18 czerwca 2019

Złodzieje ogołocili twoje konto? Bank musi ci oddać pieniądze następnego dnia. Jest jeden wyjątek, który niestety stał się regułą

Złodzieje ogołocili twoje konto? Bank musi ci oddać pieniądze następnego dnia. Jest jeden wyjątek, który niestety stał się regułą

Rzecznik Finansowy z niepokojem obserwuje postępowanie banków w przypadku kradzieży pieniędzy z rachunku klienta bez jego wiedzy. Zgodnie z prawem, jeśli dojdzie do tzw. nieautoryzowanej transakcji, banki powinny zwrócić klientowi pieniądze najpóźniej do końca następnego dnia roboczego. A dopiero potem badać kto zawinił i czy klient przypadkiem nie był rażąco nieostrożny. Jak jest w praktyce?

Na początek trzy sprawy, które trafiły na biurka prawników Biura Rzecznika Finansowego. Historia nr 1. Na lotnisku do poszkodowanego podszedł obcy mężczyzna prosząc o pożyczenie na chwilę telefonu, żeby mógł zadzwonić do bliskich, bo właśnie został okradziony. Ofiara się zgodziła, bo przecież w sytuacjach awaryjnych trzeba sobie pomagać. Prawdopodobnie wtedy doszło do zainfekowania telefonu złośliwym oprogramowaniem.

Zobacz również:

Po jakimś czasie zainstalowane przez przestępców oprogramowanie wymusiło fikcyjną „aktualizację systemu operacyjnego” telefonu. Dzięki niej przestępcy uzyskali zdalny dostęp do smartfona ofiary, za pomocą którego m.in. autoryzowała ona przelewy bankowe. Zalogowali się na konto (musieli więc wcześniej wykraść też login i hasło) oraz zlecili przelew wszystkich pieniędzy, jakie były na koncie. Dodatkowo zaciągnęli kredyty na kwotę 13.600 zł. Wszystko autoryzowali SMS-ami, które przechwytywali z telefonu ofiary.

Cała historia trwała około godziny. Oszuści wykonali pięć przelewów na 39.000 zł. Na koniec aplikacja przywróciła ustawienia fabryczne telefonu, niszcząc w ten sposób ślady przestępstwa.

Warto przeczytać też: Pamiętacie kradzieże pieniędzy z naszych kont bankowych „na duplikat karty SIM”? Są dwie wiadomości: dobra i zła

Przeczytaj też: Imię i nazwisko, PESEL, dowód osobisty, adres zamieszkania, wizerunek… Czym jest kradzież tożsamości? I jak się przed nią obronić?

Historia nr 2. Jedna z klientek banku nagle straciła z konta blisko 6000 zł, a jej kartę kredytową obciążono wypłatami na łączną kwotę 17.700 zł. Klientka przekonywała, że w czasie, kiedy doszło do włamania na jej konto, była w pracy i nie dokonywała żadnych transakcji. Nie otrzymywała na swój telefon żadnych SMS-ów z hasłami.

Model tej kradzieży musiał być bardzo podobny, jak poprzeniej. Ktoś uzyskał login i hasło do konta, przejął zdalnie dostęp do jej smartfona i przechwytywał SMS-y autoryzacyjne do przelewów, które wykonywał. Nie można też wykluczyć, że wystarczyło przejęcie dostępu do smartfona i bankowej aplikacji mobilnej (choć to mało prawdopodobne, bo banki mocno ograniczają limity wartości transakcji, które można zlecić i wykonać wyłącznie za pomocą smartfona).

Historia nr 3. Klient po zalogowaniu do serwisu transakcyjnego zauważył, że ktoś w jego imieniu zawarł umowę pożyczki i wykonał dyspozycję przelewu. Pożyczka opiewała na blisko 18.000 zł. Stwierdził też, że przy kolejnych logowaniach do konta zostały zmienione limity wypłat dziennych i miesięcznych. Ostatecznie wytransferowano z konta prawie 16.000 zł. Ofiara nie ma pojęcia co się stało, ale sprawa musiała wyglądać podobnie, jak w dwóch powyższych przypadkach.

Nieautoryzowana transakcja, czyli… kradzież?

Opisane wyłudzenia pieniędzy łączy to, że były nieautoryzowanymi transakcjami, a więc doszło do nich bez wiedzy i woli klienta. Nieautoryzowana transakcja może dotyczyć kradzieży pieniędzy z rachunku bankowego dostępnego przez internet czy obciążenia konta karty kredytowej lub debetowej.

W pierwszym kwartale 2019 r. do Rzecznika Finansowego trafiły aż 83 wnioski o pomoc w odzyskaniu pieniędzy. To dokładnie tyle samo, co w całym 2016 r. W 2018 r. wniosków o interwencję w podobnych sprawach było 246, czyli o 70% więcej niż w 2017 r. Te liczby nie obejmują pytań telefonicznych lub e-mailowych od konsumentów o to, jak radzić sobie z tym problemem.

Stali czytelnicy „Subiektywnie o finansach” zapewne dobrze wiedzą, że o problemie nieautoryzowanych transakcji płatniczych sporo można poczytać na naszych „łamach”. Złodzieje próbują nas okraść na najróżniejsze sposoby (zwykle wyłudzają loginy i hasła oraz SMS-y autoryzacyjne), a najbardziej skutecznym – choć dopiero wprowadzanym w polskich bankach – sposobem na ukrócenie ich starań jest mobilna autoryzacja transakcji. A więc potwierdzanie przelewów w aplikacji mobilnej banku, a nie poprzez SMS autoryzacyjny, który można zdalnie przejąć.

Przeczytaj też: W SkyCash jest już nowe ubezpieczenie: od kradzieży portfela, torebki lub smartfona z zaparkowanego samochodu. Ile kosztuje?

Przeczytaj też: Zastrzeżenie kredytowe, czyli wystarczy jedno kliknięcie i nikt nie wyłudzi kredytu na twoje nazwisko. Dlaczego banki nie lubią tej usługi?

Zasada D+1 i jeden wyjątek

Rzecznik Finansowy – na podstawie trafiających do niego spraw – stwierdza wprost: banki ignorują wytyczne wynikające z unijnych dyrektyw i polskiego prawa, przerzucając na klientów z automatu całą odpowiedzialność za działania złodziei, choć te są czasem bardzo wyrafinowane i przeciętnemu konsumentowi trudno się przed nimi ochronić. Nawet gdyby się okazało, że klient zachował się rażąco niedbale i beztrosko – powinien najpierw otrzymać natychmiastowy zwrot pieniędzy, a dopiero potem – po udowodnieniu winy klienta – bank mógłby domagać się ich z powrotem

Banki – według Rzecznika Finansowego – łamią zasadę niezwłocznego zwrotu utraconych przez klientów środków w terminie określonym tzw. zasadą D+1, którą wprowadziła nowelizacja ustawy o usługach płatniczych (weszła w życie 20 czerwca 2018 r.). Oznacza ona, że pieniądze powinny wrócić na konto klienta „nie później niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji lub po dniu otrzymania zgłoszenia od klienta”.

Przeczytaj też: Wyłudzony na konto klienta kredyt sprzed 17 lat podstawą negatywnego wpisu w BIK. Co bank na to? „Może za 30 dni odpiszemy. Ale może nie”

Przeczytaj też: Nawet dwa lata odsiadki za produkcję i sprzedaż tzw. dokumentów kolekcjonerskich. To cios w wyłudzających kredyty. Ale czy skuteczny?

Izabela Dąbrowska-Antoniak, dyrektor wydziału klienta rynku bankowo-kapitałowego w biurze Rzecznika Finansowego, podkreśla, że jest tylko jeden wyjątek od tej zasady, z której niestety banki uczyniły regułę.

Banki nie muszą zwracać pieniędzy zgodnie z zasadą „D+1” tylko wtedy, jeśli mają uzasadnione i należycie udokumentowane podejrzenie próby oszustwa ze strony klienta. Czyli że to klient postanowił sam siebie okraść i dodatkowo żąda zwrotu pieniędzy. Co więcej, o takiej próbie „samokradzieży” bank powinien poinformować na piśmie organy ścigania. Izabela Dąbrowska-Antoniak:

„Intencją prawodawców było przerzucenie odpowiedzialności za nieautoryzowane transakcje płatnicze na dostawców usług płatniczych. Ma to służyć nie tylko zwiększeniu ochrony klienta, ale również większej presji wobec profesjonalnych uczestników rynku, by maksymalnie zadbali o procedury bezpieczeństwa i ochronę transakcji. Wdrożenie rozwiązań, które zapewniają szybki zwrot utraconych środków zgodnie z zasadą D+1, zabezpiecza klientów również przed ryzykiem pozostawania przez dłuższy czas bez środków do życia. Niewątpliwie wstrzymanie się przez bank ze zwrotem środków powinno być działaniem wyjątkowym, a nie standardowym, jak ma to miejsce w dzisiejszej praktyce”

Banki zrzucają winę na niedbalstwo klientów

Zdaniem Rzecznika Finansowego, w przypadku nieautoryzowanej transakcji, bank powinien niezwłocznie zwrócić klientowi pieniądze, a dopiero potem wykazać ewentualną jego umyślną winę i zażądać zwrotu pieniędzy. Jeśli klient nie odda pieniędzy po dobroci, może pozwać go do sądu. W praktyce – uważa Rzecznik Finansowy – jest odwrotnie. Banki nie zwracają pieniędzy i to klient musi o nie walczyć, pisząc wnioski o interwencje na sprawie sądowej kończąc.

„Odmowa zwrotu następuje najczęściej tylko w oparciu o uprawdopodobnienie pewnych faktów i okoliczności zmierzających do wykazania autoryzacji, winy, umyślnego działania czy rażącego niedbalstwa klienta. Tymczasem przepisy jasno mówią, że to na banku spoczywa ciężar udowodnienia tych okoliczności”

– dodaje Izabela Dąbrowska-Antoniak. Rzeczywiście: dopóki straty są przerzucona na klienta, to on musi udowadniać, że dochował należytej staranności. Gdyby bank automatycznie pokrył jego stratę, to jemu bardziej by zależało, by udowodnić winę klienta i uzyskać podstawę do ponownego obciążenia klienta.

Bezpieczeństwo kosztem szybkości?

Rzecznik Finansowy zwraca uwagę na to, że przestępcom coraz łatwiej jest przejąć kontrolę nad kontem ofiary i dokonywać na nim wszelkich zmian.

„Ustawione przez klienta limity, dotyczące na przykład liczby czy wartości przelewów dziennych, są łatwo zmieniane przez oszustów, jeśli tylko są one zbyt niskie, żeby opróżnić ze wszystkich środków konto klienta. W praktyce dają więc one złudne poczucie bezpieczeństwa”

– mówi Dąbrowska-Antoniak. Rzecznik Finansowy uważa wręcz, że banki powinny  rozważyć wprowadzenie rozwiązań poprawiających bezpieczeństwo nawet kosztem szybkości przeprowadzania transakcji.

A jeśli bank – mimo zgłoszonej nieautoryzowanej transakcji – nie zwróci pieniędzy? Rzecznik Finansowy radzi, by składać do banków reklamacje. Warto pamiętać, że od grudnia 2018 r. banki mają na odpowiedź 15 dni (wcześniej 30), a w skomplikowanych sytuacjach mogą przeciągnąć odpowiedź do 35 dni, ale o tym, że sprawa jest skomplikowana, muszą powiadomić klienta wcześniej. Jeśli bank się nie wyrobi w wyznaczonym czasie, to zgodnie z prawem reklamację uznaje się jako rozpatrzoną po myśli klienta.

Źródło zdjęcia: Pixabay.com

 

Subscribe
Powiadom o
38 komentarzy
Inline Feedbacks
View all comments
Grzesiek
1 rok temu

nieco „podoczny” ale ważny wątek- ilu z nas ma zainstalowanego antywirusa na telefonie? Niewielu. Dlaczego nie uważamy na smartfona tak samo jak na komputer?

Admin
1 rok temu
Reply to  Grzesiek

Bardzo dobre pytanie

Specjalista
1 rok temu
Reply to  Grzesiek

Może dlatego, że antywirusy są nieskuteczne. To są często przestępstwa celowane i żaden antywirus nie da sobie rady.

Konrad Borowski
1 rok temu
Reply to  Grzesiek

To nie jest prawdą, większość użytkowników Androida korzysta z Google Play Protect i nawet o tym nie wie.

Grzesiek
1 rok temu

tyle że co jakiś czas (o czym informuje nawet sam google) okazuje się że aplikacje w ich sklepie maja wirusa albo celem aplikacji jest np zbieranie danych itp itd.
@ Specjalista- co do skuteczności antywirów- uważasz w takim razie że nie warto ich używać w ogóle?

Adam
1 rok temu
Reply to  Grzesiek

Wielu ekspertów twierdzi, że nie ma czegoś takiego jak antywirus na komórki. Są tylko programy które próbują udawać że są antywirusami. Chwila Googlowania i można znaleźć na ten temat setki artykułów.
Na przykład takie

https://www.independent.co.uk/life-style/gadgets-and-tech/news/android-antivirus-app-fake-google-play-a8827816.html

https://www.extremetech.com/computing/104827-android-antivirus-apps-are-useless-heres-what-to-do-instead

https://www.wired.com/story/android-antivirus-apps-bad-fake/

zeneusz
1 rok temu
Reply to  Grzesiek

antywirus to żadne zabezpieczenie

anonymous
1 rok temu
Reply to  Grzesiek

Jakiego znasz antywirusa na telefon nokia 3310?

Olo
1 rok temu

Dlaczego bank ma zwracać kasę jeżeli klient jest na tyle głupi, że nie potrafi zabezpieczyć swoich danych lub bezmyślnie je udostępnia? Co więcej bank powinien takiemu klientowi wypowiedzieć umowę – jednego głupiego klienta mniej.

Admin
1 rok temu
Reply to  Olo

No, nie wiem. Czasem klienci rzeczywiście fatalnie się zachowują, ale też złodzieje są coraz bardziej sprytni, zaś w bankach są dziury – np. nie trzeba autoryzować wewnętrznych przelewów między własnymi kontami – oraz słabo działają systemy antyfraudowe. Przeważnie nie jest tak, że w przypadku kradzieży klient był głupi, a bank działał perfekcyjnie.

Olo
1 rok temu
Reply to  Maciej Samcik

Może Pan wyjaśnić co miał na myśli mówiąc słabo działające systemy antyfraudowe w odniesieniu do wspomnianych prze Pana przykładów fraudów?
W przypadkach, które Pan opisuje winę ponosi tylko i wyłącznie klient – zazwyczaj poprzez bezmyślne udostępnienie swoich danych (dane osobowe, dane do logowania, dane karty, lub telefon tak jak w przykładze).
Proszę zatem o opinię, dlaczego bank ma ponosić odpowiedzialność finansową w takich przypadkach?

anonymous
1 rok temu
Reply to  Olo

No właśnie jeden czy dwa artykuły wcześniej red. Samcik lub ktoś z ekipy de facto zachęca do niemal bezmyślnego udostępniania swoich danych – w taki sposób że red. ma ból zada o to że w przelewie nie potrzeba nic więcej niż prawidłowy numer rachunku.

Admin
1 rok temu
Reply to  anonymous

No nie, raczej nie zachęcamy do robienia czegokolwiek bezmyślnie

anonymous
1 rok temu
Reply to  Maciej Samcik

Od kiedy to dziurą w bankowości jest to że nie ma autoryzacji wewnętrznych przelewów między własnymi kontami? To niepoważne wymagać autoryzowania czynności polegającej na przekładaniu pieniędzy z prawej kieszeni do lewej.

Admin
1 rok temu
Reply to  anonymous

W zasadzie byłbym skłonny się zgodzić, ale zbyt dużo się nasłuchałem o okradzionych ludziach, a zrobić jeden „lewy” przelew i np. pięć to z punktu widzenia złodzieja dość duża różnica w poziomie ryzyka

Olo
1 rok temu
Reply to  Maciej Samcik

Panie Samcik nie znasz się Pan na bankowości, a tym bardziej na cyberbezpieczeństwie i piszesz bzdury. Niestety przeciętny czytelnik też się nie zna i wierzy w to co Pan pisze.
Proponuje zapisać się na jakiś kurs w tym temacie, a następnie napisać taki artykuł jeszcze raz od A do Z . Pozdrawiam

Admin
1 rok temu
Reply to  Olo

Aha. A tak konkretnie? ;-)))

Olo
1 rok temu
Reply to  Maciej Samcik

Nie udzielam darmowych szkoleń, proszę się doszkolić na własną rękę.
Jeżeli uważa Pan że przelewy między własnymi rachunkami są na tyle niebezpieczne żeby trzeba było je autoryzować – to właśnie powód dlaczego powinien się Pan doszkolić 🙂

Admin
1 rok temu
Reply to  Olo

Ano właśnie bywają niebezpieczne. Nie życzę Panu, żeby się Pan przekonał na własnej skórze 😉

Olo
1 rok temu
Reply to  Maciej Samcik

Zatem proszę o wyjaśnienie, dlaczego Pana zdaniem są niebezpieczne?

Admin
1 rok temu
Reply to  Olo

Już tłumaczyłem

Magda
1 rok temu
Reply to  Maciej Samcik

Brak argumentów?? Śmieszne ;)))

Jarek
1 rok temu
Reply to  Olo

Autoryzowanie przelewu wewnętrznego ma zalety. Jedną z nich jest to, że dzięki autoryzacji nie zapomnisz PINu. Wszystkie płatności robię przez Apple Pay i tylko do wewnętrznych przelewów używam PINu. Żeby ni to – już dawno bym go zapomniał :-).

Grzesiek
1 rok temu
Reply to  Olo

z tym bywa różnie, jest masa naiwnych ale nie wrzuciłbym wszystkich do jednego worka.

zeneusz
1 rok temu
Reply to  Olo

nie każdy musi być specjalistą z bezpieczeństwa it, ale prawie każdy musi mieć konto w banku. do tego klienci banków są zmuszani przez banki do niektórych rozwiązań. dlaczego wycofano papierowe kody jednorazowe?

Olo
1 rok temu
Reply to  zeneusz

Prosta przyczyna – dlatego, że ludzie gubili te kartki z kodami. Poza tym czy bezpiecznie jest trzymać w żaden sposób nie zaszyfrowane kody do potwierdzania?

Adam
1 rok temu
Reply to  Olo

Mądraliński a czemu wycofano tokeny sprzętowe??? Ponadto skoro banki ułatwiają dostęp do okradania klienta to niech sami „sponsorują” ten bajzel który tym wywołują. Proste jak budowa cepa!!!

Joanna
1 rok temu
Reply to  Adam

Token sprzętowy ma Toyota Bank. Proszę uprzejmie. Idealny bank dla oszczedzajacych, na myśl o logowaniu się tam mam drgawki i wcale tego nie robię.

Olo
1 rok temu
Reply to  Adam

Adamie jeżeli dążysz do prostoty to trzymaj pieniążki w skarpecie.

johnny
1 rok temu
Reply to  Adam

tu jest odpowiedz „Dlaczego “karty zdrapki” to zły pomysł?” https://niebezpiecznik.pl/post/autoryzacja-mobilna-aplikacja-bank-przelewy/

Gosia
1 rok temu

Samo oświadczenie klienta, że przelew był nieautoryzowany miałoby wystarczyć żeby bank mu w ciągu 1 dnia zwrócił równowartość? I to mimo, że przelew został wykonany z użyciem prawidłowego loginu, hasła i kodu z SMS? Niech zwracają, ale dopiero gdy zostanie udowodnione, że to było faktycznie nieautoryzowane, a nie na czyjeś piękne oczy. Przecież to byłaby zachęta dla złodziei, żeby ukraść raz, reklamować i następnego dnia znowu ukraść drugie tyle.

Adam
1 rok temu

W Idea banku zachęcają do instalowania „IBM Trusteer Rapport”. Czy ktoś wie czy z tego programu jest więcej pożytku czy dodatkowe ryzyko ?
W internecie można znaleźć skrajne opinie, tzn. w niektórych bankach zagranicznych klienci wręcz muszą mieć to coś zainstalowane żeby móc się logować do bankowości internetowej ale jest też wiele artykułów w których chyba eksperci obnażają krytyczne luki w tym oprogramowaniu. Również czasami prawnicy coś piszą, że sposób działania i przechowywania danych przez ten program jest nielegalny.

Admin
1 rok temu
Reply to  Adam
Fabian
1 rok temu
Reply to  Adam

Więcej banków oferuje obecnie tę aplikację IBM.
Kilka lat temu skorzystałem z propozycji Eurobanku, który chyba pierwszy ją zalecał i zainstalowałem program na komputerze stacjonarnym. Niestety, ubocznym objawem działania IBM TR stało się wyraźne spowolnienie pracy komputera bowiem aplikacja monitorowała wszystkie uruchamiane procesy. Komputer zaczął na tyle pracować wolniej, że usiłowałem zrezygnować z tej aplikacji. Jednak nie było takie proste. Program był mocno zabezpieczony przed odinstalowaniem (prawdopodobna działała zaimplementowana przez producenta ochrona przed próbami usunięcia go przez złośliwe oprogramowanie), że skończyło się ponowną instalacją windowsów.
Nie pamiętam już nazwy tego banku, ale był też taki, który nie polecał tej aplikacji.

Admin
1 rok temu
Reply to  Fabian

Dzięki za spostrzeżenia!

anonymous
1 rok temu

„Jeśli bank się nie wyrobi w wyznaczonym czasie, to zgodnie z prawem reklamację uznaje się jako rozpatrzoną po myśli klienta.” I co dalej robić? Dwukrotnie banksterzy zapomnieli o mojej reklamacji a straszenie ich sądami, komornikami i samcikami nic nie dało.

Admin
1 rok temu
Reply to  anonymous

Jak straszenie samcikami nic nie dało to proszę o kontakt na maciej.samcik@subiektywnieofinansach.pl, postraszymy tak, żeby było naprawdę straaaaasznie 😉

Czesław
3 miesięcy temu

Dzień Dobry, na jakiej podstawie prawnej reklamacja trwa 15 dni? W ustawie i rozpatrywaniu reklamacji w art. 6 jest 30 dni…

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss top-search top-menu