27 stycznia 2020

Pani Jagodzie ukradli z konta 30.000 zł. Bank powinien zwrócić pieniądze, przynajmniej do czasu wyjaśnienia sprawy. Dlaczego zapomniał o tym obowiązku?

Jeśli dojdzie do nieautoryzowanej transakcji, czyli takiej, na którą nie wyraziliśmy zgody, odpowiedzialność za straty spoczywa na banku. Zgodnie z ustawą o usługach płatniczych bank powinien  niezwłocznie zwrócić nam pieniądze, chyba że udowodni klientowi, że ten maczał palce w oszukańczej transakcji. W tej historii bank nie udowodnił oszustwa, ale i tak potraktował klientkę jako winną, twierdząc, że dopuściła się rażącego niedbalstwa. Kto ma rację?

Pani Jagoda ma rachunek w Santander Banku. W lutym ubiegłego roku, po zalogowaniu się do systemu zauważyła, że ktoś z jej konta wykonał szereg przelewów na kwotę 30.000 zł.

„Niezwłocznie zawiadomiłam o tym fakcie bank. Oczywiście nie wyrażałam zgody na wykonanie przelewów, nie potwierdzałam też żadnych operacji SMS-kodem. Nie udostępniłam bezpośrednio ani pośrednio żadnej osobie zarówno danych do logowania do systemu transakcyjnego banku, jak i innych newralgicznych danych osobowych. Nie korzystałam również ze stron czy linków budzących wątpliwości w zakresie bezpieczeństwa danych”

– zapewnia czytelniczka. Poprosiła bank o zwrot pieniędzy.

„Niestety, odpowiedzi ze strony banku zawsze są takie same. Mówią, że z ich strony nie zostały złamane systemy bezpieczeństwa i to ja sama dodałam osobę do zaufanych. Chcę jednak zaznaczyć, że nie dodawałam świadomie osoby, która włamała się na konto. Wykonując przelew otrzymałam zamiast SMS kodu do wykonania przelewu, SMS-kod dodający osobę do zaufanych. Tym samym osoba wykonała szereg przelewów i wyprowadziła z mojego konta 30.000 zł. Bez mojej zgody, bez potwierdzania SMS-kodami.”

Santander odpowiedział, że w swoich systemach nie zidentyfikował nieprawidłowości z reklamowanymi przelewami. Odesłał klientkę do zakładki „bezpieczeństwo”, żeby się trochę poedukowała, i sprawę zamknął: „reklamacja rozpatrzona negatywnie”.

Przeczytaj też: Spłaciłeś kredyt przed terminem? Należy ci się zwrot prowizji. Które banki zwracają, które robią to warunkowo, a które jeszcze się wahają? Mamy listę!

Przeczytaj też: Revolut coraz bardziej jak bank? Do wirtualnych „sejfów” Vaults dokłada oprocentowane konto oszczędnościowe. Kiedy u nas?

Nie ma zgody klienta, nie ma autoryzacji

Ale pani Jagoda się nie poddała. Zgłosiła sprawę organom ścigania. Poprosiła też o interwencję Rzecznika Finansowego, a ten wyciągnął zapisy z ustawy o usługach płatniczych, o którym banki albo zapominają, albo udają, że ich nie ma.

Rzecznik Finansowy w piśmie do banku przypomniał, że transakcję, np. przelew, uznaje się za autoryzowaną, jeśli klient wyrazi na to zgodę. A w tym przypadku doszło do ingerencji osób trzecich, która – co przyznał bank – miała charakter przestępczy.

Jak doszło do kradzieży? Rzecznik podejrzewa, że poszkodowana mogła nieświadomie zainstalować aplikację łudząco podobną do aplikacji banku, która przechwytuje treść wiadomości z kodami SMS wysyłanymi przez bank. Nie zmienia to jednak faktu, że pani Jagoda nie wyraziła zgody na te transakcje, a więc należy je uznać za nieautoryzowane.

A zgodnie z unijną dyrektywą i polskimi przepisami, ryzyko odpowiedzialności z tytułu przeprowadzenia nieautoryzowanej transakcji płatniczej spoczywa w całości na dostawcy usług płatniczych, czyli w tym przypadku na banku.

Przeczytaj też: Państwo zawiniło, niech Państwo płaci? Czy raport NIK w sprawie Getback zwiększa szanse nabywców obligacji na odzyskanie kasy?

Przeczytaj też: Kupujesz coś przez telefon, a rozmowa jest nagrywana. Lecz gdy przychodzi do reklamacji, nagranie nagle znika. Jak z tym walczyć?

Najpierw zwrot pieniędzy, później wyjaśnienia  

Rzecznik Finansowy przypomniał też bankowi o art. 46 ust 1 ustawy o usługach płatniczych. W sytuacji, gdy mamy do czynienia z nieautoryzowaną transakcją, bank najpóźniej następnego dnia po stwierdzeniu lub zgłoszeniu wystąpienia takiej transakcji, musi zwrócić klientowi kwotę np. nieautoryzowanego przelewu.

Są oczywiście wyjątki. Bank nie musi zwrócić pieniędzy, jeśli ma uzasadnione i udokumentowane podstawy do tego, żeby podejrzewać oszustwo. Czyli w tym przypadku musi udowodnić, że pani Jagoda ściemnia, bo np. przelała pieniądze znajomemu i lamentuje, że ją okradli. Czyli że chce wyłudzić od banku pieniądze. Ale samo podejrzenie nie wystarcza. Bank powinien – zgodnie z zapisami ustawy – o podejrzeniu wyłudzenia poinformować na piśmie organy ścigania. A tego nie zrobił.

„Trudno przyjąć interpretację, zgodnie z którą Wnioskodawczyni [pani Jagoda] działała z rażącym niedbalstwem, skoro stała się ofiarą starannie zaplanowanego przestępstwa. Ciężar dowodu ewentualnego niedbalstwa spoczywa na dostawy (Banku), zaś przeprowadzenie dowodów w tym zakresie może nastąpić tylko i wyłącznie w postępowaniu sądowym”

– pisze Rzecznik Finansowy. Santander upiera się natomiast, że dokonane transakcje były przez panią Jagodę autoryzowane. Bank przekonuje, że zrobił wszystko zgodnie ze złożoną przez klientkę dyspozycją, a więc dodał w systemie bankowości elektronicznej odbiorców do grupy zdefiniowanych na podstawie kodu SMS, co przewiduje podpisana przez klientkę umowa ramowa.

Przeczytaj też: Klient dzwoni na infolinię, żeby zmienić dane dowodu osobistego. Musi podać kod SMS i… Czy może być bardziej pod górkę?

Przeczytaj też: Rekord w sprzedaży obligacji skarbowych! Czy oferta „rządowych lokat” może zagrozić bankowym depozytom? Coś się dzieje!

Bank dodaje, że nawet gdyby sporne transakcje uznać za autoryzowane, to odpowiedzialność banku nie jest przesądzona, ponieważ – w ocenie banku – klientka dopuściła się rażącego niedbalstwa.

„[Klientka] dopuściła do ujawnienia danych pozwalających na logowanie do usług bankowości elektronicznej i autoryzowanie transakcji – innego bowiem scenariusza zdarzenia założyć w niniejszej sprawie nie można”

Na obronę swoich racji bank przypomina, że na bieżąco instruuje klientów, jak powinni postępować, żeby nie paść ofiarą przestępstwa internetowego. Na zarzut, iż nie zgłosił tej sprawy organom ścigania, Santander Bank odpowiedział Rzecznikowi Finansowego, że transakcje zostały potwierdzone przez płatnika.

Czyli w opinii banku pani Jagoda świadomie autoryzowała transakcje. Skoro tak, to dlaczego Santander poprosił Getin Noble Bank o zablokowanie środków na rachunku, na który przestępcy przelali środki z konta pani Jagody? Skoro miał pewność, że pani Jagoda coś kręci, to po co angażować bank odbiorcy oszukańczych przelewów?

Nieautoryzowana transakcja, ale klientka i tak winna

Rzecznik Finansowy też nie dał się zbyć wyjaśnieniami banku. Jeszcze raz podkreślił, że jeśli bank uważa, iż to klientka dopuściła się oszustwa, to powinien powiadomić o tym organy ścigania. A skoro tego nie zrobił, to tym samym uznał swój obowiązek zwrotu spornej kwoty na rachunek pani Jagody. Dopiero później może podjąć działania w celu odzyskania tej kwoty od sprawcy przestępstwa lub od klientki.

Santander nie zmienił swojego stanowiska. W kolejnej odpowiedzi na pismo Rzecznika Finansowego zaznaczył, iż nie posądza pani Jagody o oszustwo, to utrzymuje, że „dała się zrobić w konia” przestępcom przekazując im narzędzia (loginy, hasła), które posłużyły do wyczyszczenia jej konta. Ale byłoby to potwierdzeniem tego, że transakcje – w opinii banku – jednak nie były autoryzowane, bo klientka nie wyraziła na nie zgody. Stanowisko Santander Banku można więc podsumować tak, iż w hierarchii prawnej rażące niedbalstwo stoi wyżej niż zasada, iż bank zwraca sporną kwotę klientowi, a później ewentualnie próbuje te środki odzyskać, jeśli udowodni oszustwo.

Przeczytaj też: Ujemne oprocentowanie depozytów dotarło również do Polski. Ten bank każe sobie płacić 0,3% za firmowe oszczędności. Jak to uzasadnia?

Przeczytaj też: Alior Bank pokazał, jak będą wkrótce wyglądały jego placówki. Jest domowa atmosfera, kawa, toaleta dla klientów i bardzo dużo „eko”

Kto powinien pilnować sejfu?

Kiedyś płaciliśmy tylko gotówką, przelewy zlecaliśmy w oddziałach banków albo na poczcie. Złodzieje rabowali bankowe sejfy albo konwoje z gotówką. Jeśli bank dał się obrobić, łatwo można było zrzucić winę na niego, bo np. nie zainstalował wystarczających zabezpieczeń. Dziś tradycyjne sejfy odchodzą do lamusa. W cyfrowym świecie banki przerzuciły na klientów dużą odpowiedzialność za pilnowanie wirtualnych sejfów. To loginy, hasła, kody autoryzacyjne itd.

Ustawodawca (unijny i polski) pisząc dyrektywę i ustawę o usługach płatniczych, która mówi m.in. o tym, że bank powinien błyskawicznie zwrócić sporną kwotę, zapewne dostrzegał fakt, iż w cyfrowym świecie ryzyko oszustw staje się coraz bardziej rozproszone – nie tylko bank musi zapewnić, żeby sejf z pieniędzmi był bezpieczny, ale na jego straży muszą stać też jego klienci. Nie kwestionuję tego. Takie czasy. Za wygodę musimy płacić większą czujnością. Ale nie powinno być tak, że całe ryzyko nieautoryzowanych transakcji spada na klientów.

Sprawia pani Jagody jest rozwojowa i niewykluczone, że znajdzie swój finał w sądzie. Warto pamiętać, że podobna historia może spotkać każdego, kto korzysta z bankowości elektronicznej.

Co sądzicie o tej sprawie? Czy Santander powinien zwrócić pani Jagodzie pieniądze, a potem szukać winnych? A może ma rację – pani Jagoda na własne życzenie podłożyła się oszustom i zgadzacie się z argumentacją banku?

Źródło zdjęcia: Pixabay

71
Dodaj komentarz

avatar
19 Comment threads
52 Thread replies
1 Followers
 
Most reacted comment
Hottest comment thread
31 Comment authors
qweCzytelniczkabartBdBartykuly Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Marcin S
Gość
Marcin S

Wg mnie niestety wina jest po stronie klientki. Przyszedł SMS wyraźnie wskazujący że to nie płatność ale dodanie odbiorcy zaufanego. w tym momencie nie powinna go wprowadzać. Klientka mogła zapobiec zdarzeniu ale nie skupiła się na tym co przyszło w tresci SMS autoryzacyjnego. Standardem powinno być nawet w tym przypadku zabezpieczenie środków przez bank nadawcy/odbiorcy w związku z podejrzeniem oszustwa zgłoszonym przez klienta. Środki powinny być zdeponowane na rachunku technicznym do prawomocnego orzeczenia sądu.

Anna
Gość
Anna

Ale to jest postulat o z m i a n ę istniejącego prawa – więc nieważny,nieobowiązujący przy danym przepisie prawa..Ważne jest prawo obowiązujące a ono mówi:zwrócić na r-k klienta a po u d o w o d n i e n i u winy odebrać klientowi/ce, jeśli to on/a winny/a albo temu komuś innemu,kto winien.
Czyli to nie jest b e z w a r u n k o w y zwrot.To jest zabezpieczenie przed dezynwolturą banków,które standardowo obarczają winą klientów.

BdB
Gość
BdB

Zwrócić jeśli transakcja była nieautoryzowana. Jaki dowód jest na to, że była nieautoryzowana? Tylko słowo klientki. Za to zapisy w systemie świadczą, że autoryzacja była.

IMO bank powinien zwrócić, ale jednocześnie blokować tę kwotę do czasu wyjaśnienia.

Zofia
Gość
Zofia

Taki dowód ze jeśli byłaby autoryzowana to w systemach banku byłaby informacja ze autoryzacje zostały wysłane na nr Klientki 🙂
Przelewy robione byłoby przez kilka dni wiec powienien być chociaż ślad ze takie autoryzacje z systemu bankowego wyszły. A nie ma wiec chyba jest to wystarczający dowód na to, ze Klientka nic nie autoryzowała.

qwe
Gość
qwe

Nie autoryzuję przelewów do siebie czy najbliższych mi osób, bo mam wpisane jako zaufane. Czyli idąc Twoim tokiem myślenia, jako że bank nie ma śladu po autoryzacji, to znaczy, że autoryzacji nie było…

Luke
Gość
Luke

Ustawa nie stanowi o dodaniu lub nie danej osoby tylko o autoryzacji transakcji.
Zgodnie z prawem to klientka ma rację.

BdB
Gość
BdB

Jaki dowód ma klientka na potwierdzenie swoich słów? Bo bank ma zapisy w systemie.

Luke
Gość
Luke

jaki bank ma dowód na potwierdzenie swoich słów, skoro przyznał, że tranzakcie były nieautoryzowane?

golem_t
Gość
golem_t

Czytając o kolejnej ofierze przelewu zdefiniowanego zastanawiam się czy KNF (chyba) nie powinien wydać zalecenia aby pierwsze 3-5 transakcji robionych do nowo zdefiniowanego odbiorcy było obowiązkowo autoryzowanych. Dopiero kolejne transakcje mogły by iść bez autoryzacji. Zawsze to trochę zwiększy szansę że ktoś się zorientuję że mu „kradną kasę”

kjonca
Gość
kjonca

1. Nie wiemy jak wyglądają SMSy potwierdzające w Santanderze, czy są na tyle czytelne, żeby rozstrzygnąć.
2. Druga sprawa to podejście banku: Tu chodzi o to że Bank ma udowodnić, że klientka zawiniła, a nie tylko powiedzieć: u nas jest dobrze, bez sprawdzenia, i to jest tu ważne. To wcale nie stoi w sprzeczności z faktem, że po dochodzzeniu okazałoby się, że klientka jednak nie dochowała staranności.

BdB
Gość
BdB

Skoro poprawny był login, hasło i kod z smsa podczas dodawania odbiorcy, a później login i hasło podczas zlecania przelewu to na jakiej podstawie bank ma uznać, że to transakcja nieautoryzowana?

kjonca
Gość
kjonca

Ekhem. Niejaki BdB nie zrozumiał co napisałem. Więc może wyjaśnię:
a) Zlecam przelew w mBanku i czekam na sms. Przychodzi sms o treści „potwierdzenie przelewu na kwotę xxx na konto yyy….zzz, kod:aaaaaa „. Nie mam wątpliwości, CO potwierdzam.

b) zlecam przelew w idea banku i czekam na sms. przychodzi sm o treści „222222” skąd wiadomo CO potwierdzam?

BdB
Gość
BdB

Niejaki BdB pisał ogólnie, tylko źle kliknął i odp. wstawiła się pod Twój komentarz.

gosc
Gość
gosc

Silne uwierzytelnienie zgodnie z PSD2 zawiera zasadę dynamic linking. W przypadku stosowania przez bank sms kodu, wiadomość powinna zawierać również informację jakiej transakcji ten kod dotyczy (w przypadku przelewu kwotę i fragment numeru rachunku odbiorcy). Jeśli sms’y z Idea Banku zawierają tylko kod to bank nie spełnia wymogów PSD2 i jest to dobry powód do złożenia skargi w KNF. Takie sms kody nie dają możliwości obrony przed złośliwymi programami, które podmieniają numery rachunków przy zlecaniu przelewów w bankowości internetowej. What is dynamic linking? Dynamic linking, a new requirement of PSD2, involves dynamically linking authentication tokens to the specific payment amount… Czytaj więcej »

Don Q.
Gość
Don Q.

„Jeśli sms’y z Idea Banku zawierają tylko kod”
— to nie jest prawda, sms z tego banku są bardzo czytelne, np.: „Idea Bank: Operacja z dnia: 2018-01-22 20:05 Udostepnienie podgladu danych. Kod autoryzacji: 3pzxfz”, „Zmiana adresu korespondencyjnego z dnia 2018-01-22 20:06 Haslo potwierdzajace zmiane: s8h6mt”. Podobnie dokładne wysyła Santander.

Aleksander
Gość
Aleksander

Moim zdaniem problem jest głębszy. Nastały czasy, kiedy można kogoś po prostu okraść nie ponosząc z tego tytułu żadnych konsekwencji. Tylko dlaczego tak jest? Czy dlatego, że służby porządkowe nie nadążają za postępem, czy dlatego, że naprawdę ten postęp umożliwia całkowite zatarcie za sobą śladów i bezkarne okradanie ludzi? W końcu z technicznego punktu widzenia Pan jagoda padła po prostu ofiarą oszustwa. A to jest chyba wciąż karalne. Tylko jak pociągnąć oszustów do odpowiedzialności?

BdB
Gość
BdB

Zawsze tak było. Idziesz ulicą, dostajesz w łeb, albo doliniarz kroi Ci portfel. Też okradał i też bez konsekwencji.

Tomtom
Gość
Tomtom

Wydaje się, że klientka jednak nie zachowała ostrożności – jeśli SMS z banku mówił o dodaniu odbiorcy a ona miała zamiar dokonać innej transakcji, to niestety jest to coś co było do wyłapania po jej stronie. Niemniej jednak wydaje się, że bank powinien uznać rachunek klientki w do czasu pełnego rozwiązania sprawy, co może potrwać i obejmować postępowanie sądowe. Pytanie prawne (chyba, bo nie jestem prawnikiem) jest takie: czy norma z art 46 ust 1 nie jest uzależniona od odpowiedzi na pytanie z art 46 ust 3 – gdzie opisane jest kiedy klient odpowiada za transakcję. Swoją drogą ciekawe jest… Czytaj więcej »

BdB
Gość
BdB

Panie Macieju to nie jest takie oczywiste. Zwrot należy się w przypadku nieautoryzowanej transakcji, czyli gdy będzie pewność, że taka ona była. Oświadczenie klienta, że nie autoryzował to tylko słowo. Równie dobrze klient może się mylić. Bank ma dowód, że klient zautomatyzował.

Gdyby przyjąć taką naiwną interpretację, to oszust wpłaciłby 10 tys i przelał na inne swoje konto. Stwierdziłby, że to nie on i na drugi dzień bank dałby mu kolejne 10 tys., które ten znów by przelał, zgłosił reklamację i tak w kółko.

BdB
Gość
BdB

„zautoryzował” miało być oczywiście

adamus
Gość
adamus

i oszust pewnie na słupa zakładałby konto w innym banku aby tam przelewać pieniądze? przecież po pierwszej takiej transakcji policja wraz z bankiem doszłaby do wniosku, że coś jest nie tak.

Radek
Gość
Radek

Jeśli bank ma dowód na to, że klient zautoryzował transakcję, to może go przedstawi? Z tesktu wynika, że bank nie ma dowodu, bo transakcje nie były autoryzowane. Autoryzowane kodem SMS było dodanie odbiorcy zaufanego, to wszystko. Samo zalogowanie się do serwisu transakcyjnego banku, to nie jest autoryzacja przelewu. Nawet jeśli doszłoby do zlecenia przelewu po zalogowaniu przy użyciu poprawnego numeru klienta i hasła, potwierdzenia operacji kodem SMS – to też nie jest dowód na autoryzacje transakcji przez klienta. Logowanie mogło nastąpić z innego adresu IP niż pula z której klient loguje się zwyczajowo (dom, praca, telefon) a kod sms pozyskany… Czytaj więcej »

BdB
Gość
BdB

Poprawny login i hasło oraz kod z smsa podczas tworzenia odbiorcy + login i hasło z chwili zlecania przelewu. To są fakty, które bank może udowodnić, ze strony klientki są tylko jej słowa.

Radek
Gość
Radek

1. Bank nie ma za zadanie udowodnić, że hasło było poprawne, ale że zostało wpisane przez klientkę lub współpracującą z nią osobę celem wyłudzenia pieniędzy. 2. Przecież niemożliwym jest przedstawienie przez klientkę szczegółów dotyczących logowania (IP, system operacyjny, przeglądarka, zachowanie w systemie po zalogowaniu) celem udowodnienia fraudu! To bank jest w posiadaniu kompletu informacji. Przerzucanie tego obowiązku na klientkę to jakieś nieporozumienie, ona nie ma technicznych możliwości pozyskania takich danych samodzielnie. Może być tak, że bank doskonale wie, że doszło do kradzieży i dlatego nie ujawnia danych dowodzących przekrętu, bo będzie musiał oddać pieniądze klientce, złodzieja nie uda się złapać… Czytaj więcej »

BdB
Gość
BdB

Heurystyka to jedyne co mógłby bank zrobić, choć dotąd tylko ING coś takiego wprowadził. Prędzej będzie ustalić co stało się z pieniędzmi i jeśli poszły na konto słupa lub użyte też do innych oszustw, to będzie sprawa oczywista. I to bank powinien sprawdzić, a gdy potwierdzi się fakt braku autoryzacji, wtedy ma 1 dzień na zwrot. Ale nie na podstawie samego oświadczenia klientki.

Radek
Gość
Radek

W tej sytuacji, gdy bank wyzybywa się jakiekkolwiek odpowiedzialności, być może KNF powinna zabronić dodawania odbiorców zaufanych? Każdy przelew poza własnym powinien być potwierdzany, co przyczyni się do zwiększenie bezpieczeństwa.
A jeśli bank dopuszcza takie rozwiązanie, to bierze na klatę wszystkie reklamacje.

Alfred
Gość
Alfred

Bank umożliwia. Klient ma wybór. Chce mieć wszystko autoryzowane – ma prawo.
Nie chcę- nie korzysta.
No a treść sms-ów hmm. Filozofii dużej nie napiszę że trzeba czytać co w nich jest.

Radek
Gość
Radek

To nie tak.
Bank jest stroną profesjonalną, specjalistą w dziedzinie finansów i to on określa poziom zabezpieczeń. Klient ma prawo oczekiwać, że mechanizm odbiorcy zaufanego jest bezpieczny lub ryzyko fraudu jest tak małe, że bank bez mrugnięcia okiem odda kasę. Tak samo jak przy płatnościach zbliżeniowych bez PIN.

ella
Gość
ella

To nie pierwszy raz, gdy Santander leci sobie w kulki – podobnie podchodzą do tzw. małego TSUE. KNF nie powinien cackać się z takimi cwaniakami obchodzącymi prawo, tylko nakładać kary, a za recydywę odbierać licencję bankową.

Lenka
Gość
Lenka

A co z systemami antyfraudowymi banku? Podejrzewam, że poszkodowana pani nie obracała na co dzień taką gotówką, znakomita większość z nas ma powtarzalny wzorzec codziennych transakcji. Kiedy ktoś ukradł numer mojej karty (którą płaciłam tylko w internecie) i próbował jej użyć, bank uniemożliwił transakcję, zablokował kartę i wysłał mi powiadomienie. Czyli jednak można i są systemy, które potrafią wyłapać, że na rachunku nagle dzieje się coś odbiegającego od normy.

Ciekawe też, skąd pochodziła zawirusowana aplikacja, czyżby sklep google?…

Wojciech
Gość
Wojciech

„ A co z systemami antyfraudowymi banku? ”

systemy śpią. tak jak u tego Pana który poszedł do Pani Prostytutki i w nocy wbijali mu transakcje po na kilkanaście czy kilkadziesiąt tysięcy jeszcze z błędnym pinem – gdzie były te „reguły antyfraudowe”

za to opłaty jak maja ściągać z konta to zaraz po północy nalicza się należność – widać przynajmniej taryfa opłat i prowizji nigdy nie śpi

Lenka
Gość
Lenka

No właśnie. Bo jak dla mnie sam fakt, że ktoś nagle tworzy odbiorcę zdefiniowanego innego niż gazownia czy operator tel. kom. i zaczyna wysyłać do niego seryjnie przelewy po kilka tysięcy złotych, powinien uruchomić w banku odpowiednie procedury. Ewidentnie Santander nie ma się czym pochwalić.
W ogóle – sądząc po tym, co słyszę od znajomych mieszkających w innych krajach – mam wrażenie, że polskie banki bardzo słabo chronią klientów. Może dlatego, że statystyczny Polak ma koncie mało pieniędzy (jeśli nie debet), ale w innych krajach chyba lepiej to działa.

gosc
Gość
gosc

@ Lenka Nie wiem skąd przeświadczenie, ze w innych krajach banki zachowują się bardziej odpowiedzialnie niż banki w Polsce. Na pewno nie dotyczy to krajów anglojęzycznych – sprawdzałem. Poniższe materiały dotyczą Wielkiej Brytanii – wybór filmiku zupełnie przypadkowy 😉 Klientce ukradli z konta w Santander UK 71 000 GBP – odzyskała tylko 8000 GBP – autoryzacja SMS kody: I Watched as Fraudsters Stole L71,000 From My Bank Account | This Morning https://www.youtube.com/watch?v=GL-B4JXOaJI So you think you’re safe doing internet banking? https://www.theguardian.com/money/2015/nov/21/safe-internet-banking-cyber-security-online „Banks are required to refund victims for any payments that are “unauthorised”. (…) But the banks’ default position is… Czytaj więcej »

Lenka
Gość
Lenka

Historia z YT niezła, o smsach wpadających w feed wiadomości z banku jeszcze nie słyszałam. ALE z drugiej strony – znajomi z UK muszą powiadamiać swój bank o każdym wyjeździe poza Europę, inaczej karta nie zadziała. Zdarzają się telefony z banku potwierdzające większe transakcje (odbiegające od wzorca zachowań). I co najważniejsze – dzwoniąc do banku musisz odpowiedzieć na trochę trudniejsze pytania niż ‚miasto urodzenia/pesel/nazwisko panieńskie matki’. Pytania można sobie wybrać samemu, z tego co wiem. To już jakoś utrudnia zadanie potencjalnym oszustom, choć wszystkich zagrożeń nie wyeliminuje. A najbardziej to bym chciała wiedzieć, dlaczego banki tak się bronią przed udostępnianiem… Czytaj więcej »

BdB
Gość
BdB

Bo te tanie pokazują tylko kod, więc nie nadają się do autoryzacji czegokolwiek. Za to te pokazujące dane autoeyzowanej transakcji są za drogie by dawać je każdemu. Kompromisem jest autoryzacja mobilna czyli token w aplikacji. IMO najlepszy ma T-Mobile Bankowe, bo jako jedyny działa online i offline.

gosc
Gość
gosc

To, że w sms’ie lub na ekranie smartfona pokażą się szczegóły transakcji nie gwarantuje, że klient je przeczyta i podejmie właściwą decyzje. Tokeny chalenge-respond, które są stosowane przez kilka banków na Wyspach wyglądają jak małe kalkulatorki. Aby użyć ten kalkulatorek trzeba do niego włożyć kartę płatniczą i wpisać PIN do karty. Aby token wygenerował kod do autoryzacji trzeba podać fragment rachunku odbiorcy oraz kwotę przelewu. Aby zautoryzować inne operacje np dodanie stałego odbiorcy trzeba na tokenie wpisać kilku cyfrowy numer, który wyświetla się w systemie transakcyjnym. W ten sposób autoryzujemy konkretny przelew/ konkretną operację. Dodatkowo token nie jest podłączony do… Czytaj więcej »

Lenka
Gość
Lenka

Właśnie o te tokeny mi chodziło. Najbezpieczniejsze rozwiązanie, a w PL w tym momencie niedostępne w przypadku kont prywatnych. Dla małych firm udostępnia je zdaje się tylko – o ironio – Santander. Trzeba zapłacić, ale spokój ducha wyceniam na znacznie więcej niż kilkadziesiąt złotych. Wolałabym w ogóle nie mieć kanałów autoryzacji sprzęgniętych z telefonem.

Frankowicz_wyborca_PIS
Gość
Frankowicz_wyborca_PIS

Sprawa skończy się jak z CHFrankowiczami. Znajdzie się „paragraf”, bo Janusze i Grażyny polaczkowe zawsze znajdą kruczek prawny i pani „Balbina” odzyska kasę. A śmiesznie byłoby gdyby to był zorganizowany przekręt, by ktoś „znajomy” niby „ukradł” 30 k, a „Balbinka” liczy na klauzule abuzywne i inne regulacje żeby podwoić majątek 😉
Wcale bym się nie zdziwił 😀

Przymrozek
Gość
Przymrozek

Jeśli to przekręt, to czemu bank nie zgłasza sprawy do organów ścigania, ciekawe?

Frankowicz_zlodziej
Gość
Frankowicz_zlodziej

Bo boi się frankowiczów i TSUE.
Raz frankowicze okradli banki i złotówkowiczów, drugi raz też może się im udać 🙂

Sbk
Gość
Sbk

Skoro bank wprowadził takie rozwiązanie – przelewy do zdefiniowanego odbiorcy bez autoryzacji – to znaczy że bierze na siebie ryzyko oszustwa i powinien je wkalkulować w koszty. Może być przecież zaufany odbiorca do którego klient świadomie robi przelew np. raz w roku. A przestępca wykona kolejne przelewy . Czy to też będzie wina klienta?

gosc
Gość
gosc

Mamy tutaj standardową sytuację – klientka przerzuca całą odpowiedzialność na bank, a bank przerzuca całą odpowiedzialność na klientkę. Kto jest winny? Moim zdaniem obie strony są winne ponieważ odpowiedzialna postawa klientki lub odpowiedzialna postawa banku mogły zapobiec tej sytuacji. Zacznijmy od Pani Jagody. 1) Zacytowane w artykule wypowiedzi Pani Jagody są ze sobą sprzeczne: „Oczywiście nie wyrażałam zgody na wykonanie przelewów, nie potwierdzałam też żadnych operacji SMS-kodem. „ „Wykonując przelew otrzymałam zamiast SMS kodu do wykonania przelewu, SMS-kod dodający osobę do zaufanych. „ Najpierw pisze, że zupełnie nic nie robiła a potem, że otrzymała SMS kod i go wpisała myśląc,… Czytaj więcej »

Rafał
Gość
Rafał

Widać, ze mało wiesz O oszustwach bankowych 🙂
Jeśli włamali się kobiecie na konto to mogli sobie samo wszystko zmienić 🙂 włącznie z numerem telefonu na który przychodziły autoryzacje.
Limity dziennie również mogli sobie zmienić.
Alerty nie są obowiazkowe i nie są one zabezpieczeniem- oczywiście mogą pomoc ale to bezpieczeństwo środków Klienta pozostaje na Banku, a nie na Klientce.

Bed
Gość
Bed

Ale nie zmienili. Sms był jeden o dotyczył odbiorcy. Ani słowa nie ma o sms ws.zmiany limitu czy numeru telefonu.

gosc
Gość
gosc

W tym przypadku oszuści wyłudzili login, hasło oraz jeden SMS kod dzięki, któremu utworzyli zdefiniowanego odbiorce. Potem przelali środki na to zdefiniowane konto. Aby wprowadzić inne zmiany musieliby wyłudzić kolejne SMS kody – to byłoby bardzo trudne, dlatego nisko ustalone limity dzienne spełniłyby w tym wypadku swoją rolę. Są ataki, które umożliwiają to o czym piszesz – zmianę różnych ustawień na koncie np podniesienie dziennych limitów przelewów. Przykładem takiego ataku jest sim swap (przejęcie kontroli nad telefonem klienta) albo złośliwe oprogramowanie (np Zeus, Anubis), które umożliwia oszustom odczytywanie wszystkich wiadomości sms, które przychodzą na komórkę. Pani Jagoda też myślała, że… Czytaj więcej »

Adam
Gość
Adam

Stawiam skorupki przeciw orzechom, iż gdyby klient miał wybór np. płacić drobną opłatę za token miesięcznie (dzierżawę) tudzież ponieść jednorazową opłatę (na własność) to bardzo wielu skorzystałoby z tego rozwiązania w szczególności ci którzy mają spore oszczędności!!! Niestety zakrywanie tej prawdy rzekomo darmowymi usługami to ta ciemna strona mocy, przy okazji bardzo wygodna dla banków!!! Mam pytanie – który bank w PL daje taką możliwość nie przypominam sobie żadnego!!! Jeden miał ale uznał, iż po co sprzęt skoro można mieć aplikacje! Kolejna rzecz, ile to było w ciągu ostatniego roku kradzieży pieniędzy z kont za pomocą aplikacji i lewych kart… Czytaj więcej »

Wojciech
Gość
Wojciech

zmiana polegająca na obniżaniu limitów to strzał w stopę na zasadzie: „mogą mi kiedyś ukraść samochód to lepiej sprzedam i będę jeździł tramwajem” w ogóle nie o to chodzi. limity wszystkiego powinny być do wysokości salda. te głupie banki niczym innym się nie zajmują tylko pieniędzmi wiec powinny ich pilnować. A że są przestępcy cóż to jest ryzyko prowadzenia biznesu mogą sprzedawać pieczone kasztany na ulicy. tu w ogóle nie ma żadnej symetrii bo kobieta ma stres, perspektywę sporów sądowych, szukania adwokatów l, skradzione pieniądze z konta a bank ma to w dupie dla niego to jest gra o sumie… Czytaj więcej »

kjonca
Gość
kjonca

Tak na marginesie: Czy ktoryś bank pozwala ZAPISAĆ to co się potwierdza mobilną autoryzacją?
Jak przyjdzie do mnie sms, to mogę go sobie zgrać w bezpieczne miejsce i po 2 latach, jak się ktoś będzie czepiał, powiedzieć: tego-a-tego dnia o-tej-i-o-tej godzinie, uwierzytelniałem to i to.

Czy mogę mieć coś takiego z mobilną autoryzacją?, poza oczywiście robieniem zrzutów ekranu za każdym razem.

Dominika
Gość
Dominika

Jest historia autoryzacji, do twojego wglądu to jest na miesiąc w tył w aplikacji mobilnej – jeśli tam potwierdzasz, dla banku widoczna jest cała historia. Jeśli chodzi o sms to jest w twojej kwesti zapisanie smsow w pamięci przenośnej lub dysku(tak samo jak przechowywanie dokumentów np. jak świadectwa pracy) , tutaj także bank ma w systemie kiedy, na jaki numer wysłano kod autoryzacyjny, nie jestem pewna, ale taka historia jest przechowywana 5-10 lat przynajmniej.

kjonca
Gość
kjonca

Ale ja nie chcę „w aplikacji mobilnej”! Ja chcę u siebie.
Weźmy taką sprawę santandera i przypuśćmy, że potwierdzanie było mobilne (dla niekumatych; wiem, że w artykule mowa o sms, po prostu przeprowadzam eksperyment myślowy). W tym momencie TYLKO bank ma dane co było potwierdzone i np może podmienić to co mu było niewygodne. Z SMS-em się tak nie da, bo SMS jest u mnie.

BdB
Gość
BdB

Nie ma czegoś takiego jak bank, są pracownicy banku. Żaden informatyk bankowy logów w systemach nie podmieni, bo nie dość, że muszą być one zabezpieczone (co wykazują audyty i kontrole) i byłoby to do wychwycenia, to sam by siebie narażał na odpowiedzialność karną. To jest tylko pracownik najemny, który dziś pracuje tu, a jutro gdzie indziej i nie ma absolutnie żadnego interesu w tym, by na życzenie szefa popełniać przestępstwa i siebie narażać.

kjonca
Gość
kjonca

Podziwiam Twoją wiarę w ludzi i procedury. Gdybym swego czasu nie mial styczności z systemami bankowmi, to może bym Twoją wiarę podzielał.

kjonca
Gość
kjonca

I żeby daleko nie szukać: https://subiektywnieofinansach.pl/kupujesz-cos-przez-telefon-rozmowa-jest-nagrywana-reklamacja-nagranie-nagle-znika/
(tak, wiem, że to operator telekomunikacyjny a nie bank)
„Procedury”? „nikt się nie odważy”? śmiech na sali

BdB
Gość
BdB

@kjonca
Nagranie nie wiemy w jakiej formie było dostępne dla pracowników obsługi, ale w kwestii autoryzacji twierdzisz, że programista banku będzie grzebał w logach systemowych i je fałszował (ryzykując nakrycie, bo niespójność danych da się stwierdzić), to zupełnie inny kaliber. I sprawa nie ma nic do wiary w ludzi, po prostu nigdy nie spotkałem informatyka, który w ramach swojej pracy chciałby nadstawiać głowy i ryzykować więzienie. Poza tym. system musiałby to umożliwiać, a coś takiego audyt oprogramowania by odrzucił, bo logi to dane, które muszą być niezmienne.

kjonca
Gość
kjonca

1. jest pewna różnica w stwierdzeniu że „dane zostały zmienione” i stwierdzeniu „kto je zmienił” dla celów dyscyplinarnych.
2. ale już nawet nie oto chodzi. Bank może nawet mieć poprawne dane, ale cały czas może klientowi wmawiać, coś innego. I wcale nie jest tak prosto kazać mu udostępnić prawidłowe dane, nawet sądownie.
Wtedy to co „ja mam” staje sie dość istotne.

Radek
Gość
Radek

„Z SMS-em się tak nie da, bo SMS jest u mnie.”

No jednak nie ma tak dobrze. Można podmienić w telefonie odbiorcy treść wysłanego SMSa nawet już po jego odczytaniu. Jest to technicznie jak najbardziej możliwe i zgodne ze standardem opracowanym przez 3GPP.

kjonca
Gość
kjonca

Ale to jest jakby nie na temat. Ja nie mówię o bezpieczeństwie SMSów jako takich (która jest średnia, umówmy się). Tylko o tym , że takiego SMSa mogę mieć zrzuconego w bezpieczne miejsce pod MOJĄ kontrolą (np. mój laptop, czy nawet wydruk).
A tego NIE mogę zrobić w przypadku mobilnej autoryzacji.
Ja bardzo chętnie bym się przesiadł na mobilną autoryzację, ale gdy poruszyłem ten temat z mBankiem, to udawali, że nie wiedzą o co chodzi

Radek
Gość
Radek

OK, tylko czy taki zrzut ekranu lub treści SMSa w jakiejś postaci będzie wiarygodny i będzie stanowił dowód? Czy Twoim zdaniem jest jakaś różnica między tym a screenshotem zrobionym w czasie potwierdzania operacji?
W moim przekonaniu wyciągnięcie z szuflady czegoś takiego w przypadku spornej sytuacji nie będzie traktowane poważnie ani przez bank ani przez sąd.

kjonca
Gość
kjonca

„OK, tylko czy taki zrzut ekranu lub treści SMSa w jakiejś postaci będzie wiarygodny i będzie stanowił dowód? ” Dla mnie na pewno.:) Poza tym, na razie nie mam nic, prawda? Tak to przynajmniej bank będzie się musiał wysilić. „Czy Twoim zdaniem jest jakaś różnica między tym a screenshotem zrobionym w czasie potwierdzania operacji?” O jakim screenshocie mówisz? Tym z operacją czy tym z danymi uwierzytelniającymi? „W moim przekonaniu wyciągnięcie z szuflady czegoś takiego w przypadku spornej sytuacji nie będzie traktowane poważnie ani przez bank ani przez sąd.” Uwierz mi: będzie. W przynajmniej 2 znanych mi przypadkach, bank się dowiedział,… Czytaj więcej »

Don Q.
Gość
Don Q.

„W moim przekonaniu wyciągnięcie z szuflady czegoś takiego w przypadku spornej sytuacji nie będzie traktowane poważnie ani przez bank ani przez sąd”
— nie jestem prawnikiem (ani nikim takim), ale wydaje mi się, że przedstawianie w sądzie fałszywego dowodu to przestępstwo i można założyć, że gdyby klient banku je popełnił, to bank zrobiłby wszystko, by to wykazać; jeśli jednak udowodnić fałszerstwa sms nie jest w stanie, to wydaje się sensowne, że sąd w taki dowód powinien uwierzyć.

Sosna
Gość
Sosna

Jeśli bank ma brać odpowiedzialność za tego typu sytuacje, to proponuję obowiązkowe egzaminy z podstaw bezpieczeństwa dla potencjalnych użytkowników bankowości elektronicznej. Dla tych, co nie zdali – zakaz wykonywania transakcji na kwotę powyżej 1-miesięcznej średniej krajowej netto (tylko osobiście w banku z dowodem w ręku). Dać małpie brzytwę…

EKD
Gość
EKD

@Sosna. Zdał egzamin znaczy „ma wiedzę, zna pojęcia i relacje miedzy nimi”. Nie mylić z „potrafi stosować, adekwatnie reaguje w naturalnych sytuacjach, ma prawidlowe nawyki”. Czyli tych co zdali egzamin w zasadzie tez można odciąć od bankowości elektronicznej.

Piotr
Gość
Piotr

Chcą naszych pieniędzy, to niech je chronią!!!!!
Wystarczył by telefon od banku z prozba o potwierdzenie.
Kolejna sprawa każde połączenie z kontem jest monitorowane.
Widzą z jakiego urządzenia jest logowanie.
Nieznane urządzenia wymagają autoryzacji.
Dodanie zaufanego odbiorcy oznacza brak sms kodów.
Ale przelew trzeba zrobić z konta czyli trzeba się zalogować do bankowości internetowej.

Piotr
Gość
Piotr

Dodanie odbiorcy zaufanego
a przelewanie mu pieniędzy to 2 rozne sprawy

AF AF
Gość
AF AF

Witam, powierzając pieniądze bankowi to na nim spoczywa odpowiedzialność całkowitej ich ochrony. Wygrałam identyczną sprawę z citibankiem na o wiele wiekszą kwotę. Co prawda 3 lata ciągania się po sądach ale się opłaciło.Bank musiał zwrócić wszystko plus odsetki. Warto walczyć o swoje i nie dawać za wygraną a już tym bardziej nie przejmować się odpowiedziami banku, ponieważ jest to kopiuj-wklej do każdego klienta.

Jagoda
Gość
Jagoda

Witam,
AF AF
Proszę o kontakt na maila : jagodawalaszewska@wp.pl
Będę wdzięczna.
Jagoda

artykuly
Gość
artykuly

Polecam:
Ustanowienie zaufanego odbiorcy — konta należącego do hakera — oznacza, że klient banku dopuścił się rażącego niedbalstwa?
https://czasopismo.legeartis.org/2018/12/nieautoryzowany-przelew-konto-hakera.html
Czy bank odpowiada za przelewy z rachunku klienta — „autoryzowane” przez oszusta, który wykradł dane do logowania?
https://czasopismo.legeartis.org/2017/09/odpowiedzialnosc-banku-nieautoryzowane-transakcje.html

Przymrozek
Gość
Przymrozek

Organ nadzoru też cacka się z bankiem… Naruszenie przez bank zasad PSD2 jest na tyle wyraźne, że natychmiast po jego stwierdzeniu powinna polecieć kara w odpowiedniej wysokości.
Nie ma bacika, to bank celowo będzie spuszczać klientów na drzewo lub do sądu.

bart
Gość
bart

a co ma wspólnego dodanie klienta do klientów zaufanych , z wyprowadzaniem środków z konta? otóż nawet jak ktoś świadomie, czy nieświadomie taki przelew autoryzowany sobie zrobi , to niech sobie on tam będzie. kluczowe kto dalej wykonuje zlecenia transakcji ? właściciel konta? czy złodziej który w sposób sprytniejszy niż zabezpieczenia systemu bankowego wszedł w posiadanie loginu i hasła. system bezpieczeństwa nie kończy sie na systemie w banku, to system rozproszony. i to bank powinien tak ten system skonstruować by był bezpieczny i tyle. kasę za prowadzenie konta pobierają , operują nasza gotówka wiec niech zrobią to dobrze. od niedawna… Czytaj więcej »

Czytelniczka
Gość
Czytelniczka

Oj nie ładnie Panie Gajewski. Coś słabo idzie zarządzanie Bankiem skoro takie kwiatki wychodzą a do tego podobno to stała praktyka Banku ze łamiecie prawo i to nie tylko w kwestii zwrotu środków. Powinniście zwrócić środki , sprawę zgłosić do organów ścigania a następnie wnioskować o zwrot od Klientki ( ale tylko pod warunkiem ze wygracie sprawę) a w tym przypadku odwrócili kota ogonem , zrobili sobie jaja z PRAWA I z poszkodowanej. Państwo w Państwie 😉 Co tu dużo mówić ? Zamykać konta w Santander Banku i spadać. Zapewniam, ze inne Banku nie stosują takich metod jak Santander Bank.… Czytaj więcej »

gosc
Gość
gosc

[#146] Ataki na klientów polskich banków – Wiktor Szymański
https://www.youtube.com/watch?v=349evo0Tpi8

Znalazłem niezwykle ciekawą prezentację z marca 2019. Pracownik Departamentu Bezpieczeństwa Elektronicznego Alior Banku opowiada o popularnych scenariuszach ataków na klientów banków: phishing – linki przekierowujące na fałszywe strony banków oraz złośliwe oprogramowanie, fałszywe aplikacje, sim swap, przejmowanie kont na facebooku, fałszywe sklepy internetowe itp. Prezentacja pokazuje np. co hackerowi wyświetla się na ekranie komputera gdy ktoś wpisze na fałszywej stronie swój login i hasło oraz co dzieje się później.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij