa. Po miesiącu zrobiło się z tego 30 zł. Kwota absurdalna, patrząc z perspektywy tego co za nią otrzymuję. Mechanizm, który powinien zwiększać bezpieczeństwo klienta i pomóc w szybkiej reakcji na fraud (co jest też opłacalne dla samego banku jak widać w artykule), służy przede wszystkim celom zarobkowym. Pracowałem przy integracji usług płatniczych z powiadomieniami SMSowymi. Koszty są dalekie do tego co liczą sobie banki…

    To jest właśnie kolejny przykład tego, o czym piszecie. Bank najchętniej dałby nam wyłącznie dostęp internetowy do konta i róbta co chceta, masz login i hasło, znikną pieniądze – Twoja wina. Chcesz zwiększyć swoje bezpieczeństwo? Poczytaj sobie gdzieś o tym. Chcesz żebyśmy pomogli Ci chronić Twoje pieniądze? Zapłać nam!

    I cholera płacę, po to korzystam właśnie z usług bankowych, żeby moje pieniądze były bezpieczne. Tylko że nagle banki zaczęły tym bezpieczeństwem coraz bardziej kupczyć. Wybór z “Pana pieniądze trzymamy w sejfie” zmienia się w “A w jakim sejfie mamy trzymać Pana pieniądze? Papierowym, drewnianym czy stalowym?”. “Jeśli by Pan chciał wybrać pieniądze, to mamy Pana pytać o imię, czy sprawdzić również dowód?”. “Mhm, no to za sprawdzenie dowodziku będzie dodatkowo 10 zł, bo wie Pan, trzeba na niego spojrzeć te parę sekund”.

    Doskonale rozumiem, że każdy dodatkowy system (jak powiadomienia SMS) to są dodatkowe koszty. Ale szanujmy się – usługa ma służyć przede wszystkim bezpieczeństwu, co jest również w gestii banku, a nie zarobkowi. Niestety banki z absolutnie każdej usługi starają się zrobić źródło dochodu.

  12. @Tristan43

    Ciągle nie ogarniam dlaczego to klient ma płacić za to, że bank nie jest w stanie należycie ochronić jego pieniędzy. Klient nie daje przestępcom na tacy dostępów do konta, klient zostaje oszukany. W interesie banku leży tak opracować zabezpieczenia, aby właściwie dbać o nie swoje pieniądze. I tylko tyle.

    • Czy to wina banku, że klient nie umie czytać sms z kodem?

    • No przecież właśnie daje je na tacy: wpisuje je na stronie internetowej przestępcy. Równie dobrze może je podać w opisie na fejsbuku.

      Fajnie jest pisać, że bank powinien wprowadzić “zabezpieczania” nie mając pojęcia jak one mają wyglądać. Podaj jakie nie-inwazyjne zabezpieczenia powinien wprowadzić w takiej sytuacji.

      Pewnie najlepszym “zabezpieczeniem” będzie opłata za każdy przelew 5zł. Będzie z czego wypłacać odszkodowania kosztem reszty klientów.

    • Jednym z prostszych “zabezpieczeń” mogłyby być:
      – credit freeze znoszony tylko w placówce
      – konto oszczędnościowe bez e-dostepu – czyli możesz na nie przeać ale nie możesz wyciągnąć, tylko w placówce
      Inne sposoby np na vishing to “zaufany przyjaciel” – druga, wybrana przez użytkownika osoba, która dostaje osobnego smsa do wpisania, osoba taka może być usunięta przez uzytkownika głównego, ale np po 48h albo jakimś czasie, by był czas na reakcję. Podobnie zresztą drugi sms wymagalny mógłby być tylko przez 48h.

      Dalej, by pogodzić oczekiwanie banku, by rezygnować z placówek – to np mogłaby być alternatywnie zamiast “tylko w placówce” mozliwość blokowania środków na oszczednosciowym na jakiś okres czasu – czyli ustawiam że mam zamiar wypłacenia środków tydzień (albo i miesiąc jak wolę) wcześniej i po odczekaniu tygodna moge to zrobić.

