 |  |
Pisma i opinie › Blog ›
Uwaga! Coraz więcej kradzieży z internetowych kont bankowych
3 XII 2021, 16:13:00
Coraz częściej zdarza się, że środki zgromadzone na rachunku bankowym padają łupem przestępców.
Jak zachować się w takiej sytuacji? Czy są sposoby na szybkie i skuteczne odzyskanie skradzionych pieniędzy?
KRADZIEŻ
Patrząc od strony klienta, może to wyglądać w następujący sposób.
Klient loguje się do bankowego systemu elektronicznego za pośrednictwem strony internetowej banku. Wpisuje swój login, hasło, a następnie klika przycisk "zatwierdź". W momencie, gdy loguje się do banku, na ekranie jego komputera, na półprzezroczystym tle, za którym widoczne jest logo banku, pojawia się komunikat, którego nie można w żaden sposób zamknąć.
W treści komunikatu zawarta jest informacja, że w celu poprawy jakości i bezpieczeństwa należy dokonać zainstalowania w telefonie odpowiedniego oprogramowania. Klient postępuje zgodnie z instrukcją zamieszczoną w komunikacie i instaluje żądaną aplikację. W trakcie tego procesu podaje m.in. numer swojego telefonu. Następnie wykonuje przelew, który chciał wykonać, wchodząc na stronę internetową banku (np. na poczet opłaty za gaz). Po otrzymaniu informacji, że przelew został wykonany, klient wylogowuje się z systemu bankowości elektronicznej.
Dopiero po jakimś czasie, np. kilku dniach, poszkodowany dowiaduje się, że doszło do nieautoryzowanych przelewów z jego rachunku. Zazwyczaj ma to miejsce, gdy po raz kolejny loguje się do swojej bankowości internetowej (np. po nieudanej próbie płatności kartą w sklepie). Okazuje się wówczas, że środki, które znajdowały się na jego rachunku, zniknęły. Dopiero dokładniejsza analiza pozwala ustalić, że przelano je na konta innych, zupełnie obcych mu osób.
SPOSÓB DZIAŁANIA ZŁODZIEI
Mechanizm przejęcia kontroli na kontem klienta jest w gruncie rzeczy bardzo prosty.
W pierwszej kolejności następuje infekcja komputera. Szkodliwe oprogramowanie "wstrzykuje" kod, który nakłada fałszywą stronę na właściwą stronę internetową banku. Strona ta przypomina stronę banku. Adres strony internetowej jest taki sam jak adres banku, znajduje się tam logo banku. Zawartość strony jest jednak inna. W rezultacie, w chwili logowania przez klienta banku na konto, następuje przechwycenie danych dostępowych do rachunku (loginu i hasła).
Drugi etap stanowi natomiast zainstalowanie w telefonie specjalnej aplikacji, która umożliwia przejęcie pełnej kontroli nad urządzeniem oraz manipulowanie wiadomościami SMS. W tego typu atakach blokowane są powiadomienia o przychodzących wiadomościach SMS z banku (są one niewidoczne dla użytkownika telefonu). Aplikacja umożliwia także przesłanie wiadomości SMS bez wiedzy użytkownika na wskazany numer.
CO ROBIĆ?
Panika, strach, niedowierzanie. To najczęstsze reakcje ludzi w takich sytuacjach.
Poczucie, że ktoś wtargnął w nasze życie w sposób tak bezceremonialny, bywa przytłaczające.
Jak się wówczas zachować?
Niewątpliwie pierwszą rzeczą, o której powinniśmy pamiętać, jest złożenie w banku reklamacji oraz poinformowanie o zaistniałym zdarzeniu. W reklamacji powinniśmy wnosić także o zablokowanie rachunku (nie jest wykluczone, że pozostaną na nim środki, które należałoby chronić przed dalszymi nieuprawnionymi wypłatami).
W dalszej kolejności, jeszcze tego samego dnia, należy powiadomić o fakcie kradzieży naszych pieniędzy organy ścigania (Policję). Niestety, często nie udaje się ustalić sprawców tego rodzaju przestępstw. Niemniej jednak, dokonane przez nas zgłoszenie (zawiadomienie) ma bardzo istotne znaczenie z punktu widzenia przyszłej sprawy cywilnej o zwrot środków (uprawdopodobnia fakt dokonania kradzieży).
ODZYSKANIE UTRACONYCH ŚRODKÓW
Jeżeli nie udaje się odnaleźć osoby odpowiedzialnej za popełnione przestępstwo, pozostaje domaganie się zwrotu środków od banku. W pierwszej kolejności następuje to w trybie postępowania reklamacyjnego.
W sytuacji natomiast, gdy bank nie poczuwa się do odpowiedzialności w związku z zaistniałą sytuacją, koniecznym staje się wystąpienie przeciwko niemu na drogę sądową.
Okazuje się, że orzecznictwo sądów, co potwierdza także praktyka Kancelarii, jest w tym zakresie korzystne dla klientów banków.
Wynika to przede wszystkim z brzmienia art. 45 ust. 1 i 2 Ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych:
„Na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej” (ust. 1).
„Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy” (ust. 2).
Na tle przepisów wskazanej ustawy o usługach płatniczych sądy przyjmują m.in., że:
„Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub, że została wykonana prawidłowo spoczywa na dostawcy (tj. banku – dop. Mój). Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez płatnika autoryzowana. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzowanie transakcji przez płatnika albo okoliczności wskazujących na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego obowiązków o których mowa jest w art. 42 ustawy z 2011 r. o usługach płatniczych” (por. wyrok Sądu Apelacyjnego w Łodzi z dnia 10 marca 2017 r., I ACa 1174/16).
Innymi słowy, fakt posłużenia się przez osobę nieuprawnioną loginem oraz hasłem posiadacza rachunku, a następnie potwierdzenie transakcji np. kodem sms-owym uzyskanym w wyniku podstępu, nie jest wystarczający do przyjęcia odpowiedzialności klienta za wykonany przelew. W tym zakresie bank zobowiązany jest bowiem do wykazania, że posiadacz rachunku świadomie podał dane umożliwiające autoryzację transakcji innej osobie, lub pozyskanie przez tę osobę tych danych nastąpiło na skutek rażącego niedbalstwa posiadacza rachunku.
„Mając na uwadze poczynione powyżej ustalenia, należy wskazać, że pozwany (bank – dop. Mój) w żaden sposób nie wykazał zaistnienia którejkolwiek z przesłanek wyłączających jego odpowiedzialność w niniejszej sprawie. Nie ulega wątpliwości, że powodowie nie autoryzowali przelewów z dni 23-26 września 2016 r., nie doprowadzili umyślnie do nieautoryzowanych transakcji płatniczych, ani nie dopuścili się do rażącego naruszenia obowiązków z art. 42 ust. 1 ustawy, gdyż dane potrzebne do logowania i wykonania przelewu zostały od powoda uzyskane podstępnie przez podmiot nieuprawniony. W związku z tym, bank był zobowiązany do niezwłocznego przywrócenia obciążonego rachunku płatniczego do stanu, jaki istniałby, gdyby nie miały miejsca nieautoryzowane transakcje płatnicze, czego nie uczynił" (por. wyrok Sądu Okręgowego w Olsztynie z dnia 21 grudnia 2018 r., I C 55/18).
Analizując okoliczności przemawiające za wystąpieniem rażącego niedbalstwa po stronie klienta, sądy zauważały m.in., że
„Zdaniem Sądu powodowi nie można przypisać umożliwienia dokonania nieautoryzowanych transakcji wskutek rażącego niedbalstwa. Komputer powoda posiadał zainstalowane oprogramowanie antywirusowe i nie przejawiał żadnych problemów z funkcjonowaniem czy zainfekowaniem oprogramowaniem wirusowym, nadto był chroniony hasłem zabezpieczającym dostęp osobom trzecim. W ocenie Sądu, potwierdzenie przez powoda wyświetlonego podczas logowania na stronę (...), komunikatu informującego o połączeniu instytucji bankowych i przedefiniowaniu w związku z tym numerów kont, które spowodowało w dalszej kolejności przejęcie przez szkodliwe oprogramowanie loginu, hasła oraz ustanowienie zdefiniowanego odbiorcy zaufanego, nie nosi cech rażącego niedbalstwa. Powód miał prawo pozostawać w przekonaniu, że komunikat wyświetlający się podczas logowania na stronę Banku pochodzi właśnie od (...) i służy zmianie dotychczasowego numeru konta na nowe. Komunikat mówiący o potrzebie zmiany rachunku bankowego pojawił się po wpisaniu adresu prawdziwej strony (...) i zalogowaniu do serwisu transakcyjnego. Komunikat zajmował część strony, na której widniało prawidłowe saldo. Był też widoczny symbol zamkniętej kłódki oznaczający bezpieczną stronę. Pozwany nie ostrzegał w dacie zdarzenia swoich klientów przed tego rodzaju komunikatami, nie informował, iż skorzystanie z nich może nieść za sobą negatywne skutki. Należy podkreślić, że powód nie przekazał osobom trzecim swojego loginu ani hasła do konta bankowego, a zatwierdzając komunikat nie był w stanie stwierdzić, iż ustanowił zdefiniowanego odbiorcę zaufanego w osobie K. S., gdyż nie widział danych umożliwiających dokonanie takowej operacji” (por. wyrok Sądu Okręgowego w Łodzi z dnia 15 października 2018 r., II C 73/16).
Co więcej, w orzecznictwie sądowym wskazuje się także, że odmienne ukształtowanie obowiązków banku w regulaminach wewnętrznych, jako sprzeczne z powszechnie obowiązującymi przepisami prawa, jest nieważne i nie może wpływać na zmniejszenie się zakresu odpowiedzialności banku.
„W ocenie Sądu powód, jako klient banku nie naruszył obowiązków, o których mowa w art. 42 umyślnie lub wskutek rażącego niedbalstwa. Wskazać należy, iż powoda nie wiążą te postanowienia Regulaminu otwierania i prowadzenia rachunków oszczędnościowych - rozliczeniowych i bieżących w (...), które są dla niego mniej korzystne niż przepisy ustawy o usługach płatniczych. Zgodnie, bowiem z treścią art. 8 ust. 1 i 2 ustawy o usługach płatniczych "postanowienia umów o usługi płatnicze oraz umów o wydanie pieniądza elektronicznego nie mogą być mniej korzystne dla użytkowników i posiadaczy pieniądza elektronicznego niż przepisy ustawy, chyba, że ustawa stanowi inaczej. Postanowienia umów o usługi płatnicze oraz umów o wydanie pieniądza elektronicznego mniej korzystne dla użytkowników i posiadaczy pieniądza elektronicznego niż przepisy ustawy są nieważne, zamiast nich stosuje się odpowiednie przepisy ustawy". Wprowadzenie przez pozwany Bank mniej korzystnych dla klienta regulacji niż ustawowe stanowi naruszenie art. 8 ust. 1 ustawy o usługach płatniczych, prowadząc do nieważności regulaminowych postanowień, na które powołuje się pozwany w sprzeciwie” (por. wyrok Sądu Okręgowego w Łodzi z dnia 15 października 2018 r., II C 73/16).
W tego rodzaju sprawach, w przypadku ich umiejętnego poprowadzenia, istnieje zatem duże prawdopodobieństwo uzyskania korzystnego dla poszkodowanego rozstrzygnięcia.