Kradzieże pieniędzy z naszych kont: sądy każą bankom płacić! I udowadniać „rażące niedbalstwo”!

Z miesiąca na miesiąc coraz korzystniejsza jest sytuacja osób, które zostały okradzione ze swoich pieniędzy przez internet. Jeszcze rok, dwa lata temu sytuacja takich nieszczęśników była beznadziejna. Bank stwierdzał, że jego systemy bezpieczeństwa nie zostały naruszone, zaś transakcje, dzięki którym saldo rachunku trafiło do przestępców, zostały wykonane prawidłowo (login i hasło przy logowaniu do konta się zgadzało, podano też prawidłowy kod jednorazowy).

Jeśli sprawa trafiała do sądu, to ten z reguły zgadzał się z bankiem, że nie ponosi on odpowiedzialności za nieszczęście. Kaplica. Niezależnie od tego jaki by poziom zabezpieczeń oferowany przez bank – koszty kradzieży zawsze ponosił klient. Wielokrotnie krzyczałem w blogu, że to jawna niesprawiedliwość, bo złodzieje są coraz sprytniejsi i bank, który nie jest w stanie porządnie sprawdzić kto wypłaca kasę z konta też powinien ponosić część winy.

Ciekawe? Po przeczytaniu wróć tutaj, kliknij i odkryj sprawdzone patenty Samcika na ochronę przed inflacją

Czytaj: Złodzieje okradają nas z pieniędzy, a banki mają to gdzieś. Co to jest?!

Wygląda na to, że wreszcie doczekałem się bardziej sprawiedliwego spojrzenia na sprawę pieniędzy wykradanych z naszych kont. Rok temu pisałem o pierwszym, odosobnionym jeszcze wyroku na korzyść klienta (sąd uznał, że bank nie stosował znanych w branży metod monitorowania podejrzanych transakcji, więc „pomógł” złodziejom). Zaś w ostatnim czasie były aż trzy wyroki, w których sędziowie stanęli po stronie okradzionego klienta stwierdzając, że bank nie jest w stanie udowodnić, iż to klient dopuścił się rażącego niedbalstwa. A więc: że przekazał komuś (bądź np. napisał sobie na czole) dane pozwalające wykraść pieniądze z konta.

Czytaj: Przełom w sprawie kradzieży naszych pieniędzy? Ważny wyrok!

O bezpieczeństwie: w poradnikowej sekcji „Subiektywnie o finansach”

STRACIŁA 120.000 ZŁ, BO KTOŚ… ZMIENIŁ NUMER KONTAKTOWY

Niedawno moi koledzy z Bankier.pl opisywali sprawę klientki jednego z banków, która straciła 120.000 zł. Kradzież wyglądała tak, że ktoś poznał login i hasło do konta, po czym spróbował wyprowadzić z niego pieniądze przez internet. Ponieważ mu się nie udało (klientka nie potwierdziła transakcji SMS-em autoryzacyjnym), to złodziej-cwaniak zadzwonił na infolinię, podał prawidłowy telekod i został prawidłowo zweryfikowany, po czym… zmienił numer telefonu, na który mają przychodzić SMS-y autoryzacyjne. Zanim klientka się zorientowała – było już pozamiatane.

Oczywiście żadne systemy bezpieczeństwa w banku nie zostały naruszone. Klientka dostała nawet SMS-a, że numer do kontaktów z bankiem został zmieniony, ale przeczytała go dopiero po kilku godzinach, gdy konto było puste. Nie wiadomo w jakich okolicznościach złodziej poznał login i hasło do konta oraz telekod. Na infolinii został zweryfikowany też pytaniami kontrolnymi (musiał więc wiedzieć sporo o ofierze, znać jej datę urodzenia, czy np. nazwisko panieńskie matki, bo to tego typu pytania są zwykle zadawane na infolinii).

Sąd uznał, że kluczem jest odpowiedź na pytanie czy klientka dopuściła się „rażącego niedbalstwa”. Każdy regulamin rachunku bankowego opisuje jak klient ma używać konta. I sąd przeszedł po tych zasadach krok po kroku. Doszedł do wniosku, że klientka logowała się do bankowości internetowej z domowego komputera osobistego (nie z jakiejś kawiarenki internetowej), że miała legalne i aktualizowane oprogramowanie (legalny Windows i aktualny program antywirusowy.

Klientka zeznała też, że nie udostępniała nikomu haseł. W oparciu o tę wiedzę sąd stwierdził, że choć kasa zniknęła, to nie można być pewnym, że stało się to z powodu rażącego niedbalstwa klientki. Zwłaszcza, że SMS o zmianie numeru, na który przychodzą SMSy autoryzacyjne przyszedł już po tym, gdy z konta wyprowadzono kasę. Nawet gdyby przeczytała go natychmiast – nic by to już nie dało.

Czytaj też: Kto odpowiada za kradzież pieniędzy z konta? Tylko klient

STRACIŁA 50.000 ZŁ, BO KTOŚ PRZEJĄŁ JEJ SMS Z BANKU

Drugi wyrok, w którym sąd stanął po stronie klientki, opisała niedawno dziennikarka „Gazety Wyborczej” z Zielonej Góry. W tym przypadku sprawa była jeszcze dziwniejsza, bo do kradzieży 50.000 zł doszło kilkadziesiąt godzin po tym, gdy klientka poinformowała bank o tym, iż rezygnuje z jego usług i przenosi konto do konkurencji. Pieniądze zniknęły jeszcze zanim klientka pojawiła się w placówce, żeby dopełnić formalności. Nie dostała żadnego SMS-a autoryzacyjnego, ani informacji, że ktoś loguje się na jej konto.

W tym przypadku prawdopodobnie złodzieje dość dobrze zinwigilowali „obiekt”: nie tylko poznali login i hasło do konta (można to zrobić wpuszczając na komputer wirusa w załączniku mejla, którego nieopatrznie otworzymy), ale i numer telefonu klientki, na który wysłali drugiego wirusa (to z kolei robi się za pomocą „lewej” aktualizacji jakiejś aplikacji – wysyła się ofierze SMS-a z linkiem do wirusa zamiast do aktualizacji). Mobilny wirus przekierował SMS-y autoryzacyjne do złodziei i umożliwił wyprowadzenie pieniędzy z konta klientki.

Bank przez kilka miesięcy zwodził klientkę, a potem odrzucił reklamację powołując się na podejrzenie, że posiadaczka konta „rażąco naruszyła zasady bezpieczeństwa”. Klientka poszła do sądu z pozwem o zwrot drobnej części skradzionych pieniędzy (by zaoszczędzić na kosztach sądowych). I… wygrała. Sąd doszedł do wniosku, że podejrzenie co do złamania przez klientkę zasad bezpieczeństwa to jedno, a pewność to drugie. I że to bank ma udowodnić, iż doszło do rażącego niedbalstwa i naruszenia reguł.

Także w tej sprawie klience udało się przekonać sąd, że używała banku przez internet ostrożnie – na swoim komputerze, z legalnym systemem operacyjnym i aktualnym oprogramowaniem antywirusowym. Bank wypłacił pieniądze i szybciutko zawarł z klientką ugodę na podstawie której oddał resztę pieniędzy już bez wytaczania kolejnej sprawy.

Czytaj więcej o tej sprawie w tekście Pauliny Nodzyńskiej

STRACIŁ PIENIĄDZE Z KARTY, BO ZŁODZIEJ ODGADŁ PIN

I jeszcze trzecia sprawa, dotycząca wypłacenia pieniędzy z bankomatu przez złodzieja karty płatniczej. Tutaj też na pierwszy rzut oka klient był na straconej pozycji, bo złodziej podał w bankomacie właściwy PIN. I w kilku transakcjach dokumentnie wyczyścił konto ofiary. Na logikę nie ma tu innego wytłumaczenia niż to, że ów PIN klient musiał udostępnić komuś nieuprawnionemu (nieświadomie, czyli przez „rażącą ostrożność”, albo świadomie, czyli przez głupotę).

Bank przyjął, że PIN musiał być zapisany na kartce i noszony w torbie razem z portfelem (kradzież wyglądała tak, że klient stracił torbę z dokumentami). Jednak w głowie Wysokiego Sądu pojawiła się wątpliwość, bo z postępowania dowodowego wyszło, że pierwsza podjęta przez złodzieja próba wypłaty gotówki z bankomatu się nie powiodła. A trudno pomylić się przy przepisywaniu PIN-u z kartki. Na tej podstawie sąd uznał, że nie jest pewne czy klient nie dołożył należytej staranności przy używaniu karty. I nakazał bankowi wziąć jego straty na klatę w 100%.

Czytaj więcej o tej sprawie w tekście Michała Kisiela

SĘDZIOWIE: TO BANK MA UDOWODNIĆ „RAŻĄCE NIEDBALSTWO”

Wszystkie te rozstrzygnięcia łącznie składają się na bardzo ciekawy obraz zmian w orzecznictwie sądów. Otóż sędziowie nie przyjmują już domyślnie, że skoro bank nie był nieostrożny i rażąco niedbały, to jednocześnie klient taki był. Każdą wątpliwość dotyczącą domniemanego rażącego niedbalstwa klienta tłumaczą na jego korzyść. To jednocześnie oznacza, że bank powinien uniemożliwić klientowi bycie nieostrożnym, bo inaczej może mieć problem z udowodnieniem jego winy.

Systemy bezpieczeństwa w bankowości internetowej i mobilnej – o co apeluję od dawna – powinny być tak skonstruowane, żeby nawet nieostrożny klient był chroniony. Dziś nie wystarczy chronić login, hasło i PIN, by czuć się bezpiecznym. Nie wystarczy mieć przy sobie telefon, by zlikwidować ryzyko, że ktoś inny przeczyta SMS-a autoryzacyjnego.

Ale wszyscy klienci, których sprawy opisuję, przynajmniej dali sobie szansę. Korzystali z dostępu do banku w swoim domu, na osobistym komputerze (z którego nie korzystał nikt inny), mieli legalnego Windowsa i legalny, aktualizowany program antywirusowy. I nie wykazali się roztrzepaniem przy czytaniu SMS-ów z banku – to nie oni autoryzowali (np. przez pomyłkę lub nieuwagę) złodziejskie transakcje. Tylko taki „komplet” zachowań daje szansę na wygranie sprawy w sądzie gdybyśmy zostali okradzeni.

JUŻ NIE ZMIENISZ NUMERU ZDALNIE…

Dziś sądy wychodzą z założenia, że bank ma mieć na tyle wysublimowane procedury bezpieczeństwa, żeby nawet nieostrożny klient nie mógł pozwolić się okraść. I banki wprowadzają dodatkowe zabezpieczenia. Ostatnio KNF zażądał od banków, żeby odcięły możliwość jakiegokolwiek zdalnego zmieniania telefonów kontaktowych. Jeśli klient chce zmienić numer telefonu, na który mają przychodzić SMS-y autoryzacyjne – ma przyjść do oddziału, pokazać twarz, dowód osobisty i się podpisać zgodnie z wzorem. Gdyby w pierwszym z opisywanych dziś przypadków bank taką procedurę miał – klient nie straciłby pieniędzy (bo złodziej zmienił numer telefonu kontaktowego przez infolinię).

Czytaj też: Zmieniłeś lub zgubiłeś telefon? Nie zmienisz go już bez wizyty w banku

…AUTORYZACJA PRZEZ SMS TEŻ DO LAMUSA

Zmieniają się też sposoby autoryzowania transakcji. Skoro SMS-a autoryzacyjnego ktoś może zdalnie przekierować do złodzieja, to banki za chwilę wprowadzą – w mBanku to już działa – nowy sposób potwierdzania przelewów. Nie będziemy podawali kodu z przesłanego przez bank SMS-a, ale zatwierdzali przelew przez aplikację mobilną banku. Żeby ukraść nam pieniądze złodziej będzie musiał więc nie tylko poznać nasz login i hasło (co nie jest trudne), ale i mieć naszego smartfona, dostać się do niego (czyli obejść blokadę klawiatury) i zalogować się do aplikacji mobilnej banku (podając PIN lub odcisk palca – o ile klient go zdefiniował).

Czytaj też: Nowy sposób potwierdzania przelewów zamiast SMS-ów. Mocne!

Czytaj też: Nowy sposób logowania do sklepów internetowych. Jednym hasłem