      Dalej weryfikacja biometryczna twarzy, w przypadku błędu – konsultacja video z pracownikiem. W przypadku podejrzenia fraudu konsultacja video z pracownikiem.

      Wreszcie blokada geograficzna, określenie adresów IP/zakresu, możliwość powiązania sprzętu. Oczywiście to nie zapobieże vishingowi, gdzie ktoś na komendę legalnie się zaloguje i coś wykona ale wszelkie inne sytuacje już owszem.

    • Tristian43
      >opłata za każdy przelew 5zł
      Można zlecać przelewy osobiście w oddziale, na papierowym formularzu (nikt nie podmieni w locie NRB i kwoty), za okazaniem dowodu i z weryfikacją wzoru podpisu. W bankach spółdzielczych prowizja koło 2-3 zł, w komercyjnych nawet do 10 zł.

    • “Podaj jakie nie-inwazyjne zabezpieczenia powinien wprowadzić w takiej sytuacji.”

      monitorowanie istnienia zarejestrowanych domen “podobnych” – nie uważasz, że proste i nader skuteczne?

  13. Jest taki jeden bank co kiedyś określał się całkiem smart..
    Nie zdziwiłbym się, gdyby klientka, która straciła 60k korzystała właśnie z ich “usług”.
    Brak powiadomień push w apce, brak powiadomień sms o transakcjach wychodzących i płatnościach kartą. Limity, owszem konfigurowalne, ale tylko na infolinii, na którą ciężko się dodzwonić. Ogólnie chyba najmniej zabezpieczony bank w Polsce..

  14. @Przemek – A mi się wydaje że bank jako instytucja ma na celu zabezpieczanie Twoich pieniędzy. Motywacją do utworzenia pierwszych banków było zabezpieczenie pieniędzy – żeby nie wozić ze sobą worka szmalu jak jedziesz za miasto. Wiec usługa banku którą płacisz ‘pożyczając’ bankowi pieniądze – w formie depozytu – to miedzy innymi ochrona Twoich funduszy. Również przed Twoją nieuwagą/głupotą.

    • Dokładnie – o to tu chodzi!

  15. Wszystkie banki np. na stronach logowania podają informacje dotyczące bezpieczeństwa. Wystarczy przeczytać. To, że gość miał PIN zapisany w ukradzinym portfelu to też wina banku?

    • A skąd wiesz że miał zapisany PIN? Jesteś w stanie to udowodnić?
      Może przestępca miał kamerę obserwującą bankomat?
      Na tym polega cały wyrok, bank musi udowodnić, że użytkownik dopełnił się rażącego niedbalstwa, a nie tylko powiedzieć, że istnieje jakieś prawdopodobieństwo że tak było ;)

  16. A mnie zastanawia jeszcze co innego: mam dwie karty z tego samego banku (M). Jedna do zakupów wyłącznie internetowych, druga – zwykła debetówka.
    I obydwie karty mają ten sam numer CVV !
    Czy ktoś może wyjaśnić dlaczego??

    • CVV to tylko trzy cyfry, więc kombinacji jest 1000. Obstawiam bardziej przypadek niż celowe działanie banku albo wystawcy karty.

  17. Jednej rzeczy tylko nie rozumiem. Przecież wiadomo gdzie powędrowały pieniądze. Są ślady. Czy nie można transakcji cofnąć? Jedyne kOszty to koszty przelewu. Bo jak takie przypadki będą się zdarzać w młodzi zaczną to coraz częściej odnotowywać to lawina script kiddies (i nie tylko) zacznie się edukować właśnie w kierunku phishingi i coraz bardziej wymyślnych metod jako sposobu na szybką kasę.

  18. Co do wykrywania anomalii przez banki – kiedyś sprawdziłem reakcję na “mega dziurę w ATC” na karcie (w ciągu paru godzin przybyło dużo więcej niż przez cały czas użytkowania karty – robiłem to ostatniego dnia jej ważności).

    • I jaka była reakcja banku?

  19. @erwin
    Wszystko co podałeś nadaje się tylko na opt-in, czyli klient sam musiałby wybrać te dodatkowe zabezpieczania co nie rozwiązuje problemu. No chyba, że ich brak zwalniałby bank z odpowiedzialności.

    • w usa credit freeze jest domyslny o ile mi wiadomo.
      Zresztą nie widzę powodu, by przy zakładaniu konta klient nie był pouczony, że to wszystko jest domyslnie, ale może wyłączyć jakąś cześć z której chce korzystać.

      Poza tym przy odpowiednim uregulowaniu prawnym trochę “murowanej” bankowości być moze jednak musiałoby zostać. Pamiętamy, że podstawową misją banku jest ochrona majatku, a nie łatwy dostep do niego. Stąd w zasadzie bank sam może dopasowywać porftel zabezpieczeń samodzielnie wg analizy ryzyka. I tak naprawdę każde zabezpieczenie nie mui być musem na lini prawo-bank – wystarczy że będzie rekomendacją, gdyż ja nie widzę przeszkód, by bank chcący być 100% online odpowiadał za kradzieże.

      Bo i sedno w tym, że cały czas mówimy o kradzieżach, gdzie ustalone jest, że poszkodowany klient nie ma współudziału – i to powinno być wyjaśniane tak długo jak trzeba nim nastąpi zwrot oszczędności z banku lub w drugą stronę decyzja o windykacji sądowej/komorniczej lewego kredytu.
      Stopień zabezpieczeń jedynie powienien być w zaleceniu ciągłego zwiększania, by minimalizować ilość szkód.

      Warto też wtrącić pare groszy o tym, że strata jest najbardziej dotkliwa dla klienta, potem dla banku – być może taka strata powinna być pokrywana albo z jakiegoś BFG albo przez NBP (gdyż dla gospodarki to praktycznie żadna strata), a w końcu za złapanie przestepcy odpowiada państwowy aparat ścigania. Tak to mniej więcej widzę.

  20. Piny i niedbalstwo – jeśli kombinacje 1234 lub 0000 są dopuszczalne – to dlaczego są niedbalstwem? Coś nie tak jest z 4 znakowymi pinami

  21. _limity
    _kradzież_zaufana

    tu podobnie jest jak w telekounikacji, która moim zdaniem zarabia na niewiedzy i transferach danych

    DEFAULT’owo limity powinne byc ustawione na 0 – wtedy każdy musiałby rozkminić o co chodzi, a limity nie byłyby jak w niektórych niby dobrych bankach ustawione na 99999,99

    co do zaufanych przelewów – jesli są problemy – może należy inaczej nazywać samego SMS’a i sama treść wiadomości powinna być skonstruowana inaczej – np. same duże litery z początkowym

    !UWAGA!

    a oba typy SMS’a w zasadzie sa TAKIE SAME: różni je “Definicja zl. stal.”
    Więc może na następnym szkoleniu dla mbanku zwrócicie im uwagę na w zasadzie zaniedbane SMS’y

  22. Bez sensu. Bank ma odpowiadać za to że ktoś podał dane do logowania w prymitywnym phishingu, nie umie czytać smsów, a później dziwić się dlaczego aplikacje bankowe utrudniają życie normalnym ludziom i nie lubią roota, wymagają safetyneta, itd.

    • No właśnie rzecz w tym że normalni ludzie, to ludzie niedokładni, nietechniczni, podatni na wpływy, mnipulacje. to jest normalność. Możesz czuć się świetnie funkcjonującym i dobrze przystosowanym ubermenschem, któremu utrudniają coś, ale bycie ubermenschem wymaga też posiadania w sobie dość empatii dla normalnych=>przeciętnych=>słabych użytowników/klientów.

