20:15
23/6/2019

Jeśli dojdzie do kradzieży z konta bankowego to ukradzione środki powinny być zwrócone przez bank w ciągu jednego (!) dnia roboczego. Tak stanowi prawo, choć wciąż nie jest to powszechna wiedza. W praktyce banki omijają przepisy zarzucając klientom “niedbalstwo” lub odwrotnie — twierdząc iż  staranność klienta nie miała znaczenia! Na problem zwrócił ostatnio uwagę Rzecznik Finansowy, ale my możemy podeprzeć statystyki Rzecznika kilkoma sprawami naszych Czytelników, jakie sami analizowaliśmy w ostatnich miesiącach.

Od razu widać, że dostaliśmy dostęp do stocka! :) Fot. Depositphotos.com

UWAGA!
Ten artykuł dotyczy TYLKO I WYŁĄCZNIE przypadków kradzieży pieniędzy z rachunku/konta w banku za pomocą przelewu, a nie przy użyciu karty płatniczej (debetowej lub kredytowej). Jeśli straciłeś środki poprzez nieautoryzowaną transakcję kartą płatniczą, to te pieniądze zawsze szybko i sprawnie powinieneś odzyskać, dzięki procedurze CHARGEBACK — o ile w odpowiedni sposób zgłosisz tę kradzież do swojego banku. Szczegółowy opis procedury CHARGEBACK znajdziesz:

Kradzież i zwrot pieniędzy – jak to *powinno* działać?

Zacznijmy od wyjaśnienia dwóch kwestii prawnych. Po pierwsze, banki odpowiadają za nieautoryzowane transakcje płatnicze. Jeśli więc przestępca przeleje z Twojego konta jakieś pieniądze, bank za to odpowiada i… Ma. Te. Pieniądze. Oddać.

Zwrot ma nastąpić

“niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji”

Tak stanowi art. 46 Ustawy o usługach płatniczych.

Po drugie, transakcję uważa się za autoryzowaną jeśli płatnik wyraził na nią zgodę (art. 40 Ustawy). To zaś oznacza, że transakcją nieuatoryzowaną będzie każda transakcja zlecona przez osobę do tego nieuprawnioną. Dla uznania transakcji za (nie)autoryzowaną nie jest istotne, czy dana osoba mogła znać loginy i hasła albo czy potwierdziła transakcję kodem jednorazowym.

Prowadzi to wszystko do wniosku, że bank ma oddać pieniądze zawsze, gdy transakcji dokonała osoba do tego nieuprawniona. Takie postawienie sprawy było zamiarem ustawodawcy i miało służyć wymuszeniu na bankach zasady “security first”. Jeśli banki poświęcą bezpieczeństwo dla wygody to niech płaczą i płacą – taka jest idea. I jest to idea słuszna. Chcesz obniżyć bezpieczeństwo wszystkim klientom, żeby wygodą przyciągnąć nowych klientów? — ponieś tego konsekwencje (por. Fatalna decyzja banku BZWBK ułatwiła kradzież setek tysięcy złotych z kont klientów).

Co robić po kradzieży pieniędzy z konta w banku?

Infografika poniżej przedstawia procedurę postępowania w przypadku kradzieży pieniędzy z konta.

Pozwoliliśmy sobie lekko zmienić infografikę Rzecznika Finansowego, bo często zdarza się, że o danym ataku ostrzegamy Polaków szybciej i szerzej niż koledzy z CERT-u. A koledzy z CERT-u i tak monitorują nasz serwis i dodają do swojej bazy incydenty także na podstawie informacji z naszych artykułów ;) Żeby było jasne: Nie umniejszamy zasług CERT-u. Bardzo ważne jest żeby informacja o kradzieży dotarła również do nich, bo (w przeciwieństwie do nas) koledzy z CERT-u skrupulatnie kategoryzują zagrożenia i mają budżet oraz moc nadaną ustawą, aby reagować na incydent innymi metodami niż “prośby i nacisk ze strony mediów” na różne instytucje i firmy. Można powiedzieć, że się w tych działaniach redakcja Niebezpiecznika i CERT idealnie się dopełniają :)

Infografika przedstawia też jeden haczyk. Art. 46 ustawy mówi, że odpowiedzialność może być przerzucona na klienta banku jeśli dopuścił się on “rażącego niedbalstwa” (np. rozpowiadał o swoim haśle na prawo i lewo).

Ramy “rażącego niedbalstwa” nie są dokładnie określone. Banki zazwyczaj powiedzą, że działanie klienta było “rażąco niedbałe” i jeśli klient się z tym nie zgadza to niech idzie do sądu. Takie podejście pozwala “przytrzymać” pieniądze klienta, który jako człowiek pozbawiony niekiedy całości oszczędności nie będzie miał dobrych warunków do bojów w sądzie.

“Rażące niedbalstwo” w orzeczeniach sądów

Niektórzy klienci jednak idą do sądu i czasem odzyskują duże kwoty, choć nie przebiega to ani łatwo ani szybko. W sierpniu ubiegłego roku pisaliśmy o wyroku, w którym Sąd nakazał oddał bankowi oddać 107 tys. zł ofierze infekcji złośliwym oprogramowaniem. Zdaniem Sądu nie można przypisać klientowi winy za to, że został zainfekowany, a nawet gdyby była w tym jakaś jego wina to raczej nie wynikała ona z niedbalstwa na poziomie “rażącym”.

Podobny wyrok zapadł wcześniej w Sądzie Najwyższym. Jeszcze wcześniej bo w czerwcu 2016 r. pisaliśmy o wyroku dotyczącym kobiety, która ustawiła datę urodzenia jako PIN. To też – zdaniem sądu – nie było rażące niedbalstwo (z czym można dyskutować, ale wyrok trzeba uznać).

Pisaliśmy też o wyroku, który nakazał bankowi zwrócenie 86 tys. zł, a już szczególnie ciekawy był wyrok potwierdzający, że noszenie karty płatniczej w kieszeni nie jest rażącym niedbalstwem :) (wyrok SR w Gliwicach, sygn. akt I C 2524/14).

Wyroki korzystne dla klientów niestety nie zmieniają zasadniczej strategii banków. Nadal bardziej opłaca się im się zwlekać i przerzucać winę w 100% na klienta, nawet tam gdzie ewidentnie to nie (tylko) klient zawinił.

Rzecznik Finansowy: Rośnie liczba próśb o interwencję

Przed długim weekendem Rzecznik Finansowy opublikował swoją analizę na ten temat. Wynika z niej, że tylko w I kwartale 2019 r. do Rzecznika trafiły 83 wnioski o interwencje w takich sprawach, czyli dokładnie tyle samo co w całym 2016 roku. W całym 2018 roku takich wniosków było 246, czyli o 70% więcej niż w roku 2017.

Wzrost zgłoszeń nas nie dziwi. Od roku bardzo narósł problem kradzieży metodą “SMS-em na dopłatę”, która — choć ciągle o niej ostrzegamy — dziennie powoduje nawet kilkuset tysięczne straty w portfelach Polaków (por. Najpopularniejszy w Polsce atak. Wciąż nie wszyscy wiedzą na czym polega i wciąż tracą pieniądze.). Atak jest skuteczny, bo wiele osób na ekranach smartfonów nie weryfikuje adresów odwiedzanych stron, gdyż jest to utrudnione (mały ekran, nie w pełni pokazany adres strony). Jeśli jeszcze tego nie zrobiliście, przekażcie tego linka do naszego artykułu dotyczącego tego ataku wszystkim swoim znajomym.

Zdaniem Rzecznika Finansowego wina leży nie tylko w zwiększonej liczbie ataków, ale również po stronie banków, które dają “złudne poczucie bezpieczeństwa”.

Ustawione przez klienta limity, dotyczące na przykład liczby czy wartości przelewów dziennych, są łatwo zmieniane przez oszustów, jeśli tylko są one zbyt niskie, żeby opróżnić ze wszystkich środków konto klienta (…) Niewątpliwie wstrzymanie się przez bank ze zwrotem środków powinno być działaniem wyjątkowym, a nie standardowym , jak ma to miejsce w dzisiejszej praktyce  – mówiła Izabela Dąbrowska-Antoniak dyrektor Wydziału Klienta Rynku Bankowo-Kapitałowego w biurze Rzecznika Finansowego.

