Zgłosił się do nas prawnik, który walczy o odzyskanie 200 000 zł dla swojego klienta, któremu ktoś „sklonował” kartę SIM i wyprowadził pieniądze z konta. Oszustwo jest znane i już na „Subiektywnie o Finansach” opisane, ale z odzyskaniem pieniędzy łatwo nie jest. A złodzieje wciąż wykorzystują łatwowierność telekomów i ich brak komunikacji z bankami. Co robić, żeby nie podzielić losu pana Kamila? Jak się bronić? Kto tak naprawdę odpowiada za nieautoryzowane transakcje dokonane dzięki „klonowaniu” karty SIM?
Gdy pan Kamil z Warszawy w jeden z lipcowych dni w 2020 r. wracał z siłowni, dostał wiadomość zaskakującej treści: „hasło SMS do aktywacji aplikacji mobilnej to 1234. Wpisz je w aplikacji mobilnej i nie przekazuj go nikomu”. Nasz czytelnik nie tylko nikomu go nie pokazał, ale też nawet nikomu nie zdążył o dziwnym SMS-sie powiedzieć, bo zaraz dostał dwa następne. Jeden o „zmianie karty SIM” i ostatni o tym, że: „zlecenie numer 1234 zostało wykonane. Dziękujemy”.
- Pytają, skąd mamy pieniądze, co zamierzamy za nie kupić, żądają potwierdzania danych lub aktualizacji dokumentów. Skąd rosnąca ciekawość banków? [POLECA ING]
- Niemiecki bank centralny przystępuje do obrony gotówki. I rysuje trzy scenariusze zmian w świecie płatności. Czy to może być dobry wzór dla nas? [POLECA EURONET]
- Dobry rok dla inwestujących w obligacje? Rozmowa z zarządzającym funduszami [zaprasza UNIQA TFI]
Nie miał zielonego pojęcia, o co może chodzić, ale żeby wyjaśnić sprawę w te pędy pobiegł do najbliższego salonu swojego operatora komórkowego sieci Plus. Generalnie nie wiedział od czego zacząć, więc tylko pokazał treść SMS-ów. Pracownik się zadumał, wklepał kilka danych do komputera, po czym ogłosił wyrok:
„Numer telefonu, na który została zawarta umowa z operatorem, został „przepisany” na inną kartę SIM i jest obecnie użytkowany w Bydgoszczy”.
W Bydgoszczy? – powtórzył pan Kamil, po czym dodał, że tego akurat miasta nigdy nie odwiedził. Wyjaśnił więc pracownikowi, że on nie złożył takiej dyspozycji i zażądał natychmiastowego zablokowania karty SIM. Zapytał też, o co tu w ogóle chodzi, ale żaden z pracowników salonu nie był w stanie odpowiedzieć, jak doszło do „przepisania numeru na inną kartę SIM”. Pracownicy uznali, iż mógł mieć miejsce „jakiś błąd w systemie”, jednak nie potrafili wyjaśnić, jakiego to typu błąd i jakie konsekwencje może spowodować.
Oszustwo nazwane SIM-Swap polega na tym, że przestępcy dysponujący naszymi danymi osobowymi mogą skutecznie złożyć wniosek o wydanie nowej karty do telefonu po to, by otrzymywać SMS-y autoryzujące przelewy. Służy do tego dobrze podrobiony dowód osobisty z prawdziwymi danymi oraz fałszywym zdjęciem. Po poprzedniej fali tego typu oszustw telekomy przeszkoliły pracowników i uczuliły ich na bardzo dokładne sprawdzanie tożsamości osób występujących o nową kartę SIM. Jak widać, minęło trochę czasu i problem powrócił.
Pobojowisko na bankowym koncie pana Kamila
Ponieważ pan Kamil nie zdawał sobie sprawy z tego, że oszuści, „klonując” kartę SIM, sforsowali ostatnią blokadę, która dzieliła ich od pieniędzy na jego koncie, nie spieszył się ani ze zmianą hasła, ani z zastrzeżeniem karty, czy wyłączeniem numeru telefonu jako metody autoryzacji przelewów.
Po powrocie do domu próbował się zalogować do systemu bankowości elektronicznej, ale za każdym razem jego hasło, którego był pewien, było odrzucane. Na infolinii pan Kamil ustanowił nowe hasło, a przy okazji dowiedział się, że kilka godzin wcześniej „zlecił” założenie karty mobilnej. Gdy w końcu się zalogował, zobaczył prawdziwe pobojowisko: mnóstwo nieautoryzowanych przez niego transakcji, z których wynika, że oszuści nie gardzili ani gotówką, ani przelewami: pięć razy wybrali gotówkę z bankomatu przy pomocy BLIKa, a także zrobili sporą liczbą przelewów do jakiejś spółki-krzak. W sumie ich urobek to 200 000 zł.
Co zrobił czytelnik? A może raczej – co powinien był zrobić? W pierwszej kolejności złożył reklamacje w swoim banku, czyli Millennium, z żądaniem zwrotu 200 000 zł. Argument: transakcje nie były przez niego autoryzowane. Niestety, nie przyniosło to żadnego efektu. Potem więc nasz bohater złożył kolejną reklamację. I znowu jak grochem o ścianę. W końcu pan Kamil poszedł do prawnika.
„Fakt, mój klient złożył sporo reklamacji i każda z nich została odrzucona. Bank jednak nie przedstawił powodów ich odrzucenia, wskazał jedynie, że ich nie uznaje, a zwrotu przedmiotowej kwoty należy dochodzić przez właściwy organ ścigania”
– mówi nam Mateusz Radomyski z Kancelarii Prawnej Capital Legal, która – jak sama o sobie mówi – wyspecjalizowała się ostatnio w sprawach SIM-swap-fraud. Oszustwo to widać ma tyle „ofiar”, że kancelariom prawniczym opłaca się w nich specjalizować.
Sprawa została skierowana do sądu. Historia pana Kamila nie jest ani pierwsza, ani największa – rekordziście zrabowano ponad 1 mln zł. Teraz jednak, jak relacjonuje nam prawnik, okazuje się, że banki wcale nie kwapią się do oddawania tak przywłaszczonych pieniędzy. Oszustwo jest więc bezkarne.
Czy można się dziwić bankowcom, że stają okoniem? To nie one dopuszczają do zamiany karty SIM i wydania nowej komuś, kto nie został porządnie zweryfikowany. Z drugiej strony: bankowcy mają systemy monitoringu i mogą próbować sprawdzać nietypowe duże transakcje na kontach klientów.
Gdyby jeszcze telekomy za każdym razem przekazywały do bankowych baz danych informację o wydaniu nowej karty SIM do telefonu, to bankowcy mogliby dodatkowo przyglądać się takiemu klientowi i założyć dodatkowy filtr na duże transakcje. Nie wiemy, czy taka wymiana informacji funkcjonuje, a jeśli tak, to czy po obu stronach jest precyzyjna i błyskawiczna.
Klient tym razem nie prosił nas o pomoc ani pośrednictwo w mediacjach z bankiem – jego plan to „iść na całość”, czyli do sądu. Ale sam bank nie chciał zostawić tej sprawy bez komentarza (zaznaczając, że nie zna tego konkretnego przypadku).
„Opisane w artykule działania przestępców są możliwe tylko przy użyciu poufnych kodów/haseł, które powinny być znane jedynie klientom. Niestety w wielu przypadkach ich przyczyną jest nieostrożność klienta, która umożliwia osobom trzecim ich pozyskanie. Dlatego banki, w tym Bank Millennium, prowadzą wiele działań edukacyjnych, pomagających podnosić świadomość klientów w zakresie bezpiecznej obsługi swoich produktów bankowych w intrenecie. Podkreślamy również, że banki nie mają uprawnień do dochodzenia, czy działania zgłaszane przez klientów mają charakter oszukańczy lub przestępczy. Dlatego wszelkie tego typu sprawy powinny być zgłaszane do organów ścigania, we współpracy z którymi klienci mogą dochodzić zwrotu środków”.
Oszustwo na SIM. Odkręcanie jest trudne
Według Rzecznika Finansowego, który niedawno wydał ostrzeżenie przed oszustwami polegającymi na klonowaniu kart SIM, miesięcznie w bankach próbuje się dokonać kilkanaście tysięcy nieautoryzowanych transakcji (ale nie wiadomo, czy znaczący odsetek związany jest z klonowaniem kart). Problem w tym, że próby odzyskania pieniędzy od banków, gdy już do nieautoryzowanych transakcji dojdzie, są często skazane na porażkę i walkę w sądach.
„W ostatnim okresie podjęliśmy szereg interwencji związanych ze stwierdzeniem niewłaściwego działania banków w odniesieniu do nieautoryzowanych transakcji. Nasze interwencje obejmowały także wystąpienie na drogę sądową w imieniu osób poszkodowanych w wyniku nieautoryzowanych transakcji”
– mówi Rzecznik Finansowy Mariusz Golecki. Potwierdza to w rozmowie z nami mecenas z kancelarii Capital Legal, która ma coraz więcej takich spraw na wokandzie. W czym problem? Dlaczego nie wystarczy zwykła reklamacja? Przecież gołym okiem widać, że to oszustwo. Zgodnie z ustawą z dnia 19 sierpnia 2011 r. o usługach płatniczych, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej bank ma obowiązek zwrócić klientowi pełną kwotę.
„Transakcja nieautoryzowana to transakcja, na którą płatnik – klient banku – nie wyraził zgody w sposób wskazany w umowie z bankiem. Jeśli więc transakcje zostały zrealizowane bez zgody płatnika oraz w okolicznościach, za które nie ponosi on odpowiedzialności, a następnie płatnik dokonał zgłoszenia wystąpienia nieautoryzowanych transakcji, to wówczas wyłączona jest jego odpowiedzialność za transakcje, a bank powinien zwrócić środki”
– uważa Mateusz Radomyski. Ale są dwa wyjątki. Pierwszy – jeśli bank sam podejrzewa i ma co do tego uzasadnione przesłanki, że klient coś kręci i chce wyłudzić kasę, to może zawiadomić pisemnie organy powołane do ścigania przestępstw. Ale to już wytoczenie ciężkich dział, poza tym trzeba mieć jakieś przesłanki, żeby oskarżyć cieszącego się nieposzlakowaną opinią klienta o taki przekręt.
A drugi? Jeśli klient ma „zasługi” w tym, że oszuści weszli w posiadanie jego danych do logowania, czyli rażące niedbalstwo, to również może nie oddać pieniędzy. Ale kiedy możemy mówić o rażącym niedbalstwie? Sąd Okręgowy w Łodzi tłumaczy to tak (wyrok z 20 grudnia 2016 r., sygn. akt III Ca 1101/16):
„O rażącym niedbalstwie można by mówić, gdyby powódka całkowicie świadomie udostępniła kartę lub numer innej osobie, bądź przechowywała dane umożliwiające dostęp do jej konta w sposób umożliwiający swobodne korzystanie z nich osobom niepowołanym”.
W tej historii w ogóle nie ma roli telekomu. Czytelnik mógłby próbować dochodzić od niego roszczeń na drodze cywilnej, ale to długie i żmudne. Tym bardziej, że to pracownicy dali się oszukać, więc można powiedzieć, że też są w jakimś sensie ofiarami tej sytuacji, choć nie brakuje głosów, że telekomy powinny brać odpowiedzialność za takie oszustwa na równi z bankami.
Już dwa lata temu ówczesny prezes Urzędu Komunikacji Elektronicznej, który nadzoruje telekomy, „rekomendował”, by na poważnie wzięli się za wykrywanie i zapobieganie tego typu przestępstwom.
Trzy warunki udanej zbrodni. Jak przerwać łańcuch nieszczęść i powstrzymać oszustwo?
Żeby oszustwo się udało potrzebny jest splot trzech okoliczności. Po pierwsze wyciek danych osobowych. Prawdopodobnie przestępcy, żeby wyrobić nową kartę SIM, posługiwali się podrobionymi dowodami tożsamości, tzw. kolekcjonerskimi, które do złudzenia przypominają te prawdziwe. Co prawda od połowy 2019 r. wyrabianie takich plastików jest już zakazane i zagrożone więzieniem. Ale determinacji oszustów to wcale nie ostudziło. Dlatego tak ważne jest, żeby nie dać sobie pozwolić kserować, skanować dowodów (chociaż banki i tak mają do tego prawo, ale już nie biblioteki czy wypożyczalnie różnorakiego sprzętu).
Po drugie wyciek danych do logowania. Banki do znudzenia powtarzają „chroń swoje dane”, „chroń swoją tożsamość”, „nie loguj się w obcych sieciach wi-fi”, a jeśli korzystasz z publicznego albo pożyczonego komputera lub smartfona, zawsze czyść do kości historię przeglądania, zapisane hasła, które przeglądarki uwielbiają teraz utrwalać. Żeby wyczyścić komuś konto, trzeba się do niego włamać. Nie ma sensu łamać haseł i zgadywać loginów, bo pod tym względem systemy zabezpieczeń mogą okazać się nie do przejścia.
Najczęściej to my sami podajemy na tacy komplet danych, gdy tylko ktoś o nie poprosi, np. wysyłając maile łudząco podobnego do maila z banku, w którym prosi o zalogowanie do systemu bankowości elektronicznej, który jest stroną oszustów. To dlatego banki powtarzają, że nigdy, ale to nigdy nie proszą klientów w mailach o podanie danych logowania.
Po trzecie przestępcy muszą namierzyć ofiarę. Rzadko jest to osoba przypadkowa. Patrząc na dane statystyczne dotyczące oszczędności Polaków, to przeciętny obywatel ma na koncie 30 000 zł. Można więc zaryzykować stwierdzenie, że mało kto ma na koncie 200 000 zł wolnych środków, które można w kilkanaście minut wytransferować. A Rzecznik Finansowy mówił o kolejnych dwóch przypadkach, w których klienci stracili łącznie 650 000 zł.
Grabież tożsamości, wyrobienie dowodu kolekcjonerskiego, zamówienie klonu SIM wymaga sporych nakładów sił, środków no i ryzyko wpadki. Mało prawdopodobne, by oszuści łapali swoje ofiary na „chybił-trafił”. Albo są w posiadaniu dużej liczby danych do logowania i sprawdzają, kto ile ma na koncie, albo namierzają ofiarę w realu.
Co robić, gdy dostaniemy już dostaniemy SMS-a grozy, o tym, że operator przyjął dyspozycję wydania karty SIM albo że zmieniono metodę autoryzacji? Po pierwsze: kontakt z bankiem i zastrzeżenie wszystkiego, co się da. Karty, konta, ale też metody autoryzacyjnej. Po drugie, kradzież – jeśli do niej dojdzie – należy zgłosić organom ścigania, tj. prokuraturze lub jednostce policji – bez tego bank nawet nie kiwnie palcem. Nasz rozmówca – prawnik – twierdzi, że komendy wojewódzkie policji powołały specjalne wydziały zajmujące się zwalczaniem cyberprzestępczości, których celem jest zwalczanie przestępstw SIM-swap, więc raczej nikt nas nie spuści na drzewo.
Jeśli chcecie więcej szczegółów, to tutaj obowiązkowy zestaw przetrwania: Trzy rzeczy, które każdy powinien zrobić, żeby jego pieniądze były bezpieczniejsze.
Minęły 2-3 lata od opisania pierwszych przypadków klonowania kart SIM i oszustwo takie wciąż się zdarza. W dodatku odzyskiwanie pieniędzy to nie jest bułka z masłem. Piszcie, czy spotkaliście się z podobnymi przypadkami.
————————-
POSŁUCHAJ PODCASTU „FINANSOWE SENSACJE TYGODNIA”
W najnowszym odcinku środowego podcastu „Finansowe sensacje tygodnia” rozmawiamy o tegorocznym Sylwestrze (czy można zarezerwować hotel i czy oddadzą pieniądze, gdyby premier zrobił to, co z cmentarzami), o bezpiecznych patentach na walkę z inflacją (podajemy aż cztery pomysły!), o tym, skąd wziąć lekarzy do walki z wirusem (z Niemiec, z Ukrainy, ze… szkoły?), o tym, czy nieruchomości to naprawdę tak pewna inwestycja, jak myślą niektórzy (naprawdę wierzycie, że nie skonfiskują? to posłuchajcie tego) oraz o wpadce ubezpieczeniowej porównywarki.
Zapraszamy do posłuchania: trzeba kliknąć tutaj albo w baner poniżej.
źródło zdjęcia: Unsplash Paweł Czerwiński/Bermix Studio