  23. Hahaha, żeby to jeszcze faktycznie bank odpowiadał w takich sytuacjach ;) spójrzmy prawdzie w oczy – odpowiadają wszyscy inni klienci, bo później najzwyczajniej dostaną produkty na gorszych warunkach. A ponieważ nie można zmieniać umów udzielonych już kredytów… to oczywiście najbardziej bite są po rękach te osoby, które próbują coś zaoszczędzić – w kolejnym miesiącu bank podwyższy kwotę rezerwy na fraudy a żeby ją zgromadzić obniży oprocentowanie nowych lokat o 0.1% i jeszcze na premię dla zarządu wystarczy. Szkoda, że nie zainwestuje nadwyżki w edukację klientów.

    • tego co bank robi i może zrobić nie wiesz – równie dobrze prezes chce jeździć nowym Ferrari i też podwyższy i/lub obniży

    • Oczywiście, że tak. Ale nie o tym napisałem. Miałem na myśli, że do puli kosztów składającej się z: faktycznych kosztów działalności, kosztów wykrywania fraudów, widzimisię zarządu i pewnie jeszcze kilku innych dodawany jest kolejny – koszt zwrotu nieautoryzowanych transakcji na rachunkach roztargnionych klientów, którym nie można udowodnić rażącego niedbalstwa. I wszystkie te koszty, włącznie z nowym pokrywają klienci.

  24. Wyrok sądu nie mówi o tym, że banki muszą zwracać pieniądze. Mówi tylko o tym, że w tym konkretnym przypadku bank przy odrzuceniu reklamacji powołał się na “rażące niedbalstwo”, jednak nie był w stanie go udowodnić (artykuł sugeruje, że nie umiał nawet wskazać na czym ono polegało).

    • Jeszcze jest coś takiego jak utrwalona linia orzecznictwa. Niejednokrotnie na uchwały i wyroki SN powoływały się strony procesu a sądy uznawały to za oficjalną wykładnię prawa.

    • Nie o tym pisałem. Meritum wyroku jest to, że TO BANK MUSI UDOWODNIĆ winę klienta (rażącą niedbałość), a w tym przypadku tego nie zrobił. Nie oznacza to, że w każdym przypadku każdy klient odzyska pieniądze…

  25. Każdy chce przecież zarobic, banki to nie fundacje, wystarczyło przeczytać co się bierze:D

  26. “Twoja wina babciu! Powinnaś wiedzieć, co to jest phishing i zauważyć, że w domenie banku zamiast litery k była litera ķ.”
    Przeglądarki powinny wykrywać takie podstawienia i ostrzegać przed nimi użytkownika.
    Nie jest to trudne: są dostępne algorytmy do porównywania ciągów znaków wykorzystywane przy sprawdzaniu pisowni.

    Pozdrawiam,
    Mateusz Jończyk

  27. “Pracownicy banku nie musieli też – zdaniem sądu – potwierdzać przelewów telefonicznie (a zauważcie, że z konta w krótkim czasie wypłynęło sporo pieniędzy)”
    Czy sugerujecie, że przy przelewie an 60tys. pracownicy powinni potwierdzać telefonicznie przelewy? Może jako dodatkowa usługa, proszę bardzo, ale tak na co dzień? Robię sobie przelew na te 60tys. dajmy na to o północy i żądacie, żeby tam siedział gostek, który będzie do mnie dzwonił w środku nocy? Krótko mówiąc: nie rozumiem zdziwienia brakie potwierdzenia telefonicznego.

    • A dlaczego by nie, o ile byłoby to opłacalne w konfrontacji ze stratami.

      Poza tym jeśli ktoś np nie robił przez 15 przelewów pow np 10 tys i nagle robi to jest to jakieś odejście od jego normalnych zachowań, a jak to robi z nowego IP i np po jednokrotnej nieudanej próbie zalogowania o porze której nie robi zazwyczaj i na konto nowe (nawet jak potwierdzone smsem)?

    • No wypisz, wymaluj ja. Myślę, że właśnie przy takich parametrach mógłbym już sporo razy być na cenzurowanym. Dlatego ja nie mówię nie, ale jako opcja.

    • Banki stosują weryfikację telefoniczną przy podejrzanych transakcjach i wysokich kwotach przelewu. Spotkało mnie to dwukrotnie. I niestety często wiąże się to z niedogodnością. W moim przypadku musiałem odebrać zamówiony towar dzień później, bo ze względu na wstrzymanie płatności do czasu potwierdzenia, przelew nie załapał się na sesję ELIXIR.

  28. To czyli rozumiem, że jak ukradną mi po raz kolejny rower, to mam oskarżyć dostawcę usługi/zabezpieczeń w postaci kłódki… I on ma mi udowodnić moje niedbalstwo…?

  29. Banki to organizacje….., celowo piszę organizacje bo przecież nie instytucje.
    Stoją ponad rządami państw, robią co chcą ze swoimi klientami.
    Mój przykład: panienka w banku informuje mnie, że pieniądze na moim koncie są własnością banku, moje pieniądze!!!!!!!!
    Nie otrzymałem nowej karty ,,płatniczej”, ale bank pobierał opłaty. Na reklamację, bank ją uznał, ale nie omieszkał zgryźliwie zaznaczyć, że oni mi tę kartę wysłali, nie sprawdzili jednak czy ją otrzymałem, a przez cztery miesiące nic z mojej strony się nie działo, ale to ich nie obchodzi.
    Okroiłem wszelkie ,, dogodności ” jakie oferuje bank to i tak za każdą wypłatę w banku naliczają sobie koszty.
    I tak obojętne co zrobisz to bank wyciąga Twoje pieniądze, choć obracają nimi zarabiając, a nam jakieś marne 0,2% dają, które to zjada inflacja z nawiązką.
    Jestem bliski podjęcia decyzji o likwidacji konta i trzymania gotówki we własnym zakresie.
    Zastanawia mnie stanowisko rządu!!!!

  30. Niestety w tym przypadku potwierdza się teza o zupełnym braku wiedzy sędziów i sądów. W związku z totalnym brakiem kompetencji do rozstrzygania takich spraw wymiar niesprawiedliwości w Polsce wychodzi z założenia że należy z urzędu karać banki oszczędzając “niewinnych” klientów – tak jest łatwiej, prościej i “bardziej sprawiedliwie”. To niestety nieprawda. Zacznijmy od początku: klient godzi się na warunki świadczenia usług bankowości elektronicznej, bez przymusu ze strony banku występuje o takowe usługi nawet wtedy gdy nie ma pojęcia choćby jak pisze się na klawiaturze litery z polskimi znakami oraz co to jest klawisz “SHIFT” – skutki potem są opłakane. Gdy takowy “szpec” od “internetów” ma już bankowość elektroniczną uważa że nad bezpieczeństwem jego komputera i konta 24/.7/365 dni czuwa online 12 osobowy zespól złożony z przedstawicieli banu, policji i służb specjalnych którzy jego nieświadomość naprawią w mgnieniu oka. Tak nie jest. Zasada jest bowiem prosta i jasna: Banku udostępnia klientowi dostęp do konta bankowości elektronicznej z dostępem przez internet, a nie wykonuje za niego przelewy, dba o aktualizacje antywirusa, sprawdza IP z którego klient się łączy i ze względu na to że klient nie ma czasu czytać to co się wyświetla na ekranie robi czytaj czyta je za klienta. Jak w 98% wyglądają “włamy” na konta internetowe? Prozaicznie… klienci włażąc na lipne strony lub ściągając wszelki możliwy badziew na swoje komputery instalują sobie powtarzam SOBIE wirusa/robaka/trojana/keylogger (nazywaj jak chcesz) i to jest ICH wina. Nie banku, nie dozorcy w piekarni ani nie pana sprzedawcy w kiosku. Przestępcy mający zachodnie narzędzia kupione czasem za spore sumy i pełny dostęp do komputera ofiary (wtedy IP jest nasze, polskie… ba nawet to samo co klient przez 6 miesięcy się logował) podmieniają strony do logowania i wyprowadzając środki bo bezmyślni ludzie sami autoryzują te operacje albo kodami z SMS (nie czytają co to za kod i po co) albo wręcz asami podają hasła jednorazowe ze zdrapek czy tokenów. To jak wtedy można zarzucić winę bankowi się pytam? Jak? Klient autoryzował dostęp do konta właściwymi danymi (login i hasło)? tak Klient autoryzował dyspozycje przelewu właściwym kodem/hasłem? tak – to o co chodzi? Acha… nie widział, nie był świadomy, bank nie uprzedził, bank nie zatrzymał, bank powinien itp itd… PA-RA-NO-JA…POSIADANIE DOSTĘPU DO KONTA BANKOWEGO W INTERNETACH TO RYZYKO…. ryzyko na które klient się godzi a jeśli godzi akceptować musi konsekwencje (wszystkie) jakie z tego ryzyka płyną. Jak w tym przypadku SN ocenił że “zabezpieczenia banku były za słabe” skoro włam jak rozumiem miał miejsce nie do Banku tylko na kompa klienta… to jest właśnie NIEUDOLNOŚĆ LUDZI ZAKŁADAJĄCYCH NA SIEBIE TOGI I DECYDUJĄCYCH W TAKICH SPRAWACH.

    • “Ekspert” nie rozumiesz podstawowej sprawy.
      Państwo razem z bankami wycofuje gotówkę z przyczyn zarówno fiskalnych jak i przejrzystości obrotu.
      Bank, ratowany w sytuacjach kryzysowych przez państwo, nie jest już zwykłym prywatnym przedsiębiortwem, tylko instytucją zaufania publicznego. Bank ma misję. Ma chronić majątek. Bank musi być bardziej bezpieczny niż trzymanie majątku w szafie, wiec decydujac się na danie userowi kluczy do jego sejfu musi być pewny że to on coś robi, i że to on świadomie to robi. Jeśli nie jest pewny to niech każdą transakcję potwierdza wideokonferencją ze zdalnym “kasjerem” i niech ten zdalny kasjer realizuje dyspozycję w imieniu klienta.

    • erwin, stek bzdur…Dajmy więc “userowi” prawo zaznaczenie checkboxa, gdzie zgadza się na dzwonienie do niego przy każdym przelewie.Ciekawe ilu z Twoich “userów” go zaznaczy.To przecież rozwiązuje wszystkie problemy w myśl zasady “Chcącemu nie dzieje się krzywda”. Jakie to proste i genialne zarazem.

    • markac – nie tyle, że bank ma tak zrobić, ale powinien wyważyć, czy lepiej wrzucić skradzione kwoty w koszta, czy ponieść koszta dokładnej weryfikacji. Natomiast chodzi o tu o elementarną zasadę – użytkownik, który nie zrobił niczego umyślnie, powinien być chroniony.

    • Sąd wydaje wyrok kierując się opiniami biegłych i nie musi się znać na wszystkim, wystarczy, że biegły się zna. Sędzia zna się na prawie, wystarczy. Bank przegrał z kretesem w sądzie i bardzo dobrze, to jest sprawiedliwy wyrok.

  31. Podajcie który to bank ma takie metody.Brak telefonicznej potrzeby akceptacji kodem przelewu ,szczególnie na taką kwotę,to już banksterska zmowa z wyłudzaczami i złodziejami.Taki bank winien być przez klientów olany,winien zbankrutować.Debilny sąd rejonowy nie jest lepszy,gdyż nie rozumie,że akceptuje bankowe niechlujstwo i niedbalstwo.

    • Zefir. w uzasadnieniu napisane, jakie były narzedzia udostęponione przez bank wraz z umową – było token.

  32. ▌▌Bankowość internetowa tylko uświadamia nam, jak ułomnym organizmem jest człowiek — co chwilę przeżywamy „dziury poznawcze” (które mózg maskuje przed nami samymi!), a w ciągu doby mamy całe okresy „ograniczonej poczytalności” (np. po obudzeniu i przed spaniem).

    Tymczasem spece od haseł i bankowości wciąż traktują człowieka jak robota, który natychmiast po uruchomieniu, na każde żądanie osiąga 100% swojej sprawności — nie tylko wymyśla oryginalne hasła na rozkaz, nie tylko przestrzega wszystkich procedur, ale nawet nie uczy się na błędach — bo ich po prostu nie popełnia…

    .

    ▌▌Popieram wymowę tekstu i linię końcowych wyroków sądów, jednak zwrócę również uwagę na istnienie „friendly fire” — świadomie dokonywane fraudy i konieczność banków obrony przed nimi — bo inaczej kosztami trzeba będzie obciążyć pozostałych klientów niszcząc przy okazji całą usługę.

    .

    ▌▌Przytoczone w tekście wymówki banków pamiętajcie, gdy zobaczycie „statystyki bezpieczeństwa” kont internetowych — są wspaniałe, bo dotyczą jedynie tych reklamacji, których banki nie odrzuciły.

    No ale pieniądze zniknęły? — „No, widocznie klient sam chciał je oddać…”

    .

    ▌▌„Choć są drobne wyjątki oczywiście, bo istnieją w Polsce banki, które otwarcie w mediach mówią o atakach, ostrzegają przed nimi i starają się na nie uczulać klientów (brawo mBank!).”

    Ja to odbieram jako stosunkowo niedrogie wyszkolenie klienta do przeświadczenia, że cokolwiek się stanie, to i tak będzie jego wina…

  33. Czy ktoś doczytał, że klientka, poza identyfikatorem nadawanym przez Bank, hasłem nadawanym przez samą siebie, Bank wydał również token? a gdzie ten token? kto miał do niego dostęp. różne rzeczy widziano, przekierowania połączeń itp. ale kto sczytywał kod z tokena w momencie realizowania tych trasakcji?

    • No tu pewnie klientka miała token, ale co z tego skoro strona była fałszywa…
      Nie da się technicznie 100% zabezpieczyć od błedu użytkownika inaczej niż sprawdzać jego faktyczną WOLĘ wykonania transakcji.
      I tu chodzi o to, że odpowiedzialność banku w mysl jego misji powinna być rozgraniczona tą WOLĄ – tzn by traktować skutki PRZESTĘPSTW ustalonych przez organy ścigania jako brak woli i brak autoryzacji.

  34. z tym, że klientce ponoć nie udało się skutecznie zalogować przez te pare feralnych dni. więc jakie to tranksacje były potiwerdzane tym tokentem, który był w jej posiadniu? i w jaki sposób kody z tokena były przekazywane?

  35. Witam

    czy są już jakieś wyroki Sądów, które pomimo braku uważnego przeczytania przez Klienta sms z kodem do przelewu uznały, że klient nie dopuścił sie rażącego niedbalstwa?

    Np miał przelew dokładnie 1 zł do zrobienia , otrzymał sms z banku a tam przelew na 15 tyś zł, czego nie przeczytał a wpisał kod. Czy to jest rażące niedbalstwo według Sądów?
    Jeśli są juz wyroki to czy mogę prosić o dane Sądu i sygn. akt?

  36. […] Czasami ubolewamy nad tym, że wciskanie ludziom elektronicznych usług finansowych rozwinęło się w naszym kraju znacznie lepiej niż np. mechanizmy antyfraudowe. Również z tego powodu staramy się co jakiś czas uświadamiać Wam jak działa (czy raczej powinno działać) prawo dotyczące banków i płatności. Jeśli jeszcze nie czytaliście, polecamy nasze teksty o odpowiedzialności banków po kradzieżach przez infekcję, phishing, wykorzystanie cudzej karty zbliżeniowej albo w wyniku działania grupy przestępczej. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: