13:15
19/7/2022

Mamy w Polsce prawo, które nakazuje bankom zwracać pieniądze okradzionym klientom (art. 46 Ustawy o usługach płatniczych). Ale — co za niespodzianka! — banki w Polsce od lat niechętnie stosują się do tych przepisów ;) Dlaczego je ignorują? Bo w sumie mogą i całkiem to im się opłaca. Czasem przegrają jakąś sprawę sądową, ale lepiej przegrać z jednym upartym klientem niż zwracać pieniądze setkom okradzionych przez cyberprzestępców ludzi. UOKiK postanowił coś z tym zrobić i bankom to się chyba nie spodoba…

Lepiej późno niż wcale

W Niebezpieczniku, już w 2019 roku zwracaliśmy uwagę na to, że Polskie banki bardzo korzystnie dla siebie interpretują przepisy prawa dotyczące transakcji nieautoryzowanych, czyli mówiąc wprost, kradzieży pieniędzy z kont klientów. Co mówi prawo?

Jeśli ktoś dokona przelewu z Twojego konta bez Twojej wiedzy, taka transakcja jest w świetle prawa nieautoryzowana i bank ma obowiązek zwrócić pieniądze osobie okradzionej w ciągu jednego dnia roboczego.

Zanim krzykniecie, ale przecież to bez sensu, bo często ofiary są strasznie naiwne (albo co gorsza, że “ci debile, którzy łapią się na phishing są sobie winni i powinni ponieść za to konsekwencje“), zwróćcie uwagę na to, że taka konstrukcja prawa ma sens. Zmusza banki do stosowania zasady “security first”.

Bo w świetle prawa to bank jest profesjonalnym graczem na rynku usług bankowych i to on ma zadbać o to, aby było bezpiecznie.

  • Jeśli jakiś bank przesadza z marketingiem (np. ucząc ludzi klikania w dziwnie wyglądające linki w mailach) albo za bardzo ułatwia procedury dostępu do pieniędzy (por. Okradli klienta mBanku przez aplikację mobilną, bo znali jego PESEL i nazwisko panieńskie matki), to sam jest sobie winien i powinien za to płacić.
  • Jeśli bank nie monitoruje transakcji pod kątem anomalii i nie potrafi wykryć podejrzanych transferów środków, to powinien brać na siebie odpowiedzialność za straty powstałe w ten sposób po stronie klientów.
  • Aktualnie wiele banków wręcz przymusza klientów do korzystania ze swoich systemów, które są skomplikowane. Bez odpowiedniego upewnienia się, że klient naprawdę rozumie, co się dzieje i jakie mogą być konsekwencje niektórych działań. Jeśli bank nie edukuje swoich klientów, nie ostrzega przed nowymi wariantami ataków, nie uczula na niepoprawne zachowania, to nie może mieć do klientów pretensji, że dają się podejść.

 
Tyle teorii. W praktyce ustawa o usługach płatniczych mówi o jeszcze jednej kwestii. I właśnie na tej kwestii banki opierają swoje odmowy na reklamacje klientom, którzy zostali okradzeni przez cyberprzestępców.

“Rażące niedbalstwo” — tajna broń banków

Chociaż, jak już wiemy, co do zasady, za kradzież pieniędzy z konta odpowiada bank, to sytuacja jest inna, jeśli klient dokonał tzw. rażącego niedbalstwa. Więc banki powołują się na rażące niedbalstwo niemal zawsze.

Klient został zainfekowany złośliwym oprogramowaniem? To nic, że miał antywirusa i używał do konta osobnego komputera, do którego nikt nie miał dostępu. Skoro złapał malware, to był niedbały! (ta historia jest prawdziwa i została zaczerpnięta z jednego ze sporów sądowych, który zresztą bank przegrał).

UOKiK strzela z bacika

UOKiK zwrócił jednak właśnie uwagę na to, że samo powoływanie się na rażące niedbalstwo nie powinno mieć żadnego znaczenia. Dlaczego? Ponieważ nawet jeśli tzw. rażące niedbalstwo miało po stronie klienta miejsce, to bank i tak powinien najpierw oddać klientowi pieniądze, a dopiero później żądać ich zwrotu powołując się na rażące niedbalstwo i ewentualnie pozywając klienta.

Banki jednak wybierają inną interpretację — nie oddają pieniędzy w ogóle. Oczywiście ofiara przestępstwa może w tej sytuacji iść do sądu, ale nie każdy ma na tyle sił i pieniędzy, aby toczyć wieloletni spór z bankiem (por. Bank ma oddać 107 000 złotych ofierze phishingu. O tego rodzaju sporach sądowych pisaliśmy obszernie także w artykule pt. Ukradli mi pieniądze z konta i co dalej? Prawo swoje a banki swoje.)

W innym z opisywanych przez nas przypadków bank w odpowiedzi na reklamację przekonywał, że …przepisy Ustawy o usługach płatniczych nie mają zastosowania do takich spraw (zob. Jak ukradli mi pieniądze z konta i co na to mój bank).

Wiemy, że o prawie można dyskutować i różnie je interpretować, że czasem klienci nie są święci i mają swoje za uszami, ale trzeba obiektywnie przyznać, że niektóre odpowiedzi banków do klientów były naprawdę niskiego lotu.

UOKiK staje po stronie ofiar

W swoim komunikacie UOKiK przytacza historię emerytki, która spokojnie oszczędzała przez 30 lat aż tu nagle zalogowała się na konto i zleciła szybki przelew pieniędzy za granicę. Owszem, ludzie robią z pieniędzmi dziwne rzeczy, ale wszyscy się zgodzimy, że takie zachowanie odbiega od “normy”, a więc bank mógł w tej sytuacji poddać transakcję dodatkowej weryfikacji, co przecież często się zdarza. Bank dzwoni wtedy do klienta, uwierzytelnia go (czasem w bardzo naiwny sposób, ale to już temat na inny artykuł) i pyta, czy to faktycznie klient zlecił odbiegającą od normy transakcję.

UOKiK ogłosił, że zebrał już materiał dowodowy pozwalający na postawienie zarzutów naruszenia zbiorowych interesów konsumentów pięciu bankom.

  • Bank Millennium,
  • BNP Paribas Bank Polska,
  • Credit Agricole Bank Polska,
  • mBank,
  • Santander Bank Polska.

Jak informuje Tomasz Chróstny, Prezes UOKiK:

Zarzuty wobec pierwszych 5 banków dotyczą między innymi niezwracania konsumentom pieniędzy z nieautoryzowanych transakcji w ustawowym terminie, mimo że nie zaszły okoliczności, które by zwolniły bank z tego obowiązku

Poza wspomnianym wcześniej rażącym niedbalstwem, okoliczności, z których mogą korzystać banki, a które wg UOKiK nie zaistniały, to zbyt późne (poźniej niż po 13 miesiącach) zgłoszenie klienta lub uzasadnione podejrzenie oszustwa ze strony rzekomo poszkodowanego klienta, przy czym bank musi zawiadomić o tym policję lub prokuraturę.

Rzecznik Finansowy: banki zwracają rzadko

Na marginesie, warto przypomnieć, że Rzecznik Finansowy (który jako jedyna instytucja problem “rażącego niedbalstwa” starał się nagłośnić już lata temu) opublikował ciekawe analizy. Wynika z nich, że niektóre banki na kilkaset zgłoszonych nieautoryzowanych transakcji potrafiły zwrócić pieniądze tylko w kilku przypadkach.

Od siebie dodamy, że owszem, słyszeliśmy o przypadkach zwrotów, choć najczęściej dotyczyły one osób posiadających większe oszczędności w banku, jeśli kradzież dotyczyła tylko części środków. Albo takich, które w procesie reklamacji do banku dodały adres naszej redakcji do wiadomości, a w odpowiedzi (już tylko do klienta, nie do nas) bank zaoferował zwrot skradzionych środków, ale pod warunkiem, że klient podpiszę umowę o zachowaniu poufności i dopuści do publikacji opisu tej kradzieży (i zwrotu środków) w prasie :-)

Czym jest “rażące niedbalstwo”?

Kością niezgody na linii banki-okradzeni klienci zdaje się być to nieszczęsne “rażące niedbalstwo”.

Wedle wyroków sądowych, za rażące niedbalstwo można uznać takie działanie, które było świadomym, lekkomyślnym i wyraźnym ignorowaniem zasad bezpieczeństwa. “Rażącym” naruszeniem nie może być zatem nabranie się na phishing (bo to nie jest działanie świadome) czy bycie ofiarą malware’u. Sądy nie raz orzekały, że jeśli w kampanii przestępców dają się nabrać setki osób to trudno uznać pojedynczy przypadek okradzionego za rażąco odmienny od czegoś, co po prostu się zdarza.

Banki mają na rażące niedbalstwo inny pogląd. I chyba nikt nie jest tym zaskoczony… Na szczęście, to nie tak, że w każdym banku pracują tylko takie osoby, które w ogóle nie chcą pomagać ofiarom cyberprzestępców… Wielu chce, ale nie zawsze klient jest bez winy. Nierzadko bardzo pomaga przestępcom.

W wielu przypadkach, np. popularnych atakach na OLX/Vinted, klienci przepisują na podstawionych stronach kody z SMS-ów, niby po to, aby potwierdzić transakcję, chociaż w treści SMS jest wyraźnie napisane, że kod dotyczy czegoś zupełnie innego (np. aktywowania aplikacji mobilnej lub tzw. odbiorcy zdefiniowanego).

O ile można zrozumieć, że ktoś nie zauważy przejścia na stronę phishingową, to czy bank powinien przymykać oko na to, że ktoś nie przeczytał treści SMS-a w całości a jedynie skopiował z niego kod? Treści, która wprost dawała znać, że coś jest nie tak?

Niektóre banki stawiają na edukację

W części z banków — i to nawet w oddziałach tych, które we wczorajszym komunikacie napiętnował UOKiK — są osoby, które wiedzą, że aby skutecznie ograniczyć straty finansowe klientów, nie tylko bank musi mieć odpowiednie systemy bezpieczeństwa, ale i klient musi być wyedukowany.

W ostatnich kilku latach, część z banków wyjęła wreszcie głowę z piasku. Działy PR przestały udawać że nie ma problemu i że nikt ich klientów nie okrada w internecie.

O tym, żeby uważać podczas bankowania online, kampanię w TV zrealizował mBank. W zakresie bezpieczeństwa bankowości swoich klientów regularnie edukują też ING i BNP Paribas. Pamiętamy też interaktywną kampanię Aliora w internecie. Klienci chyba wszystkich banków są na stronach logowania bombardowani ostrzeżeniami (choć trzeba przyznać, że niektóre z nich są napisane tak fatalnie, że my nie mamy pojęcia o co chodzi, co dopiero zwykły klient…)

Ale ta edukacja jest opcjonalna. Dla chętnych. Może pora na to, żeby nie tylko wymusić lepsze monitorowanie transakcji pod kątem anomalii i fraudów w bankach, ale również konieczność przeszkolenia klienta?

Zwłaszcza, że w oStatnich atakach, coraz częściej to klient, mamiony socjotechniką, okrada się sam. Bo przez wciąż nieuregulowaną kwestię spoofingu w Polsce, myśli że dzwoni do niego pracownik banku.

W tych przypadkach wszystkie transakcje są realizowane z urządzeń klienta, jego adresów IP i są poprawnie autoryzowane. Tu analiza anomalii po prostu może się nie udać… Tylko świadomość klienta jest w stanie go ochronić. I to jednak bardziej banki niż sam klient powinny być za zbudowanie tej świadomości odpowiedzialne.

Czy to koniec problemów konsumentów?

O ile bardzo nas cieszy interwencja UOKiK, bo spodziewamy się, że pociągnie ona za sobą tak potrzebne, większe budżety na działy antyfraudowe w bankach, to nie łudzimy się, że sytuacja ofiar szybko się poprawi. Ci, którzy zostali już okradzeni, nadal muszą sądzić się z bankami (choć nagłośnienie tematu i interwencja UOKiK może być argumentem w sądzie).

Dlatego warto nie tylko dochodzić swoich praw ale warto też samemu zadbać o to, aby nie zostać okradzionym. Najprościej jest po prostu zapisać się na nasze CYBERALERTY — czyli bezpłatne ostrzeżenia o tym, jak aktualnie cyberprzestępcy próbują okradać Polaków, wraz z opisami metod i tego na co uważać, żeby nie stracić pieniędzy w internecie.




Bez obaw, Twoich danych nikomu nie przekażemy. Raz na jakiś czas, poza ostrzeżeniami o aktualnych atakach możesz od nas dostać inne informacje związane z bezpieczeństwem (np. zaproszenie na webinar dotyczący bezpieczeństwa w sieci). Jeśli lubisz czytać o RODO, kliknij tutaj.

Zachęcamy też do rzucenia okiem na nasz kanał na YouTube, gdzie objaśniamy na czym polegają niektóre z ataków na klientów bankowości. Warto zobaczyć i przesłać wszystkim znajomym zwłaszcza ten filmik — bo to oszustwo od 2 lat codziennie generuje po kilkadziesiąt ofiar…

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

184 komentarzy

Dodaj komentarz
  1. Mnie zastanawia czemu banki w ogóle nie informują o możliwości zmianie limitu płatności. Zazwyczaj domyślne limity są dość spore, a banki raczej nigdzie nie informują, że można to zmienić. Trzeba samemu poszukać i ręcznie wszystko edytować. Jak dla mnie przy zakładaniu konta powinno być pytanie o limity, bo nie każdy potrzebuje limitu np 10 000 zł czy więcej dziennie. A ci co już mają założone od lat konta powinni dostać informacje żeby dostosowali limity do swoich potrzeb.

    Jeśli limity są odpowiednio niskie to nawet jeśli stracimy środki to nie będzie to jakaś ogromna kwota. Owszem oszust może limity zmienić, ale jest to kolejna rzecz którą trzeba autoryzować.
    Szkoda tylko że nie zawsze jest to jasno napisane i niektóre banki wyświetlają info w stylu zmiana limitu na limit użytkownika (czy coś takiego, bez konkretnej kwoty!). Dodatkowo powinna być weryfikacją 2 etapowa do powiększenia limitu, przykładowo jeśli normalnie autoryzujemy aplikacją mobilną banku to przy zwiększeniu limitu powinna być autoryzacja aplikacją + dodatkowo jeszcze kod z sms / email wraz z dokładną informacją jaki limit i na jaką kwotę zostanie zmieniony. Żaden z banków z których korzystam nie wysyła też powiadomień push/email/sms przy zmianie limitu. Dlaczego ?

    • Doskonale pytanie. Chyba trzeba poczekać na psd3, żeby wymusić takie dostosowywanie limitów dynamicznie, co np. kwartał, bazując na historii transakcji, jeśli klient sam nie ustawi sobie wcześniej niższego limitu. Trzeba jednak zauważyć, że to nie przez brak limitów dochodzi do fraudów. Warto je mieć ustawione bo to psuje workflow niektórych phishing kitów, ale same limity nie będą wystarczająca ochroną przed aktualnie obserwowanymi przez nas atakami.

    • Dlatego, że dziennie limity zmienia 1.000.000 klientów a oszukanych jest 100 (strzelam). Jeżeli dla wszystkich (1mln. dziennie) wprowadziłbys takie ograniczenia w używalności (klienci postrzegają to jako “problemy generowane przez bank”) to klienci podnieśliby raban albo przepłynęli do banku który wd. nich “nie jest upierdliwy”
      Takich świadomych jak Ty czy inni czytelnicy jest promil promila w promilu. Reszta ma wywalone do momentu kiedy gdzieś coś się nie wydarzy.

      PS. Informacje o zmianie limitu możesz sobie skonfigurować w panelu powiadomień – raczej większość banków to ma ale wyłączone by default.

    • Niestety banki z których korzystam nie mają powiadomień o zmianie limitu. Mam włączone wszystkie możliwe powiadomienia.
      Wracając do limitów każdy z banków powinien być zobowiązanych do limitów tymczasowych, chyba niektóre banki już to mają. Te z których ja korzystam niestety nie. Fajnie by było przy zmianie limitu móc z góry ustawić że limit obowiązuje tylko na 1 płatność, albo tylko do północy itd. Tak żeby nie trzeba było pamiętać o jego zmniejszeniu.

      Jeśli chodzi o autoryzację niektórych operacji to niektóre operacje “wysokiego ryzyka” typu dodanie karty do e-portfela, powiększenie limitu, przelew na dużą kwotę powinny wyświetlać duży, czytelny alert w stylu UWAGA! Wykonujesz przelew na kwotę 100 000 zł. Krótki, duży, czytelny komunikat i dopiero po jego zatwierdzeniu standardowa autoryzacja. Tak żeby po prostu zwrócić uwagę przy nietypowych operacjach. Tak żeby czegoś “z automatu” nie zatwierdzić. Operacje “wysokiego ryzyka” nie powinny też zezwalać na autoryzacje biometrią, wszędzie banki promują biometrię, ale według mnie wcale biometria do autoryzacji operacji nie jest dobra. Łatwo przyłożyć palec, zatwierdzić coś i nawet nie przeczytać co dokładnie robimy. Autoryzacja operacji jak dla mnie tylko przez kod pin, wtedy odruchowo zanim wpiszemy pin sprawdzamy co potwierdzamy (a przynajmniej ja tak robię :P). Co innego biometria do logowania, tutaj jak najbardziej jestem za, bo wygodne i nic przypadkowo nie autoryzujemy.

    • Informacja o zmianach limitów na karcie płatniczej jest w liście, który jest załączony do każdej nowej karty płatniczej. Jest tam informacja o domyślnych limitach oraz jak je zmienić samodzielnie.

    • akurat moim zdaniem biometria jest lepsza, bo nie da się jej (tak łatwo) skopiować, jak jakiegoś kodu
      a w kwestii flow użytkownika to ciężko powiedzieć, pewnie u każdego jest inaczej

    • I wtedy jak wszyscy będą dobrze poinformowani o możliwości zmiany limitów złodzieje dopasują scenariusze.

    • @ Jan 2022.07.19 13:57
      Twoje pomysły z limitami są absurdalne. Wiara, że więcej technologii rozwiąże problemy spowodowane technologią jest brakiem zrozumienia problemu.
      Zwróć uwagę, że przed bankowością internetową kiedy klienci zlecali przelewy w oddziale banku i autoryzowali dyspozycje własnoręcznym podpisem miały miejsce tylko pojedyncze przypadki nieautoryzowanych transakcji. W 2021 było ich już około 5 tys. kwartalnie. Rozwój technologii powoduje, że z każdym rokiem nieautoryzowanych transakcji jest coraz więcej.

      Transakcje oszukańcze kartami wydają się być pod kontrolą, ale wartość fraudowych przelewów wzrosła aż o 42 proc.
      https://www.cashless.pl/10867-nbp-transakcje-oszukancze-2-kw-2021-r
      “Liczba złodziejskich przelewów po raz pierwszy w historii przekroczyła 5 tys. kwartalnie a wartość – 30 mln zł. ”

      Limity, które można ustanowić i zmienić w bankowości internetowej są bez sensu ponieważ przestępcy sami je podniosą i wyczyszczą konto – polecam analizy dostępne na stronie Rzecznika Finansowego.
      Moim zdaniem każdy klient powinien mieć na mocy ustawy możliwość ustanowienie dziennego i miesięcznego limitu przelewów internetowych aby móc samemu określić ryzyko związane z korzystaniem z bankowości internetowej i mobilnej. Bank powinien mieć obowiązek zaproponować to klientowi przy podpisywaniu umowy.
      Klient powinien na mocy ustawy decydować jak ma wyglądać proces ustanowienia i zmiany limitu:
      – tylko w oddziale banku (najwyższy poziom bezpieczeństwa),
      – przez telefon (jeśli bank ma dobre procedury identyfikacji przez telefon to może to być
      całkiem bezpieczne)
      – przez internet – klient podczas podpisywania umowy z bankiem powinien decydować kiedy nowe limity zaczynają obowiązywać – natychmiast, po 24h, 48h, 72h, 7 dniach.

      Pomysł czasowego opóźnienia dyspozycji zaczerpnąłem z historii maklera na giełdzie towarowej w Chicago. Kilka jego kont różnego typu zostało zhakowane. Obroniło się tylko to na giełdzie, bo obowiązywało na nim opóźnienie 24 h lub 48 h.
      Giełda krypto Kraken daje klientom możliwość włączenia Global Settings Lock (GSL). GSL zamraża wszystkie ustawienia na koncie. GSL może trwać od 24 h do 30 dni od momentu złożenia dyspozycji (klient sam wybiera ilość dni). Klient ma od 24h do 30 dni aby zareagować na próbę zmiany ustawień na jego koncie.

      What is the Global Settings Lock (GSL)?
      https://support.kraken.com/hc/en-us/articles/201396877-What-is-the-Global-Settings-Lock-GSL-

    • @ Jan
      Twoje pomysły z limitami nie są najlepsze.
      Moim zdaniem technologia nie rozwiąże problemów, które sama spowodowała. Zwróć uwagę, że przed bankowością internetową kiedy klienci zlecali przelewy w oddziale banku i autoryzowali dyspozycje własnoręcznym podpisem miały miejsce tylko pojedyncze przypadki nieautoryzowanych transakcji. W drugim kwartale 2021 było ich już około 5 tys. i miały wartość 30 mln zł. Rozwój technologii powoduje, że z każdym rokiem nieautoryzowanych transakcji jest coraz więcej.
      Limity, które można ustanowić i zmienić w bankowości internetowej są bez sensu ponieważ przestępcy sami je podniosą i wyczyszczą konto – polecam analizy dostępne na stronie Rzecznika Finansowego.
      Moim zdaniem każdy klient powinien mieć na mocy ustawy możliwość ustanowienie dziennego i miesięcznego limitu przelewów internetowych aby móc samemu określić ryzyko związane z korzystaniem z bankowości internetowej i mobilnej. Bank powinien mieć obowiązek zaproponować to klientowi przy podpisywaniu umowy.
      Klient powinien na móc decydować jak ma wyglądać proces ustanowienia i zmiany limitu:
      – tylko w oddziale banku (najwyższy poziom bezpieczeństwa),
      – przez telefon,
      – przez internet – klient podczas podpisywania umowy z bankiem powinien decydować kiedy nowe limity zaczynają obowiązywać – natychmiast, po 24h, 48h, 72h, 7 dniach.

      Pomysł czasowego opóźnienia dyspozycji zaczerpnąłem z historii maklera na giełdzie towarowej w Chicago. Kilka jego kont różnego typu zostało zhakowane. Obroniło się tylko to na giełdzie, bo obowiązywało na nim opóźnienie 24 h lub 48 h.
      Z kolei giełda Kraken daje klientom możliwość włączenia Global Settings Lock (GSL). GSL zamraża wszystkie ustawienia na koncie. GSL może trwać od 24 h do 30 dni od momentu złożenia dyspozycji (klient sam wybiera ilość dni). Klient ma od 24h do 30 dni aby zareagować na próbę zmiany ustawień na jego koncie.

    • W Alior Bank przy zakładaniu konta pytali mnie o wszystkie limity więc może to zależy od banku. W ilu bankach zakładałeś ostatnio konto, żeby się wypowiadać w ten sposób?

    • To proste. bankowi kradzież z powodu ‘rażącego zaniedbania’ po prostu się opłaca. złodziej złodziejem, ale komornika to nasyłają na okradzionego.

      btw. ostatnio też zaczęli do mnie dzwonić jacyś idioci “z banku”, tyle że nie chcieli powiedzieć z jakiego. kolejne telefony były już z konkretnego banku, i chcieli wciskać jakiś kredyt. kasa z kredytu by pewnie poszła gdzieś w kosmos. zero rozmowy z takimi. chociaż ja przeciągam ile wlezie, i w żadnym momencie nie mówię “tak” aby tego sobie nie zmontowali jako zgodę na przysłowiowe już “oddanie nerki”. zmarnują ze mną mnóstwo czasu, to im się odechciewa dzwonić na dłużej. bo jak się szybko załatwia sprawę, to dzwonią do oporu.

      oczywiście RODO i takie tam, nie ma odpowiednich ustaw aby takie telefony zgłaszać jako nękanie i tak dalej. zazwyczaj oni wiedzą do jakiej miejscowości dzwonią. mają to z BTS operatorów ?????? zakładam że tak.

  2. Co do “weryfikacji” to miałem przyjemność pracować dla jednego z banków – nie ma czegos takiego jak system losuje pytania tylko na podstawie to z czym klient dzwoni jest weryfikacja uproszczona bądź rozszerzona, konsultanci w większości przypadków zawsze zadają takie same pytania :)
    Co moge polecic ustawić sobie kod zwrotny do weryfikacji pracownika banku. dwa kontaktować się przez aplikację, część banków wprowadziła już automatycznie zaczytywanie a “magiczne pytanie weryfikacyjne” czy kontaktuje się pan/pani przez aplikację.

    Swoją drogą niektóre antywirusy (nie będę nic polecał) mają piaskownicę gdzie można się logować właśnie do banku i to była jedna z najważniejszych czynności jaką wiedziałem by przekazać rodzicom, tak samo jak płacenie kartą – żadne przelewy/bliki inne ekspresówki.

    • Z zadawaniem tych samych pytań to potrafią w czasie 1 rozmowy z 1 konsultantem zadać 1 pytanie kilka razy. Przy ostatnim kontakcie chyba ze 3 razy pytali mnie o pesel, ze 2 razy o adres. Ale ani razu o hasło ustawione do kontaktu z infolinią. A na reklamacje w tej sprawie odpisali, że to ze względu BEZPIECZEŃSTWA. Więc według nich bezpieczniej zapytać 3 razy o pesel (oczywiście za każdym razem podany poprawnie), ale wcale nie zapytać o hasło które było ustalane w placówce banku.
      Chyba przekalkulowali, że szansa na to, że ktoś będzie dzwonić na infolinię i się podszywać jest mała, a bardziej kosztowne dla banku jest to, że ludzie nie pamiętają haseł które x lat temu ustawiali w banku. Później dzwonią wielokrotnie, zajmują infolinię, marnują czas w placówce banku, więc taniej im hasła usunąć :( Szkoda, tylko że kl wyboru nie ma.

    • z płatnościami w sieci to jest tak, że chargeback łatwiej uzyskać, niż zwrot od pośredników, ale jeśli podajesz dane karty na stronie sklepu to możesz stracić wszystko (nawet jeśli tylko tymczasowo), a to często zaboli bardziej, niż trwała utrata tej mniejszej kwoty
      także to chyba rachunek ryzyka przede wszystkim

  3. Po pierwsze europejskie przepisy dotyczące nieautoryzowanych transakcji, a polskie tłumaczenie tego zapisu w ustawie o usługach płatniczych to zupełnie dwie inne sprawy. Po drugie, jeżeli bank ma ponosić konsekwencje tego, że klient nie czytając sms podaje kody autoryzacyjne na lewo i prawo, bo “pieniądze mam dostać”, a w sms jak byk Dodanie aplikacji mobilnej, jeżeli to nie Ty to dzwoń do Banku i nie podswaj nikomu tego kodu, to ja dziękuję, ale ten system pierdolnie.

    • Dokładnie. Jeśli banki nagle zaczną odpowiadać za ludzi, którzy nabrali się na phishing, to wszyscy za to zapłacimy. Nie dość, że opłacamy socjal to mamy jeszcze zacząć opłacać głupotę?

      Już teraz mechanizmy antyfraudowe oparte o “AI” są delikatnie mówiąc irytujące i blokują transakcje w grach i zagranicznych sklepach, nawet jeśli ten profil wydatków jest typowy dla danego konta (dlatego przerzuciłem się prawie w 100% na paypal). Jeśli jeszcze zacznie się chronienie ludzi przed własną głupota, to poziom uprzykrzania życia normalnym klientom przekroczy wszelkie granice.

      Może najpierw organy państwowe niech zaczną od edukacji. Jeśli ktoś nie umie czytać URLi i zawartości paska adresu, to nie powinien przejść do 5 klasy podstawówki.

    • > klient nie czytając sms podaje kody autoryzacyjne na lewo i prawo,
      > bo “pieniądze mam dostać”

      Podawanie kodow autoryzacyjnych na lewo i prawo to ewidentnie razaca niedbalosc, to nawet w najbardziej niekozystnej dla bankow interpretacji nie bylo problemem wiec dlaczego sie czepiasz?

      A co to ofiar phishingu, co ja tu widze to duzo czczej gadaniny… Liczy sie tylko to czy racjonalnie kompetentna osoba byla w stanie sie zorientowac, a to zalezy troszke od niego samego, dostepnosci edukacji/informacji odnosnie obracania pieniedzmi, formy interakcji pomiedzy klientem a bankiem, to jak bank przeprowadza swoje operacje, to jak instutucje finansowe podchodza do przestepcow (wygodniej zaplacic/stracic ale to mnozy przestepcow i polepsza ich kompetencje) etc.
      TL;DR: banki narzucaja reguly, niech ponosza konsekwencje. na biednego nie trafilo…

  4. Jak ktoś się upił i po pijaku przepuścił wszystkie swoje oszczędności na głupoty to też nie zrobił tego świadomie.

    • Ale wtedy w historii transakcji, na smartfonie i po stronie operatora nie będzie śladów które wskazują na bycie ofiarą phishingu. Bank może wtedy skorzystać z “podejrzenia oszustwa” o którym jest w artykule i o którym wspomina też UOKiK – i środków nie zwracać.

    • Czyli z założenia traktować klientów jak upośledzonych?

    • @Agrest

      Od lat traktuję tak userów i imo to dobra praktyka. Parę razy niektórym uratowało to tyłek. Nawet samego siebie traktuję jako potencjalnie upośledzonego w niektórych warunkach i robię sobie różne utrudnienia żeby czegoś nie wyklikać za szybko i zbyt automatycznie.

      To jak szlaban przed przejazdem, sztuczne wyboje na jezdni, barierki między pasami autostrady – przy założeniu że wszyscy jesteśmy inteligentni i myślący w sumie mogłoby ich nie być, nie? ;-)

  5. Na miejscu banków w odpowiedzi na taką bzdurę wprowadziłbym obowiązkowe szkolenia + red team skierowany przeciwko własnym klientom.

    W ramach szkolenia klienci dostawaliby podstawowe informacje o typowych atakach, czytaniu paska adresów, budowie adresu stron internetowych, itd. Na końcu test. Jeśli ktoś nie zda – nie ma prawa korzystać z bankowości internetowej. Jeśli zda – odpada ochrona w przypadku nabrania się na podstawowy phishing.

    Do tego “ataki” na klientów. Jeśli ktoś się nabierze – konieczność powtórzenia szkolenia przed możliwością dalszego korzystania z bankowości internetowej. Są zresztą do tego automatyczne narzędzia, więc koszt byłbym mniejszy niż zwracanie dziesiątek tysięcy komuś kto był tak naiwny, że pomyślał, że musi podać dane logowania do swojego banku, żeby odebrać przelew z olx.

    • O to to! Egzamin na kartę… bankomatową :)
      Śmieję się, ale pomysł całkiem niezły!

  6. A jeśli ktoś włamie mi się do mieszkania, bo zostawię klucze na wycieraczce to też wina banku czy spółdzielni mieszkaniowej?

    • To jak działa klucz uczy się ludzi od dziecka. Na szafkach z wisienka mi w przedszkolu, pamiętniczkach i drzwiach domowych. Klucz obracasz w prawo lub lewo. To pełen zakres działania.
      A teraz czas start. Naucz dziecko obsługi komputera w tym samym czasie w pełnym zakresie działania.
      Uwielbiam ludzi którzy tworzą kiepskie porównania. Ty porównałeś gruszki do szyszek, bo też rosną na drzewach, chociaż na myśli miałeś owoce.

    • Czyli logika dotyczy klucza a tego, że przy “odebraniu pieniędzy” za produkt na OLX/vinted/ allegro lokalnie nie podawać numeru PESEL już nie?
      Prawda jest taka, że ludzie nie czytają kodów SMS,nie zastanawiają się, że na stronie banku muszą tym razem wpisać całe hasło, a nie tylko kilka wybranych znaków ( jak zazwyczaj), że ktoś chce dane ich karty a treść SMS autoryzacyjnego nie zgadza się z tym, co aktualnie robią.

  7. Sorry ale walicie taką bzdurą, że aż boli – chyba poklask i fejm Wam się rzucił na oczy.

    ““Rażącym” naruszeniem nie może być zatem nabranie się na phishing (bo to nie jest działanie świadome) czy bycie ofiarą malware’u. ”

    Nabranie się na stronę (kliknięcie w link) nie jest rażącym niedbalstwem ale podanie tam danych jest.
    Jeżeli klient klika w jakieś linki, jest przenoszony na stronę phishingową i tam podaje dane to JEST rażącym niedbalstwem (podanie danych) bo klient nie sprawdził i nie zweryfikował że adres strony phishingowej nie jest oryginalną stroną banku. Nie sprawdził też certyfikatu a mógł. To że się nie zna i nie umi nie ma znaczenia, powinien umić bo to są proste sprawy. Jak umi korzystać z internetu to niech się naumi korzystać bezpiecznie. Amen.

    Jeżeli klient sadzi sobie malware na kompie albo telefonie, nie ważne w jaki sposób (a czasami na prawdę trzeba się postarać) a potem traci dane do logowania i kasę to JEST to rażące niedbalstwo – albo w zakresie braku aktualizacji systemów operacyjnych albo zasady nie instalowania oprogramowania z nieznanego/niezaufanego źródła.

    Każdy bank na stronie internetowej ma opisane podstawowe zasady bezpieczeństwa. Każdy bank ostrzega klientów poprzez aplikację mobilną o nowych trendach i rodzajach ataków. Każdy bank robi to samo poprzez bankowość internetową (www). Dodatkowo wysyła ostrzeżenia mailem. No szkoda, żeby jeszcze dzwonili o opowiadali na uszko :)

    W każdej umówie korzystania z bankowości elektronicznej (mobilnej i internetowej) są zapisy o przestrzeganiu zasad bezpieczeństwa które klient zobowiązuje się przestrzegać.

    Jak klient JEST debilem/idiotą/nieogarem/naiwniakiem/nieuważny/chciwy/nie ma wiedzy to i tak do niego należy ta część bezpieczeństwa związana z jego danymi do logowania i jego urządzeniami.

    Jeżeli dochodzi do rozprawy i jest podnoszone rażące niedbalstwo klienta to bank wykazuje, że klient nie zastosował się do zasad bezpieczeństwa które go obowiązują zgodnie z umową, a zasady są tu tu tu i tu. I jeszcze tu. I są klientowi przypominane, przesyłane mailem, wyświetlane itd.
    Dziękuje koniec rozprawy, klient wykazał się rażącym naruszeniem.

    PS. Nie mówię o skrajnych przypadkach gdzie zawinił bank bo i takie się zdarzają.

    • Głupiś. Z czasem zrozumiesz, że nie każdy jest tak techniczny jak Ty i że Ty też nie ogarniasz wielu tematów spoza Twojej podstawowej dziedziny.

    • Nie rozumiesz prawa w kontekście “rażącego niedbalstwa”. Nieświadome przepisanie jakichś cyferek z nieczytelnego SMS nie jest nawet niedbalstwem, nie mówiąc rażącym.
      To bank ma przygotować komunikat tak, by ich klient z IQ 50 podjął na jego podstawie świadomą decyzję i odpowiedzialność za skrótowość i jego nieczytelność spada na bank.
      Bank może przed podpisaniem umowy zrobić kurs na “świadomego klienta”, ale tego nie robi, bo bardziej opłaca mu się bawić w sprawy sądowe, niż edukować oraz wysłać np. 2 SMS zamiast 1 (koszty).

    • No ale jeśli Bank wciska konto internetowe komuś, kto ledwo umie wejść na Onet jeszcze przez IE, to dla mnie 100% wina banku. Podobnie z kredytem jeśli na każdym kroku wciskają kredyty powinni pokazać też jakie będą raty w różnych sytuacjach, a nie tylko marketingowe gadanie typa który ma płacone od zwerbowanego klienta. Myślę, że powinien być na przykład jakiś test czy wystarczająco rozumiesz jak działa internet. W takiej sytuacji mieli by potwierdzenie że wiesz co robisz. Zakładając że ktoś przeczyta regulamin to nie musi go rozumieć a tym bardziej zapamiętać. Uważam że problem dzisiejszych czasów to marketing, bo nie kupuje się już dobrych i potrzebnych produktów tylko te reklamowane.

    • Problem w tym, że prawie każdy bank dąży do pozbycia się placówek ze względu na koszty :)

    • “Nabranie się na fishing nie jest nedbalstwem podanie danych już tak” – puknij się w glace, bo robisz qurwe z logiki, drugie wynika z pierwszego. Troll ZBP?

    • Tak jak pisze @B4 – jest wiele ludzi co nie powinni mieć konta internetowego z obsługą typowo online, ale nie mają realnej możliwości mieć innego, bo banki nie chcą ich oferować ani obsługiwać.

    • > Nie sprawdził też certyfikatu a mógł.

      Sprawdź certyfikat, uśmiałem się. Nikt tego nie robi. Wiem, bo zgłaszałem niepoprawne dane certyfikatu w Alior Banku, patrz https://i.xfix.pw/certyfikat.png

    • @Adam,
      Czcze wymowki… co powstrzymuje ciebie i banki przed eskalacja wymagan dotyczacych bezpieczenstwa w nieskonczonosc? Sprawdziles trasy pakietow? Zweryfikowales statusy prawne podmiotow podlegajacych, uczestniczacych i nadzorujacych proces certyfikacji? Przeprowadziles audyt na serwerach firmy swiadczacej ci uslugi dostepu do internetu, oraz serwerow DNS?

      NIE !?! DLACZEGO WYDAJE CI SIE ZE OSOBA MAJACA W D* BESPIECZENSTWO KTORA WLASNIE UDODOWNILEM ZE JESTES MA PRAWO NARZUCAC INNYM SWOJE STANDARDY?

    • @Adam dawno takich głupot nie czytałem…
      Tak jak napisał @B4: niech banki przestaną się wciskać wszystkim z kredytami, kontami za zero złotych itp. itd. to będą mogły rzucić jednym kamieniem.
      A jeden kamień niedbalstwa nie czyni.
      Na tej samej zasadzie nie musisz chodzić do lekarza, bo wszystkiego z medycyny możesz się nauczyć z podręczników dostępnych w księgarniach (tak jak wymagasz od klientów banków, żeby znali się na protokołach sieciowych i szyfrowaniu danych).
      Różnica jest taka, że pójście do lekarza jest wolnym wyborem – nie ma obowiązku leczenia, poza kilkoma wyjątkami, i możesz spokojnie żyć, pracować, robić zakupy, podróżować.
      Natomiast ciężko mi sobie wyobrazić życie i pracę bez posiadania konta w banku, gdzie domyślnie bankowość internetowa jest aktywna i wręcz wymagana (jak pesel u lekarza).

  8. Są banki i Banki. Konta miałem już w około 10 bankach i zostałem przy tych najlepszych.
    Sytuacje z życia: Regularnie kupuję obligacje, ale pewnego razu postanowiłem kupić wyjątkowo za 30k i dosłownie nie minęło 15 min i miałem telefon z Banku, że wyszło polecenie na taki i taki przelew i czy to na pewno ja zleciłem(tak wiem ktoś może mieć kopię mojej karty sim, ale to i tak niweluje dużą cześć przypadków), podobnie jak przelewałem żonie 15k, też Bank dokonał dodatkowej autoryzacji dzwoniąc do mnie.
    A w innym banku postanowiłem zamknąć konto i przelać na raz całe środki z dwóch kont, w sumie ponad 50k i przeszło, bez żadnej dodatkowej weryfikacji, jedyny kontakt od banku to pytanie czy na pewno zamykam konto i próba przekonania, żebym został dalej u nich, pomimo, że pieniądze już zostały przelane.

  9. A czy banki nie powinny stosować face recognition w bankomatach? Kradzieże szybko by zniknely

  10. Najlepiej wprowadzić przelewy tylko w dni robocze 8-16 i czekać 24h na telefon albo osobiście w okienku. Wtedy uokik i niebiezpecznik będą zadowoleni a to jest przecież najważniejsze.

  11. Banki powinny być solidnie karane za każdy przypadek, gdy przestępca dostaje się do konta klienta. Kara typu 10% rocznych obrotów. I od razu mielibyśmy zabezpieczenia nie do przejścia przez złodzieja. A bazowanie na telefonii komórkowej i jeszcze zrzucanie na nią odpowiedzialności (bo za łatwo przekierowali numer) to kolejna sprawa, za którą banki powinny słono zapłacić. Operator telefonii nie daje nam urządzenia do bezpiecznej autoryzacji, tylko urządzenie do prowadzenia rozmów.

    Co ciekawe, wśród oskarżonych jest CA, który ma genialne zabezpieczenie – sprzętowy token czytający kolorowe qrkody. Takiego kwadracika przestępca łatwo nie podrobi, a bez tego nie ma transakcji. Szkoda tylko, że jest to zabezpieczenie opcjonalne, dodatkowo płatne. Oszczędni dostają koty SMS.

    • Sprzętowe tokeny które nie wplatają urla wprost z przeglądarki do podpisu kryptograficznego da się łatwo obejsc. A te które wplatają zostaną “ominięte” socjotechnika, jak w wariantach z telefonami od fałszywego pracownika banku. Klient okrada się sam.

    • no to FIDO2, a nie jakieś własnościowe wynalazki, i z głowy
      to przecież nie jest aż takie drogie

    • Przeczytaj to: https://niebezpiecznik.pl/post/kradziez-na-pracownika-banku-blik-wplatomat/ i daj znać jak pomoże tu fido2 ;-)

    • @zakius: Jednostkowo nie jest, ale całościowo patrząc, to się uzbiera sporo kasy za np. 1 mln klientów * 50 zł = 50 mln zł. Z punktu widzenia banku lepiej wypłacić premie pracownikom, przyniosą więcej klientów.

    • nie da się zabezpieczyć przed wszystkim, ale da się uniknąć słabości kodów, które “wystarczy przepisać”

    • @kenjiro: ale wydawać je zamiast zawodnych tokenów, za które i tak klient płaci?

    • @Piotr Konieczny

      Póki tokeny sprzętowe nie są powszechne, trochę jednak utrudniają popularne scenariusze, wprowadzając dodatkowe warianty. Łatwiej powiedzieć “przepisz standardowy kod” niż “wykonaj taką operację jeśli masz taki token, inną jeśli masz inny i tak dalej”. Po drodze ofiara może się zorientować, że “pracownik banku” powinien chyba znać model jego tokena, albo w emocjach rąbnąć się we wpisywaniu pinu odblokowania ;-) Swoją drogą, token CA widziałem w użyciu i wplata wszystko co trzeba, taki mały komunikatorek. W którymś jeszcze banku jest ten sam model ale nie chce mi się teraz sprawdzać. Nie zabezpieczy w 100%, bo nic nie zabezpiecza w 100% i przed wszystkim, szczególnie jak kogoś oszust weźmie personalnie na celownik i zbierze z wyprzedzeniem informacje.

  12. Z perspektywy pracownika banku. Typowa lambadziara z olx/vinted. O tym czemu klikała w link to nawet nie ma sensu pytać. Jak zapytam czemu jak zadzwonił lektor z kodem do aktywacji apki, odczytał trwające 1,5min ostrzeżenie, co właśnie robi, a ona ten kod wpisuje w link, który dostała na whats upie odpowiedź brzmi zwykle: nie wiem. Ew myślałam, że tak trzeba. Jak pytam ludzi po co wpisywali dane osobowe, stan konta itd skoro to oni mieli otrzymać płatność odpowiedź jest ta sama.

    Powyżej ktoś słusznie zauważył – dostęp do bankowości internetowej powinien być reglamentowany.

    • My nie jesteśmy w stanie dotrzeć z filmikami o danym scamie do ofiar zanim staną się ofiarami. Chcielibyśmy, próbujemy, ale nie ma szans. To może zrobić olx/vinted/Wy. Bo ona jest Waszym klientem.
      Niby i Wy i oni wyświetlacie komunikaty z ostrzeżeniami. Ale czy ktoś bada ich skuteczność? “Lambadziara” nie rozumie jasnego komunikatu lektora przy parowaniu apki, że jeśli tego sama nie rozpoczęła to próba oszustwa, a zrozumie komunikat pisany tak, że my mamy problem żeby go rozczytać? Tu trzeba pokazać jak wygląda oszustwo krok po kroku i na końcu najlepiej płaczące dziecko albo rozjechanego samochodem kota, żeby był efekt. A działy PR (wasze i ich – choć są godne pochwały wyjątki) nie chcą pokazywać krok po kroku schematu ataku bo “obnaża to nasze bezpieczeństwo/konkurencja o tym nie mówi to klienci pójdą tam bo pomyślą że tam ataków nie ma”. No to teraz pozostaje Wam podzielić się karą od UOKiK z serwisami na których trafiono ofiary :)

    • @Niebezpiecznik
      Banki powinny zatrudniać lambadziary, do testowania czy komunikat jest zrozumiały? :D

    • Jest taki efekt psychologiczny, że jeżeli przekaz jest zbyt drastyczny, to go nie przyjmujemy – e.g. wszystkie zdjęcia płuc palacza na pudełkach papierosów. Więc rozjechany kot to przesada. Bawi mnie trochę Wasze rozdwojenie przekazu droga redakcjo – raz piszecie, że to “wina banków i trzeba chronić biednego użytkownika/lambadziarę, bo czegoś nie zrozumiała” a zaraz w kolejnym komentarzu piszecie “nieważne ile będzie zabezpieczeń, to nic to nie da, bo ludzie okradają się sami” – to w końcu okradają się sami czy bank pomógł złodziejom ich okraść? Zdecydujcie się ;)

    • @fakkkt: oczywiście, że powinny. Zasada jest prosta: produkt jest tworzony dla użytkownika, nie dla jego działu marketingowego. A tutaj było tak: analityk jest zadowolony z komunikatu, Product Owner stawia pieczątkę, a potem to wszystko idzie do użytkownika końcowego który mówi “WTF, nic nie rozumiem”.

  13. Od czasu kiedy banki zaczęły pobierać coraz większe opłaty za dokonywanie transakcji w Oddziałach i siłowo wypychać użytkowników do Internetu, do tzw. “bankowości elektronicznej”, stało się dla mnie jasne, że są dogadane z przestępcami.
    Wszystkie ostrzeżenia, szkolenia itp. prowadzone przez banki dotyczą tego co już się wydarzyło, nie tego jakie nowe oszustwo zostanie wymyślone.
    Elektronicznie miało być łatwiej, szybciej i lepiej. A jak jest? Wystarczy poczytać te tysiące stron o problemach bankowości elektronicznej – awarie, naprawy, konserwacje, kradzieże itd.
    Jeżeli ma być uczciwie i bezpieczniej proszę zlikwidować opłaty za transakcje w Oddziałach lub wprowadzić takie samy opłaty w korzystaniu z bankowości elektronicznej. Tak, żeby każdy miał wybór, a nie był finansowo spychany w ręce oszustów. Wtedy i cwaniak cyfrowy i człowiek naiwny znajdą coś dla siebie.

    • Ale to, że istnieją (o ile tak jest) tysiące stron z opisami problemów w bankowości elektronicznej, to nadal nie jest dowód na to że nie jest łatwiej, szybciej, lepiej. Bo to nadal może być tylko promil promila transakcji. W internecie też istnieją tysiące stron o katastrofach lotniczych co nie znaczy że samoloty powszechnie spadają.

    • @fisz
      O ile się orientuję, to jeszcze nie ma wysokich opłat za to, że ktoś nie chce latać samolotami tylko woli inne środki lokomocji. Czyli porównanie jest słabe.
      To, że dla niektórych bankowość elektroniczna jest szybsza i łatwiejsza to jest OK. Ale są tacy dla których jest to kłopot, utrudnienie i zagrożenie.
      Ludzie ufni i łatwowierni padają ofiarą oszustów, właśnie dzięki bankom, które być może nieświadomie występują w roli “naganiaczy”. Piszę “być może” ponieważ szanujące się banki musiały w analizach ryzyka dotyczących “siłowego” wypychania wszystkich klientów do Internetu, wziąć pod uwagę także ryzyka związane ze zwiększeniem liczby oszustw, wyłudzeń itd. Jeżeli uznano, że jest to ryzyko akceptowalne, to UOKiK ma rację, że chce się temu przyjrzeć.

    • Tajemnicą poliszynela jest, że są ludzie którzy niezgodnie z regulaminem banku proszą o pomoc osoby trzecie, na przykład wnuków (prawdziwych) o pomoc w obsłudze banku online. Z perspektywy banku jest to niedozwolone. Ale z perspektywy takiej przysłowiowej babci czy dziadka, to jeśli wnuk jest uczciwy, jest to rozsądniejsze niż klikanie na chybił trafił albo pod czyjeś dyktando telefoniczne. Może nie byłoby źle wprowadzić opcję autoryzowanego “pomocnika” oficjalnie w regulamin. Oczywiście to daje możliwość nowych scenariuszy ataku więc trzeba by to przekalkulować czy ma sens.

  14. jak bank zawali solidnie, tak jak pamiętny przypadek zmiany numeru konta zaufanego odbiorcy bez potwierdzenia, to oczywiście wina banku

    ale poza takimi wpadkami to warstw zabezpieczeń jest tyle, że trzeba się naprawdę postarać, żeby CELOWO zrobić przelew

    “Jeśli ktoś dokona przelewu z Twojego konta bez Twojej wiedzy”
    no i tu pojawia się pytanie: czy autoryzacja bez czytania, co się autoryzuje, to “dokonanie przelewu bez twojej wiedzy”?

    zgadzam się, że należy zwiększyć odpowiedzialność banków i wymagać od nich JASNYCH i ZWIĘZŁYCH

    • a jak to się samo wysłało? eh…

      zgadzam się, że należy zwiększyć odpowiedzialność banków i wymagać od nich JASNYCH i ZWIĘZŁYCH komunikatów przy autoryzacji działań i wlepiać gigantyczne kary za takie błędy jak wyżej wymieniony, ale nie można, a wręcz nie da się, obronić człowieka przed samym sobą

      ktoś ukradł kod SMS i go użył do autoryzacji? niewystarczające zabezpieczenia po stronie banku (chyba że użytkownik dostał na piśmie konsekwencje takiej metody, a mimo tego ją wybrał zamiast lepszej domyślnej)

      użytkownik dostał wyraźny komunikat w aplikacji informujący o tym, że ktoś dodaje nowego zaufanego odbiorcę/wykonuje przelew, na nieznany mu numer konta, ale i tak zaakceptował? operacja wykonana za wiedzą i zgodą użytkownika
      i przelew do zaufanego odbiorcy również taką jest, w innym wypadku banki dla świętego spokoju by usunęły ten mechanizm, bo to za duże ryzyko

    • Kliknięcie komunikatu na ekranie != świadome podjęcie decyzji.

      Problem leży w tym, że aplikacje wyświetlają masę podobnych komunikatów. A to przy wysłaniu przelewu na 10 zł dla fundacji, a to przy potwierdzeniu płatności kartą przez internet, i podobny komunikat przy dodaniu odbiorcy zaufanego.
      Powyższe komunikaty różnią się wyłącznie kawałkiem nieczytelnego tekstu, cała reszta wygląda identycznie, układ, przyciski, grafika. Dziś nie jest żadnym problemem, aby np. dodanie odbiorcy zaufanego lub przelew większej kwoty niż średniej z ostatnich 3 miesięcy wymagało 2 x SMS, albo SMS + mail, a do tego jeszcze kliknięcie w aplikacji z wielkim wykrzyknikiem – “Sprawdź, czy nie próbują cię oszukać! Chcesz dodać odbiorcę, który może otrzymać wszystkie twoje pieniądze!”.
      To nie jest trudne, ale trzeba chcieć, jednak banki tego nie robią, bo nie mają w tym interesu, stąd będą płacić “frycowe”.

    • podkreśliłem, że komunikaty muszą być zwięzłe i zrozumiałe, ale jednocześnie zawierać wszystkie istotne informacje (typ operacji, numer konta, kwota)
      dodawanie wykrzykników i 15 dodatkowych ekranów nie zastąpi umiejętności czytania (już nawet nie ze zrozumieniem)
      jeśli ktoś klika nie czytając w ogóle to nic mu nie pomoże

  15. Jestem ciekaw jak to jest w tych Bankach ? ile jest transakcji i ile osób pracuje w zespołach antyfraud i dodatkowo co jaki czas są konfigurowane FDS-y ?

  16. Mnie zastanawia inna kwestia – skoro bank powinien zwrócić pieniądze “w ciągu jednego dnia roboczego” to czy można mu wysłać żądanie zapłaty po czym zacząć naliczać odsetki?

    • bardzo dobre pytanie !!!

    • Tak, taka jest praktyka. Następnie sprawę kieruje się na drogę postępowania cywilnego przed sąd. W sieci można znaleźć dużo wyroków na korzyść poszkodowanych, w których sąd w orzeczeniu przyznawał, że bank nie wywiązał się ciążącego na nim obowiązku zwrotu środków i nakazał ich zwrot razem z odsetkami i zwrotek kosztów postępowania oraz zastępstwa procesowego.

  17. A czy nie wylejemy dziecka z kąpielą? taka sytuacja: Gangster umawia sie z kolega, który ma na konice powiedzmy 20 koła. Robią phising. Gangster ma 20 kola a kolega po chwili z banku otrzymuje zwrot także 20 kola. Czy taka sytuacja nie jest możliwa?
    a Co do umiejętności seniorów…ja Mamie zakazałem instalowania bankowości w telefonie. Juz sama “twarzoksiążka ” to mnóstwo problemów…a spróbuj zabrać dostęp… ;-)

  18. Możecie pisać i wymieniać się uwagami jakie to banki są złe i wstrętne. Ale powiedzcie kiedy ostatni raz zalogowaliście się do bankowości i przeczytaliście wiadomości z banku ?
    Od wielu lat pracuje w jednym z największych banków w kraju. Codziennie przyjmuje zgłoszenia fraudow. I jedyne co się zmieniło to to, że ludzie już nie wrzeszczą mi do uszu, że nic nie będą czytać. Wcześniej ? To był jeden potok drących mordę, że nic nie będą czytać i Ja i moi koledzy mamy im to przeczytać (każdą wiadomość). Ludzie wam się nie chce czytać nawet obrazkowej instrukcji jak aktywować kartę dzwonicie i jesteście zdziwieni, że sie zablokowała. O innych pomysłach nawet nie wspomnę …

    • A dziwisz im się? Dlaczego banki wysyłają kilkadziesiąt “pilnych wiadomości” rocznie? Na wuj mi wiedzieć, że jest jakaś super-duper oferta lokaty strukturyzowanej indeksowanej ceną manioku w Abu-Dhabi?
      To jest typowy przypadek chłopca, który wołał wilk. Nikt nie będzie się przebijał przez spam, aby dotrzeć do faktycznie istotnej informacji.
      disclaimer: Stałem po obu stronach barykady: jako dostawca i jako klient.

  19. Mamy tu do czynienia z klasycznym konfliktem interesów. Bankom zależy na wysokich limitach, łatwości “wydawania” pieniędzy i niskiej świadomości i umiejętności zarządzania zgromadzonymi środkami. Z tej to niewiedzy konsumentów płyną ogromne zyski dla banków. Płyną nawet z tego, ze niezaufane urządzenie (smartfon) traktują jako nośnik tożsamości nie bacząc na ryzyka z tym związane. PSD2 to namiastka bezpieczeństwa znów obchodzona rozwiązaniami “po taniości”, często staroświecka “zdrapka” jest lepsza :)

    • A co bank ma z wysokiego limitu na darmowe przelewy? Nic, to tylko wygoda dla klienta. Problem to wymyślić zabezpieczenie które byłoby zarówno skuteczne jak i akceptowalne przez klientów którzy nie uciekaliby do konkurencji. Łatwo gadać że banki powinny coś zrobić tylko jakoś trudniej powiedzieć co konkretnie a tego od ekspertów od bezpieczeństwa bym oczekiwał b oto nie jest portal prawniczy.

  20. Ale jak udowodnić, że to właściciel konta nie dokonał tej transakcji tylko oszust?

    • Są sytuacje gdzie faktycznie banki mogłyby dorobić dodatkowe procedury zabezpieczające, np: ustawianie obcego konta jako zaufanego z dodatkową weryfikacją czy tworzenie przelewu zdefiniowanego na wyższą kwotę z dodatkową weryfikacją. Jednak domaganie się od banku zwrotu środków bo klient nie czytał wiadomości albo nie słuchał tego co mówi lektor wydaje mi się grubą przesadą.

  21. Czytam komentarze i robi się słabo.
    Jak bank ma ustrzec przed:
    – zaakceptowaniem informacji o tym, że właśnie zlecasz przelew na taką i taką kwotę, choć nic nie zlecałeś?
    – podaniem PIN-u, który nie jest nigdzie zapisany, aby nie wpadł w niepowołane ręce?
    – podaniem kodu od lektora, który więcej niż raz podkreśla czego dotyczy dana operacja i jeśli nie ty ją zacząłeś to przerwij natychmiast?
    Takich przykładów jest mnóstwo. Z jednej strony wszyscy wymagają, aby banki najlepiej zamknęły dostęp do pieniędzy bez potwierdzenia tego za każdym razem próbką DNA, a z drugiej, jak stosują podjęte kroki bezpieczeństwa, to krzyczą, że im się ogranicza dostęp, bo musi potwierdzić, że nikt nie wykradł danych.
    Nauczcie się myśleć, a jak podstawy czytania ze zrozumieniem i wiedza, jaką jest “nazwisko panieńskie matki i PIN to dane, których nie zapisujesz na tablicy ogłoszeniowej” to za dużo, to może warto wrócić do papierowej gotówki, choć pewnie tam przy wydawaniu reszty matematyka będzie kuleć. A winny jest zawsze ktoś inny, a nie ten, co nie pomyśli.

    • Odpowiedź urzędów, a jak widać i Niebezpiecznika, jest uniwersalna: “Bo bank w relacji z klientem jest profesjonalistą i powinien chronić go przed… bla bla bla”.
      Chronić? Jasne. W ramach swojej odpowiedzialności, tego, co leży po stronie banku i od niego samego zależy!
      Ale czy nieumiejętność czytania ze zrozumieniem u klienta leży w zakresie odpowiedzialności banku? Czy zachłanność, naiwność, skrajna głupota – leżą w zakresie odpowiedzialności banku? Czy bank jest “profesjonalistą” w zakresie przewidywania najbardziej nawet nieracjonalnych zachowań? Czy bank jest “profesjonalną”, wirtualną nianią? Czy konieczne więc jest wdrażanie takich zabezpieczeń, które uchronią nawet największego kretyna przed zrobieniem sobie krzywdy – bo to bank “profesjonalista” jest odpowiedzialny za każdą dającą się przewidzieć głupotę? A nawet za te nie dające się przewidzieć?
      Dziwi mnie, że Niebezpiecznik, jako redakcja mająca za misję podnoszenie poziomu świadomości społeczeństwa w zakresie zagrożeń bezpieczeństwa w Internecie, staje po stronie poglądów, które te standardy de facto pragną zaniżyć! Komu takie równanie w dół ma służyć? Ułamkowi promila oszukanych (przez własne błędy) klientów. Kto poniesie koszt takich postulowanych skrajnie ostrożnościowych zabezpieczeń? Cała reszta klientów, która nie ma problemów z czytaniem ze zrozumieniem i co dzień życiowy test na technologiczne obycie zalicza z marszu.
      Postulaty weryfikowania każdego podejrzanego przelewu, wdrożenia biometrii, tokenów, podpisów, face-recognition, itp. przy każdej podejrzanej (albo i w ogóle każdej) transakcji, to przecież utopia. Wiemy, jak to się skończy – 99,9% klientów zagłosuje nogami i przejdzie do banków, które takich kłód nie rzucają pod nogi. A ten bank co postanowi chronić największego nawet nieogara przed nim samym, zostanie ze swoimi zabezpieczeniami jak ten Himmilsbach z angielskim.

    • Przeczytaj do końca nasz artykuł. A jeśli to zrobiłeś, to chyba niczym nie różnisz się od tych, których wyśmiewasz. Bo też nie zrozumiałeś tego co przeczytałeś :)

    • Droga redakcjo, niestety i ja odnoszę wrażenie, że cieszy Was fakt, że taka walka się zaczyna. Sami podkreślacie, że dobrze, że klienci walczą o swoje. I choć patrzycie na to w szerszej perspektywie, jak np zwiększenie edukacji, tak jednak docelowo nie tak będzie to wyglądało, bo zawsze będzie argument, że nadal było jej za mało. Niestety dotychczasowe argumenty przeciw bankom nie dotyczą głównie tego aspektu.
      Niestety Y ma tu rację – im bardziej bank przyciska i będzie przyciskał celem weryfikacji czy klient wie, rozumie lub czy to on zleca, tym więcej bank klientów straci. Już teraz banki mają wiele zabezpieczeń, dodatkowych weryfikacji czy po prostu sposobów działania, które zabezpieczają rachunki, gdy zadzieje się coś nietypowego. Zgadnijcie jakie są relacje klientów? Pudło! Nie, nie są zachwyceni, nie dziękują. Wkurw*ają się i oskarżają bank, że utrudnia im dostęp do własnych pieniędzy, bo oni idiotami nie są.
      Są badania pokazujące, że im więcej zabezpieczeń się pojawia, nie tylko w świecie cyber, ale w codziennym życiu, tym ludzie bardziej lekceważą złotą zasadę, że sami powinni się zabezpieczać i dwa lub więcej razy sprawdzać.
      Jak zaczną się sypać wyroki uzasadniające brak przeczytania 5 słów ze zrozumieniem, bo bank mógł przewidzieć, że dla tego akurat klienta to najlepiej piktogramami, bo może rysunki zrozumie, to niektórzy klienci będą masowo tracić oszczędności, bo już w ogóle nie będą czuć żadnej odpowiedzialności za swoje działania.

    • Podrzucisz te badania? Bardzo ciekawy wątek, chętnie się z nim zapoznamy.

    • Jasne, jak tylko je odnajdę, co okazuje się niezwykle trudne. Na pewno były publikowane przed 2018r, bo wtedy o nich czytałam.

    • to ja dam taki “dowód anegdotyczny”:
      android ma to do siebie, że przy płatności może uznać, że użytkownik jednak jest idiotą, i mimo jego ustawień poprosić o potwierdzenie płatności
      i oczywiście przy zakupie aplikacji za kilkadziesiąt zł tego nie robi, ale przy mikropłatności za minimalną kwotę (u nas 2.99?) potrafi się przyczepić
      a do tego jeszcze potrafi dojść weryfikacja płatności karta w apce banku
      już X razy po prostu zamknąłem, bo nie chciało mi się z tym użerać, a ile razy wydałem mniej, również z lenistwa?
      mam “bezpieczną blokadę ekranu”, to naprawdę zapewnia mi wystarczające bezpieczeństwo, każdy dodatkowy krok tylko mnie wkurza i zniechęca do wydatków

    • Uuuu, ale tani chwyt, “niczym nie różnisz się, nie umiesz czytać ze zrozumieniem” – chyba zabolała krytyka, ale żeby tak emocjonalnie podchodzić? :)
      Po pierwsze, nie wyśmiewam nikogo, nazywam rzeczy po imieniu: kretyna – kretynem. Po drugie, jeśli nie zauważacie we własnym tekście nutki, a wręcz całych cytatów wskazujących na satysfakcję z kolejnego dokopania tym wrednym bankom, to może nie ja mam kłopoty z czytaniem ze zrozumieniem, ale ktoś inny – ze zrozumieniem, co sam napisał?
      Tak, przeczytałem cały artykuł i wciąż widzę w nim przede wszystkim krytykę banków, które próbują się bronić przed nie swoimi błędami. Bo co taki bank ma zrobić, gdy klient podaje na tacy dane do konta, pełne dane karty, instaluje Anydeska by zyski z bitcoinów były jeszcze większe, klika w linki gdzie popadnie, instaluje apki spoza systemowych sklepów (co wymaga świadomej (?) zgody na instalację spoza zaufanych źródeł!), itd, itp? No, wg was ma spłacić klienta – bo jest profesjonalistą i powinien zabezpieczyć regułami antyfraudowymi każdą ewentualność.
      No dobrze. To teraz odpowiedzcie sobie na pytanie, czy możliwe są takie reguły, które będą strzelać tylko do tych transakcji, które są naprawdę podejrzane. Czy false-positive ratio kiedykolwiek może być doskonałe. A teraz choćby te minimalne false-positivy przemnóżcie razy ilość transakcji i otrzymacie ogromną liczbę niezadowolonych klientów, którym bank przyblokował transakcję, być może wśród nich są dziesiątki, setki transakcji, które nie doszły do skutku na czas, a które były bardzo ważne dla zlecającego.
      I co, kto będzie winny temu, że transakcja życia nie wypaliła przez niesłusznie przyblokowany przelew? Bingo! Bank.
      Piszecie, że dzięki temu wyrokowi więcej budżetu będzie w bankach szło na antyfraudy. Sorry, ale to pisał jakiś stażysta? Wydawało mi się, że redakcja ma wtyki w bankach i wie jak to wygląda w realu. Nie będzie żadnego dofinansowania antyfraudów, bo dobezpieczenie procesu na tyle, żeby CHRONIĆ NAJWIĘKSZYCH KRETYNÓW (specjalnie wytłuszczam, bo to fakt, nie obelga), będzie niewspółmiernie do efektów kosztowne, a rykoszetem ucierpi gros klientów, którzy z online’m problemów nie mają. Bo nie mają problemów z myśleniem i instynktem samozachowawczym. Summa summarum zetniemy koszty o kilkaset tysięcy uchronione z refundów/kar, ale stracimy dziesiątki milionów po stronie przychodowej.
      Dlatego banki robią to co mogą w kwestii zabezpieczania procesów, edukacji klientów i nie tylko, inwestowania w cyberbezpieczeństwo (swoje i klientów). Ale nigdy nie będzie tak, że zabezpieczą każdego. A właśnie o ten promil niezabezpieczonych ze swojej winy toczy się gra. I Rzecznik Finansowy, UOKiK, a i Niebezpiecznik staje bezwzględnie i bezkrytycznie po stronie oszukanych – przez własną rażącą niedbałość. Serio, uważacie że klikanie w linki phishingowe nie jest niedbałością, gdy wszędzie się wałkuje ten temat, nawet z ambon? Podpisujecie się pod opinią urzędu, że skoro setki klientów dało się nabrać, to nie może być niedbałość? Aż się prosi o wspomnienie powiedzenia: “jedzcie g… – miliony much nie mogą się mylić”.
      Jakoś nigdy (a czytam, czytam) nie zauważyłem w waszych artykułach obserwacji, że żadna gałąź życia nie jest tak przeregulowana i przepełniona wręcz nieproporcjonalnie korzystnymi rozstrzygnięciami na korzyść konsumenta jak bankowość. Szczególnie w Polsce, gdzie przypadkiem (?) kluczowe słowo dotyczące autentykacji/autoryzacji przetłumaczono lokalizując zapisy inaczej niż w oryginale PSD2 :)
      Myślałem że akurat Was stać na nieco więcej niż populistyczne przyłączanie się do nagonki na banki. Ot, co.

    • Uuuu, ale tani chwyt, “niczym nie różnisz się, nie umiesz czytać ze zrozumieniem” – chyba zabolała krytyka, ale żeby tak emocjonalnie podchodzić? :)
      Po pierwsze, nie wyśmiewam nikogo, nazywam rzeczy po imieniu: kretyna – kretynem. Po drugie, jeśli nie zauważacie we własnym tekście nutki, a wręcz całych cytatów wskazujących na satysfakcję z kolejnego dokopania tym wrednym bankom, to może nie ja mam kłopoty z czytaniem ze zrozumieniem, ale ktoś inny – ze zrozumieniem, co sam napisał?
      Tak, przeczytałem cały artykuł i wciąż widzę w nim przede wszystkim krytykę banków, które próbują się bronić przed nie swoimi błędami. Bo co taki bank ma zrobić, gdy klient podaje na tacy dane do konta, pełne dane karty, instaluje Anydeska by zyski z bitcoinów były jeszcze większe, klika w linki gdzie popadnie, instaluje apki spoza systemowych sklepów (co wymaga świadomej (?) zgody na instalację spoza zaufanych źródeł!), itd, itp? No, wg was ma spłacić klienta – bo jest profesjonalistą i powinien zabezpieczyć regułami antyfraudowymi każdą ewentualność.
      No dobrze. To teraz odpowiedzcie sobie na pytanie, czy możliwe są takie reguły, które będą strzelać tylko do tych transakcji, które są naprawdę podejrzane. Czy false-positive ratio kiedykolwiek może być doskonałe. A teraz choćby te minimalne false-positivy przemnóżcie razy ilość transakcji i otrzymacie ogromną liczbę niezadowolonych klientów, którym bank przyblokował transakcję, być może wśród nich są dziesiątki, setki transakcji, które nie doszły do skutku na czas, a które były bardzo ważne dla zlecającego.
      I co, kto będzie winny temu, że transakcja życia nie wypaliła przez niesłusznie przyblokowany przelew? Bingo! Bank.
      Piszecie, że dzięki temu wyrokowi więcej budżetu będzie w bankach szło na antyfraudy. Sorry, ale to pisał jakiś stażysta? Wydawało mi się, że redakcja ma wtyki w bankach i wie jak to wygląda w realu. Nie będzie żadnego dofinansowania antyfraudów, bo dobezpieczenie procesu na tyle, żeby CHRONIĆ NAJWIĘKSZYCH KRETYNÓW (specjalnie wytłuszczam, bo to fakt, nie obelga), będzie niewspółmiernie do efektów kosztowne, a rykoszetem ucierpi gros klientów, którzy z online’m problemów nie mają. Bo nie mają problemów z myśleniem i instynktem samozachowawczym. Summa summarum zetniemy koszty o kilkaset tysięcy uchronione z refundów/kar, ale stracimy dziesiątki milionów po stronie przychodowej.
      Dlatego banki robią to co mogą w kwestii zabezpieczania procesów, edukacji klientów i nie tylko, inwestowania w cyberbezpieczeństwo (swoje i klientów). Ale nigdy nie będzie tak, że zabezpieczą każdego. A właśnie o ten promil niezabezpieczonych ze swojej winy toczy się gra. I Rzecznik Finansowy, UOKiK, a i Niebezpiecznik staje bezwzględnie i bezkrytycznie po stronie oszukanych – przez własną rażącą niedbałość. Serio, uważacie że klikanie w linki phishingowe nie jest niedbałością, gdy wszędzie się wałkuje ten temat, nawet z ambon? Podpisujecie się pod opinią urzędu, że skoro setki klientów dało się nabrać, to nie może być niedbałość? Aż się prosi o wspomnienie powiedzenia: “jedzcie g… – miliony much nie mogą się mylić”.
      Jakoś nigdy (a czytam, czytam) nie zauważyłem w waszych artykułach obserwacji, że żadna gałąź życia nie jest tak przeregulowana i przepełniona wręcz nieproporcjonalnie korzystnymi rozstrzygnięciami na korzyść konsumenta jak bankowość. Szczególnie w Polsce, gdzie przypadkiem (?) kluczowe słowo dotyczące autentykacji/autoryzacji przetłumaczono lokalizując zapisy inaczej niż w oryginale PSD2 :)
      Myślałem że akurat Was stać na nieco więcej niż populistyczne przyłączanie się do nagonki na banki. Ot, co.

      (wklejam to jeszcze raz, bo się nie zapisało – chyba problemy techniczne, bo przecież nie cenzura? :)

    • Uuuu, ale tani chwyt, “niczym nie różnisz się, nie umiesz czytać ze zrozumieniem” – chyba zabolała krytyka, ale żeby tak emocjonalnie podchodzić? :)
      Po pierwsze, nie wyśmiewam nikogo, nazywam rzeczy po imieniu: kretyna – kretynem. Po drugie, jeśli nie zauważacie we własnym tekście nutki, a wręcz całych cytatów wskazujących na satysfakcję z kolejnego dokopania tym wrednym bankom, to może nie ja mam kłopoty z czytaniem ze zrozumieniem, ale ktoś inny – ze zrozumieniem, co sam napisał?
      Tak, przeczytałem cały artykuł i wciąż widzę w nim przede wszystkim krytykę banków, które próbują się bronić przed nie swoimi błędami. Bo co taki bank ma zrobić, gdy klient podaje na tacy dane do konta, pełne dane karty, instaluje Anydeska by zyski z bitcoinów były jeszcze większe, klika w linki gdzie popadnie, instaluje apki spoza systemowych sklepów (co wymaga świadomej (?) zgody na instalację spoza zaufanych źródeł!), itd, itp? No, wg was ma spłacić klienta – bo jest profesjonalistą i powinien zabezpieczyć regułami antyfraudowymi każdą ewentualność.
      No dobrze. To teraz odpowiedzcie sobie na pytanie, czy możliwe są takie reguły, które będą strzelać tylko do tych transakcji, które są naprawdę podejrzane. Czy false-positive ratio kiedykolwiek może być doskonałe. A teraz choćby te minimalne false-positivy przemnóżcie razy ilość transakcji i otrzymacie ogromną liczbę niezadowolonych klientów, którym bank przyblokował transakcję, być może wśród nich są dziesiątki, setki transakcji, które nie doszły do skutku na czas, a które były bardzo ważne dla zlecającego.
      I co, kto będzie winny temu, że transakcja życia nie wypaliła przez niesłusznie przyblokowany przelew? Bingo! Bank.
      Piszecie, że dzięki temu wyrokowi więcej budżetu będzie w bankach szło na antyfraudy. *** Wydawało mi się, że redakcja ma wtyki w bankach i wie jak to wygląda w realu. Nie będzie żadnego dofinansowania antyfraudów, bo dobezpieczenie procesu na tyle, żeby CHRONIĆ NAJWIĘKSZYCH KRETYNÓW (specjalnie wytłuszczam, bo to fakt, nie obelga), będzie niewspółmiernie do efektów kosztowne, a rykoszetem ucierpi gros klientów, którzy z online’m problemów nie mają. Bo nie mają problemów z myśleniem i instynktem samozachowawczym. Summa summarum zetniemy koszty o kilkaset tysięcy uchronione z refundów/kar, ale stracimy dziesiątki milionów po stronie przychodowej.
      Dlatego banki robią to co mogą w kwestii zabezpieczania procesów, edukacji klientów i nie tylko, inwestowania w cyberbezpieczeństwo (swoje i klientów). Ale nigdy nie będzie tak, że zabezpieczą każdego. A właśnie o ten promil niezabezpieczonych ze swojej winy toczy się gra. I Rzecznik Finansowy, UOKiK, a i Niebezpiecznik staje bezwzględnie i bezkrytycznie po stronie oszukanych – przez własną rażącą niedbałość. Serio, uważacie że klikanie w linki phishingowe nie jest niedbałością, gdy wszędzie się wałkuje ten temat, nawet z ambon? Podpisujecie się pod opinią urzędu, że skoro setki klientów dało się nabrać, to nie może być niedbałość? Aż się prosi o wspomnienie powiedzenia: “jedzcie g… – miliony much nie mogą się mylić”.
      Jakoś nigdy (a czytam, czytam) nie zauważyłem w waszych artykułach obserwacji, że żadna gałąź życia nie jest tak przeregulowana i przepełniona wręcz nieproporcjonalnie korzystnymi rozstrzygnięciami na korzyść konsumenta jak bankowość. Szczególnie w Polsce, gdzie przypadkiem (?) kluczowe słowo dotyczące autentykacji/autoryzacji przetłumaczono lokalizując zapisy inaczej niż w oryginale PSD2 :)
      Myślałem że akurat Was stać na nieco więcej niż populistyczne przyłączanie się do nagonki na banki. Ot, co.

      ***) w tym miejscu podważyłem doświadczenie zawodowe autora tekstu – czyżby moderator potraktował to jako wycieczkę osobistą? czyli redakcja mi może pocisnąć, a już w drugą stronę to nie działa? ładnie… myślałem że dyskutujemy na tym samym poziomie – i znów: wyższych standardów się po N. spodziewałem

    • No cóż. Trzykrotna próba odpowiedzi na drwinę w moim kierunku – każda zablokowana, choć nic nie napisałem obraźliwego, wyłącznie merytoryczna, czasem bezpośrednia polemika. Widzę że się pożegnamy, nie spodziewałem się tego po Niebezpieczniku. Możecie być pewni, że wielu waszych czytelników, może i kontrahentów, będzie równie rozczarowanych waszym podejściem – bo nie omieszkam podzielić się z nimi przy okazji tym doświadczeniem. Świat cyberbezpieczeństwa nie kończy się na N. Pa!

    • @Y znów pokazałeś, że dużo sobie dopowiadasz i nadinterpretujesz :) W weekend nie zawsze sprawdzamy co godzinę kolejkę moderacji, do której wszystkie 3 Twoje komentarze wleciały. Nikt Cię nie cenzuruje.

    • Co do kwestii wieloetapowej autoryzacji i związanej z nią ucieczki klientów do innych banków – wystarczy dać wybór czy chcesz mieć zwykłą czy wzmocnioną autoryzację. I tylko w tym drugim przypadku zwracać kasę z automatu.

    • Popieram Y.
      Musimy zrozumieć dwa tematy.
      1. Nigdy nie będzie możliwe uchronienie absolutnie każdego przed fraudem online, tak samo, jak nigdy nie będzie możliwe uchronienie każdego przed oszustwem na żywo. Nie było oszustw w czasach przedinternetowych? Były. W sieci jest więcej? Bo skala jest większa, na żywo oszuka się tego, z kim się rozmawia i ofiarę trzeba upolować mozolnie, a w sieci to ułamki sekundy pomiędzy kolejnym losowaniem numeru. Oczywiście pomaga też słaba świadomość niektórych, ale jeśli ktoś jest słabo świadomy w temacie kodeksu drogowego, nie dostanie prawa jazdy. Bo jest za głupi, żeby prowadzić pojazd mechaniczny. W sieci przebywają liczne osoby, które po prostu się do tego nie nadają i to nie obelga – ja nie umiem tańczyć w balecie i nie pcham się na deski. Każdy ma swoje talenty.
      2. Narracja pt. “złe banki”, “na biednego nie trafiło” to czysty populizm. Musi być po prostu możliwie przejrzyste, na ile się da, kryterium oceny kiedy zaczyna się rażące niedbalstwo. Jeśli ktoś wsiada za kółko bez prawa jazdy i spowoduje wypadek, to nie producenta samochodu ścigają. A też nieraz jest ofiarą. Jeśli jednak prawo jazdy się miało, a wypadek to wina awarii pojazdu, albo co gorsza – wady fabrycznej, optyka się zmienia. Ale wady fabrycznej w obecnych zabezpieczeniach nie widać, a aby chronić ludzi bez prawa jazdy nakłada się coraz więcej dokuczliwych dla reszty zabezpieczeń, kroków, weryfikacji, antyfraudów. I fraudy i tak są. Tak samo, jak na świecie była, jest i będzie np. naiwność.

    • Hohoho,

      @Y o ile wróci tu choć na chwilę, nie był długo z Niebezpiecznikiem. Gdyby był to wiedziałby jak działa kolejkowanie komentarzy… No cóż, nie będę tęsknić, bo mimo iż podobnie jak Y lubię “odpowiednie dać rzeczy słowo”, to… no cóż Ziemia nie jest kulista, a świat nie jest czarno-biały.
      Tylko dzięki moim (chyba dosyć nietypowym) dodatkowym zabezpieczeniom udało mi się uchronić moich ponad 70 letnich rodziców od obcej interwencji Anydeskiem. A moi rodzice, cóż – nie są pracownikami banków, nie są nawet astrofizykami itp. ale kretynami też nie są, jakoś sobie to życie ułożyli i długo dosyć mieli konta bankowe i to (uwaga: gorzka prawda!) bez bankowości internetowej.
      Największych kretynów chronić nie musimy – tu się zgadzam, ale o ile moi przysłowiowi rodzice (i ludzie im podobni) nie mogą sobie pozwolić na zatrudnienie specjalistów od cyberbezpieczeństwa, to “zatrudniają” specjalistów bankowości i oczekują od nich profesjonalizmu.
      I zakładają, że bankowi specjaliści sprawdzili, że używanie numeru PESEL, nazwiska panieńskiego matki i karty SIM jest wystarczającym zabezpieczeniem, Bo przecież jak Y powiedział: “banki robią co mogą w kwestii zabezpieczenie procesów”.

      Czy Niebezpiecznik “staje bezwzględnie i bezkrytycznie po stronie oszukanych”?
      Otóż tak. Jeśli oszukany jest bank, to zgłoszenie o oszustwie ląduje na policji. Jeśli ma miejsce rażące niedbalstwo, to bank żąda zwrotu. Napisane w artykule, ale żeby to zrozumieć, trzeba unikać wyciągania pochopnych wniosków na podstawie trzykrotnej a mimo to jednorazowej próby. Niełatwo spostrzec, że u biegunów jest nieco spłaszczona. (Ogólniki, C.K. Norwid)

  22. Takie dwa pomysły:
    1. Do zatwierdzenia czynności nie powinno być przycisków [tak] i [nie], lecz przycisk [Dodaj zaufanego odbiorcę], [Alarm, coś jest nie w porządku], [Zignoruj, mój błąd].
    2. Byłoby bardzo pożądane móc przy zaufanym odbiorcy określić kwotę, do jakiej “mu ufamy”, a powyżej której wymagany 2fa. Przy dodawaniu nowego odbiorcy limit ten powinien być domyślnie np. 500zł, zwiększenie wymagałoby osobnego zatwierdzenia.

    • Celne uwagi. UX w wielu aplikacjach bankowych jest bardzo słaby. Wiadomo, że w SMS są ograniczenia słów, ale w aplikacji można już więcej, prościej, czytelniej. A małoktóry bank to stosuje.

      Chociaż, patrząc na obecne komunikaty dodawania aplikacji mobilnej (treść wiadomości, nagranie lektora) które są super czytelne i jasno ostrzegają, a i tak ludzie podają te dane oszustom, to nie ma się co łudzić. To poprawienie UX pomoże Tobie i mnie, jak się zagapimy. I pewnie jakiemuś promilowi, który oprzytomnieje w porę. Ale część osób i tak będzie się łapać. Co nie znaczy że dla promila nie warto tego wdrożyć w kolejnym sprincie :)

    • ale ci, którym tak precyzyjne komunikaty nie pomogą, to już chyba wykazują się rażącym niedbalstwem?
      bo jeśli nawet po czymś takim będziemy twierdzić, że to wina banku…
      jasne, że ludzi trzeba chronić, dlatego komunikaty muszą być na tyle zwięzłe, by ludziom się chciało je czytać, ale jednocześnie zrozumiałe i szczegółowe (kwota i numer rachunku przy przelewie muszą być!)
      ale jest taki moment, w którym musimy przestać chronić człowieka przed nim samym, bo to i tak się nie uda

  23. Bank Millennium na pierwszym miejscu. Czemu mnie to nie dziwi. Ten bank ma problem z wypłaceniem pieniędzy które się prawnie należą i przedstawia jakieś dziwne interpretacje prawa bankowego. Radzę omijać z daleka.

  24. Dla pełnego obrazu sytuacji polecam stanowisko Związku Banków Polskich z czerwca 2021 roku. W stanowisku tym ZBP wypowiada się w sprawie interpretacji przepisów związanych z obowiązkiem zwrotu środków w D+1.

    Stanowisko ZBP w sprawie komunikatu „Nie daj sobie ukraść pieniędzy z konta – UOKIK ostrzega”
    https://zbp.pl/Aktualnosci/Wydarzenia/Stanowisko-ZBP-w-sprawie-komunikatu-Nie-daj-sobie-ukrasc-pieniedzy-z-konta-%E2%80%93-UOKIK-ostrzega

  25. A w Bankach Spółdzielczych od zawsze jest przycisk : “Zmień limit na 15 minut”. Rewelacja, ustawione małe limity, jak chcemy więcej przelać zmieniamy limit i zapominamy, za 15 minut sam wróci do limitu np. 1000PLN !

  26. Mam mieszane odczucia co do tego posta. O ile rozumiem stanie po stronie prawa i jego egzekwowaniu, o tyle nie rozumiem społecznej akceptacji dla głupoty – jak dla mnie to jest zdejmowanie odpowiedzialności ze społeczeństwa prowadzące do “nie muszę myśleć, bo myślą za mnie inni” a jestem przeciwny ogłupianiu społeczeństwa. Poza tym – co za niespodzianka! – bank nie drukuje pieniędzy tylko oddaje to, co zarobił na środkach innych klientów, a co za tym idzie wszelkie odszkodowania nie idą z portfela zarządu tylko z pogarszających się warunków dla innych klientów, w tym mnie. Jako klient banku chciałbym mieć w takim razie wybór – chcę należeć do grona klientów, którzy otrzymają lepsze warunki (niższe % kredytu albo wyższe lokat), ale bank nie wypłaci mi odszkodowania jak podam bezmyślnie kod sms/blik i nie będę czytał co akceptuję aniżeli na odwrót. Oczywiście ten temat to klasyczne “wyższy socjal dla pojedynczych kosztem groszych warunków dla wszystkich” versus “niższy socjal dla pojedynczych kosztem ich bólu czterech liter”. Droga redakcjo, a jeżeli bank by wykrywał podejrzane transakcje i dzwonił do klienta celem ich potwierdzenia i klient by je potwierdzał mimo tego, że w danym momencie byłby phishowany, to nadal uważacie, że bank ponosi odpowiedzialność, bo konsultant na infolinii nie był wystarczająco jasny? Przykład nie jest z kosmosu – niedawno na cashless był przypadek klientki, która zignorowała pytanie w placówce czy nie jest przypadkiem okradana…

    • A w tej kopii dodałbym, że moglibyście @redakcja poprawić UX – po kliknięciu post comment, komentarz ląduje w jakiejś kolejce bez potwierdzenia “komentarz został dodany do kolejki” (przynajmniej w wersji mobilnej), strona się przeładowuje i nie ma komentarza. Jakiś czas później – dalej nie ma komentarza. Aha, czyli coś przepadło, bo strona była zbyt długo otwarta. A jakiś dłuższy czas później – a nie, jednak nie, są teraz dwa.

  27. Mam mieszane odczucia co do tego artykułu. O ile rozumiem stanie po stronie egzekwowania prawa, o tyle nie rozumiem społecznej akceptacji dla głupoty – jak dla mnie to jest zdejmowanie odpowiedzialności ze społeczeństwa prowadzące do “nie muszę myśleć, bo myślą za mnie inni” a jestem przeciwny ogłupianiu społeczeństwa. Poza tym ten temat to klasyczne “wyższy socjal dla pojedynczych kosztem trochę groszych warunków dla wszystkich” versus “niższy socjal dla pojedynczych kosztem ich bólu czterech liter za brak świadomości/chęci uświadomienia”. Bo przecież – “co za niespodzianka!” – bank nie drukuje pieniędzy, więc wszelkie wydatki idą z tego, co zarobi na innych klientach, a co za tym idzie wszelkimi odszkodowaniami są efektywnie obciążani pozostali klienci. Ja chciałbym mieć wybór – preferuję należeć do grona klientów, którzy otrzymają lepsze warunki (niższe % kredytu albo wyższe lokat), ale bank nie wypłaci mi odszkodowania jak podam bezmyślnie kod sms/blik i nie będę czytał co akceptuję niż na odwrót. Albo takie odszkodowanie powinno być w formie dobrowolnego ubezpieczenia – tak, mówię oczywiście o zmianie prawa. Do tego wszystkiego istnieje pewien poziom chęci zapobieżenia kradzieży, powyżej którego bank nie powinien ponosić odpowiedzialności – chyba nie chcecie powiedzieć, że jeżeli bank zablokuje transakcję i zadzwoni do klienta zapytać się czy nie pada ofiarą oszustwa, a ten powie, że chill, wszystko ok, to nadal powinien ponieść odpowiedzialność, bo pracownik nie był wystarczająco przekonujący? Przykład nie jest z kosmosu – niedawno na cashless był przypadek klientki, która zignorowała pytanie pracownika placówki czy nie jest przypadkiem okradana i powiedziała, że nie, a była…

    • Na sprawę trzeba spojrzeć z dwóch stron:
      Tworzysz (jak banki online) ekosystem, do którego przepychasz klientów, bo tak taniej. Ale nie uczulasz ich na ryzyka wystarczająco skutecznie i nie dajesz alternatywy (bankowania w okienku/offline). Klienci tracą kasę. Ty mówisz, że to zawsze rażące zaniedbanie i nie Twoja wina. Na pewno?

      Różne są przykłady zaniedbań klientów. I ich winy. Wskazaliśmy w tekście takie, które ciężko wybronić (ten komunikat z dopięciem aplikacji do konta po naprawdę jasnych komunikatach). Ale są też takie, w których klient dostaje telefon z numeru banku. Cytowane są jego dane karty. No sorry, ale w tym scamie (który codziennie dostarcza nowych ofiar) naprawdę klienci którzy się nabrali nie są kretynami. I nie słyszą ostrzeżeń lektora. Słyszą pracownika banku, nie zawsze z akcentem.
      Gdzie popełnili błąd albo złamali regulamin banku?

      Jak widać są różne przykłady ataków i warto mieć to na uwadze dyskutując o rażącym niedbalstwie.

    • Odnośnie argumentu “niedawania alternatywy” – budujecie go na podstawie trendu (zamykanie placówek), ale to niewystarczające. Żeby wyciągać takie wnioski potrzebowalibyśmy danych o odległości najbliższej placówki bankowej banku, w którym okradziona osoba miała konto od miejsca jej zamieszkania (przy czym bardziej sprawiedliwe byłoby od jej ciągów komunikacyjnych – tras praca-dom-zakupy)) dla każdej z okradzionych osób. Mogłoby się okazać, że wcale nie “nie miały wyboru”. Ale tego nie wiemy.

      Właśnie do “wystarczająco skutecznego wyczulania na ryzyko” mam najbardziej mieszane odczucia. Mam konta w kilku bankach i uważam, że każdy z nich wykazuje chęci edukacyjne. A jak odbiorca nie chce słuchać, to nic nie będzie wystarczająco efektywne. Zadam tutaj przewrotne pytanie – jaką % część komunikatów bezpieczeństwa z banku Redakcja czyta? Może być tak, że to wszystko jest nieskuteczne, bo ludzie nie chcą czytać, bo wszyscy uważają, że są wystarczająco zorientowani… A może bankowość online powinna być tylko dla elit intelektualnych? Z przekąsem, bo chodzi mi o osoby, które potrafią i chcą czytać i zrozumieć, a jak nie zrozumieją, to dopytają lub poszukają.

      W każdej sytuacji, w której dzwoni bank z problemami dotyczącymi konta powinniśmy odrzucać połączenie i samemu zadzwonić. Być może banki powinny przestać dzwonić z tego typu problemami, tylko pisać sms/wiadomość w aplikacji, żeby klient sam zadzwonił (chociaż jak ma malware, to whatever) lub udał się do najbliższej placówki. Dodam, że w swoich komentarzach nie użyłem słowa “kretyn” (pojawiło się w Waszej odpowiedzi).

      Pytanie o błąd to retoryczne czy na poważnie? Popełniają błąd podając brakujące dane albo akceptując w aplikacji powiadomienie / dyktując kod sms bez czytania jego treści. Tu nie ma wielkiej filozofii. Można pójść dalej – korzystają z prostych haseł, PINów z datą urodzenia, nie korzystają z 2FA/UTF na głównym koncie pocztowym, które powinno być lepiej zabezpieczone niż dom ani nie czytają powiadomień Google/Apple o wyciekach ich haseł. Jeżeli nie wiedzą, że powinni, to być może rzeczywiście ich poziom wiedzy powinien ich dyskwalifikować do korzystania w bankowości internetowej.

      W całej sytuacji nie pomaga fakt, że ludzie kupują używane telefony. Ciekawe czy to już jest wykorzystywane jako wektor ataku. Technicznie rzecz ujmując oo zakupie używanego telefonu powinniśmy go na czysto zflashować ze stockowym ROMem – przecież tam może być wszystko.

    • @ Patryk
      “Odnośnie argumentu “niedawania alternatywy” – budujecie go na podstawie trendu (zamykanie placówek)…”
      Słusznie. Nie warto zajmować się tylko zamykaniem placówek. Warto jeszcze pobrać cenniki banków i porównać ile kosztują wpłaty/wypłaty/przelewy online, a ile w placówce. A może jeszcze spojrzeć na mapkę oddziałów i ich godzin pracy. Banki to druga firma, po koncernach farmaceutycznych, która zarabia na pandemii. Na jej czas skrócono godziny pracy z 19:00 na np. 17:00 i już nigdy nie przywrócono do 19:00
      Są ludzie, którzy chcą się mierzyć z wyzwaniami, oni byli online już 20 lat temu. Są tacy, którzy to znoszą. Ale np. krawcowa, majster budowlany czy nauczyciel historii nie mają czasu ani ochoty uczyć się adresu WWW banku, ani sprawdzać certyfikatu (co to jest ten certyfikat?)
      Wychodzili z domu, 1 km dalej mieli oddział banku w którym płacili rachunki, wypłacali pieniądze i szli do sklepu na zakupy. Dzisiaj to właśnie oni mogą padać ofiarą nawet najgłupszych oszustw, co tak trudno zrozumieć cwaniakom cyfrowym.

      Wydaje mi się, że cała dyskusja dotyczy leczenia objawów, a nikt nie zastanawia się nad przyczynami tej choroby.

    • Kiedyś konto kosztowało a dzisiaj wiele jest “darmowych”, więc głębsza analiza tego tematu (poza patrzeniem na cennik pojedynczych transakcji) byłaby wskazana przed przytoczeniem tego argumentu – ile pani krawcowa płaciła za konto 20lat temu, a ile płaci dziś (sumarycznie wszystkie koszty, plus uwzględnienie inflacji)? No i wracam z moim pytaniem o to, czy ta krawcowa ma teraz więcej niż 1km, bo pominął to Pan @hashtak. Gdyby ktoś ten temat zgłębił, to mogłoby się okazać, że wcale nie jest tak dużo gorzej jak niektórym się wydaje i niektórym paniom krawcowym po prostu tak bardzo chce się chodzić do placówki, jak nauczyć zrozumienia co to jest ten certyfikat. Czego oczywiście nie wiemy, bo ani Pan ani ja nie mamy żadnych danych, tylko opinie. Skrócenie godzin pracy placówek to rzeczywiście sprytny chwyt z cyklu #BlameCovid. A dobrym pytaniem jest to czy samo opłacenie składu placówek powinno być wliczane w koszt całej działalności banku (socjal – wliczając tych co z placówek nie korzystają) czy może tylko w koszt klientów z nich korzystających – pytanie dobre, ale bez dobrej odpowiedzi, bo z cyklu “każdy może mieć swoje zdanie”.

  28. @ Patryk, @ Redakcja
    Mieliśmy bardzo bezpieczny system tradycyjnej bankowości, w którym dochodziło do pojedynczych, nieautoryzowanych transakcji i zamieniliśmy go na system bankowości internetowej i mobilnej, w którym każdego miesiąca mamy tysiące nieautoryzowanych transakcji. Społeczeństwo przehandlowało w ten sposób bezpieczeństwo na wygodę i niższe koszty (niższe koszty będą mieli tylko Ci, którzy nie padną ofiarą oszustwa). Winna temu jest chciwość zarówno bankowców jak i ich klientów.

    “Gdzie popełnili błąd albo złamali regulamin banku?”‘
    Klienci popełnili błąd decydując się na zdalne zawieranie transakcji (telefon, internet, aplikacja) nie rozumiejąc ryzyka, które się z tym wiążą. Jeśli jest wygodniej to jest mniej bezpiecznie – nie ma niczego za darmo. Klienci nie odrobili zadania domowego.

    Co do banków to ich winą jest to, że nie potrafią zaproponować rozwiązań, które są bardziej bezpieczne. Wynika to z tego, że rozwiązania bezpieczne są zwykle mniej wygodne, bardziej czasochłonne i więcej kosztują (obie strony).

    Co do przepisów prawa to każde nowe przepisy wymagają dotarcia. Do tego potrzebnych jest wiele wyroków, orzeczeń i interpretacji sądów różnego szczebla.

    • “Winą banków jest to, że nie potrafią zaproponować bardziej bezpiecznego rozwiązania”, bo “nie da się go zaproponować, bo będzie mniej wygodne” ;) moim zdaniem nie jest winą banków, że nie mogą zrealizować niemożliwego. Zgodnie z “nie może być na raz wygody i bezpieczeństwa”.

    • Niestety Patryk, ale “mijasz się z prawdą”, żeby nie powiedzieć kłamiesz: ” moim zdaniem nie jest winą banków, że nie mogą zrealizować niemożliwego. Zgodnie z “nie może być na raz wygody i bezpieczeństwa” – otóż jeszcze nie tak całkiem dawno OBOWIĄZKIEM BANKU było sprawdzenie CZY DANE ODBIORCY POKRYWAJĄ SIĘ Z NUMEREM JEGO RACHUNKU BANKOWEGO, co z góry wykluczało lub obciążało banki w przypadku podmieniania nr rachunków w fakturach itp. Ponieważ nasz Matołusz jest banksterem, to na rzecz banków a przeciw zwykłym ludziom zmieniono prawo bankowe i teraz JEDYNE co obchodzi bank to nr konta a dane odbiorcy BANKU NIE OBCHODZĄ! Może dawny system był niewygodny DLA BANKÓW, ale wygodny i bezpieczny dla klienta a obecny jest wygodny dla banków I IDEALNY DLA OSZUSTÓW. I bardzo zastanawia mnie obecna “tajemnica bankowa” – jakoś nijak nie chroni zwykłych Polaków przed przestępcami, którzy jakoś znają salda i dane do logowania (kilka banków, np. mBank paręnaście lat temu udostępniało salda klienta… REKLAMODAWCOM INTERNETOWYM!!!!) – za to znakomicie chroni dane oszusta na którego konto zostały odprowadzone środki oszukanych klientów…

    • Uuu “kłamiesz” <3 czyli teraz będziemy rozmawiali o formie komunikacji a nie o merytoryce, proszę bardzo – kłamstwo to celowe wprowadzanie w błąd, kiedy wie się, że jest inaczej, czyli że niby napisałem coś, chociaż wiem, że jest inaczej – nieprawda, bo napisałem komentarz w zgodzie z moim zdaniem, więc nie ma Pan podstaw do postawienia hipotezy, że kłamię. A wracając do merytoryki – podany przykład ze sprawdzaniem nazwy odbiorcy potwierdza akurat postawioną przeze mnie hipotezę, że bezpieczeństwo z wygodą w parze nie idzie – bo to generuje false positive'y: każda literówka, nazwiska dwuczłonowe, nazwy firm, które są dłuższe od długości pola, zmiany nazw firm i tak dalej. Nie neguję potrzeb wprowadzenia dodatkowych mechanizmów – podkreślam jedynie (co zresztą napisali przedmówcy), że będą one powodować dyskomfort większości celem złapania tego ułamka transakcji oszukańczych. Podam ekstremalny przykład – gdyby dzisiaj Pana bank powiedział, że poprzedni system był bardzo bezpieczny i zamyka swoją bankowość online i zaprasza do placówek, gdzie będzie stał Pan w kolejkach i będzie Pan weryfikowany dowodem osobistym – to poszedłby Pan na to czy raczej zmienił bank?

    • @Patryk
      “Podam ekstremalny przykład – gdyby dzisiaj Pana bank powiedział, że poprzedni system był bardzo bezpieczny i zamyka swoją bankowość online i zaprasza do placówek, gdzie będzie stał Pan w kolejkach i będzie Pan weryfikowany dowodem osobistym – to poszedłby Pan na to czy raczej zmienił bank?”
      Całkiem niedawno dowiedziałem się, że od przyszłego miesiąca, żeby móc autoryzować transakcje bankowe MUSZĘ mieć albo iphone’a z AppleStorem, albo androida z PlayStorem (nie wiem jak się te sklepy nazywają). Nie miałem, zadzwoniłem do banku i dopiero wtedy dowiedziałem się, że w takim razie, na razie nie muszę. Mogę dalej używać tokena (prosta elektroniczna lista haseł jednorazowych). Niemniej pierwotny przekaz był : MUSISZ mieć aplikację ze sklepu, żeby używać swojego konta. Bez alternatywy!
      Oto polityka banków.
      PS wiem, że uważacie, że powinno się korzystać z aplikacji, a nie z tokenów, bo nie wiadomo co się zatwierdza itd. Wiem, wiem…

    • @marketer w interesie innych klientów rzeczywiście byłoby gdyby przesiadł się Pan na aplikację mobilną / wizyty w placówce niż korzystał dalej z kartki z kodami… A wspominając moje doświadczenia z infolinią nie byłbym zaskoczony na Pana miejscu, gdyby po takiej informacji okazało się, że pierwszego września nie jest Pan w stanie zatwierdzić przelewu ;)

  29. Ja na przyklad zastanawiam sie, czy przyslanie klientowi karty kredytowej z kodem CVV – 123, to jest razace niedbalstwo banku ? :-)

    • “Ja na przyklad zastanawiam sie, czy przyslanie klientowi karty kredytowej z kodem CVV – 123, to jest razace niedbalstwo banku ? :-)” Zgłosić zgubienie karty, szybko nową wysyłają za darmo.

    • Podzielę się tym, co wiem, chociaż to tylko szczątkowa wiedza: kod CVV jest końcówką hasha (div 1000) numeru rachunku bankowego, numeru karty i tylko specjaliści wiedzą czego jeszcze, czyli wylicza to automatyczny algorytm. Ciekawi mnie czy trafiło się komuś 000. Rażącym niedbalstwem jest dla mnie wymachiwanie kartą tak, że można w sklepie zobaczyć obie strony. Chociaż na tym forum powinniśmy wiedzieć, że samo korzystanie z karty trąci niedbalstwem :P w świecie, w którym mamy tokenizację kart (* Pay / * Wallet) oraz karty jednorazowe (np. Revolut)…

  30. Niech banki lepiej wprowadza obsługę Yubikey do swoich aplikacji mobilnych i na www, czy to takie trudne ? Pytałem niedawno swój bank Santander i nie planują wprowadzenia Yubikey. Podejrzewam że jeśli jakiś bank bu to wprowadził to mBank

  31. Jak banki chcą, to potrafią działać: zostałem po przylocie na Karaiby bez kasy, bo polski bank na podstawie geolokacji… zablokował mi kartę, najwyraźniej uważając ją za zduplikowaną. Odkręcanie tego trwało aż 4 dni(!) i tylko dobrej woli i ryzyku menadżera hotelu zawdzięczam to, że nie spędziłem ich na ulicy lub w areszcie…

    • Kolejny przykład, że bezpieczeństwo nie idzie w parze z wygodą… Gdzieś słyszałem, że można w bankach zawczasu zgłosić podróż w jakiś region, żeby tego typu mechanizmy nie zaskoczyły…

    • A to mi przypomina przypadek kolegi, który jeździ na tyle szybko, że raz tankował rano w PL i kolejne tankowanie bodajże w CH w tak, krótkim czasie, że bank zakwalifikował tę płatność jako próbę oszustwa i dzwonił się upewnić.

    • dokładnie z tego powodu jak leciałem do Azji kupowałem kartą (a nie gotówką) jakieś drobne pierdoły na lotniskach

  32. Nic ci nie ukradną z banku jak nic tam nie będziesz trzymał ( ͡° ͜ʖ ͡°)

  33. Ja uważam, że banki mogłyby dać opcje klientowi czy chce Max zabezpieczeń w banku czy zależy klientowi na wygodzie. Każda z opcji miała by swoje konsekwencję. Dodatkowo mogliby dać opcję brak możliwości wzięcia kredytu.

  34. są 2 strony medalu:
    z jednej bank odpowiada za bezpieczeństwo środków itp…
    z drugiej strony dlaczego właściciel rachunku nie uważa że on sam również jest odpowiedzialny za bezpieczeństwo swoich własnych środków ?

    czy to że masz ubezpieczenie chałupy sprawia że zostawiasz drzwi na oścież otwarte ?
    czy to że masz auto-casco sprawia że zostawiasz na ulicy auto szeroko otwarte i oddajesz obcej osobie kluczyki? jakoś samochód ludzie potrafią się zabezpieczyć – po 3 razy sprawdzają czy zamknęli drzwi i okna a z drugiej strony potrafią obcej osobie podać pin, wszelkie kody uwierzytelniające i jeszcze zainstalować na telefonie apkę kontrolującą telefon…. czy bank ma odpowiadać za to co klient instaluje na kompie czy telefonie?

    Dbanie o bezpieczeństwo swoich pieniędzy to obowiązek przede wszystkim klienta a dodatkowo banku (a nie “wyłącznie” banku).

    i jeżeli właściciel konta nie będzie myślał co robi to żaden bank go nie dopilnuje.
    zupełnie inna sytuacja w kwestii odpowiedzialności jest gdy klientowi faktycznie zarąbią kartę i ktoś natrzaska nią operacji bez wiedzy właściciela karty a inną sytuacją jest gdy poszkodowany sam dobrowolnie poda wszelkie hasła i loginy jakiejś obcej osobie i nainstaluje u siebie czort wie jakiego softu szpiegujacego.

    bez myślenia i rozsądku klienta banki nie zdziałają cudów i z drugiej strony nie ma co się dziwić że nie chcą odpowiadać za głupotę klientów (i sędziów: patrz np: wyrok sądu w którym sędzia uznał że zostawienie karty RAZEM Z ZAPISANYM PIN-em w miejscu publicznym to nie jest rażąca niedbałość tylko zwykła niedbałość) – i potem są takie sytuacje…

    która firma ubezpieczeniowa wypłaci odszkodowanie za zostawieni auta otwartego i w dodatku po dobrowolnym przekazaniu kluczyków obcej osobie? A bank musi po tym jak przekazałeś komuś dobrowolnie swoje własne tajne kody i hasła ….

    czy to nie jest głupota i paranoja? a gdzie zdrowy rozsądek? przecież takie przepisy tylko potwierdzają że W OPINII USTAWODAWCÓW Polacy to debile i trzeba ich pilnować na każdym kroku i naprawiać ich głupotę bo samodzielnie nic nie umieją zrobić dobrze…..

    • Najwyraźniej wszystko się sprowadza do tego, że każdy ma inną definicję rażącego zaniedbania. Dla mnie zapisanie PINu na karcie jest rażące – prawie jak zostawić klucz na samochodzie (prawie, no bo samochód nie zmieści się do portfela). Była kiedyś sprawa osoby, której ukradziono samochód, bo zostawiła klucz w kurtce, którą powiesiła na publicznym wieszaku przy wejściu do restauracji – i ubezpieczyciel przegrał tę sprawę, chociaż ja tam uważam, że klucz do samochodu należy mieć pod ręką a inaczej to jest rażące zaniedbanie…

    • Problem leży w tym że nawet jak komputer będzie miał zainstalowane 10 antywirusów i będzie schowany w sejfie to dla banku nadal to będzie rażace niedbalstwo, nawet jak przestępcy wyrobią duplikat karty SIM to nadal jest to straszne rażące niedbalstwo, banki nie są chętne do brania odpowiedzialności i płacenia więc dobrze że w końcu UOKiK się za to zabrał.

    • Ja tam niestety nie jestem za tym, żeby banki brały odpowiedzialność. Dlaczego? Otóż dlatego, że to stwierdzenie jest na wskroś niezgodne z prawdą – to nie bank, a wszyscy pozostali klienci biorą odpowiedzialność. Bank jakąkolwiek odpowiedzialność? Zarząd jakąkolwiek odpowiedzialność? Jakie to naiwne, litości. A ja nie chcę brać odpowiedzialności za tych, którzy nie czytają treści powiadomień sms/push. No ale to oczywiście każdy może mieć inną opinię na temat socjalu…

    • Ale brednie, co to znaczy mieć kluczyki zawsze pod ręką? a jak pracodawca wymaga że nie mogę mieć przy sobie żadnych elementów metalowych to co? ma zmienić pracę? albo jestem nad jeziorem to co mam sobie je w slipki wsadzić?
      Kluczyki nie zostały w drzwiach ani nie leżały na masce czy na dachu samochodu więc był prawidłowo zabezpieczony, a to czy złodziej wsadził rękę do kurtki która wisiała na wieszaku czy zrobił sztuczny tłok i ukradł kluczyki z kurtki która była na właścicielu nie ma żadnego znaczenia, znaczy ma ale dla banksterów i ubezpieczycieli bo ci to każdy absurdalny powód wynajdą żeby nie zapłacić nawet gdyby zamiast plecaka nosił sejf i tam trzymał kluczyki to i tak jest rażące niedbalstwo bo jeszcze powinien czterech ochroniarzy zatrudnić do pilnowania sejfu

    • Jeżeli aż tak Pan hejtuje „banksterów”, to może w ramach protestu zamknąć wszystkie konta? Chociaż pracownikiem banku nie jestem, to dla mnie ma znaczenie czy kluczyki ktoś zostawił parę-paręnaście metrów dalej na wieszaku, czy ma je przy stoliku (w kieszeni/torebce/plecaku). Nad jeziorem dobytek też powinno zostawiać się pod nadzorem lub mieć przy sobie (jakby się Pan postarał, to znalazłby sobie coś do trzymania dokumentów, smartfona i kluczyków). Ale po co ja się produkuję – to z tym sejfem i ochroniarzami… mamy tutaj trolololo

    • A skąd wiadomo że to było kilkadziesiąt metrów? a może to były trzy albo cztery metry? a sąd dobrze to zinterpretował, co innego gdyby właściciel pojazdu zostawił kluczyki w drzwiach lub na masce samochodu to jest rażące niedbalstwo ale zostawił w kieszeni tak jak to robią setki milionów ludzi codziennie, ja też nigdzie indziej kluczy nie trzymam jak w kieszeni i co nagle pod wpływem ubezpieczyciela co ma sobie je w majtki wkladać bo w razie czego kasy z ubezpieczenia nie dostanę?

    • I jeżeli ukradną Panu samochód, to wszyscy klienci Pana ubezpieczyciela ostatecznie poniosą koszty, bo ubezpieczyciel też nie drukuje pieniędzy, tylko przekłada koszty na wysokość składek… pozwolę sobie też zauważyć, że trzymanie kluczy w kieszeni spodni trochę różni się od trzymania kluczy w majtkach – być może na kimś hiperbola robi wrażenie, ale nie na mnie

  35. Nie podoba mi się ta retoryka “klient okradziony przez internet”. To bank jest w takiej sytuacji okradziony, nie klient banku. W żadnym artykule prawa, które przytaczaliście nie ma mowy o tym aby to klient (płatnik) był okradziony. Wszędzie jest mowa o tym, że tylko w bardzo szczególnych przypadkach to klient (płatnik) odpowiada z transakcję, we wszystkich pozostałych odpowiada bank.
    Stosując taką retorykę sami przyczyniacie do tego stanu rzeczy, że ludzie myślą, że to oni zostali okradzenia, a Banki to wykorzystują.

    • Jak ktoś Ci wykradnie e-maile, to Ty jesteś okradziony z e-maili, czy GMail?

    • Raz że nie przez “internet” tylko “złodzieji” a dwa że bank to byłby okradziony, gdyby ktoś ukradł środki jego a nie klienta…

    • @Piotr Konieczny – maile, które powierzyłem gmailowi do przechowywania mają bardzo indywidualny charakter i jeżeli ktoś ukradnie gmailowi te maile to oczywistym jest że to ja jestem stratny,
      natomiast pieniądze które powierzyłem bankowi do przechowywania już takiego charakteru nie mają, można sobie wyobrazić tradycyjne złoto i skarbiec gdzie bank przechowuje złoto powierzone przez klientów. Jeśli ktoś tego złota trochę z banku ukradnie, to trudno mówić, że to akurat moje.
      No a poza tym o czym my dyskutujemy skoro nawet sądy uznają, że to jednak bankowi ukradziono, a nie klientowi. Skoro sądy tak uznają, to czemu uparcie używacie innej retoryki?!

      @Patryk – no własnie sednem mojego wpisu jest teza (potwierdzona przez sądowe wyroki), że to jednak bank jest okradziony, a nie klient.

    • Ciekawe spojrzenie. Czy te sądowe wyroki dotyczą również kradzieży przez internet? Ciekawe wtedy też na ile to jest celowy zabieg a na ile wynikający z nienadążania prawa za technologią.

  36. Dzisiaj na allegro próba oszustwa,gościu chciał ode mnie email i mi wysłał wiadomośc kupna gdzie miałem wpisać dane do banku. Email oszusta eu1cc@happydeliveryeu.com

    • I myślisz, że to jest adres e-mail oszusta? O naiwny, to zwykły spoofing bo oszust nie musi się z tobą kontaktować jak już Ci wyśle link do strony do podania danych osobowych. Spoofing jest jednym z palących problemów obecnych czasów w kwestii komunikacji elektronicznej, czy to e-maile czy telefonia komórkowa.

  37. Bank of America jest chyba pierwszym bankiem, który wdrożył klucze U2F, ale ich użytkownicy nie są zadowoleni.
    Klucz został wdrożony z myślą o osobach, które nie mają dostępu do
    kodów sms. W każdym momencie można wybrać autoryzację za pomocą kodów sms.
    Idealne wdrożenie w bankowości to logowanie wymagające klucza i autoryzacja przelewów za pomocą kodów sms lub aplikacji mobilnej. W ten sposób mamy 100% ochrony przed phishingiem oraz możliwość sprawdzenia/potwierdzenia kwoty przelewu i jego beneficjenta, czyli ochronę atakami wykorzystującymi web injection do zmiany parametrów przelewów.

    USB Security Key – USB – Extra security for higher-value transfers
    https://www.bankofamerica.com/security-center/online-mobile-banking-privacy/usb-security-key/

    Bank of America hardware key implementation is basically crap.
    https://www.reddit.com/r/yubikey/comments/v1x2sp/bank_of_america_hardware_key_implementation_is/

    How to setup Idem Key for Bank of America
    https://www.youtube.com/watch?v=u5JLYN7H6-M

  38. I właśnie dzięki takim “interpretacjom” banki uszczęśliwiają nas wszystkich 14 autoryzacjami w jednej sesji, która wygasa po 23 sekundach. Człowiek chwilę się nad fakturą zastanowi i już dostaje “dla twego bezpieczeństwa wylogowaliśmy cię”. Nie to, że stała przeglądarka, ta sama sieć, a nawet że wpisywałeś znaczki w tytule przelewu – bo odświeżenie czasu ważności sesji działa tylko po akcji…

    • Ten czas sesji jest kompletnie bez sensu, przez to, że obecnie jest tak krótki to nie raz nie ma jak wszystkiego posprawdzać, bo po 1 sesja w banku tylko 5 min. A czas potwierdzenia operacji zazwyczaj tylko 30 sekund. Przecież nic by się nie stało gdyby ten czas wydłużyć 2-3 krotnie. Sesja w banku 10-15 minut, a na autoryzację minuta, czy nawet 2 minuty powinny być. Po 1 wygodniejsze, po 2 bezpieczniejsze, bo można na spokojnie wszystko sprawdzić. Znam osoby które przy autoryzacji to te kilkadziesiąt sekund zastanawiają się jaki PIN wpisać, a przez to, że widzą zbliżający się koniec czasu wpisują PIN jak najszybciej nie czytając dokładnie co autoryzują. Wydłużając czas autoryzacji jednocześnie banku powinny nieco obszerniej opisywać co dokładnie autoryzujemy. Jak dla mnie autoryzacja w stylu “limity użytkownika” jest niedopuszczalna. Nie rozumiem dlaczego niektóre banki przy zmianie np limitu zamiast kwoty co jest najistotniejsze, bo wyświetlając nic nie mówiącą frazę “limit użytkownika” która tak na prawdę nic nie znaczy.

  39. Dużo tu banksterów broniących swoich pracodawców pisze a przecież UOKiK jasno poinformował o winie banków.
    “Urząd badał m.in. historię 72-letniej emerytki, która straciła 30-letnie oszczędności.
    Oszust uzyskał dostęp do danych uwierzytelniających i wyprowadził z konta emerytki 170 tys. zł oszczędności oraz zaciągnął kredyt na 80 tys. zł. Bank bezrefleksyjnie zmienił walutę i przelał pieniądze za granicę, doliczając do każdego przelewu opłatę za szybkość realizacji oraz udzielił wysokiej pożyczki osobie, która ma niską emeryturę, a w całej dotychczasowej historii konta preferowała bezpieczne inwestycje”.
    To jak to możliwe że system antyfraudowy nie wykrył nieprawidłowości ani żaden pracownik banku nie zadzwonił dlaczego wykonywany jest taki wysoki przelew z granicę przez staruszkę, no i jak to jest możliwe że emerytka z groszową emeryturą dostaje 80000 zł kredytu bez żadnej weryfikacji nikt z banku nie zadzwonił że ma za niski dochód i może zaproponować niższy kredyt, banksterzy po prostu olali wszystko tłumacząc się jak zawsze rażącym niedbalstwem a wiele z tych nieautoryzowanych transakcji jest cieżko uniknąć osobie nietechnicznej i nie piszemy tutaj o Karynie która podaje swoje dane na olx tylko wysokospecjalizowanych atakach grup przestępczych.

    • Najwyraźniej dostęp do bankowości online powinien być dany tylko po zdaniu egzaminu z bezpieczeństwa w sieci, a ci co by go oblali powinni się kisić w kolejkach w oddziałach – albo lepiej, na poczcie utrudniając wszystkim nadanie/odebranie listu. Dlaczego teraz wszyscy inni klienci powinni brać odpowiedzialność za Panią emerytkę? A nie, po co pytać, badałem to na studiach – jako naród pławimy się w socjalu, nawet jak zwróci się nam uwagę na fakt, że to nas wszystkich więcej kosztuje.

    • W porządku Patryczku banksterze wszyscy poznaliśmy już Twoją opinie i Twojego banku ja tutaj o widle a Ty o powidle, a może byś opisał jak Twój bank dał 80000 zł kredytu 72-letniej staruszcze z głodową emeryturą i to jeszcze w żaden sposób tego nie weryfikując a potem wmawiał że to rażące niedbalstwo.

    • W porządku Antybanksterku trollusiu, poznaliśmy się na Twojej akceptacji socjalu, że chcesz z własnej kieszeni płacić ludziom okradzionym. Pracuję w Mettler-Toledo i ostatnim razem jak sprawdzałem zajmujemy się produkcją różnego rodzaju sprzętu przemysłowego i laboratoryjnego a nie banksterką. Już możesz przestać trollować :)

    • A odnośnie kredytu – jeżeli Pani miała 170k na koncie i regularne przychody na poziomie pozwalającym na wzięcie pożyczki na poziomie 80k… to przecież mogła takową dostać. Ciekawi mnie na jakiej podstawie Pan twierdzi, że bank tego dokonał “bez żadnej weryfikacji” – chyba, że Pan Antybankster… pracuje w banku, który tego kredytu udzielił – to byłby dobry plot twist! :D można się oczywiście przyczepić, że każda pożyczka powinna wymagać wizyty w oddziale – ale to wtedy trzeba byłoby ustalić na poziomie prawa, bo tak długo jak część banków będzie taką usługę oferować bez wizyty w placówce, tak długo będzie się tracić klientów nie oferując samemu takiej usługi…

    • @Patryk
      “Najwyraźniej dostęp do bankowości online powinien być dany tylko po zdaniu egzaminu z bezpieczeństwa w sieci, a ci co by go oblali powinni się kisić w kolejkach w oddziałach”

      Rozumiem, że kierujesz się troską o tworzenie nowych stanowisk pracy czyli “egzaminatorów”. A może wystarczyłoby przywrócić dawne godziny pracy oddziałów, otworzenie zamkniętych placówek i zniesienie olbrzymich opłat za transakcje offline. Tylko to co było przed pandemią. Nie potrzeba żadnych nowych rozszerzeń offline’owych. Szacuję, że przynajmniej 10-15% potencjalnych ofiar skorzystało by na przywróceniu warunków sprzed 2-3 lat. Coś czuję, że jeżeli nie reprezentujesz banku, to może tę drugą stronę, której trzeba napędzać ofiar?

    • @hashtak czyli jeżeli nie zgadzam się z Panem i Antybanksterem to muszę być bankierem albo złodziejem? To jest Pana sposób na merytoryczną rozmowę? Ubliżenie komuś, żeby podbić swoje ego? Przedłużenie godzin pracy i zwiększenie ilości placówek oznacza większą ilość etatów do opłacenia – a jako że jestem przeciwny socjalowi, to jal najbardziej uważam, że te dodatkowe etaty powinny być opłacone przez osoby, które z placówek korzystają. Ja nie korzystam i czemu muszę być obciążany kosztami utrzymania placówek? Bo możemy się chyba zgodzić co do tego, że bank oferuje mi takie warunki, żeby pokryć koszty swojej działalności i trochę jeszcze zarobić. A być może banki tego nie przywracają, bo coraz więcej ludzi korzysta z własnej nieprzymuszonej woli z bankowości online i po prostu jest mniejsze zapotrzebowanie na placówki i cierpi jedynie zmniejszające się grono klientów? Ani ja ani Pan nie mamy danych na odpowiedzenie na te pytania, ale Pan widać to po prostu “wie” a ja jestem “naganiaczem” ;)

  40. Część komentujących i UOKiK zdaje się zapominać o tym, że nikt nie traci pieniędzy bezpośrednio w wyniku ataku phishingowego. Złapanie się na ten atak może faktycznie nie być uznane za “rażące niedbalstwo”, ale to jest TYLKO wpuszczenie lisa do kurnika – lis nie nabroi jeśli kury są w klatkach. Każda operacja w serwisie transakcyjnym wymaga autoryzacji kodem SMS lub poprzez aplikację i tam jest wyraźnie napisane jakiej operacji dotyczy autoryzacja. Jeśli użytkownik tę operację w jakikolwiek sposób autoryzuje, to oznacza że wyraził na nią zgodę i tyle. Jeśli w wyniku autoryzowanej operacji straci pieniądze, to jak najbardziej jest to rażące, wręcz ostateczne niedbalstwo i zwrot się nie należy. Jeżeli klient udowodni że to nie on autoryzował operację (np. duplikat karty SIM przy kodach SMS), to wtedy jak najbardziej bank powinien stracić kasę, ale takie ataki są marginalne na tle tych w których zwyczajnie klient okrada się sam akceptując kolejne operacje. To właśnie to będą wskazywać Banki jako rażące niedbalstwo i będą miały rację.

    Systemy antyfraudowe w Bankach są coraz lepsze, ale nigdy nie zastąpią myślenia. Najczęstszy modus operandi to dodanie zaufanego odbiorcy i wykonanie do niego jednego bądź serii przelewów – takie coś bez problemu Bank może wyłapać i przelewy zablokować, ale to tylko jego dobra wola, nie jest do tego zobligowany. Banki tę kwestię rozwiązały w postaci limitów transakcyjnych. Dobrym pomysłem jest ustalenie ich już na etapie otwierania rachunku. A jak ktoś zautoryzuje operację podwyższenia limitów no to ¯\_(ツ)_/¯

    • Antybankster by się nie zgodził. Jego zdaniem banki odpowiadają za brak myślenia klientów ;P

    • Oszywiście ja się z tym w zupełności zgadzam, tylko ocena czy doszło do rażącego niedbalstwa należy do niezawisłego sądu a do tej pory to banksterzy byli sędziami i katami we wlasnej sprawie co jest niedopuszczalne w demokratycznych ustrojach. Bank ma oddać pieniądze i potem może sobie wytoczyć proces i udowodnić że doszło do rażącego niedbalstwa a nie że bank olewa sytuacje rodzina nie ma co do garnka włożyć i walczy kilka lat o odzyskanie pieniędzy pomimo że zostało udowodnione że np. został wyrobiony duplikat SIM.
      A Patryczek nadal nie odpowiedział na pytanie jak to jest mozliwe że staruszka z głodową emeryturą uzyskała 80000 zł kredytu, było sporo sygnałów że to jest przekręt, dziwne zmiany w systemie że nagle została wdową i banksterzy udzielili kredytu osobie która nigdy w życiu nie powinna go dostać.

    • Otóż odpisałem, w wątku powyżej. Do tej pory każdy mógł się sądzić z bankiem – nic się pod tym kątem nie zmieniło, lol. UoKiK idzie na wojnę z bankami, żeby egzekwować źle przetłumaczoną dyrektywę PSD2, a banki idą na wojnę z UoKiKiem (podesłałem link gdzieś powyżej) egzekwować poprawne przetłumaczenie PSD2. To o co postuluje Pan Antybankster – żeby banki najpierw oddawały a potem udowodniały rażące niedbalstwo – jest zgodne z prawem tylko w świetle tego niepoprawnego przetłumaczenia. Jeżeli zostanie wyegzekwowane poprawne przetłumaczenie PSD2, wtedy postulaty Pana Antybankstera przestaną być poprawne a okradzione osoby będą musiały udowodnić rażące niedbalstwo banku, co będzie trudne. Pani emerytka być może byłaby w stanie udowodnić brak wystarczającej weryfikacji banku jeżeli chodzi o kredyt, ale jeżeli chodzi o utratę oszczędności to raczej sama wykazała się niedbalstwem. Wracamy do tego, że ktoś może nie powinien mieć dostępu do bankowości internetowej jeżeli nie wie co robi…

    • Przecież są ataki SIM fraud. Autoryzacja SMS nie jest bezpieczna.

    • Zgadzam się, co więcej SIM fraud może pozwolić na uzyskanie więcej niż tylko kodów do autoryzacji, które są jedynie połową sukcesu. Np: duplikat SIM może pozwolić na uzyskanie pozostałych danych dostępowych gdy bank oprze autoryzację klienta wyłącznie na podstawie posiadania poprawnego numeru do kontaktu. Niemniej jednak SIM fraud nie jest bezpośrednio winą banków bo te nie wystawiają duplikatów kart SIM. Problem jest więc bardziej złożony i jego zakres wykracza poza same banki. Są rzeczy, które banki mogłyby wprowadzić celem dodatkowych zabezpieczeń, np: większe przelewy byłyby kierowane do tzw. oczekujących na telefoniczne potwierdzenie. Problem tylko w tym, czy banki są do tego zobowiązane skoro nikt tego nie sprecyzował w formie dyrektyw.

    • Są oczywiście ataki SIM fraud… a czy są jeszcze jacyś operatorzy telefonii komórkowej, którzy nie podejmują kroków celem ułatwienia ich detekcji? Play wysyła SMS o duplikacie karty na pierwotną i nie pozwala duplikatu przez jakiś czas aktywować, nju chyba wysyła SMS i wysyła duplikat dopiero po kilku dniach. Jakbym dostał SMS o wyrobieniu duplikatu i nic z tym nie zrobił, no to dobre pytanie czy to jest rażące czy nie… jeżeli nie rażące, to przynajmniej ignoranckie

    • Czy są jacyś operatorzy? jak wyrabiałem duplikat w Orange to nowa karta była aktywna po kilkunastu minutach i żaden sms na starą karte nie przyszedł, po drugie jak jestem w pracy to swojego telefonu nie widzę przez 12 godzin więc przestępcy mieliby dość czasu żeby dokonać kradzieży.
      No ale w rozumieniu Partyka sam sobie jestem winien już dawno trzeba było mi zmienić pracodawcę na takiego co zamiast kazać pracować to pozwala siedzieć przed telefonem żeby przypadkiem jakiegoś sms-a nie przegapić i jeszcze jedno, wielokrotnie jak wychodzę z domu to nawet telefonu z sobą nie zabieram bo potrafię bez niego żyć, nie jest mi niezbędny do przeżycia to nie powietrze.

    • A jak dawno wyrabiał sobie Pan duplikat karty SIM? Bo jak mamy wytykać historyczne dziury bezpieczeństwa, to mogę przytoczyć przypadek Playa, który wydał mi kartę SIM bez żadnych dokumentów, na “jestem zalogowany do aplikacji Play” – ale to było z 6-8 lat temu. Jeżeli chodzi o fraudy SIM, to porusza Pan ciekawy temat – na pograniczu działalności bankowej i telekomów, był tutaj artykuł o jakimś kraju w Afryce, który rozwiązał ten temat systemowo, ale uodo by się to rozwiązanie nie podobało. Dodatkowo Pan Antybanskter podnosi ciekawe pytanie – jeżeli telekom podejmuje działania: pisze wiadomość informacyjną a użytkownik ją zignorował, bo jest w pracy, robi akurat kupę, albo trolluje innych na forum niebezpiecznika – to czy fakt niezaiteresowania się wyrobieniem duplikatu karty SIM jest rażącym niedbalstwem? No dobra, to nie chcemy SMSów, tylko żeby telekom zadzwonił – aha, ale to nie ma sensu, bo to może nie jest fraud, a Pan rzeczywiście zgubił kartę i wyrabia duplikat i nikt nie odbierze…

    • Czyli Patryku dajesz 100% gwarancji że wszystkie telekomy obecnie wysyłają sms na starą kartę i dają np. 24 godz. lub 48 godz. na aktywacje nowej? no i o to jest cała batalia to banksterzy przed sądem mają mi udowodnić że nie odebranie sms było moim rażącym niedbalstwem a nie że ja się mam tłumaczyć z tego że nie jestem jeleniem, jeżeli sąd potwierdzi że moją winą jest że mam taką śmieszną pracę i nie mogę mieć przy sobie telefonu to w porządku wezmę to na klatę i poniosę tego konsekwencje, ale obstawiam na 99% że żaden sąd by nie wydał takiego wyroku, pomijając oczywiście sytuacje kiedy to bank jest sędzią we własnej sprawie. Zgodzę sie z Tobą że w Mozambiku gdzie skala wyłudzeń na SIM frad była zatrważająca rozwiązali to bardzo dobrze i myślę że u nas tak samo to powinno działać.

    • @Antybankster nie, nie gwarantuję. Rozróżnia Pan zdanie twierdzące od pytania? Bo w moim komentarzu postawiłem pytanie czy telekomy nie robią już czegoś w tym zakresie. Potem Pan powiedział, że Pana operator nie, więc jestem ciekaw czy to jakieś świeże doświadczenie czy historia sprzed lat, na co Pan nie odpowiedział. Jeżeli chodzi o to rozwiązanie Mozambiku i nieszczęsne RODO, to szkoda że w tej sytuacji nie wprowadzono API “wydano duplikat SIM, nie wydano duplikatu, użytkownik numeru nie wyraził zgody”.

  41. Tutaj do dziś do północy są konsultacje PSD3. Można się wypowiedzieć co powinno być poprawione względem PSD2. Np. że powinni coś zrobić z SIM fraud.

    https://ec.europa.eu/eusurvey/runner/psd2-review-open-finance-2022

  42. Sprawa jest trudna, bo faktycznie sprowadza klienta banku do osoby, która wymaga stałego nadzoru i opieki. Z drugiej strony trzeba pamiętać, że ilość kruczków, niejasnych sformułowań i prawnych wytrychów jest na tyle duża, że człowiek nie jest w stanie w rozsądnym czasie bez nadmiernego angażowania się po prostu wygodnie korzystać z usług.
    Problem trochę podobny do długaśnych regulaminów i umów – balans pomiędzy bezpieczeństwem a prostotą.

  43. No tak przepraszam, w momencie kiedy pisałem swój komentarz tamten nie był jeszcze widoczny, sąd i UOKiK potwierdzili wine banku, w przypadku staruszki zresztą nie wiemy jak został przeprowadzony atak może na duplikat karty SIM a może zadzwonił “pracownik banku” wykorzystany został spoofing telefoniczny staruszce się wyświetlił jej bank, przestępca miał jej wszystkie dane zakręcił babcią i ta potwierdziła przelew, ale w ocenie i sądów i zwykłych ludzi to są techniki przed którymi cieżko się ustrzeć, nawet czytelnicy niebezpiecznika wpadaja w takie sidła.
    Odnośnie do komentarza bank udziela kredytu na podstawie wieku kredytobiorcy i jego dochodów więc tutaj dał ciała po całości, zresztą przy takim wielkim przelewie za granicę większość banków dzwoni żeby sie upewnić że przelew wykonuje właściciel konta.
    I broniłem tutaj na forum banki jak Janusz czy Grażyna biznesu sprzedawali rzeczy na olx udostępniali dane swojej karty płatniczej i jeszcze autoryzowali przelew bo to szczyt debilizmu, faktycznie jest to rażące niedbalstwo i takie osoby nie powinny posiadać dostępu do bankowości internetowej.
    Oczywiście, każdy się mógł sądzić z bankiem tylko problemem były pieniądze a raczej ich brak np. na adwokata i czas, w Polsce procesy toczą się kilka lat i przez ten czas człowiek zostaje bez pieniedzy czasem sporych, i nigdy nie było tak w demokratycznym kraju że to ofiara ma udowadniać niewinność, znam sporo przypadków kiedy zostały na dane osobowe wyłudzone kredyty i to zawsze wierzyciel musi udowadniać że doszło do złamania prawa w żadnym przypadku ofiara więc tutaj jak najbardziej powinna byc identyczna procedura i obstawiam że tak będzie, banki nie wygrają.

    • W przypadku kredytów wziętych na czyjeś dane, to rzeczywiście można byłoby uprościć proces dochodzenia do prawdy – wysłanie do banku pisma “ja tego kredytu nie wziąłem, proszę go anulować i zablokować mój dowód osobisty/paszport” powinno być wystarczające.

  44. Kiedy ostatnio widziałem laptopa marki Asus z 2012 roku, to ten grat miał klucz TPM na płycie.
    Jak takiego klucza nie ma, to są jeszcze Yubikeye.
    To tyle dla kont gdzie fruwa gotówka większa niż np tysiąc złotych jednorazowym przelewem albo leży ponad 50 tys zazwyczaj.

    Aplikacje bankowe to może starczą na małe kwoty do 1 tys złotych przelew i podobnie płatności internetowe.
    Karty Visa i Mastercard mają chargeback, także są chronione przez operatora kart.
    Także da się to sensownie zorganizować w razie czego.

    Banki chyba dlatego tak spławiają klientów, że Sądy i Prokuratury działają co najmniej kiepsko, do zwrotu fraudu powinno wystarczyć zgłoszenie do Prokuratury albo na Policję.

    Pozdro

  45. Na prawdę nie rozumiem czemu to bank ma ponosić odpowiedzialność za niedbałość i głupotę klientów… Standardowo, w Polsce przedsiębiorcom rzuca się kłody pod nogi i utrudnia maksymalnie prowadzenie firm. Banki ciągle trąbią o oszustwach, o tym jak nie dać się okraść, jak nie paść ofiarą phishingu, jednak klienci to olewają, i w tym momencie bank ma klientom oddawać pieniądze? Paranoja.

    • Bo żeby to zrozumieć to trzeba być konsumentem a nie pracownikiem banku i nie powtarzać bredni innych banksterów tutaj, banki nie mają ponosić odpowiedzialności za głupotę klientów tylko nie mają stać ponad prawem, jeżeli klientowi w wyniku ataku znikną pieniądze z konta po prostu mają przelać kasę z powrotem tak jak jest w każdym cywilizowanym kraju, a potem dochodzić przed sądem że nastąpiło rażące niedbalstwo i jak to udowodnią to wtedy klient traci pieniądze. I nie powtarzaj tutaj bredni o rażacym niedbalstwie bo taki atak SIM swap scam jest w praktyce trudny do wykrycia, no chyba że ktoś jak upośledzony siedzi 10 godzin dziennie ze smartfonem przy twarzy i w dodatku doskonale się orientuje co to za technika ataku a takich ludzi to jest może pół procenta, i dlaczego kiedy nie było winy klienta banku to on musi czekać kilka lat na oddanie pieniędzy bo banksterzy zrobią wszystko żeby tylko kasy nie zobaczył, o to ta cała batalia UOKiK z bankami się toczy.

    • Zastanawiam się co jest takiego fajnego w obecnym systemie że niektórzy tak go bronią. Jeśli wyrzucimy wszystkie pojedyncze historie zaciemniające obraz, to sprawa wygląda tak. Klient oddaje bankowi pieniądze na przechowanie. Pieniądze zostają skradzione. Obie strony obwiniają się wzajemnie i uważają że wina leży po drugiej stronie (czyli standard). Silniejsza strona w tym sporze wykorzystuje swoją pozycję i stwierdza że to nie jej wina i pieniędzy nie odda. Czyli sama w swojej sprawie wydaje wyrok i orzeka karę (brak pieniędzy) dla klienta. Dodatkowo praktyka pokazuje że robi to praktycznie z automatu niezależnie od okoliczności poszczególnych sytuacji. Brzmi tak dobrze ze zupełnie nie rozumiem czemu ludzie się tego czepiają. I w dodatku chcieli by żeby wprowadzić jakieś dziwne zwyczaje, np żeby o winie zdecydował sąd a nie jedna że stron zamieszanych w konflikt. A jeśli już o sądzie mowa, to przecież już teraz można tam pójść i walczyć z taką decyzją banku. Co prawda nie mamy wtedy pieniędzy na prawnika lub pomoc prawną, ale przecież po drugiej stronie jest tylko duża instytucja z ogromnymi zasobami I rozbudowanym działem prawnym. Więc to nie jest tak że znowu jesteśmy słabsza stroną.

      A tak bardziej serio. Sporo ludzi straciło, traci i będzie tracić pieniądze przez własne błędy. W tym sporze nie chodzi o to żeby nie ponosili konsekwencji swoich czynów, tylko o to kto iw jaki sposób na rozstrzygać spory bank-klient . Jeśli kiedyś ktoś mnie okradnie, to chciałbym żeby to sąd, a nie bank mi powiedział: dałeś się obrobić z własnej winy, więc teraz płacz i płać.

    • Co za bzdury. Sam fakt zniknięcia pieniędzy z konta plasuje winę po stronie klienta. Pomijając jakieś skrajne, małoprawdopodobne skoki na wielką skalę gdzie to od strony banku kradną pieniądze z kont, i to już raczej z większej ilości klientów. Albo to klient wyciągnął te pieniądze, albo złodziej, w drugim przypadku zawsze w 99% z winy klienta. I nie jestem pracownikiem banku a jego klientem. Świadomym. Ja wiem że to nie fajnie jest stracić swoje pieniądze, potencjalnie nawet dorobek życia. Każdy chciałby wtedy zrobić bank na tą kasę tłumacząc się że to przecież nie jego wina. A wystarczyło zadbać o bezpieczeństwo, tak jak to banki ciągle przypominają. Tak, nawet biedna staruszka dająca się nabrać na spoofowany telefon z banku ponosi własną odpowiedzialność. Banki trąbią o dobrych praktykach i o tym jak nie dać się oszukać. Ponownie, ignorancja nie zmniejsza odpowiedzialności.

    • O kolejny bankster na horyzoncie, to ja mam taką zagwozdkę do banksterów tutaj, włamują mi się do mieszkania przestępcy wiedząc że mam pół miliona zł na koncie przystawiają pistolet do głowy i żądają przelania pieniędzy np. na Ukraińskie konto, dzwoni pracownik banku czy to faktycznie ja przelewam te pieniądze mając przystawiony pistolet do głowy potwierdzam że ja to ja więc z punktu widzenia banku wszystko jest ok, na koniec przestępcy mnie oszczędzają chociaż lepiej dla banksterów żeby mnie zastrzelili bo wtedy by była prosta sprawa, przywiązuja do kaloryfera kneblują a po kilku godzinach znajduje mnie moja dziewczyna idziemy na policję złożyć zeznania i teraz buumm, było rażące niedbalstwo z mojej strony czy nie?
      A co jak bankster współpracujący z przestępcami dokonał kradzieży to tez wina posiadacza konta? weź Ty się człowieku puknij w tą swoją banksterską głowę bo większych bredni nie czytałem.
      I na koniec artykuł z finansewp “Pracownicy banków okradają nasze konta! Aż trudno uwierzyć”

  46. Do czasu, az banki beda oszczedzac na zabezpieczeniach dla Kowalskich, a durne Kowalskie robic transakcje na WhatsApp, dopoty nic sie nei zmieni. Jak to jest, ze dla biznesu banki nawet nie proponuja tych durnych apek na zabaweczki-telefoniki, tylko z punktu albo podpis elektroniczny, albo token – nie ma nic ponizej. Bo tez wiadomo: tu sa sztaby prawnikow i wielka kasa, wiec lepiej uwazac, bo jeszcze by trzeba te kase zwrocic. Ale dla glupawych normow wiadomo: sciagnij se apke glabie, jest kolorowa i super, rob przelewy w autobusie, a jak cie wycyckaja to i tak nie dostaniesz kasy, a my zarobimy na obrocie srodkow. Po jednej stronie chciwosc, po drugiej bezdenna tepota. I tak to sie kreci – we wszystkim. Ostatnie 2 lata i ostatnie miesiace pozbawily mnie jakichkolwiek zludzien co od poziomu umyslowego typowego Kowalskiego. Cytujac klasyka: co kilka sekund rodzi sie kolejny frajer.

    • Nie jest prawdą, to co Pan pisze – przynajmniej częściowo. Kartą korporacyjną citi nie można zapłacić online bez aplikacji citi corporate cards, w której pojawia się push z 3dsecure. Czyli są banki, które oczekują korzystania z apki na “zabaweczki-telefoniki” od przynajmniej niektórych klientów biznesowych.

    • @Patryk Trzymasz pieniadze w Citi? Wow. Rozumiem, ze drugie konto obowiazkowo w mBanku. Powodzenia.

    • Wątek dotyczy argumentu “od biznesów banki nie oczekują instalowania apki mobilnej” i podałem Panu przykład obalający Pana hipotezę – niektóre banki dla niektórych operacji niektórych klientów wymagają. Z jakiegoś powodu nie jest Pan w stanie przyjąć do wiadomości, że rzeczywistość jest inna niż się Panu wydaje i zamiast “dziękuję, nie wiedziałem” zmienia Pan temat na to, gdzie trzymam środki (co Panu do tego). Ale co się dziwić, w końcu rozmawiam z Pokemonem…

    • @Patryk Na jednym przykladzie opierasz ogolne wnioski? Co wiecej, w Citi kod 3D Secure (a nie jakies “3dsecure”) moze byc rowniez wysylany SMSem. Koles, czy ty w ogole kontaktujesz co sie dookola ciebie dzieje?

    • Podnoszę, że to się zaczyna zmieniać. Nie mówię, że wszystkie banki oczekują od klientów biznesowych korzystania z apek – mówię że nie prawdą jest że “żadne” – cytat: “Jak to jest, ze dla biznesu banki nawet nie proponuja tych durnych apek” i mój argument “niektóre jednak wręcz wymagają”. Dla mojej karty korporacyjnej kody sms przestały być opcją jakoś w zeszłym albo tym roku – ale widzę, że Pan kontaktuje i wie jak to wygląda dla wszystkich produktów we wszystkich bankach ;) otóż najwyraźniej jednak Pan nie wie :) pozdrawiam i również życzę powodzenia!

    • @Patryk To kolego sprawdz jeszcze raz na infolinii, mozesz sie bardzo zdziwic. Co wiecej, nie bardzo rozumiem co ma to pitolenie o Citi do oglnej sytuacji bankowosci i (nie)swiadomosci uzytkownikow w Polsce. Ze niby City jest jakims wyznaczikiem banku i wszystko musi byc do niego rownane? Moze odniesiesz sie do glownego tematu, a nie krazysz ciagle dookola “bo ja mam inaczej”. Kogo obchodzi co ty tam masz i co sobie dales frajersko wcisnac? No kogo? Dla mnie mozesz trzymac kase w skarpcecie i robic zakupy przez ogloszenia na fejsdurniu, co mi do tego. Mowa jest o tym jak ogolnie banki traktuja klientow i jak klienci daja sie traktowac. Gdyby sytuacja byla inna, nie zainteresowalby sie tym UOKiK. Ale spoko, idz do UOKiK i powiedz, ze “ty masz inaczej”, na pewno od razu porzuca zainteresowanie sprawa, bo tak im jakis anonim z internetu powiedzal. Powtorze: koles, ty w ogole kontaktujesz co sie dookola ciebei dzieje?

    • @Patryk Aha, jeszcze jedno, zupelnie na koniec – po prostu zapomialem wczesniej dopisac. Ty przeciez nawet nie odrozniasz autoryzacji dostepu do konta od autoryzacji platnosci przez kk czy debetowa. Dla twojej wiadomosci: to sa dwie rozne rzeczy, nie majace ze soba niczego wpsolnego. Tyle z mojej strony.

    • @pikachu odnośnie “nie bardzo rozumiem co ma to pitolenie o Citi do oglnej sytuacji bankowosci i (nie)swiadomosci uzytkownikow w Polsce” – back at you – co ma pitolenie o tym, że w bankowości korporacyjnej nie ma aplikacji mobilnych do (nie)swiadomosci uzytkownikow w Polsce? Odniosłem się do postawionej przez Pana hipotezy “dla biznesu banki nawet nie proponuja tych durnych apek”, która jest nieprawdziwa. Są banki, które proponują i są banki, które wręcz wymagają. Tylko widzę, że zamiast zaakceptować ten fakt i zaktualizować swoją opinię o rzeczywistości woli Pan brnąć w dostosowywanie rzeczywistości do swojej opinii. W tym wątku nie mam nic do dodania.

    • Aha, zupełnie na koniec, bo zapomniałem napisać. Ostatecznie chodzi o wszelkiego rodzaju fraudy – czy to aktywację aplikacji bankowej, zatwierdzenie przelewu w aplikacji, podanie kodu sms, kodu blik czy podanie danych karty kredytowej, więc nie wiem czemu Pan sobie sam ustalił, że chodzi tylko o jeden konkretny i buduje na tym niepoprawną opinię o innych. To znowu wygląda na zabieg mający na celu nakarmienie swojego ego…

  47. A może banki powinny się dogadać i utworzyć np. white list i black list nr-ów rachunków. Na rachunki pewne przelewy szły by normalnie. Na rachunki podejrzane – przelewy trafiałyby do “bufora” na 24 godz. a dokonujący przelewu otrzymywałby SMS-a z informacją że przelew zostanie wykonany po pozytywnej weryfikacji odbiorcy. Otrzymanie odpowiedniego SMS-a dało by do myślenia i może skłoniło do sprawdzenia na własną rękę czy nie zostałem w coś wkręcony.

    • Ale czy banki już tego nie robią? W sensie jak konto jest zblacklistowane, to nie jest zamrażane? Nie znam przepisów dotyczących zapobiegania prania pieniędzy, ale wydaje mi się, że banki coś takiego muszą robić. I czy właśnie nie rozchodzi się o sytuację, że ludzie są okradani zanim konto zostanie zablokowane? Dodatkowo to nie rozwiązuje sytuacji, kiedy środki są wypłacane na legitne konto, na przykład giełdy krypto i potem zamieniane na walutę nieśledzoną…

  48. Znajoma była audytorką w City w latach 90 -tych. Potem paru innych bankach
    Twierdziła, że 70% wyludzeń było dokonywanych przez, lub przy pomocy pracowników banków.
    Co się zmieniło?
    Poza tym byłem nieco zaskoczony, gdy zobaczyłem, że bank, którego jestem klientem używa (obecnie) Windows 2000…
    Może ma wykupioną subskrypcję aktualizacji, może nie….

  49. Klient banku jest w takim sporze na drastycznie słabszej pozycji, dlatego należy mu się wyraźne wyrównanie szans. Np. taka procedura – w przypadku fraudu bank oddaje kasę w 24h lub natychmiast powiadamia prokuraturę o podejrzeniu oszustwa/niedbałości ze strony klienta. Prokuratura bada sprawę, jeśli nie stwierdzi winy klienta, bank ma oddać kasę. W pozostałych przypadkach klientowi (i bankowi też) pozostaje droga sądowa.

    Osobiście uważam też, że oszustwa zrealizowane przez zdalne przejęcie drugiego składnika – np. przypięcie przez oszusta własnej aplikacji do konta ofiary – powinny być z automatu winą banku. Drugi składnik powinien być maksymalnie zabezpieczony przed takimi atakami, nawet kosztem wygody klienta. W szczególności uważam za duże niedbalstwo ze strony banku używanie jako drugi składnik apki w telefonie, który to (telefon) użytkownik wszędzie ze sobą nosi – nawet na zakrapianą alkoholem imprezę, na której nie zamierza (i nie powinien) nic w banku grzebać.

  50. Chciałbym zapytać ekspertów, jak wygląda niepodważalna metoda autoryzacji operacji?

    Dla przykładu w Polsce funkcjonują podpisy kwalifikowane, zabezpieczone kodem PIN. Na jakiej podstawie przebiega autoryzacja takich operacji? Skąd wiadomo, że osoba uprawniona do jego użycia, faktycznie użyła tego podpisu? Bo skoro metody autoryzacji stosowane przez Banki są zgodnie z prawem niewystarczające to tak samo nie rozumiem, na jakiej zasadzie działają podpisy kwalifikowane. Również tutaj osoba może zostać poproszona o podanie kodu PIN do podpisu oraz użyczenia karty z certyfikatem ale sama nie wyrażała woli do autoryzowania operacji, wykonanych tym podpisem.

    Mając te wątpliwości, chętnie poznam od ekspertów niepodważalną metodę autoryzacji operacji.

    • Ponieważ mówimy o przypadku, kiedy ktoś nie wie co robi, bo nie czyta, to chyba takowego nie ma. Możemy sobie gdybać o sensorach tętna i temperatury w smartfonie, które wykrywałyby czy ktoś jest zestresowany, ale to miałoby sporo błędów pierwszego i drugiego rodzaju – utrudniłoby korzystanie z bankowości, kiedy ktoś jest zestresowany z innego powodu niż “zablokowane środki” oraz nie wyłapałoby sytuacji, gdy ktoś jest przekonany, że “wie co robi”. Może jakiś czip w mózgu wykrywający czy ktoś uruchomił czytanie integrujący się z apką banku po BT v8.0?

  51. A banki dalej nie wspierają FIDO U2F. Nawet gdybym chciał się nabrać na phishing to YubiKey by mi na to nie pozwolił

  52. Ataki na BLIKA? (Brytyjskie) Banki mówią, że winny Facebook i powinien też zwracać ich klientom pieniądze z nieautoryzowanych transakcji
    https://antyweb.pl/nieautoryzowane-transakcje-zwrot-przez-bank
    W artykule również o spotkaniu ZBP, na którym:
    “Przytoczono też tu przypadki, w których zabezpieczenia banków reagują na takie nagłe i niespodziewane zachowania klientów i w reakcji na to prawdziwy pracownik banku dzwoni do takich klientów oraz informuje ich o próbie oszustwa, a ci odrzucają takie połączenia i doprowadzają takie transakcje do końca.”
    Klient banku tak bardzo chce być okradziony, że jeśli w trakcie oszustwa dzwoni pracownik banku to go ignoruje.
    Widzę tu analogię do użytkownik komputera, który tak bardzo chce otworzyć podejrzany plik, że jak antywirus mu to uniemożliwia to go wyłącza, otwiera plik i infekuje komputer.
    To pokazuje, że traktowanie każdej sprawy tak samo (zwrot pieniędzy w ciągu 24h) nie jest właściwe.

    Brytyjskie Banki nie chcą samodzielnie odpowiadać za działania oszustów. Domagają się pieniędzy od Google’a i Facebooka
    https://www.cashless.pl/12154-wielka-brytania-banki-domagaja-sie-pieniedzy-od-google-facebooka
    To bardzo zły pomysł brytyjskich banków.

  53. Stek bredni promowanych przez Rzecznika Finansowego i UOKiK które bazują na błędnie przetłumaczonych regulacji UE w których nastąpiło pomylenie określeń autoryzacji i uwierzytelnienia. Polecam poczytać – https://sip.lex.pl/orzeczenia-i-pisma-urzedowe/pisma-urzedowe/wyjasnienia-interpretacyjne-i-rekomendacje-sektora-185098062 Może wreszcie podstawowe rzeczy dotrą nawet do tych najbardziej opornych. Mówiąc krótko nie może być transakcji nieautoryzowanej, która nie została uwierzytelniona. Bank to nie duch święty i nie ma narzędzi aby weryfikować czy komplet wprowadzonych danych uwierzytelniających wprowadził Klient czy osoba której Klient wszystkie te dane przekazał, a jeśli przekazał to czy świadomie czy nieświadomie. Masz sejf w Banku i klucz do niego, który dajesz komuś na ulicy…. czy krzyczysz potem “Matko Boska miał mi tylko kupić BItCoiny a nie wyczyścić sejf”?. Nawet milion zabezpieczeń i tysiące dokumentów takich jak PSD2 a w nich pińcset milionów zasad SCA na nic się zdadzą gdy trywializujemy podstawowe zasady logiki na rzecz idiotycznej mody na dziecinne “komiksowanie” odpowiedzialności.

  54. Myślę, że osoby bez dużej wiedzy historycznej, filozoficznej, kulturowej itd. nie mają prawu do udziału w wyborach. Wszak się nie znają, a my jako społeczeństwo i ludzkość ponosimy koszty ich decyzji. Gdy ktoś nie zna ewolucji prawa kontynentalnego- a obecnie, przy tak silnym wpływie prawa Commonwealthu, to i tamto by się przydało – będąc członkiem wspólnoty, w której zasady, regulujące każdy aspekt życia, są tym prawie oparte, to musi być kretynem. Jeśli nie zna historii myśli republikańskiej, żyjąc w republice, to musi być durniem. Ktoś, kto nie zna się na sztuce i jej nie uprawia, sam sobie odmawia pełnego udziału w człowieczeństwie i wspólnocie ludzi wolnych. Itd.

    Można takiemu dać prawo pracy i korzystania z Internetu, skoro na tym się zna – to akurat wiedza idealnie dla niewolnika, praktyczna, przydatna, powiązana z pracą. Właśnie ten typ wiedzy, który w klasycznej myśli demokratycznej nie czyni obywatela vel wolnego człowieka vel człowieka z prawem głosu. Taki współczesny odpowiednik chłopa pańszczyźnianego, pewnie zresztą niedługo zostanie zastąpiony przez roboty. Niech sobie korzysta z bankowości internetowej, pewnie, ale prawo głosu w wyborach to oczywista farsa, schamienie społeczeństwa, upadek czasów i upraszczanie republiki do ochlokracji.

    Zamiast wspólnoty wolnych obywateli mamy wspólnotę dzieci, które myślą, że z samego faktu, że żyją, to się im prawo głosu należy (socjal ideowy, panocku!) i nic w ogóle czytać, wiedzieć ani rozumieć o sprawach wspólnoty nie muszą. Milion razy takim opowiadają na różnych WoSach i historiach, transmisje Sejmu lecą, akty prawne są drukowane, ale oni nie czytają i jeszcze wmawiają, że to trudnym językiem napisane – no, jak ktoś czytać nie umie, to niech leci z pretensjami do nauczycieli, a nie do urny głosować.

    Roomba też potrafi wiele rzeczy i jest przydatna, ale czy dałbyś jej prawo głosu? To i po jako wspólnota mamy dawać prawo głosu informatykom, programistom, mechatronikom, automatykom, mechanikom itd., jeśli nie dowiedli, że mają wiedzę wystarczającą do bycia obywatelem. Nawet tysiąc instytucji, konstytucji, bezpieczników prawnych itd. na nic się nie zda, jeśli będziemy tak sobie trywializować zasady republiki i odrzucać odpowiedzialność i obowiązek w ramach mody na dziecinnie pojętą wolność jednostki czy “demokrację”.

    (gwoli uczciwości, olbrzymia część legislacji europejskiej jest źle tłumaczona, czy to o bankowości, czy to o budownictwie, czy to o gender).

  55. Banki w Polsce mogą robić co chcą i nic im za to nie grozi. Jak bank coś wykręci konsumentowi to UiKoK nawet się tym nie zajmie tylko wysyłka do tego postępowania bankowego gdzie płaci się za sprawę. Zamknąłem konto w banku w placówce. A one działało nadal naliczając mi opłaty i odsetki przez kilka miesięcy. Potem dostałem z banku ponaglenie spłaty ujemnego salta które samo sobie konto zrobiło po zamknięciu . Taki był super Paribas bank. A na dokładkę jak już sprawa była wyjaśniana po mojej reklamacji, oznajmili mi że nie zamknęło się konto bo brałem pożyczkę jakiej nie spłaciłem u nich na 1000 zł – nigdy w życiu jeszcze nigdzie nie brałem porzyżki. Ponad 6 miesięcy było wyjaśniania a na koniec jak zamknęli nawet nie przeprosili za pomyłkę. Składałem o odszkodowanie z tego tytuły i się wypieli nawet nie odpowiedzieli w terminie ustawowym na moją reklamację i UIKoK też miał to w dupie – powiedział aby złożyć zażalenie do organu zimującego się bankami aby to zrobić muszę wpłacić na postępowanie jakąś kasę. Kartonowa Polska.

Odpowiadasz na komentarz zakius

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: