Pani Olga straciła kilkadziesiąt tysięcy złotych po tym, jak w lutym tego roku przyszło jej do głowy skorzystać z portalu ogłoszeniowego OLX. Pani Bogumiła kliknęła w podesłany SMS-em link i z jej konta zniknęło prawie 60 000 zł – oszczędności całego życia. A banki? Podobno nic podejrzanego nie zauważyły i nie poczuwają się ani do współodpowiedzialności, ani do partycypacji w ponoszeniu konsekwencji takich nieszczęść. A może czas już skończyć z podejściem, według którego bank jest tylko „notariuszem transakcji” i nie odpowiada w żadnym stopniu za kradzież pieniędzy z konta?
To się w głowie nie mieści, jak banki odsuwają od siebie współodpowiedzialność za straty klientów okradzionych przez internet. Najpierw zachęcały klientów do zdalnego bankowania oraz dały im do ręki bankowość elektroniczną i mobilną, ale gdy źli ludzie zaczęli masowo wykorzystywać luki w tym systemie – bankowcy odwrócili się na pięcie i mówią, że to nie ich wina.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Oczywiście przeważnie to nieostrożność klientów prowadzi do wyprowadzania pieniędzy z ich kont, ale złodzieje wykorzystują przecież narzędzia, które wymyśliły banki. I korzystają z tego, że banki nie potrafią odpowiednio szybko zareagować na podejrzane transakcje. A przecież banki widzą, co się dzieje z pieniędzmi ich klientów.
Czytam ostatnio sporo opowieści okradzionych klientów oraz odpowiedzi bankowców na ich reklamacje. I zadaję sobie pytanie, czy to rzeczywiście klient jest w 100% odpowiedzialny za to, że ktoś włamał mu się na konto? Czy bank nie mógłby temu zapobiec, gdyby nie ograniczał się tylko do sprawdzania czy loginy i hasła się zgadzają?
Pani Olga: chciała sprzedać suszarkę na OLX, a straciła wszystkie pieniądze
Pani Olga straciła kilkadziesiąt tysięcy złotych po tym, jak w lutym tego roku przyszło jej do głowy skorzystać z portalu ogłoszeniowego OLX. Sprzedawała suszarko-lokówkę, a gdy znalazł się nabywca, przesłał jej przez WhatsApp’a link z prośbą o potwierdzenie zamówienia. Kupujący oczywiście nic nie chciał nic kupić, zaś link był przekierowaniem na fałszywą stronę mBanku, na której nieświadoma niczego pani Olga wpisała wszystkie dane swojej karty debetowej. I na dokładkę jeszcze nazwisko panieńskie matki.
„Potem przyszedł komunikat z mBanku, że moje urządzenie zostało poprawnie dodane. Nie musiałam nic akceptować. Transkacja na OLX nie doszła do skutku, a ja zapomniałam o temacie. Kilka dni później zobaczyłam komunikat z banku, że przelałam pieniądze z karty kredytowej. Natychmiast zadzwoniłam na infolinię mBanku i zablokowałam wszystko, co mogłam, ale już było za późno. Złodzieje przenieśli w nocy wszystkie pieniądze z oszczędności na konto główne i stamtąd przelewali je na jakieś inne konto w mBanku. Łącznie wyprowadzili 29 600 zł. Zlecili także transakcje z karty kredytowej na 20 000 zł. Żadna z powyższych transakcji nie wymagała akceptacji przeze mnie”
– pisze pani Olga. mBank dwukrotnie odrzucił reklamacje pani Olgi, stwierdzając, iż podała przestępcom login i hasło do bankowości elektronicznej, co trzeba potraktować jako rażące niedbalstwo.
„Sęk w tym, że nie podawałam na tej złodziejskiej stronie loginu i hasła do bankowości internetowej. Zastanawia mnie też, że systemów bezpieczeństwa w banku nie zaalarmowało to, że do konta podłączono dodatkowe urządzenie, a dwa dni później, w środku nocy, wyprowadzono wszystkie pieniądze z konta i z karty kredytowej”
– skarży się czytelniczka. Jak to możliwe, że poniosła tak wielkie straty, skoro – jak twierdzi – nie ujawniła złodziejom najważniejszych informacji o koncie, a jedynie dane karty?
Cóż, najprawdopodobniej login i hasło do rachunku złodzieje poznali w tzw. międzyczasie. Żeby móc skutecznie zaatakować panią Olgę, musieli mieć jej numer telefonu (być może podała go na OLX), nazwę banku, w którym ma konto (być może to wynikło z rozmowy na portalu ogłoszeniowym) oraz właśnie login i hasło do bankowości internetowej. Bez tych informacji nie zdołaliby się zalogować na konto klientki i sparować go z nowym urządzeniem.
Do tego sparowania potrzeba z kolei numeru PESEL, nazwiska panieńskiego matki i niektórych danych karty płatniczej. Dwie ostatnie rzeczy pani Olga sama podała po kliknięciu w fałszywy link. Numer PESEL też nie jest trudny do ustalenia, podajemy go w różnych miejscach. Jedyną zagadką jest sposób, w który złodzieje pozyskali login i hasło do konta. Ale że je w jakiś sposób pozyskali – jest oczywiste. I w ten sposób kradzież pieniędzy z konta stała się możliwa.
Kradzież pieniędzy z konta: klientka była naiwna, ale czy bank nie mógł nic zrobić?
Klientka zdecydowanie była zbyt naiwna – do „potwierdzania transakcji” na portalu aukcyjnym (po co, do cholery, cokolwiek tu potwierdzać?) podała dane, których nikomu się nie podaje. Kliknęła w podesłany przez obcą osobę link, w który klikać nie powinna. Prawdopodobnie dała też sobie ukraść dane logowania do konta albo co najmniej włamać na e-mail (skąd złodzieje mogli je pozyskać).
Ale czy bank jest całkiem niewinny? Moim zdaniem nie można tak powiedzieć. Każdy rachunek, na którym dzieje się coś niestandardowego, powinien być pod obserwacją. Za każdym razem, gdy następują rzeczy takie, jak „zrzucanie” oszczędności na konto główne, „opróżnianie” karty kredytowej, przyłączanie do konta nowych urządzeń – bank powinien brać pod uwagę ryzyko fraudu. Nie oznacza to za każdym razem, że nastąpi kradzież pieniędzy z konta, ale są to okoliczności zwiększające ryzyko.
W tym przypadku przestępcy byli bardzo czujni. Między przypisaniem nowego urządzenia do konta, a złodziejskimi transakcjami odczekali dwa dni, co mogło uśpić czujność banku (o ile jakakolwiek czujność tam była). A samych transakcji dokonywali nocą, by znieść ryzyko, że ktoś z banku zadzwoni do klientki i zapyta, czy rzeczywiście wyprowadza ze swojego rachunku wysokie kwoty.
Ale mimo wszystko można było jakoś spróbować zareagować, choćby „zawieszając” transakcje na jedną sesję systemu elixir, by mieć czas na kontakt z klientką za dnia. Zwłaszcza że w bankowych systemach informatycznych musieli widzieć, że ktoś loguje się do konta z innego miejsca niż zwykle (inny numer IP komputera).
Wiem, że to w bankach duży dylemat, bo klienci nie lubią być inwigilowani i wypytywani o transakcje – a w 99% takie sygnały są błędne – jednak co z ochroną pozostałych klientów przed złodziejami?
Pani Bogumiła kliknęła w link i… straciła oszczędności życia. „Nic nie autoryzowałam!”
W tym przypadku złodzieje sporo zrobili, żeby w banku nikt się nie zorientował, ale w drugim przypadku, który ostatnio do mnie trafił, bank – gdyby prawidłowo zadziałały systemy antyfraudowe – mógłby uratować klientkę. Oto krótki opis historii pani Bogumiły – córki sołtysa z wsi pod Warszawą. Relacjonuje sprawę jej sąsiad, który jest czytelnikiem „Subiektywnie o Finansach”.
„Kobieta otrzymała sms o rzekomym nadejściu paczki od kuriera. W SMS-ie zalecano kliknięcie w link. Po kliknięciu uruchomiła się aplikacja, która zhakowała telefon kobiety. Przestępcy przejęli bankowe kody autoryzacyjne, które zamiast na telefon kobiety przychodziły na ich telefon. Przy pomocy tych kodów w ciągu dwóch godzin 12 lutego przestępcy przelali z jej konta w banku na własne konta 69 000 zł. Pani Bogumiła pracuje w fabryce chipsów w Grodzisku, pieniądze, które jej zniknęły, zgromadziła przez 25 lat pracy. Zgłosiła sprawę na policję i wystąpiła do banku Santander, gdzie ma konto, z reklamacją o zwrot pieniędzy. Otrzymała odpowiedź, że reklamacja została odrzucona, a bank zażądał od niej dodatkowo kary za przedwczesne zlikwidowanie lokat. Część pieniędzy znajdowała się na depozytach terminowych”.
Z odpowiedzi banku na reklamację wynika, że w tym przypadku również klientka Santandera podała wystarczająco dużo informacji – lub je jej ukradziono – by złodzieje mogli zalogować się na jej konto i dopisać do niego nowe urządzenie, którym autoryzowali przelewy.
Drugi scenariusz jest taki, że smartfon klientki stał się czymś w stylu „zombie” i złodzieje wyświetlali na nim komunikaty, które spowodowały, że pani Bogumiła nie wiedziała, że autoryzuje przekierowanie SMS-ów autoryzacyjnych na inny numer telefonu.
„W całej tej historii poraża mnie najbardziej postawa banku, który całkowicie pozostawia klienta samemu sobie i liczy na to, że klient nie będzie miał pieniędzy na pozew przeciwko bankowi (nie mówiąc o tym, że proces trwa lata). A zgodnie z prawem to bank ponosi odpowiedzialność za włamania internetowe. Przeczytałem, że są w tej sprawie nawet orzeczenia Sądu Najwyższego”
– pisze sąsiad okradzionej pani Bogumiły. Sprawa jest na etapie wezwania przedsądowego do zwrotu pieniędzy, skierowanego przez adwokata klientki do banku. Część uzasadnienia wklejam poniżej:
Tu są dwie sprawy. Po pierwsze: kto odpowiada za transakcję, jeśli została autoryzowana, ale klient twierdzi, że to nie on ją autoryzował? Można powiedzieć, że banku nie musi obchodzić, kto autoryzował przelew. Ale można też przeprowadzić śledztwo poszlakowe i udowodnić, że z wysokim prawdopodobieństwem nie był to klient.
Kradzież pieniędzy z konta. Dlaczego bank ma odpowiadać za to, że klient klika, gdzie nie trzeba?
Zapytacie, dlaczego bank ma odpowiadać za to, że klienci klikają w jakieś podesłane im linki i podają tam dane, których nie powinni podawać. No tak, to się nie powinno dziać i część odpowiedzialności oczywiście spada na klientów.
Tym niemniej, jak już wspominałem, jeśli bankowcy dali tym klientom do łapek narzędzia, które umożliwiają włam na konto, to powinni objąć tych klientów specjalną ochroną. W tym przypadku ktoś zmienił urządzenie, na które przychodzą SMS-y, zalogował się (prawdopodobnie) do konta z nowego urządzenia, zlikwidował lokaty i wykonał duży przelew.
Taki zestaw wydarzeń powinien spowodować, że system antyfraudowy się uaktywni i zostaną w banku wszczęte procedury sprawdzające, czy to rzeczywiście klientka chce wyprowadzić z banku 59 000 zł.
Podział odpowiedzialności powinien być mniej więcej pół na pół. Klient był nieostrożny, a bank nie potrafił zareagować na nietypową transakcję. I pewnie do takich rozstrzygnięć by dochodziło, gdyby sądy nie były sparaliżowane. Gdyby w ciągu kilku miesięcy można było – przeprowadzając „proces poszlakowy” – uzyskać prawomocny wyrok choćby częściowo pozostawiający winę przy banku, bankowcy nie zachowywaliby się tak jak dziś.
„Klient kliknął w link i stracił oszczędności życia? To nie nasz problem”. Nie Wasz? A czyj, do jasnej cholery? To wy oferujecie bankowość internetową i mobilną oraz pozwalacie na błyskawiczne przelewanie pieniędzy na podstawie zdalnych zleceń. A więc dajecie ludziom do ręki narzędzia, które umożliwiają kradzież pieniędzy z konta, jednocześnie zachęcając do ich używania…
—————–
Najnowszy podcast „Finansowe sensacje tygodnia”: posłuchaj!
W tym odcinku podcastu „Finansowe sensacje tygodnia” przyglądamy się aż czterem sensacjom. Najważniejsza z nich to nasze sensacyjne podwyżki wynagrodzeń. Czy rzeczywiście jest tak, jak mówi premier, że nie musimy bać się inflacji, bo wszyscy więcej zarabiamy? Kto naprawdę może liczyć na podwyżki większe od inflacji, a kto nie? Poza tym sensacyjne wyniki badań o Polakach, którzy nie wierzą, że ktoś ich może okraść z danych, sensacyjne afery z deweloperami, którzy oddają nam mieszkania z wadami oraz sensacyjne wejście nowej platformy streamingowej na polski rynek – robi się już ciasno od tych wszystkich abonamentów. Zapraszam do posłuchania pod tym linkiem oraz na Spotify, Apple Podcast, Google Podcast i na kilku innych platformach.
———
SKORZYSTAJ Z NAJLEPSZYCH BANKOWYCH OKAZJI:
Obawiasz się inflacji? Sprawdź też „Okazjomat Samcikowy” – aktualizowane na bieżąco rankingi lokat, kont oszczędnościowych, a także zestawienie dostępnych dziś okazji bankowych (czyli 200 zł za konto, 300 zł za kartę…). I zacznij zarabiać:
>>> Ranking najwyżej oprocentowanych depozytów
>>> Ranking kont oszczędnościowych. Gdzie zanieść pieniądze?
>>> Przegląd aktualnych promocji w bankach. Kto zapłaci ci kilka stówek?
———
SPRAWDŹ INWESTYCJE ZE ZNAKIEM JAKOŚCI SAMCIKA:
>>> Oszczędzaj na emeryturę i dostań 400 zł „samcikowej” premii. Chcesz dostać 200 zł premii za zainwestowanie 2000 zł albo 400 zł premii za zainwestowanie z myślą o dodatkowej emeryturze 4000 zł? Kliknij ten link albo ten link oraz wpisz kod promocyjny msamcik2021.
>>> Zainwestuj ze mną w fundusze z całego świata bez prowizji. Chcesz wygodnie – przez internet – oraz bez żadnych opłat lokować pieniądze w funduszach inwestycyjnych z całego świata? Skorzystaj z platformy F-Trust rekomendowanej przez „Subiektywnie o Finansach”. Kupuję tam fundusze. Inwestowanie bez opłat dystrybucyjnych po wpisaniu kodu promocyjnego ULTSMA. A w tym poradniku najważniejsze rady, w co teraz inwestować.
>>> Zainwestuj w ETF-y z całego świata. Proste inwestowanie w ETF-y u robodoradcy możliwe jest dzięki platformie Finax, w której ja również trzymam kawałek oszczędności. Dzięki temu linkowi zainwestujesz tam pieniądze łatwo i wygodnie.
>>> Wypróbuj fundusze od najsłynniejszych firm zarządzających na świecie. Może warto trzymać pewną część swoich oszczędności pod zarządzaniem ludzi, którzy mogą o sobie powiedzieć: „osobiście znam Warrena Buffeta”? Fidelity, Schroeders, AllianceBernstein – fundusze tych legendarnych firm dostępne są dla klientów mBanku. Zachęcam do sprawdzenia na tej stronie.
———
ZAINWESTUJ CZĘŚĆ SWOICH OSZCZĘDNOŚCI Z ROBOTEM INVESTO
Na świecie ludzie, którzy nie mają ogromnych oszczędności i nie znają się na inwestowaniu, coraz częściej korzystają z robodoradców. Jak działa taki automat pomagający w inwestowaniu pieniędzy? Zapraszam do przeczytania tutaj. Jak dzięki niemu ludzie na Zachodzie inwestują pieniądze? Przeczytaj tutaj. W Polsce usługi robodoradztwa oferuje od niedawna swoim klientom ING Bank. Można z nich skorzystać, zakładając Investo za pomocą serwisu internetowego albo aplikacji mobilnej (ZAPRASZAM DO KLIKNIĘCIA W TEN LINK I POZNANIA SZCZEGÓŁÓW).
Wkrótce opiszę swoje prywatne doświadczenia z Investo po zainwestowaniu tam własnych oszczędności. Już teraz zapraszam natomiast do obejrzenia klipu wideo, w którym opowiadam, z czym to sie je (dosłownie!). A także do posłuchania podcastu, w którym rozmawiam z ekspertem od robodoradców. Więcej na temat działania Investo oraz pobieranych od klientów opłat napisałem tutaj.
———
zdjęcie tytułowe: Jefferson Santos/Unsplash