W czasie sporów sądowych często podnoszony jest argument, że niektóre transakcje mogły być łatwo wykryte jako podejrzane. Czy naprawdę tak często zdarza się, że ktoś zbiera latami pieniądze na koncie, a potem w ciągu kilku godzin ustawia odbiorcę zaufanego i przesyła do niego pieniądze w 17 przelewach błyskawicznych z aplikacji mobilnej, w dodatku logując się z innego kraju niż zwykle? Owszem, w życiu zdarzają się różne nagłe sytuacje, ale niska skuteczność systemów antyfraudowych jest przy takich sprawach zastanawiająca. Choć trzeba też przyznać że i przestępcy coraz lepiej potrafią usypiać ich czujność (sposób zakładania kont słupów, korzystanie z innych metod niż “odbiorca zaufany” do wyprowadzenia środków, etc.).

Rzecznik Finansowy uważa, że banki powinny natychmiastowo oddawać pieniądze, a następnie ewentualnie wytaczać pozwy swoim klientom by udowodnić fakt zaistnienia “rażącego niedbalstwa”.

Zapraszamy was do zapoznania się z analizą Rzecznika Finansowego (dostępna jest prezentacja tez analizy), a tymczasem my proponujemy wam przegląd historii kilku ofiar kradzieży, które starały się o zwrot pieniędzy i go nie dostały. Historie tych ofiar były różne i różnie można oceniać ich faktyczny wpływ na wystąpienie kradzieży, ale są to historie prawdziwe, które bywają bardziej pouczające niż chłodne statystyki.

PKO BP: “Podanie danych jest rażąco niedbałe”

Fryderyk (imię zmienione) stracił pieniądze jako klient PKO BP. Z jego konta w lipcu tego roku wyprowadzono 4,7 tys. złotych w dwóch przelewach (3 tys. i później 1,7 tys.). Fryderyk padł ofiarą oszustwa, które zaczęło się od wejścia na stronę phishingową wyglądającą jak strona firmy kurierskiej (brzmi znajomo?). Z tej strony Fryderyk został przekierowany na fałszywą stronę banku, która posłużyła do wyłudzenia zarówno loginu i hasła jak i kodu jednorazowego.

Bank odmówił zwrócenia pieniędzy gdyż – jego zdaniem – rażąco niedbałe było podanie danych na stronie otwartej z linku niewiadomego pochodzenia.

Pytanie brzmi, czy zachowanie Fryderyka naprawdę było “rażąco niedbałe”? Wiemy, że większość naszych Czytelników uzna za rażąco niedbałe każde złapanie się na phishing, ale sądy (składające się z normalnych ludzi, a nie “bezpieczników”) nierzadko są zdania, że działanie nieświadome nie może być działaniem rażąco niedbałym (bo rażąco niedbałym może być ktoś, kto świadomie przekracza zasady). Teoretycznie klienci powinni znać regulaminy i czytać ostrzeżenia banków, ale w jednym z wyroków sąd zauważył, że takie komunikaty nie zawsze są skuteczne.

Naszym zdaniem Fryderyk mógłby iść do sądu choć – dodajmy szczerze – w jego przypadku kwestia rażącego niedbalstwa będzie dyskusyjna (choć niekoniecznie przesądzona). Fryderyk w końcu nie przeczytał ze zrozumieniem SMS-a, którego od banku otrzymał i nie upewnił się podczas logowania, że znajduje się na prawdziwej stronie banku. To podstawy, można by rzec, bezpiecznego bankowania. Ale czy bank skutecznie je na klientach wymusza i czy skutecznie im do głowy kładzie, jak bardzo jest to istotne i czym grozi odstępstwo od tych działań?

Zwracaliśmy uwagę na to, że komunikaty w SMS-ach i aplikacjach mobilnych nie są super przejrzyste i nawet dla nas (ludzi z branży) mogą być nie w pełni jasne i zrozumiałe, co dopiero dla zwykłego Fryderyka. Czy nie powinno być tak, że jeśli klient nie wykona tych czynności “sprawdzających” to nie może wykonać transakcji? Bank powinien to przecież wymuszać (jest to i w jego interesie). Ale jak? Czy od strony banku można sprawdzić, że klient przeczytał URL na stronie logowania oraz treść SMS-a z kodem i to ze zrozumieniem? Tak.

Jedyną opcją jest osobne, dedykowane wyłącznie do bankowości urządzenie wyposażone w mechanizmy challenge-response (elementem kodu autoryzującego jest np. kwota na jaką klient zleca przelew i numer rachunku docelowego. I to klient te parametry wpisuje. Wtedy nawet jeśli przestępca przechwyci kod socjotechniką i socjotechniką podstawi klientowi zły rachunek docelowy, to nie zmieni kwoty transakcji na wyższą i ukradnie tylko “złotówkę“). Ale niestety, żaden bank w Polsce z takich urządzeń nie korzysta, bo za drogo i zbyt niewygodnie dla klientów. Problem w tym, że za te wady “za drogo” i “zbyt niewygodnie” cenę ponoszą klienci, nie banki.

Przejdźmy do następnego przypadku gdzie… bank w ogóle nie chciał dyskutować o niestaranności, a mimo to odmówił.

BZ WBK (obecnie Santander): “Staranność klienta nie ma znaczenia”

Z konta Pascala (imię zmienione) pewnego dnia wypłynęło ponad 15,7 tys. zł. Wszystko w trzech przelewach ekspresowych (dwa razy po 4,9 i raz 5,8 tys.). W ten sam sposób, tego samego dnia, ten sam sprawca okradł kilku innych ludzi. Najwyraźniej doszło do zainfekowania komputerów ofiar, co umożliwiło wykradzenie danych uwierzytelniających w celu ustanowienia odbiorcy zaufanego, do którego popłynęły przelewy.

Przypominamy jeszcze, że BZ WBK (obecnie Santander) miał problem z fałszywą aplikacją mobilną w Google Play.

Pascal złożył reklamację. Bank odmówił twierdząc, że autoryzacja była prawidłowa. Pascal zwrócił się więc do Rzecznika Finansowego, który przedstawił opinię zgodną z orzecznictwem sądów (czyli że transakcji autoryzowanej przez przestępcę nie sposób uznać za “autoryzowaną”).

Oto  fragment  opinii  RF.

Bank odpowiedział na opinię Rzecznika Finansowego. Nie tylko stwierdził, że wszystko przebiegło jak należy, ale dodatkowo upomniał rzecznika, że prawa nie można rozumieć zbyt rygorystycznie:

Dzięki tej odpowiedzi mamy wgląd w to, jak jeden z banków interpretuje ustawę. Bank przy tym całkiem przemilczał kwestię “rażącego niedbalstwa” i jest to zrozumiałe, bo trudno wykazać niedbalstwo u ofiary infekcji, która dodatkowo posiadała zabezpieczenie antywirusowe. A tak właśnie było z Pascalem.

Choć bank uznał, że przepisy nie znajdują zastosowania, to na szczęście Pascal może się od takiej decyzji odwoływać i prowadzić spór sądowy z bankiem.

Przypomnijmy – Sąd Najwyższy był nieco innego zdania. Naszym zdaniem Pascal powinien iść do sądu i — jeśli faktycznie w jego przypadku login, hasło i kod do autoryzacji pozyskano z zainfekowanego urządzenia, to powinien wygrać, bo w takim przypadku nie miał jak zauważyć ani błędnego URL strony banku podczas logowania, ani SMS-a dotyczącego transakcji (którego zazwyczaj po cichu “przechwytuje” złośliwa aplikacja mobilna). Ofiary takich ataków muszą jednak wcześniej zainfekować swoje urządzenie złośliwą aplikacją i dać jej zgodę na dostęp do SMS-ów (fakt: fałszywa aplikacja wygląda wiarygodnie, reklamuje się w wiarygodnych serwisach internetowych, a prośba o dostęp do SMS-ów nie budzi w tym kontekście podejrzeń).

Niektóre reklamacje uznano

Jak już wspomnieliśmy, ten kto okradł Pascala okradł również 5 innych osób na łączną kwotę 102 tys, zł. Sprawą zajęła się Prokuratura Rejonowa w Nowej Soli. Pascal napisał nam o czymś bardzo ciekawym, czego dowiedział się z dokumentów prokuratury.

Otóż zostałem poinformowany, że dwie z sześciu osób okradzionych w ten sam dzień, w ten sam sposób, przez tego samego sprawcę itd. dostały od Banku Zachodniego zwrot środków na mocy porozumienia podpisanego w swoich oddziałach. Jako strona w sprawie łączonej dostałem wgląd do akt przesłuchań. Te osoby stwierdziły w zeznaniach, że zwrot nastąpił jedynie dlatego, że posiadają w Banku Zachodnim od wielu lat jeszcze kilka innych kont i pokaźnych lokat.

Pascal pisał o tym także w pismach do banku i do Rzecznika Finansowego. BZ WBK uważa, że to absolutnie bez znaczenia.

Sądzimy, że właśnie dlatego bank nie chce drążyć kwestii staranności i niedbalstwa. Bo czy Pascal mógł być bardziej niedbały niż inni klienci, których reklamacje uznano w kontekście — jak wygląda — tego samego ataku? Oczywiście swoimi kanałami również spytaliśmy BZ WBK o tę sprawę. Reprezentująca bank Ewa Krawczyk odpowiedziała nam krótko.

Nie będziemy odnosić się do konkretnych przypadków, bo obowiązuje nas tajemnica bankowa. Bank każdy przypadek traktuje indywidualnie i tak go rozpatruje.

Stracił pieniądze to niech odda laptopa!

Jeszcze podrążymy sprawę Pascala. Z pism od banku wynika, że możliwość uznania roszczenia nie jest całkiem wykluczona, ale – zdaniem banku – wymaga to zakończenia postępowania karnego i ustalenia wszystkich faktów (bo sam bank przyznał nie wie wszystkiego, choć już raz (nie)wiedza na tym poziomie pozwoliła mu to odrzucić reklamację klienta).

Niestety zgłoszenie sprawy na policję skończyło się dla Pascala wydaniem postanowienia o zatrzymaniu jego sprzętu.

 

Laptop został zatrzymany na około 3 miesiące. Nie jest dla nas tajemnicą, że policja zwykle zatrzymuje sprzęt na długo ze względu na słabą dostępność biegłych. Znamy przypadki, gdy sprzęt trzymany był około 2 lat!

Laptop został mi zabrany na 3 miesiące, w z związku z czym możliwość pracy zawodowej została bardzo ograniczona. Odbiło się to mocno na dochodach w tym okresie i tak naprawdę skutkuje do dziś. W mojej branży tak długie zaniedbywanie klientów i pozbawienie narzędzia pracy wraz z wszystkimi materiałami powoduje nieodwracalne straty finansowe i niestety wizerunkowe.

Pascal miał szczęście bo pewna osoba zbliżona do organów ścigania dała mu cynk kiedy policja przyjdzie po sprzęt. To może być bardzo zaskakująca wizyta, a niewydanie sprzętu może być uznane za utrudnianie postępowania.

Tu damy też jedną radę osobom poszkodowanym, u drzwi których pojawia się policjant z nakazem zabrania sprzętu. Policjanci, zgodnie z prawem, w większości przypadków powinni jedynie zabezpieczyć nośniki danych (np. dyski) a nie cały sprzęt i mogą się przy tym zgodzić na skopiowanie ważnych danych i należy na to naciskać. A w przypadku odmowy, pisać skargi. Polecamy lekturę naszego cyklu “Poniedziałek z Prawnikiem”, gdzie poruszaliśmy problem przeszukania lokalu przez policję — jak się zachować i co mogą zabrać policjanci oraz odpowiedzi na Wasze pytania w tej sprawie tu i tu.

Wróćmy do Wandy (też BZ WBK/Santander)

Teraz chcemy jeszcze raz wrócić do przypadku Wandy, który był opisany w tekście o kradzieżach z wyłudzeniami kart SIM. Tak się składa, że Wanda również była klientką BZ WBK/Santander, a jej reklamacji również nie uznano. Przypomnijmy – Wanda została okradziona po tym, jak oszust wyłudził z salonu T-Mobile duplikat karty SIM.

W przypadku ofiar podmianki karty SIM naprawdę trudno mówić o “rażącym niedbalstwie”. Przecież do wyłudzenia kart dochodzi albo z powodu niedbalstwa firmy telekomunikacyjnej, albo z powodu posłużenia się przez oszusta sfałszowanym dowodem osobistym. Czy zatem klient może być uznany za “rażąco niedbałego”, jeśli stał się ofiarą oszustwa dokonanego w salonie operatora? Naszym zdaniem absolutnie nie.

Oto fragment policyjnego dokumentu dotyczącego tej sprawy.

Wanda podobnie jak Pascal zgłosiła sprawę na policję, ale śledztwo w tej sprawie już zostało zakończone umorzeniem. Co prawda ktoś pojawił się w salonie z pełnomocnictwem, ale policja nie zabezpieczyła nagrań z monitoringu w salonie (*slow poke*). Zadowolono się wyjaśnieniami, że osoby prowadzące salon nie miały podejrzeń co do pełnomocnictwa. Pieniądze przelane na konto oszusta zostały wypłacone z baNkomatów, które też powinny być monitorowane, ale… nie były.

Przesłuchano też właścicieli rachunków w mBanku. Jak zapewne się domyślacie, były to osoby bezrobotne i nadużywające alkoholu, którym ktoś kiedyś zaproponował 200 zł za założenie rachunku…

Łańcuch niemocy cię okradł, kliencie

Widzimy tutaj coś, co można nazwać “łańcuchem niemocy”. Właściciele salonu T-Mobile nie mogli dostrzec nic podejrzanego w pełnomocnictwie, policja nie mogła poprosić o nagrania z salonu, bankomaty nie zawsze mają monitoring i najważniejsze – bank nie poczuwa się do odpowiedzialności. Klient okradziony na kwotę ponad 200 tys. zł pozostaje sam i może tylko się sądzić.

Już wcześniej pytaliśmy T-Mobile o salon w Błoniu. Operator w ogóle nie odpowiedział na nasze pytania. Bo nie musi. Wiele instytucji wielu rzeczy nie musi. Łańcuch niemocy lubi to!

Dodajmy, że Wanda skierowała sprawę do sądu. Gdy ostatnio ją pytaliśmy, czekała na wyznaczenie terminu rozprawy. Takie sprawy niestety ciągną się latami, a z wykradzionych pieniędzy Wanda korzystać nie może.

“Na reklamację odpowiemy jak skończy się śledztwo”

Przyjrzyjmy się jeszcze jednemu przypadkowi. Lucjuszowi (imię zmienione) ukradziono z konta 26 tys. złotych. Nie jesteśmy całkowicie pewni jak do tego doszło.  Lucjusz stwierdził, że przy próbie zalogowania się do bankowości elektronicznej Santander (Dawniej BZ WBK) na stronie internetowej banku pojawiło się “nieznane mu okno” i był jakiś problem z zalogowaniem.

Po wyjściu z pracy podczas jazdy samochodem mój smartfon zaczął dziwnie się zachowywać po odebraniu “wiadomości systemowej”  zaczął się zawieszać, mrugać, nie mogłem wykonać żadnej operacji. Po próbie zamknięcia wszystkich aplikacji i po kilku minutach wszystko wróciło do normy ale to był czas który był wg mnie potrzebny do wykradnięcia SMS Kodu. Sytuacja powtórzyła się jeszcze raz później, około 19.30.

Lucjusz ujrzał też na telefonie zachętę do zmiany domyślnej aplikacji do SMS-ów. Nie jesteśmy całkowicie pewni czy dziwne zachowanie smartfona miało związek z kradzieżą, ale tak czy owak do kradzieży doszło i sprawa została zgłoszona na Policję. Lucjusz złożył też reklamację do banku.

Santander w pewnym sensie nie odpowiedział na reklamację. Owszem, Lucjiusz otrzymał pismo z banku, w którym stwierdzono, że “zakwestionowane operacje finansowe zostały wykonane zgodnie z otrzymaną dyspozycją oraz potwierdzone odpowiedzią z smsKodem (…)”. Napisano też: “to zdarzenie prawdopodobnie ma związek z obecnością złośliwego oprogramowania na państwa urządzeniach”.

Dalej bank napisał, że…

Z uwagi na powyższe okoliczności decyzja w przedmiocie roszczenia może zostać podjęta dopiero po zakończeniu postępowania prowadzonego przez organy ścigania

Czyli bank de facto nie odpowiedział na reklamację. Raczej przesłał on do klienta pismo z informacją, że odpowiedź zostanie udzielona po bardzo długim czasie. Tego typu śledztwa mogą trwać wiele miesięcy lub ponad rok, a co w tym czasie ma robić ofiara, która nawet byłaby gotowa iść do sądu? Czy ma czekać?

Nie musisz czekać na zakończenie śledztwa

Nie każdy wie, że rozpatrywaniu reklamacji przez banki jest poświęcona osobna ustawa (o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym). Ta ustawa daje konkretny czas na udzielenie odpowiedzi, a jeśli bank odpowiedzi nie udziela to reklamację uważa się za uznaną. Postanowiliśmy więc zadać Rzecznikowi Finansowemu proste pytanie – czy bank może wydłużać termin na odpowiedź do czasu zakończenia śledztwa?

Odpowiedzi udzielił nam  Marcin Jaworski, ekspert ds. komunikacji i edukacji z biura Rzecznika Finansowego. Pogrubienia w odpowiedzi zostały dodane przez nas.

Nie ma żadnego przepisu, który by pozwalał przedłużyć czas odpowiedzi na reklamacje powyżej 60 dni. Generalną zasadą jest udzielenie odpowiedzi w ciągu 30 dni, a tylko w wyjątkowych przypadkach może on zostać wydłużony do 60 dni. (więcej szczegółów w załączonym schemacie).

W praktyce w tego typu przypadkach nie ma też specjalnych podstaw do oczekiwania na zakończenie śledztwa w sprawie kradzieży pieniędzy z konta bankowego. Z punktu widzenia odpowiedzialności banku istotne znaczenie ma tylko to, czy jest on w stanie udowodnić, że to klient autoryzował taką transakcję, albo doprowadził do jej realizacji umyślnie lub wskutek rażącego niedbalstwa. Podkreślam, że ma udowodnić, a nie tylko uprawdopodobnić. To oznacza, że wskazanie przez bank faktu przeprowadzenia transakcji w serwisie internetowym, nie oznacza, że transakcja została przez klienta autoryzowana. Jeśli bank nie jest w stanie tego udowodnić, powinien niezwłocznie zwrócić konsumentowi kwotę nieautoryzowanej transakcji płatniczej. Odpowiedzialność konsumenta ogranicza się co najwyżej do równowartości kwoty 50 euro.

Sądy, włącznie z Sądem Najwyższym, podkreślają, że bank, jako profesjonalista powinien opracować takie rozwiązania i procedury, żeby było niemożliwe posłużenie się nimi przez osoby nieuprawnione. Takie podejście podziela też Rzecznik Finansowy.

Warto podkreślić, że ta zasada zgodnie z którą ryzyko odpowiedzialności z tytułu przeprowadzenia nieautoryzowanej transakcji płatniczej spoczywa w całości na banku, została wprowadzona przez unijną dyrektywę PSD regulującą kwestię usług płatniczych i jest ona powtórzona w polskiej ustawie o usługach płatniczych.

Na zakończenie warto wspomnieć, że spotykamy się ze skandaliczną praktyką niektórych banków, wobec osób, którym przestępcy nie tylko ukradli zgromadzone na koncie pieniądze, ale też zaciągnęli kredyt korzystając z uproszczonych procedur jego udzielania w ramach serwisu transakcyjnego. Notujemy przypadki, w których banki z jednej strony odmawiają przyjęcia odpowiedzialności do czasu zakończenia śledztwa, ale z drugiej żądają od klienta regularnych spłat zaciągniętego przez przestępców kredytu.

Warto też zwrócić uwagę, że od 20 grudnia wchodzą w życie nowe przepisy ustawy o usługach płatniczych, które przewidują skrócenie podstawowego terminu rozpatrywania reklamacji przez dostawcę usług płatniczych do 15 dni roboczych od dnia otrzymania reklamacji. W szczególnie skomplikowanych przypadkach przewidywany termin rozpatrzenia reklamacji i udzielenia odpowiedzi, powinien być nie dłuższy niż 35 dni roboczych od dnia otrzymania reklamacji.

Trzeba podkreślić, bo ta kwestia często budzi wątpliwości, do zachowania tych terminów, jest wystarczające wysłanie odpowiedzi przed ich upływem, a w przypadku odpowiedzi udzielonych na piśmie – nadanie w placówce pocztowej.

Pan Marcin wspomniał o “załączonym schemacie” i chyba zapomniał go załączyć, ale sami znaleźliśmy go sobie na stronie Rzecznika Finansowego. Zwróćcie uwagę, że wydłużenie czasu odpowiedzi na reklamację powinno się wiązać ze wskazaniem okoliczności, które muszą zostać ustalone do rozpatrzenia sprawy. Owszem, w opisanej sytuacji Santander wskazał pewną okoliczność (zakończenie śledztwa), ale przecież bank nie ma wpływu na zaistnienie tej okoliczności i jest niezwykle mało prawdopodobne, by okoliczność ta zaistniała w przewidzianym terminie.

schemat

Kiedy bank może przedłużyć odpowiedź na reklamację?

Nie jest żadną tajemnicą, że banki zwykle odpowiadają na trudne reklamacje w ostatnim dniu na odpowiedź. Jest to niewątpliwie strategia obliczona na to, aby niezadowolony klient “ochłonął”, a być może także zniechęcił się do dalszej walki. W tym kontekście zmiana ustawy i skrócenie terminów wydawało się niezłym pomysłem.

Co robić? Jak żyć?

Dla klientów mamy dwie wiadomości, dobrą i złą.

  1. Dobra wiadomość – prawo jest po waszej stronie.
  2. Zła wiadomość – banki, ze zrozumiałych powodów, to prawo interpretują inaczej niż Rzecznik Finansowy i na razie nie ma instrumentów, żeby je zmusić do działania zgodnie z przepisami.

Dlatego przede wszystkim radzimy nie trzymać oszczędności całego życia (całych środków firmy) na jednym koncie. W razie grubszej kradzieży zostaniecie pozbawieni nawet pieniędzy potrzebnej na wynajęcie prawnika, a to może wam się bardzo przydać.

Wyegzekwowanie pieniędzy na drodze polubownej może być trudne lub niemożliwe. Owszem, można pisać odwołania do rzeczników klienta czy Rzecznika Finansowego, ale to może oznaczać wydawanie pieniędzy na znaczki i tracenie czasu na poczcie. Z naszych obserwacji wynika, że wprowadzona w niektórych bankach instytucja “rzecznika klienta” służy głównie temu, aby wydłużyć procedurę odzyskiwania pieniędzy i aby ktoś kreatywnie odpisał dlaczego zwrot pieniędzy nie wchodzi w grę.

Podkreślamy w tym miejscu, że rozumiemy opór banków, które myślą w takich oto kategoriach: “Jeśli zaczniemy oddawać pieniądze każdej ofierze kradzieży to otworzymy niebezpieczną furtkę”. Z drugiej jednak strony prawo ukształtowano z myślą, że to bank ma być profesjonalistą od zabezpieczeń, a klient to amator. Klient nie ma wpływu na poziom zabezpieczeń, a bank go ma.

Profesjonalizm banków w zakresie faktycznie trudnych do sforsowania zabezpieczeń wymagałby – powiedzmy szczerze – pewnych ustępstw w dziedzinie user experience. Wspomniane przez nas wyżej magiczne urządzenie do bankowości (i niczego innego) lub zwiększona częstość potwierdzania podejrzanych transakcji telefonicznie (oj, to koszty dla banku, a banki kosztów nie lubią).

Dlatego póki co pozostaje Ci się, drogi czytelniku, zabezpieczać na własną rękę. Polecamy Twojej uwadze nasze artykuły o tym jak bezpiecznie korzystać z bankowości internetowej:

Więcej porad dotyczących bezkosztowego zabezpieczenia swojego konta w banku, ale także danych przed wyciekami i prywatności przekazujemy na naszym wykładzie “Jak nie dać się zhackować?” skierowanym do każdego, kto korzysta z internetu na komputerze lub smartfonie


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

Banki powinny też brać pod uwagę, że ich działania marketingowe skłaniają ludzi do korzystania z e-bankowości i bankowości mobilnej. Wzrost liczby użytkowników dobrze wygląda w raportach, ale nie zawsze idzie za tym świadomość w temacie bezpieczeństwa.

Na marginesie — czy któryś z banków oferuje “bezpieczną bankowość”, tj. taką, za którą on ponosi 100% winy? Może niektórzy klienci byliby w stanie zrezygnować z dostępu online (świadomie i całkowicie chcieliby go zablokować)? Transakcje chcieliby wykonywać w oddziale, bo robią to rzadko, albo dany rachunek to jedynie ich rachunek oszczędnościowy. Gdyby pieniądze zniknęły z konta, przy wyłącznie dostępie “przez placówkę”, wina byłaby wtedy w 100% po stronie kasjera, który ew. źle zweryfikował dowód kolekcjonerski. Nic nie można by klientowi-ofierze zarzucić. Czy jakiś bank jeszcze na takie “upośledzone” konto bez dostępu poza placówką pozwala? Kto wie?

I tak dochodzimy do smutnego wniosku. Klienci są przez banki zachęcani do korzystania z udogodnień technicznych, których w pełni nie rozumieją, zwłaszcza pod kątem zagrożeń. A kiedy ich niewiedza wyjdzie na jaw, cierpią oni, a nie bank, który ich do nowoczesnej, szybkiej, “bezpiecznej” i wygodnej metody dostępu zachęcił. Łatwość dokonywania transakcji, wygoda i bezpieczeństwo nie zawsze idą w parze…

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

61 komentarzy

Dodaj komentarz
  1. Świetny tekst, dzięki. Nigdy nie wiadomo, kiedy może się przydać. Ale nie napisaliście np. jak osoba niepełnosprawna ma zgłosić kradzież na policję. Policja albo nie podaje maila w ogóle, albo na niego nie odpowiada. A formularzy kontaktowych dla ON nie ma! Najbliższy mi komisariat nie udostępnia żadnego kontaktu dostępnego dla ON. Kiedyś musiałam zgłosić przestępstwo i maila znalazłam wyłącznie na stronie komisariatu głównego, ale nie dostałam żadnej odpowiedzi. Ba, nie dostałam nawet zwrotki, że mail doszedł!

  2. Wg mnie w kodzie SMS przynajmniej jedna z cyfr powinna być cyfrą kontrolną zliczoną na podstawie numeru odbiorcy oraz kwoty. Ot i koniec problemu!

    • Klient w przeglądarce widzi co innego niż jest wysyłane do banku, na tym polega problem.

    • Kiedyś Kredyt Bank miał bardzo dobrze zaprojektowaną aplikację mobilną służącą do autoryzacji przelewów.

      Do aplikacji przepisywało się kod wyświetlany na stronie banku oraz osobno kwotę przelewu. Aplikacja wyliczała kilka cyfr do wpisania na stronie banku. Wpisywanie osobno kwoty przelewu powodowało jej weryfikację przez klienta i ograniczało wysokość środków, które można było stracić.

    • @krys , wyegenerowany kod SMS podpisuje jedynie tą transakcje (i jej parametry) dla których został wygenerowany – nie możesz go wykorzystać do podpisania innej transakcji

  3. Taki mBank obsługuje U2F tylko w przypadku firm i korporacji. Szkoda, bo U2F znacznie podniosłoby bezpieczeństwo.
    Może da się na nich wymusić zmianę statusu swojego konta tak, żeby móc używać U2F?

    A przy okazji Piotrku – każda z wielu kart, które miałeś, była tą z pasażu?

    • @Tomek, a co ze starszymi użytkownikami kont? Pamiętaj że z kont bankowych korzysta nie tylko “ogarnięta” młodzież ale też ludzie starsi, którzy są bardziej podatni na ataki (czy to socjotechniczne czy też związane z malware)

  4. > Czy jakiś bank jeszcze na takie “upośledzone” konto bez dostępu poza placówką pozwala?

    W PKOSA można wyłączyć kanały dostępowe.
    W znienawidzonym mbanku również konfiguruje się “Twoje kanały dostępu do banku”.

    • Tylko czy nie da się włączyć tych kanałów bez wizyty w banku?

    • @ Grzes

      W Pekao po zablokowaniu dostepu do transkacji internetowych/telefonicznych (tzn Pekao24) nowy pin mozna otrzymac tylko po wizycie w placowce – wiem bo musialem to zrobic. A maja tez takie procedury w placowce, ze jestes weryfikowany przez 2 osoby.

  5. Od kiedy i gdzie jest info, że mBank obsługuje U2F?

  6. Bank ma kasę oddać, ale gdy przelew był nieautoryzowany. Czyli ma to zrobić wtedy kiedy będzie miał pewność, że tak właśnie było. W chwili reklamacji bank wie tylko, że człowiek się zalogował i potwierdził przelew hasłem jednorazowym, a potem złożył reklamację twierdząc, że to nie on. To trochę za mało by oddać mu od razu kasę, więc zwrot powinien być maksymalnie dzień po tym jak zostanie udowodnione, że to była kradzież.

    • Nie doczytałeś, iż to bank ma udowodnić, że klient autoryzował tę operację. Klient jako osoba, a nie login i hasło. To jest znacząca różnica, która kładzie na łopatki każdy bank.
      Gdy ktoś w sądzie uzyska od banku zwrotu nie tylko kosztów, ale i odsetek plus inne straty, to może banki zaczną inaczej podchodzić do tego tematu.
      Oczywiście swoją drogą o ile sąd zasądzi, bo najczęściej zasądzane kwoty np. strat moralnych w naszym kraju są śmiesznie niskie.

    • @kenjiro, od strony banku sprawa jest prosta – klient zalogował się swoim ID klienta, podał hasło powiązane z tym ID klienta, następnie wykonał operację na rachunku podpisując ją narzędziem autoryzacyjnym (np. kod OTP na SMS na numer klienta).

      Wszystkie powyższe parametry dokładnie pokazują że operacje wykonał klient. To że (a) miał zainfekowany telefon bo zainstalował sobie w przypływie weny aplikacje “flaga polski” która kradła SMSy i podał login i hasło na stronie phishingowej (bo doznał zaćmy i nie zauważył że strona to nie https://prawdziwy.bank tylko https://praawdziwy.bank.to.tylko.skarpeta/) od strony banku niekoniecznie musi być widoczne.

      Ergo, bank ma informacje że operacje wykonał klient a nie “ktoś trzeci” więc ma prawo sprawe wyjaśnić a nie od razu zwracać kasę

    • Kenjiro: doczytałem i jak wspomniałem bank wie, że zalogował się konkretny klient (jego login i hasło) i potwierdził hasłem jednorazowym wysłanym do tegoż klienta. To oczywiście nie wyklucza kradzieży, ale sprawia, że słowo klienta to zbyt mało by mu od razu oddać kasę. Bo wtedy kreatywny klient będzie robić przelewy co dzień na Kajmany i za chwilę składać reklamację, że to nie on.

    • Bank powinien oddać pieniądze w ciągu 1 dnia a może tego nie zrobić wyłącznie wtedy gdy uzna oszustwo klienta i zgłosi to na policję . Jezeli bank uważa ze przelew był autoryzowany to powinien iść do sądu z regresem do klienta i to udowadniać. Tak powinno byc w świetle ustawy i PSD. Jednak banki wypaczaja te regulację i odmawiają wypłaty powołując się na winę/rażące niedbalstwo klienta lub że rzekomo przelew był autoryzowany.

  7. “Takie postawienie sprawy było zamiarem ustawodawcy i miało służyć wymuszeniu na bankach zasady “security first”. Jeśli banki poświęcą bezpieczeństwo dla wygody to niech płaczą i płacą – taka jest idea. I jest to idea słuszna.”

    A później banki będą żądały np. nie zrootowanych smartfonów lub instalacji specjalnego oprogramowania na komputerach użytkowników. Kiedyś (albo nadal?) logowanie się do banków w Korei Południowej wymagało użycia modułu ActiveX działającego natywnie tylko w Internet Explorerze [3]. Za to w Brazylii, wiele banków wymaga instalacji specjalnego programu, rzekomo podnoszącego bezpieczeństwo [2].

    W Polsce w ING Banku Śląskim można logować się za pomocą karty inteligentnej, jednak działa to tylko na Windowsie [1].

    [1] https://www.ing.pl/ingbusiness , dział “Wymagania systemowe”.
    [2] https://seg.bb.com.br/home.html#en
    [3] https://en.yna.co.kr/view/AEN20150303003300315

  8. W Polsce ewidentnie opłaca się być przestępcą. Jak widać w przykładach, można kraść pieniądze i nie obawiać się konsekwencji. A sposoby na “chwilówki” to równie popularny sposób na kradzież pieniędzy i również wina leży po stronie banków, gdyż umożliwiają zakładanie konta bankowych na słupy.

  9. Bardzo fajny tekst. Niestety ludzie są zbyt wygodni a, że stosowanie bezpieczeństwa to dodatkowy czas który trzeba poświęcić to żaden bank nie wprowadzi dobrych zabezpieczeń. Do tekstu jedna mała uwaga, artykuł nie ” mówi o” a stanowi o czymś.

  10. Czytając artykuł wymyśliłem sobie ćwiczenie: właśnie dostaje SMSy, że ktoś zrywa moje lokaty jedna po drugiej.

    I spróbowałem w minute znaleźć w aplikacji IKO (PKO BP) cokolwiek, co mogło by przerwać ten proces. Nie znalazłem. A przecież to było by genialne, jeden PANIC-BUTTON który na godzinę blokuje wszystkie operacje. Klikasz, blokada. I masz czas na spokojnie zareagować.

  11. W Holandii banki dają klientom E.dentifier2 (do wygóglania) gdzie nie jest to zwiazane z kontem, a do autoryzacji transakcji jest wymagana nasza karta platnicza, ktora z kontem juz jest zwiazana. Proste to i w miare wygodne bo takie urzadzenie ma prawie kazdy i nawet jak sie zapomni mozna pozyczyc.

    • Na Słowacji tez, token sprzętowy aktywowany po włożeniu chipowej karty debetowej.
      Karte i token przy otwarciu rachunku dają za darmo, karta, co fajne, nie ma nadrukowanego nazwiska :)

  12. Czy jakiś bank posiada już weryfikację dwuetapową? Bo za niedługo Bank Pocztowy ma wprowadzić dodatkowe uwierzytelnianie logowania za pomocą sms-ów. Sam serwis transakcyjny jest taki sobie, żeby nie powiedzieć słaby, ale podstawowe funkcje posiada. Nie zamierzam od razu przenosić do nich konta, ale może to początek zmian również w innych bankach?

    • @sss3, tak, to jedno z wymagań PSD2.

    • W niektórych bankach można opcjonalnie włączyć dwuetapową weryfikację, ale nie chce mi się teraz sprawdzać w których. Lata temu BGŻ Optima miała taką weryfikację domyślnie i nie dało się tego obejść, ale po konsolidacji z BNP Paribas odeszli od tego rozwiązania. Czasem banki oferują tokeny sprzętowe. Za to coraz bardziej popularne staje się rozwiązanie pośrednie, tzn. wyświetlany jest obrazek, który jest quasi-drugim-etapem-weryfikacji.

    • zazwyczaj do samej transakcji. mbank miał kody potem kody smsowe, teraz jest apka. Tylko słabością tej apki jest to że można ją i potwierdzać i inne rzeczy robić. Powinna być wyłącznie apka do potwierdzania – albo dedykowane urządzenie. Jako ze takiego nie ma to ja uzywam osobnego taniego tel tylko dla tej apki

    • WBK, a właściwie teraz Santander, ma chyba od paru lat weryfikację logowania sms-em. Korzystam (nawet przez ten śmieszny krótki czas, gdy mieli opłaty za powyżej iluś sms-ów autoryzacyjnych).

  13. Te dodatkowe upierdliwe zabezpieczenia aby miały sens musiałyby być obowiązkowe dla wszystkich (już widzę sukces banku, który ogłasza, że bez specjalnego urządzenia nie da się zrobić przelewu). Gdyby były opcjonalne to skorzystały by z nich tylko te osoby, które i tak na phishingi słabo się nabierają.

    Co do (nie)chęci do uznawania reklamacji to pamiętajmy, że im większe będzie musiało być niedbalstwo aby zostało uznane za rażące, tym więcej zapłacą wszyscy (ostrożni i rozważni) klienci.

    • Toyota Bank ma (a może miał kilka lat temu, kiedy miałem u nich konto) obowiązkowy token sprZętowy.

    • tysiące czy 10 krotności czy w 100 krotności to i tak są drobne. Niemniej wprost lepiej by było jakby drukarz czyli NBP pokrywał takie straty. Wtedy tak naprawde koszt niemożności zapewnienia pełnego bezpieczeństwa społecznego rozkłada się na całe społeczeństwo (jednostkowo jest to juz zupełnie wyjdzie groszowa rzecz).

    • VW też miał token i to było najlepsze rozwiązanie, z jakim dotychczas miałam styczność. I najpraktyczniejsze. Token był niezawodny przez kilkanaście lat. Aż do momentu, kiedy VW wymyślił, że go zamieni na… sms-y. :/ I się zaczęły notoryczne problemy.

  14. Piotrek, wpis spoko, ale pokazuje jedynie część obrazu problemu. Ci wszyscy użytkownicy jakoś zostali okradzeni, i często jest to ich niedbalstwo (specjalnie nie używam “rażące”). Nie czytają SMSów (co by nie mówić o ich “jakości” ale przynajmniej pokazują kwotę zlecenia!), nie zwracają uwagę na adresy stron (pal sześć kłódkę, teraz wszystko działa po https, no ale jak adres jest z kosmosu to sorry, nic ich nie usprawiedliwia). Instalują co popadnie zarówno na komputerach jak i telefonach a potem zdziwko że im fotki kotów uciekły do internetu.

    W mediach (i blogach) robi się z ludzi wielkie ofiary ale zapomina się wspomnieć o tym że brutalnie mówiąc są sami sobie winni.

    Takie moje 3gr.

    • Tylko, że trzeba zrozumieć, że przeciętny człowiek ma problem z zauważaniem tych detali. Możesz wyobrazić sobie, że jak Ty jesteś spostrzegawczy, to jesteś w pewnym sensie ubermenschem. Odpowiedzialność wymaga od nas, byśmy mniej spostrzegawczych nie traktowali jednak jak małpy albo podludzi, tylko uznali, że oni stanowią normę.

    • To nie do konca tak. Banki mogły by dawać tokeny, tak jak w innych krajach dają, tylko wiązało by się to z wyższymi kosztami. Świetnym rozwiązaniem są tokeny aktywowane kartą płatniczą, np Gemalto je oferuje. Musisz włożyć karte chipową, wpisać pin do karty, kwote transakcji i ostatnie numery konta.
      Banki przeszły na smsy czy też teraz promują apki mobilne aby ograniczyć koszty głównie, nie aby zwiększyć bezpieczeństwo.

  15. Bardzo dobry artykuł.

    Najbardziej abstrakcyjna jest przywołana sytuacja p. Wandy. Kasy nie ma, łańcuch niemocy…

    Ciekawe jest też stwierdzenie, że bankomaty nie mają działających kamer (wtf?).

    Przewija się w artykule BZ WBK. Ja co prawda dużych pieniędzy nie straciłem ale przytoczę
    coś co mi zdarzyło się osobiście jakieś 5-6 lat temu.

    Sprawa bardzo prosta parę lat temu chciałem założyć przepłaconą kartę wirtualną.
    Bardzo przydatna do płacenia w necie za jakieś drobiazgi (gry na wyprzedaży, dlc), podpinania pod aplikacje w komórce itp. A jak coś pójdzie nie tak to przestępcy wydrenują kasę ale tylko do przepłaconego limitu. Wygodne i bezpieczne.

    W czasie kiedy szukałem takiej karty między innymi BZ WBK miał taką w ofercie.

    Początkowo wszystko szło ok, założenie konta przez internet, przelew potwierdzający z innego banku, przelew kasy do opłaty karty itp. (proces piszę z głowy to było parę ładnych lat temu).

    W końcu dotarłem do ostatniego etapu czyli aktywacji karty i uzyskania numeru cvv2 do robienia przelewów. I tu pierwsze zdziwienie, cvv2 przesyłają TYLKO via sms na podany przez zakładającego numer telefonu. “No ok” pomyślałem, przydusiłem wyślij i czekam…
    Czekałem tak 1-2h, a sms nie ma. Dzwonie do operatora, mają jakieś problemy sms dojdzie lub nie. Dzwonię do banku, bank informuje, że wysłał sms`a i nie ma innej możliwości uzyskania cvv2 do nowo założonej karty. Nie ma możliwości wysłania go np. na email. Nie ma możliwości powtórnego przesłania go via sms. Czeski film…

    Skończyło się tak, że cvv2 nigdy do mnie nie dotarł, karta była bezużyteczna, po miesiącu konto w banku zlikwidowałem, a bank przytulił sobie prowizję (20-30 zł?) za całość zabawy.

    Od tamtego czasu omijam BZ WBK szerokim łukiem, jak na gównianej karcie wywaliła się ich procedura, a klient został z niczym i jeszcze za to zapłacił to taki bank nie jest godny mojego zaufania.

    • Tak ciut obok tematu, też miałam problem z bankiem i też przez prowajdera, w tym przypadku T-Mobile zablokował mi sms-y. Bo tak. Bo miałam nadpłatę, więc nie chcieli ani mi jej oddać, ani zrobić cesji. Nie miałam przez to żadnego dostępu do własnych pieniędzy, bo bank się uparł na najmniej bezpieczne sms-y. Nie chciał mi wysyłać kodu mailem ani nie chciał mi zmienić numeru telefonu, na który wysyłałby sms-y z kodem. Bank i T-Mobile razem zrobili mi wtedy długi, które spłaciłam dopiero po pół roku. I nikt nie poczuwa się do odpowiedzialności! Dodam, że gdybym była pełnosprawna, to bank by mi ten numer zmienił. Dyskryminuje tylko ON i pewnie też osoby sprawne, które są daleko od banku, np. zagranicą, i nie mogą osobiście do niego pojechać, bo tylko tak da się zmienić numer telefonu.

      Banki i telefonia dyskryminują osoby niepełnosprawne na takim poziomie, że nawet szkoda gadać. Cofamy się, bo jeszcze 15 lat temu, kiedy zakładałam konto w banku, nie było takiej dyskryminacji. W banku mogłam WSZYSTKO załatwić mailem (takim pisanym po zalogowaniu się na konto bankowe) albo listem snailowym (po zmianie danych w dowodzie wysłałam bankowi xero dokumentu, bez żadnych skanów czy kopii dowodu osobistego!!). Teraz nie da się nawet założyć konta w banku, będąc niepełnosprawnym, bo zamiast wysłać kuriera, jak 15 lat temu, bank wymusza osobistego stawiennictwa. I nie można nikogo upoważnić!

      Byłoby fajnie, gdyby TYM się zajął też Niebezpiecznik. Opisaniem procedur w bankach – procedur dostępnych dla ON. Czyli bez użycia telefonu i wychodzenia z domu. To się przyda także sprawnym, bo T-Mobile może przecież każdemu zablokować sms-y, jak będzie mieć taki kaprys, bez powodu. I nagle się wtedy okazuje, że bank nie ma żadnych procedur i że się nie ma dostępu do własnych pieniędzy!

    • Mnie też WBK oszwabił. Lata temu. Fakt że nie były to krocie ale dla ówczesnego studenta 300zł to majątek. Zgubiłem kartę. Zaraz zastrzegłem i poleciałem do banku. Było przedpołudnie i 2 panie w okienkach. Jedna lvl 60, druga zajeta. Ide do niej i z początku ok ale im dalej w las tym gorzej. Obsługa kompa 1/10 po kwadransie walki musiała weznac kierowniczkę na pomoc. udało się. mija parę dni i z konta znika prawie 300 zł. patrze w historie a tu jakieś ubezpieczenia i inne usługi. Na nic nie wyrażałem zgody. Patrze na papiery jakie dostałem a tam nic. Ide wkurzony do innego odziału i składam reklamacje. Dość miła pani w lot skumała że tamta pierwsza pozaznaczała jakieś dodatkowe pola przypadkiem. Skserowała kwity jakie podpisałem za pierwszym razem i złożyła reklamacje. Mija pare dni dostaje list z banku z przeprosinami za pomyłke i na koncie 300 zł. Mija rok. I cyk nagle znika zaś 300 zł. Ide znowu do banku. Teczka a tam wszystkie dokumenty. Opisuje problem a kierowniczka odziału ( bo sprawa przerosła zwykłych pracowników) mówi sory w dupie mamy twoje kwity jak my w systemie mamy że masz wykupione ubezpieczenie na kartę etc i co roku będzie pobierana opłata do momentu aż zrezygnujesz. W ciągu 2 minut wypłaciłem całe pieniądze i zlikwidowałem rachunek i moja noga w tym złodziejskim przybytku nigdy nie postanie.


  16. Czy jakiś bank jeszcze na takie “upośledzone” konto bez dostępu poza placówką pozwala? Kto wie?

    Tak, niektóre Banki Spółdzielcze tak mają… Trzeba było złożyć wniosek o to, żeby konto było internetowe… a przynajmniej tak było w jednym z takich banków jeszcze 2 lata temu :)

  17. Orientuje się ktoś czy takie sprawy mają jakiś termin przedawnienia? wykradziono mi pieniądze z konta w mBanku jakieś 4 lata temu. Chyba nawet pisano o tej akcji tutaj, sprawa dotyczyła klientów mBanku i Play, gdzie po zalogowaniu do konta w Play można było przeczytać SMS nadsyłanie przez bank

    • Niestety to zależy od konta – 2 lata lub 6 lat

  18. Mnie też ukradli kasę z Credit Agricole. CA kazała mi spadać na drzewo wskazując punkt w regulaminie, że jestem sam sobie winny bo mam kartę. Sam musiałem udowadniać, że to mnie okradli. Oddali… po 6mc!!! DLUGI jakie mi zostały po kradzieży (Zakupiono dwie Drogie Suknie ślubne) ciąża mi do dziś bo przecież trzeba było jakoś przetrwać Ale CA ma to gdzies!

  19. “Przypomnijmy – Wanda została okradziona po tym, jak oszust wyłudził z salonu T-Mobile duplikat karty SIM.”

    Pani Wanda dopuściła przede wszystkim do utraty loginu i hasła do swojego konta w banku.

  20. Dzięki za poradnik! W sumie nigdy nie musiałem się zastanawiać, ale dobrze wiedzieć co robić, jeśli taka sytuacja będzie miała miejsce.

  21. Trzymajcie kase w btc, jak ktoś wam haknie portfel to będziecie wiedzieli, ze to wasza wina, proste, moim zdaniem wojsko dało technologie internetu każdemu…. tak samo jak technologie motoryzacji, ale jednak na to jest PRAWO JAZDY, a dlaczego nie ma jakiś szkoleń z obsługi internetu? No do ku… jasnej, jak ktoś ściąga każdy pornol jaki może, z jego komputera korzysta 10 osób, w tym znajomi jego syna ćpuna, to niech się nie dziwi ze ma malware na kompie…. i ktoś mu konto czyści…. jak można w ogóle dać się zainfekować -.-‘ wystarczy osobno zwirtualizowane środowisko do bankowości i jak wtedy ktoś nas zainfekuje no kurde jak? ! Chcecie korzystać z przelewów internetowych, udogadniać sobie życie, to zachowujcie ludziska jakieś zasady bezpieczeństwa…. Osobiście nigdy w życiu nie miałem konta bankowego, jak już to konta na spółki – bo niestety ustawodawca tego wymaga, co też jest chore i pro bankierskie…. Uważam, że płacenie komuś za trzymanie moich pieniedzy mija się z celem troszkę, bo mogę to robić sam. A tak z ciekawości niebezpieczniku, ciekawi mnie kwestia transakcji b2b, które powyżej 15 tyś euro nie mogą być dokonywane gotówką, jak np kupuję hosting lub vps i płącę za btc, to wystawiają mi niektóre firmy fakturę, to co jeśli transakcję np na 20 tyś euro opłacę w btc lub innej krypto, nie jest to wtedy płatność gotówkoa, nie wiecie może jak ustawodawca do tego się ma?

  22. Tak nas orżnięto, przejęto login i hasło do banku przez spreparowany dotpay, przyszedł sms potwierdzający płatność, podaliśmy kod i poszło. Rano zero zł. Ale – wtedy był schemat sms: kod + info co zatwierdzamy, trzeba było przewinąć, żona miała małe dziecko na piersi myślała że opłaca wysyłkę podała, złożyliśmy reklamację, zgłosiliśmy na policję i bank się wypiął, ale po tej akcji zmienili sms na odwrót – najpierw info co autoryzujemy a potem kod, na końcu. W plecy prawie 7k. Napisałem do rzecznika, zobaczymy czy da się coś ugrać. Policja umorzyła z powodu niewykrycia, co było do przewidzenia.

    • bycie rodzicem nie zwalnia z obowiązku myślenia, śmiem twierdzić że wręcz przeciwnie

  23. Witam,
    trzy lata temu padłem ofiarą włamania na moje konto w mBanku (zwany potocznie mgangiem ze względu na ich postawę w podobnych sprawach). W niedzielny późny wieczór otrzymałem SMS pierwotnie że uruchomiłem usługę teleplay następnie po 2 minutach otrzymałem informacje, iż przyznano mi kredyt na kwotę około 65tyś zł by następnie po minucie otrzymać informacje o zleceniu przelewy na tę kwotę na inne konto (podobno zakupiłem wtedy samochód marki audi) . Niestety byłem biernym obserwatorem całej akcji jak zadzwoniłem natychmiast do banku to pracownicy blokowli transakcję przez godzinę. Pozgłoszeniu sprawy na policję (spisywali zeznania do 4 rano) otrzmyąłem kwity oi zgłoszeniu, w poniedziałek miał sie odezwać ktoś do mnie z działu bezpieczeństwa mbanku, po moich kilku monitach nikt do 15.30 poniedziałek i wtorek nie oddzwonił, w srode pojechałem do placówki mgangu w Łodzi gdzie uzupełniłem reklamację, nea tę reklamacje otrzymałem odpowiedz że puki sprawa nie skończy się w prokuraturze nie podejmądecyzji co dalej. Prokurator po 3 miesiacąch umorzył sprawę wskazują brak wykrycia osób trzecich a co za tym idzie mogłem od mgangu dostać strzała że skoro nie ma osób trzecich to sam wziąłem kredyt oraz przelałem część swoich środków na tamto konto (bo mgang za udzielenie kredytu wziął 10% marży). Po umorzeniu przez prokuratora sprawy na umorzenie złożyłem zażalenie i wskazałem że prokuratura w Białymstoku złapała grupę. Był to strzał w 10 ponieważ jak się okazało zabezpieczone nośniki wskazywały że ta grupa użyła mojego konta do wyłudzenia pieniędzy (przygotowanie trwa juz trzy lata bo okazało się że sprawa jest rozwojowa i jest tam grupa pranie pieniędzy i wszystko co tylko można (167tomów akt). Niestety przez ten czas bank nie zwrócił mi moich środków (jedyne co mi się udało to wykreślono mnie z BIK oraz zaraz po tym akcie zadzoniłem do PLAY i wpłynąłem aby usługa telepay zniknęła z oferty publicznej co mi się udało (nikt więcej tą metodą nie zostanie oszukany – co jest moja zasługą). moje prywatne środki nie zostały mi zwrócone do dnia dzisiejszego mimo reklamacji którą do nich wysłałem. Czy jest ktoś może z czytelników kto zna dobrego adwokata który mógłby się zająć tą sprawą – mogę zrobić ją medialną aby mbank stracił wielu klientów.
    Chciałbym również uzyskać zadośćuczynienie od banku za jego podejście do klienta a raczej brak podejscia do klienta, za zbywanie klienta oraz fakt iż do końca życia ja i moja rodzina logując sie na konto internetowe robi to z podniesionym ciśnieniem. Prosze o kontakt mailowy osoby które mogłyby mi w tym pomóc.

  24. Czy w przypadku kradzieży pieniędzy z konta przykładowy aliorbank nie będzie uznawał reklamacji jeśli system nie posiada aktualizacji? https://www.aliorbank.pl/dodatkowe-informacje/bezpieczenstwo/nowe-zagrozenia.html

  25. […] Przed tym SMS-em ostrzegał m.in. PKO BP. Bank zachęca osoby, które nieostrożnie kliknęły w link, aby zadzwoniły na numer 800302302. My sugerujemy jeszcze tym osobom, by zapoznały się z prawem dotyczącym nieautoryzowanych płatności. […]

  26. Kiedyś mnie tak po rozboju na patyka mBank wydymał, jeszcze mieli pretensje w oddziale, że się dałem okraść podając PIN dwóm dresom z nożami, szuje.

  27. […] Niebezpiecznik już kilka razy pisał o tym jak powinna wyglądać reakcja banków na kradzieże pieniędzy i jak wygląda w praktyce. Przypomnijmy. Jeśli przestępca włamie Ci się na konto i dokona przelewu, w rozumieniu prawa jest to transakcja nieautoryzowana i bank powinien zwrócić te pieniądze. O przepisach, z których to wynika pisaliśmy w tekście pt. Ukradli mi pieniądze z konta i co dalej? Prawo swoje a banki swoje. […]

  28. Czy znacie jakąś kancelarię, która wygrała taką sprawę z bankiem i otrzymała zwrot pieniędzy?
    Właśnie zostałem w taki sposób okradziony i szukam kogoś, kto realnie pomoże.

  29. Czy wie ktoś może w jakim terminie można złożyć pozew o zwrot środków z nieautoryzowanych transakcji i od czego to zależy?

  30. Mnie okradziono w mBanku na kwotę ok 45 tys i oczywiście reklamację też odrzucono.
    Nie wiem jak znaleźć prawnika od takich spraw

    • I co znalazł pan prawnika.? Mnie dzisiaj okradziono.

  31. Również szukam prawnika od takich spraw, jak ktoś zna jakiegoś prawnika godnego polecenia od spraw finansowych proszę o polecenie. Dziękuję.

  32. Dzień dobry, 06.05.2021 padłam ofiarą oszystwa internetowego. Okradziono moje konto (mbank) na 4700 zł. Stało się to dlatego, że wystawiłam na olx buty, odezwała się do mnie zainteresowana Pani, że kupiła już te buty i muszę wejść w link aby odebrać pieniadze. Po kliknęciu w link musiałam podać dane do karty. Myslałam ze to ok, że to muszę zrobić aby odebrać pieniadze za buty. Jednak okazało się ze to fałszywa strona tylko po to żeby oszust mogl mnie obgolić z kasy. Gdy zorientowałam się że nie mam 4700 zł na koncie, skontaktowałam się z moim bankiem aby zastrzegł mi konto i zablokował karte oraz poprosiłam o anulowanie transakcji. Transakcja była w blokadach, ale jednak rozliczyła się. Zgłosiłam sprawę na policję oraz złozyłam reklamacje. Reklamacji nie uznali z przyczyny jak tłumaczą “płatnośc zatwierdzono przy uzyciu standardu 3d secure w aplikacji mobilnej. Nie zleciłam zadnej płatności, nie zatwierdziłam płatności ani smsem ani w zaden inny sposob. Co moge jeszcze zrobic aby odzyskac pieniadze? Czy jakies informacje w reklamacji beda dla nich istotne zeby to odzyskac? powolac się na jakies artykuły prawne? prosze o pomoc

    • Ja dzisiaj zrobiłam to co pani; znalazła pani pomoc?

    • Miałam identyczną sytuację, również jestem klientką mbanku i też dostałam tą samą odpowiedź. Planuje sięgnąć po pomoc Rzecznika Finansowego. Proszę powiedzieć czy coś udało się Pani w tej sprawie zdziałać.

  33. […] Niebezpieczniku, już w 2019 roku zwracaliśmy uwagę na to, że Polskie banki bardzo korzystnie dla siebie interpretują przepisy prawa dotyczące transakcji nieautoryzowanych, czyli mówiąc wprost, kradzieży pieniędzy z kont […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: