4 maja 2017

Kradzieże pieniędzy z naszych kont: sądy każą bankom płacić! I udowadniać „rażące niedbalstwo”!

Kradzieże pieniędzy z naszych kont: sądy każą bankom płacić! I udowadniać „rażące niedbalstwo”!

Z miesiąca na miesiąc coraz korzystniejsza jest sytuacja osób, które zostały okradzione ze swoich pieniędzy przez internet. Jeszcze rok, dwa lata temu sytuacja takich nieszczęśników była beznadziejna. Bank stwierdzał, że jego systemy bezpieczeństwa nie zostały naruszone, zaś transakcje, dzięki którym saldo rachunku trafiło do przestępców, zostały wykonane prawidłowo (login i hasło przy logowaniu do konta się zgadzało, podano też prawidłowy kod jednorazowy).

Jeśli sprawa trafiała do sądu, to ten z reguły zgadzał się z bankiem, że nie ponosi on odpowiedzialności za nieszczęście. Kaplica. Niezależnie od tego jaki by poziom zabezpieczeń oferowany przez bank – koszty kradzieży zawsze ponosił klient. Wielokrotnie krzyczałem w blogu, że to jawna niesprawiedliwość, bo złodzieje są coraz sprytniejsi i bank, który nie jest w stanie porządnie sprawdzić kto wypłaca kasę z konta też powinien ponosić część winy.

Zobacz również:

Czytaj: Złodzieje okradają nas z pieniędzy, a banki mają to gdzieś. Co to jest?!

Wygląda na to, że wreszcie doczekałem się bardziej sprawiedliwego spojrzenia na sprawę pieniędzy wykradanych z naszych kont. Rok temu pisałem o pierwszym, odosobnionym jeszcze wyroku na korzyść klienta (sąd uznał, że bank nie stosował znanych w branży metod monitorowania podejrzanych transakcji, więc „pomógł” złodziejom). Zaś w ostatnim czasie były aż trzy wyroki, w których sędziowie stanęli po stronie okradzionego klienta stwierdzając, że bank nie jest w stanie udowodnić, iż to klient dopuścił się rażącego niedbalstwa. A więc: że przekazał komuś (bądź np. napisał sobie na czole) dane pozwalające wykraść pieniądze z konta.

Czytaj: Przełom w sprawie kradzieży naszych pieniędzy? Ważny wyrok!

O bezpieczeństwie: w poradnikowej sekcji „Subiektywnie o finansach”

STRACIŁA 120.000 ZŁ, BO KTOŚ… ZMIENIŁ NUMER KONTAKTOWY

Niedawno moi koledzy z Bankier.pl opisywali sprawę klientki jednego z banków, która straciła 120.000 zł. Kradzież wyglądała tak, że ktoś poznał login i hasło do konta, po czym spróbował wyprowadzić z niego pieniądze przez internet. Ponieważ mu się nie udało (klientka nie potwierdziła transakcji SMS-em autoryzacyjnym), to złodziej-cwaniak zadzwonił na infolinię, podał prawidłowy telekod i został prawidłowo zweryfikowany, po czym… zmienił numer telefonu, na który mają przychodzić SMS-y autoryzacyjne. Zanim klientka się zorientowała – było już pozamiatane.

Oczywiście żadne systemy bezpieczeństwa w banku nie zostały naruszone. Klientka dostała nawet SMS-a, że numer do kontaktów z bankiem został zmieniony, ale przeczytała go dopiero po kilku godzinach, gdy konto było puste. Nie wiadomo w jakich okolicznościach złodziej poznał login i hasło do konta oraz telekod. Na infolinii został zweryfikowany też pytaniami kontrolnymi (musiał więc wiedzieć sporo o ofierze, znać jej datę urodzenia, czy np. nazwisko panieńskie matki, bo to tego typu pytania są zwykle zadawane na infolinii).

Sąd uznał, że kluczem jest odpowiedź na pytanie czy klientka dopuściła się „rażącego niedbalstwa”. Każdy regulamin rachunku bankowego opisuje jak klient ma używać konta. I sąd przeszedł po tych zasadach krok po kroku. Doszedł do wniosku, że klientka logowała się do bankowości internetowej z domowego komputera osobistego (nie z jakiejś kawiarenki internetowej), że miała legalne i aktualizowane oprogramowanie (legalny Windows i aktualny program antywirusowy.

Klientka zeznała też, że nie udostępniała nikomu haseł. W oparciu o tę wiedzę sąd stwierdził, że choć kasa zniknęła, to nie można być pewnym, że stało się to z powodu rażącego niedbalstwa klientki. Zwłaszcza, że SMS o zmianie numeru, na który przychodzą SMSy autoryzacyjne przyszedł już po tym, gdy z konta wyprowadzono kasę. Nawet gdyby przeczytała go natychmiast – nic by to już nie dało.

Czytaj też: Kto odpowiada za kradzież pieniędzy z konta? Tylko klient

STRACIŁA 50.000 ZŁ, BO KTOŚ PRZEJĄŁ JEJ SMS Z BANKU

Drugi wyrok, w którym sąd stanął po stronie klientki, opisała niedawno dziennikarka „Gazety Wyborczej” z Zielonej Góry. W tym przypadku sprawa była jeszcze dziwniejsza, bo do kradzieży 50.000 zł doszło kilkadziesiąt godzin po tym, gdy klientka poinformowała bank o tym, iż rezygnuje z jego usług i przenosi konto do konkurencji. Pieniądze zniknęły jeszcze zanim klientka pojawiła się w placówce, żeby dopełnić formalności. Nie dostała żadnego SMS-a autoryzacyjnego, ani informacji, że ktoś loguje się na jej konto.

W tym przypadku prawdopodobnie złodzieje dość dobrze zinwigilowali „obiekt”: nie tylko poznali login i hasło do konta (można to zrobić wpuszczając na komputer wirusa w załączniku mejla, którego nieopatrznie otworzymy), ale i numer telefonu klientki, na który wysłali drugiego wirusa (to z kolei robi się za pomocą „lewej” aktualizacji jakiejś aplikacji – wysyła się ofierze SMS-a z linkiem do wirusa zamiast do aktualizacji). Mobilny wirus przekierował SMS-y autoryzacyjne do złodziei i umożliwił wyprowadzenie pieniędzy z konta klientki.

Bank przez kilka miesięcy zwodził klientkę, a potem odrzucił reklamację powołując się na podejrzenie, że posiadaczka konta „rażąco naruszyła zasady bezpieczeństwa”. Klientka poszła do sądu z pozwem o zwrot drobnej części skradzionych pieniędzy (by zaoszczędzić na kosztach sądowych). I… wygrała. Sąd doszedł do wniosku, że podejrzenie co do złamania przez klientkę zasad bezpieczeństwa to jedno, a pewność to drugie. I że to bank ma udowodnić, iż doszło do rażącego niedbalstwa i naruszenia reguł.

Także w tej sprawie klience udało się przekonać sąd, że używała banku przez internet ostrożnie – na swoim komputerze, z legalnym systemem operacyjnym i aktualnym oprogramowaniem antywirusowym. Bank wypłacił pieniądze i szybciutko zawarł z klientką ugodę na podstawie której oddał resztę pieniędzy już bez wytaczania kolejnej sprawy.

Czytaj więcej o tej sprawie w tekście Pauliny Nodzyńskiej

STRACIŁ PIENIĄDZE Z KARTY, BO ZŁODZIEJ ODGADŁ PIN

I jeszcze trzecia sprawa, dotycząca wypłacenia pieniędzy z bankomatu przez złodzieja karty płatniczej. Tutaj też na pierwszy rzut oka klient był na straconej pozycji, bo złodziej podał w bankomacie właściwy PIN. I w kilku transakcjach dokumentnie wyczyścił konto ofiary. Na logikę nie ma tu innego wytłumaczenia niż to, że ów PIN klient musiał udostępnić komuś nieuprawnionemu (nieświadomie, czyli przez „rażącą ostrożność”, albo świadomie, czyli przez głupotę).

Bank przyjął, że PIN musiał być zapisany na kartce i noszony w torbie razem z portfelem (kradzież wyglądała tak, że klient stracił torbę z dokumentami). Jednak w głowie Wysokiego Sądu pojawiła się wątpliwość, bo z postępowania dowodowego wyszło, że pierwsza podjęta przez złodzieja próba wypłaty gotówki z bankomatu się nie powiodła. A trudno pomylić się przy przepisywaniu PIN-u z kartki. Na tej podstawie sąd uznał, że nie jest pewne czy klient nie dołożył należytej staranności przy używaniu karty. I nakazał bankowi wziąć jego straty na klatę w 100%.

Czytaj więcej o tej sprawie w tekście Michała Kisiela

SĘDZIOWIE: TO BANK MA UDOWODNIĆ „RAŻĄCE NIEDBALSTWO”

Wszystkie te rozstrzygnięcia łącznie składają się na bardzo ciekawy obraz zmian w orzecznictwie sądów. Otóż sędziowie nie przyjmują już domyślnie, że skoro bank nie był nieostrożny i rażąco niedbały, to jednocześnie klient taki był. Każdą wątpliwość dotyczącą domniemanego rażącego niedbalstwa klienta tłumaczą na jego korzyść. To jednocześnie oznacza, że bank powinien uniemożliwić klientowi bycie nieostrożnym, bo inaczej może mieć problem z udowodnieniem jego winy.

Systemy bezpieczeństwa w bankowości internetowej i mobilnej – o co apeluję od dawna – powinny być tak skonstruowane, żeby nawet nieostrożny klient był chroniony. Dziś nie wystarczy chronić login, hasło i PIN, by czuć się bezpiecznym. Nie wystarczy mieć przy sobie telefon, by zlikwidować ryzyko, że ktoś inny przeczyta SMS-a autoryzacyjnego.

Ale wszyscy klienci, których sprawy opisuję, przynajmniej dali sobie szansę. Korzystali z dostępu do banku w swoim domu, na osobistym komputerze (z którego nie korzystał nikt inny), mieli legalnego Windowsa i legalny, aktualizowany program antywirusowy. I nie wykazali się roztrzepaniem przy czytaniu SMS-ów z banku – to nie oni autoryzowali (np. przez pomyłkę lub nieuwagę) złodziejskie transakcje. Tylko taki „komplet” zachowań daje szansę na wygranie sprawy w sądzie gdybyśmy zostali okradzeni.

JUŻ NIE ZMIENISZ NUMERU ZDALNIE…

Dziś sądy wychodzą z założenia, że bank ma mieć na tyle wysublimowane procedury bezpieczeństwa, żeby nawet nieostrożny klient nie mógł pozwolić się okraść. I banki wprowadzają dodatkowe zabezpieczenia. Ostatnio KNF zażądał od banków, żeby odcięły możliwość jakiegokolwiek zdalnego zmieniania telefonów kontaktowych. Jeśli klient chce zmienić numer telefonu, na który mają przychodzić SMS-y autoryzacyjne – ma przyjść do oddziału, pokazać twarz, dowód osobisty i się podpisać zgodnie z wzorem. Gdyby w pierwszym z opisywanych dziś przypadków bank taką procedurę miał – klient nie straciłby pieniędzy (bo złodziej zmienił numer telefonu kontaktowego przez infolinię).

Czytaj też: Zmieniłeś lub zgubiłeś telefon? Nie zmienisz go już bez wizyty w banku

…AUTORYZACJA PRZEZ SMS TEŻ DO LAMUSA

Zmieniają się też sposoby autoryzowania transakcji. Skoro SMS-a autoryzacyjnego ktoś może zdalnie przekierować do złodzieja, to banki za chwilę wprowadzą – w mBanku to już działa – nowy sposób potwierdzania przelewów. Nie będziemy podawali kodu z przesłanego przez bank SMS-a, ale zatwierdzali przelew przez aplikację mobilną banku. Żeby ukraść nam pieniądze złodziej będzie musiał więc nie tylko poznać nasz login i hasło (co nie jest trudne), ale i mieć naszego smartfona, dostać się do niego (czyli obejść blokadę klawiatury) i zalogować się do aplikacji mobilnej banku (podając PIN lub odcisk palca – o ile klient go zdefiniował).

Czytaj też: Nowy sposób potwierdzania przelewów zamiast SMS-ów. Mocne!

Czytaj też: Nowy sposób logowania do sklepów internetowych. Jednym hasłem

15
Dodaj komentarz

avatar
13 Comment threads
2 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
13 Comment authors
PrzemekmarekLESLIE LOUISbestfirmMichal Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
pajacyk_123
Gość
pajacyk_123

Jednak w głowie Wysokiego Sądu pojawiła się wątpliwość, bo z postępowania dowodowego wyszło, że pierwsza podjęta przez złodzieja próba wypłaty gotówki z bankomatu się nie powiodła. A trudno pomylić się przy przepisywaniu PIN-u z kartki. Na tej podstawie sąd uznał, że nie jest pewne czy klient nie dołożył należytej staranności przy używaniu karty. I nakazał bankowi wziąć jego straty na klatę w 100%. To już jest absurd. 1. Jak się człowiek spieszy, to może się pieprznąc przy wpisywaniu 4 cyfr. 2. Niektórzy tak bazgrolą, że nawet kilku cyfr nie potrafią zapisać czytelnie Z tego co rozumiem, sąd przyjął, że ktoś… Czytaj więcej »

Ola
Gość
Ola

A ja mam pin zapisany bezpośrednio na karcie markerem permanentnym, ale chyba przerzuce się na kartke w portfelu. Będą na niej 3 różne piny, tak jak ten wypisany aktualnie na karcie – fałszywe. Wystarczy, że złodziej portfela użyje tych trzech pinów i w ten sposób sam zablokuje skradzioną kartę.

Michal
Gość
Michal

blondi

Hieronim S Półchłopek, cynik i głupek z naboru
Gość
Hieronim S Półchłopek, cynik i głupek z naboru

Uwielbiam Was, wy znawcy wirusów i sposobów na wyprowadzenie danych z komórki. To dzięki wam ten świat jest taki fajny, ze kazda łajza odrobine bardziej orientujaca się w „sposobach” zasluguje na miano wielkiego hakera :-))) W sieci jest taka darmowa aplikacja, w której najpierw się rejestruje darmowe konto na siebie, a potem dostaje się specjalnie spreparowaną apkę z unikalnym id, która „instaluje się” w androidach. Apka wygląda niewinnie, działa jak serwis androida, ma nazwe rózniaca się tylko jednym znaczkiem w nazwie. Antywirusy androidowe jej nie widzą. Android tez nie. Uzytkownik tez nie… Apka NIE POTRZEBUJE ROOT-a, a wiec na zwykłym… Czytaj więcej »

marek
Gość
marek

Zapewne aplikacja nie jest dostępna w sklepie Play Google. Zatem wektor ataku dotyczy tych, którzy lubują się w bardzo niebezpiecznych aplikacjach.

dede
Gość
dede

Formy autoryzacji stosowane w bankach są zenująco śmieszne. W przypadku utraty kodów klient w przeciętnym banku jest bezbronny. Nie bedę opisywał skąd wziąć dane do autoryzacji,ale przy odrobinie szczęścia dodatkowe dane do rozmowy z konsultantem autoryzyującym – przy załozeniu że mamy kody oraz dane z dowodu – to pestka. Już od dawna nie podoba mi się zwyczaj autoryzowania pytaniem o nazwisko panieńskie matki bo takie dane sa ogólenie dostępne w internecie w wiekszości wypadków. Co to za zabezpieczenie? Gdy rozwodzący się ludzie wiedzą wszystko o sobie to przy sytuacji konfliktowej takie zabezpieczenia to żadne zabezpieczenia. W aktach notarialnych, które wędrują… Czytaj więcej »

wit5
Gość
wit5

Ta okradziona Pani ze Szczecina sms o zmianie nr telefonu odczytała kilkanaście godzin po tym jak go otrzymtała i tak z tą informacją nic nie zrobiła od razu, czekała nie wiadomo na co.

Co do sprawy z Zielonej Góry to można zadać pytanie, dlaczego ta pani przed zamknięciem konta nie przelała sama pieniędzy na nowe konto, tylko poinformowała bank, że będzie zmykać konto…

Pan Samcik powinien coś więcej napisać o działaniach policji względem osób, które przejmują skaradzione pieniądze, przecież na czyjeś konta ta kasa jest przelewana, w komunikatach policji czy prok. jest najczęsciej zdanie, że nie udało się ustalić sprawców.

juzer
Gość
juzer

Przelewy na kilkaset tys. można też robić w placówce zamiast się stresować zabezpieczeniami. Chyba każdy czytelnik Samcika ma konta oszczędnościowe, z których jeden przelew w miesiącu jest najczęściej darmowy, również w placówce. Sam mam około 25 starych kont oszczędnościowych eurobanku…

Stefan
Gość
Stefan

Trzeba myśleć co się robi.
No i dobrze, że mam iPhone, a nie androida.

Michal
Gość
Michal

PIN dawno ma możliwość składania się z 6 cyfr chipy dzisiejsze i technologia zacofana?

trackback

[…] Czytaj też: Kradzieże pieniędzy z naszych kont. Sądy każą bankom zwracać pieniądze. Albo udowadniać &#82… […]

trackback

[…] Czytaj też: Kradzieże pieniędzy z naszych kont? Sądy każą bankom oddawać pieniądze! Ale pod warunkiem, ż… […]

bestfirm
Gość
bestfirm

Jestem harry i myślałem, że to wszystko na temat pustej karty bankomatowej, gdzie jest prawda. Miałem tak wiele wątpliwości, że zostałem oszukany. Ale kilka tygodni temu postanowiłem spróbować i kontaktuję się z firmą TECH odpowiedzialną za puste bankomaty, które są (bestfirm123gmail.com). Wyjaśniłem im siebie i powiedziałem im mój problem i czego potrzebowałem. Poprosili o moje pełne dane osobowe, a także obiecali, że za trzy dni moja zaprogramowana pusta karta będzie gotowa i wysłana do mnie. Myślałem, że to żart, Trzeciego dnia otrzymałem telefon od mojej komórki i powiedziano mi, że moja pusta karta jest gotowa. Dzisiaj, jak wam wszystkim mówię.… Czytaj więcej »

LESLIE LOUIS
Gość
LESLIE LOUIS

JAK dostałem kartę kredytową, która zmieniła MOJE ŻYCIE CAŁKOWICIE DZISIAJ tak jak dla mnie marzenie, właśnie dostałem pustą kartę bankomatową, to święta będą najlepsze w całym moim życiu, ponieważ rzeczy, które kupię, będą dużo. Nawet do 3 dni nie dostałem karty. Za blisko 70 000 EURO nie skorzystałem nawet z karty tak, jak powiedziała mi kobieta. Ponieważ moja karta codziennie pobiera 5 500 EUR, to jest mój dzienny limit. Nie wycofuję się za każdym razem teraz, 14 dni, kiedy korzystam z karty. Ale teraz chcę być poważny z moim wycofaniem się, abym mógł zebrać mnóstwo pieniędzy, by kupić coś innego,… Czytaj więcej »

Przemek
Gość

Mi się udało po ponad 3 latach wygrać z bankiem w sądzie. Musiał zwrócić pieniądze plus odsetki. Szkoda, że na tak długo moje pieniądze były nieodstępne 🙁

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss top-search top-menu