18 czerwca 2019

Złodzieje ogołocili twoje konto? Bank musi ci oddać pieniądze następnego dnia. Jest jeden wyjątek, który niestety stał się regułą

Rzecznik Finansowy z niepokojem obserwuje postępowanie banków w przypadku kradzieży pieniędzy z rachunku klienta bez jego wiedzy. Zgodnie z prawem, jeśli dojdzie do tzw. nieautoryzowanej transakcji, banki powinny zwrócić klientowi pieniądze najpóźniej do końca następnego dnia roboczego. A dopiero potem badać kto zawinił i czy klient przypadkiem nie był rażąco nieostrożny. Jak jest w praktyce?

Na początek trzy sprawy, które trafiły na biurka prawników Biura Rzecznika Finansowego. Historia nr 1. Na lotnisku do poszkodowanego podszedł obcy mężczyzna prosząc o pożyczenie na chwilę telefonu, żeby mógł zadzwonić do bliskich, bo właśnie został okradziony. Ofiara się zgodziła, bo przecież w sytuacjach awaryjnych trzeba sobie pomagać. Prawdopodobnie wtedy doszło do zainfekowania telefonu złośliwym oprogramowaniem.

Po jakimś czasie zainstalowane przez przestępców oprogramowanie wymusiło fikcyjną „aktualizację systemu operacyjnego” telefonu. Dzięki niej przestępcy uzyskali zdalny dostęp do smartfona ofiary, za pomocą którego m.in. autoryzowała ona przelewy bankowe. Zalogowali się na konto (musieli więc wcześniej wykraść też login i hasło) oraz zlecili przelew wszystkich pieniędzy, jakie były na koncie. Dodatkowo zaciągnęli kredyty na kwotę 13.600 zł. Wszystko autoryzowali SMS-ami, które przechwytywali z telefonu ofiary.

Cała historia trwała około godziny. Oszuści wykonali pięć przelewów na 39.000 zł. Na koniec aplikacja przywróciła ustawienia fabryczne telefonu, niszcząc w ten sposób ślady przestępstwa.

Warto przeczytać też: Pamiętacie kradzieże pieniędzy z naszych kont bankowych „na duplikat karty SIM”? Są dwie wiadomości: dobra i zła

Przeczytaj też: Imię i nazwisko, PESEL, dowód osobisty, adres zamieszkania, wizerunek… Czym jest kradzież tożsamości? I jak się przed nią obronić?

Historia nr 2. Jedna z klientek banku nagle straciła z konta blisko 6000 zł, a jej kartę kredytową obciążono wypłatami na łączną kwotę 17.700 zł. Klientka przekonywała, że w czasie, kiedy doszło do włamania na jej konto, była w pracy i nie dokonywała żadnych transakcji. Nie otrzymywała na swój telefon żadnych SMS-ów z hasłami.

Model tej kradzieży musiał być bardzo podobny, jak poprzeniej. Ktoś uzyskał login i hasło do konta, przejął zdalnie dostęp do jej smartfona i przechwytywał SMS-y autoryzacyjne do przelewów, które wykonywał. Nie można też wykluczyć, że wystarczyło przejęcie dostępu do smartfona i bankowej aplikacji mobilnej (choć to mało prawdopodobne, bo banki mocno ograniczają limity wartości transakcji, które można zlecić i wykonać wyłącznie za pomocą smartfona).

Historia nr 3. Klient po zalogowaniu do serwisu transakcyjnego zauważył, że ktoś w jego imieniu zawarł umowę pożyczki i wykonał dyspozycję przelewu. Pożyczka opiewała na blisko 18.000 zł. Stwierdził też, że przy kolejnych logowaniach do konta zostały zmienione limity wypłat dziennych i miesięcznych. Ostatecznie wytransferowano z konta prawie 16.000 zł. Ofiara nie ma pojęcia co się stało, ale sprawa musiała wyglądać podobnie, jak w dwóch powyższych przypadkach.

Nieautoryzowana transakcja, czyli… kradzież?

Opisane wyłudzenia pieniędzy łączy to, że były nieautoryzowanymi transakcjami, a więc doszło do nich bez wiedzy i woli klienta. Nieautoryzowana transakcja może dotyczyć kradzieży pieniędzy z rachunku bankowego dostępnego przez internet czy obciążenia konta karty kredytowej lub debetowej.

W pierwszym kwartale 2019 r. do Rzecznika Finansowego trafiły aż 83 wnioski o pomoc w odzyskaniu pieniędzy. To dokładnie tyle samo, co w całym 2016 r. W 2018 r. wniosków o interwencję w podobnych sprawach było 246, czyli o 70% więcej niż w 2017 r. Te liczby nie obejmują pytań telefonicznych lub e-mailowych od konsumentów o to, jak radzić sobie z tym problemem.

Stali czytelnicy „Subiektywnie o finansach” zapewne dobrze wiedzą, że o problemie nieautoryzowanych transakcji płatniczych sporo można poczytać na naszych „łamach”. Złodzieje próbują nas okraść na najróżniejsze sposoby (zwykle wyłudzają loginy i hasła oraz SMS-y autoryzacyjne), a najbardziej skutecznym – choć dopiero wprowadzanym w polskich bankach – sposobem na ukrócenie ich starań jest mobilna autoryzacja transakcji. A więc potwierdzanie przelewów w aplikacji mobilnej banku, a nie poprzez SMS autoryzacyjny, który można zdalnie przejąć.

Przeczytaj też: W SkyCash jest już nowe ubezpieczenie: od kradzieży portfela, torebki lub smartfona z zaparkowanego samochodu. Ile kosztuje?

Przeczytaj też: Zastrzeżenie kredytowe, czyli wystarczy jedno kliknięcie i nikt nie wyłudzi kredytu na twoje nazwisko. Dlaczego banki nie lubią tej usługi?

Zasada D+1 i jeden wyjątek

Rzecznik Finansowy – na podstawie trafiających do niego spraw – stwierdza wprost: banki ignorują wytyczne wynikające z unijnych dyrektyw i polskiego prawa, przerzucając na klientów z automatu całą odpowiedzialność za działania złodziei, choć te są czasem bardzo wyrafinowane i przeciętnemu konsumentowi trudno się przed nimi ochronić. Nawet gdyby się okazało, że klient zachował się rażąco niedbale i beztrosko – powinien najpierw otrzymać natychmiastowy zwrot pieniędzy, a dopiero potem – po udowodnieniu winy klienta – bank mógłby domagać się ich z powrotem

Banki – według Rzecznika Finansowego – łamią zasadę niezwłocznego zwrotu utraconych przez klientów środków w terminie określonym tzw. zasadą D+1, którą wprowadziła nowelizacja ustawy o usługach płatniczych (weszła w życie 20 czerwca 2018 r.). Oznacza ona, że pieniądze powinny wrócić na konto klienta „nie później niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji lub po dniu otrzymania zgłoszenia od klienta”.

Przeczytaj też: Wyłudzony na konto klienta kredyt sprzed 17 lat podstawą negatywnego wpisu w BIK. Co bank na to? „Może za 30 dni odpiszemy. Ale może nie”

Przeczytaj też: Nawet dwa lata odsiadki za produkcję i sprzedaż tzw. dokumentów kolekcjonerskich. To cios w wyłudzających kredyty. Ale czy skuteczny?

Izabela Dąbrowska-Antoniak, dyrektor wydziału klienta rynku bankowo-kapitałowego w biurze Rzecznika Finansowego, podkreśla, że jest tylko jeden wyjątek od tej zasady, z której niestety banki uczyniły regułę.

Banki nie muszą zwracać pieniędzy zgodnie z zasadą „D+1” tylko wtedy, jeśli mają uzasadnione i należycie udokumentowane podejrzenie próby oszustwa ze strony klienta. Czyli że to klient postanowił sam siebie okraść i dodatkowo żąda zwrotu pieniędzy. Co więcej, o takiej próbie „samokradzieży” bank powinien poinformować na piśmie organy ścigania. Izabela Dąbrowska-Antoniak:

„Intencją prawodawców było przerzucenie odpowiedzialności za nieautoryzowane transakcje płatnicze na dostawców usług płatniczych. Ma to służyć nie tylko zwiększeniu ochrony klienta, ale również większej presji wobec profesjonalnych uczestników rynku, by maksymalnie zadbali o procedury bezpieczeństwa i ochronę transakcji. Wdrożenie rozwiązań, które zapewniają szybki zwrot utraconych środków zgodnie z zasadą D+1, zabezpiecza klientów również przed ryzykiem pozostawania przez dłuższy czas bez środków do życia. Niewątpliwie wstrzymanie się przez bank ze zwrotem środków powinno być działaniem wyjątkowym, a nie standardowym, jak ma to miejsce w dzisiejszej praktyce”

Banki zrzucają winę na niedbalstwo klientów

Zdaniem Rzecznika Finansowego, w przypadku nieautoryzowanej transakcji, bank powinien niezwłocznie zwrócić klientowi pieniądze, a dopiero potem wykazać ewentualną jego umyślną winę i zażądać zwrotu pieniędzy. Jeśli klient nie odda pieniędzy po dobroci, może pozwać go do sądu. W praktyce – uważa Rzecznik Finansowy – jest odwrotnie. Banki nie zwracają pieniędzy i to klient musi o nie walczyć, pisząc wnioski o interwencje na sprawie sądowej kończąc.

„Odmowa zwrotu następuje najczęściej tylko w oparciu o uprawdopodobnienie pewnych faktów i okoliczności zmierzających do wykazania autoryzacji, winy, umyślnego działania czy rażącego niedbalstwa klienta. Tymczasem przepisy jasno mówią, że to na banku spoczywa ciężar udowodnienia tych okoliczności”

– dodaje Izabela Dąbrowska-Antoniak. Rzeczywiście: dopóki straty są przerzucona na klienta, to on musi udowadniać, że dochował należytej staranności. Gdyby bank automatycznie pokrył jego stratę, to jemu bardziej by zależało, by udowodnić winę klienta i uzyskać podstawę do ponownego obciążenia klienta.

Bezpieczeństwo kosztem szybkości?

Rzecznik Finansowy zwraca uwagę na to, że przestępcom coraz łatwiej jest przejąć kontrolę nad kontem ofiary i dokonywać na nim wszelkich zmian.

„Ustawione przez klienta limity, dotyczące na przykład liczby czy wartości przelewów dziennych, są łatwo zmieniane przez oszustów, jeśli tylko są one zbyt niskie, żeby opróżnić ze wszystkich środków konto klienta. W praktyce dają więc one złudne poczucie bezpieczeństwa”

– mówi Dąbrowska-Antoniak. Rzecznik Finansowy uważa wręcz, że banki powinny  rozważyć wprowadzenie rozwiązań poprawiających bezpieczeństwo nawet kosztem szybkości przeprowadzania transakcji.

A jeśli bank – mimo zgłoszonej nieautoryzowanej transakcji – nie zwróci pieniędzy? Rzecznik Finansowy radzi, by składać do banków reklamacje. Warto pamiętać, że od grudnia 2018 r. banki mają na odpowiedź 15 dni (wcześniej 30), a w skomplikowanych sytuacjach mogą przeciągnąć odpowiedź do 35 dni, ale o tym, że sprawa jest skomplikowana, muszą powiadomić klienta wcześniej. Jeśli bank się nie wyrobi w wyznaczonym czasie, to zgodnie z prawem reklamację uznaje się jako rozpatrzoną po myśli klienta.

Źródło zdjęcia: Pixabay.com

 

36
Dodaj komentarz

avatar
5 Comment threads
31 Thread replies
1 Followers
 
Most reacted comment
Hottest comment thread
14 Comment authors
MagdajohnnyJoannaAdamanonymous Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Grzesiek
Gość
Grzesiek

nieco „podoczny” ale ważny wątek- ilu z nas ma zainstalowanego antywirusa na telefonie? Niewielu. Dlaczego nie uważamy na smartfona tak samo jak na komputer?

Maciej Samcik
Admin

Bardzo dobre pytanie

Specjalista
Gość
Specjalista

Może dlatego, że antywirusy są nieskuteczne. To są często przestępstwa celowane i żaden antywirus nie da sobie rady.

Konrad Borowski
Gość
Konrad Borowski

To nie jest prawdą, większość użytkowników Androida korzysta z Google Play Protect i nawet o tym nie wie.

Grzesiek
Gość
Grzesiek

tyle że co jakiś czas (o czym informuje nawet sam google) okazuje się że aplikacje w ich sklepie maja wirusa albo celem aplikacji jest np zbieranie danych itp itd.
@ Specjalista- co do skuteczności antywirów- uważasz w takim razie że nie warto ich używać w ogóle?

Adam
Gość
Adam

Wielu ekspertów twierdzi, że nie ma czegoś takiego jak antywirus na komórki. Są tylko programy które próbują udawać że są antywirusami. Chwila Googlowania i można znaleźć na ten temat setki artykułów.
Na przykład takie

https://www.independent.co.uk/life-style/gadgets-and-tech/news/android-antivirus-app-fake-google-play-a8827816.html

https://www.extremetech.com/computing/104827-android-antivirus-apps-are-useless-heres-what-to-do-instead

https://www.wired.com/story/android-antivirus-apps-bad-fake/

zeneusz
Gość
zeneusz

antywirus to żadne zabezpieczenie

anonymous
Gość
anonymous

Jakiego znasz antywirusa na telefon nokia 3310?

Olo
Gość
Olo

Dlaczego bank ma zwracać kasę jeżeli klient jest na tyle głupi, że nie potrafi zabezpieczyć swoich danych lub bezmyślnie je udostępnia? Co więcej bank powinien takiemu klientowi wypowiedzieć umowę – jednego głupiego klienta mniej.

Maciej Samcik
Admin

No, nie wiem. Czasem klienci rzeczywiście fatalnie się zachowują, ale też złodzieje są coraz bardziej sprytni, zaś w bankach są dziury – np. nie trzeba autoryzować wewnętrznych przelewów między własnymi kontami – oraz słabo działają systemy antyfraudowe. Przeważnie nie jest tak, że w przypadku kradzieży klient był głupi, a bank działał perfekcyjnie.

Olo
Gość
Olo

Może Pan wyjaśnić co miał na myśli mówiąc słabo działające systemy antyfraudowe w odniesieniu do wspomnianych prze Pana przykładów fraudów?
W przypadkach, które Pan opisuje winę ponosi tylko i wyłącznie klient – zazwyczaj poprzez bezmyślne udostępnienie swoich danych (dane osobowe, dane do logowania, dane karty, lub telefon tak jak w przykładze).
Proszę zatem o opinię, dlaczego bank ma ponosić odpowiedzialność finansową w takich przypadkach?

anonymous
Gość
anonymous

No właśnie jeden czy dwa artykuły wcześniej red. Samcik lub ktoś z ekipy de facto zachęca do niemal bezmyślnego udostępniania swoich danych – w taki sposób że red. ma ból zada o to że w przelewie nie potrzeba nic więcej niż prawidłowy numer rachunku.

Maciej Samcik
Admin

No nie, raczej nie zachęcamy do robienia czegokolwiek bezmyślnie

anonymous
Gość
anonymous

Od kiedy to dziurą w bankowości jest to że nie ma autoryzacji wewnętrznych przelewów między własnymi kontami? To niepoważne wymagać autoryzowania czynności polegającej na przekładaniu pieniędzy z prawej kieszeni do lewej.

Maciej Samcik
Admin

W zasadzie byłbym skłonny się zgodzić, ale zbyt dużo się nasłuchałem o okradzionych ludziach, a zrobić jeden „lewy” przelew i np. pięć to z punktu widzenia złodzieja dość duża różnica w poziomie ryzyka

Olo
Gość
Olo

Panie Samcik nie znasz się Pan na bankowości, a tym bardziej na cyberbezpieczeństwie i piszesz bzdury. Niestety przeciętny czytelnik też się nie zna i wierzy w to co Pan pisze.
Proponuje zapisać się na jakiś kurs w tym temacie, a następnie napisać taki artykuł jeszcze raz od A do Z . Pozdrawiam

Maciej Samcik
Admin

Aha. A tak konkretnie? ;-)))

Olo
Gość
Olo

Nie udzielam darmowych szkoleń, proszę się doszkolić na własną rękę.
Jeżeli uważa Pan że przelewy między własnymi rachunkami są na tyle niebezpieczne żeby trzeba było je autoryzować – to właśnie powód dlaczego powinien się Pan doszkolić 🙂

Maciej Samcik
Admin

Ano właśnie bywają niebezpieczne. Nie życzę Panu, żeby się Pan przekonał na własnej skórze 😉

Olo
Gość
Olo

Zatem proszę o wyjaśnienie, dlaczego Pana zdaniem są niebezpieczne?

Maciej Samcik
Admin

Już tłumaczyłem

Magda
Gość
Magda

Brak argumentów?? Śmieszne ;)))

Grzesiek
Gość
Grzesiek

z tym bywa różnie, jest masa naiwnych ale nie wrzuciłbym wszystkich do jednego worka.

zeneusz
Gość
zeneusz

nie każdy musi być specjalistą z bezpieczeństwa it, ale prawie każdy musi mieć konto w banku. do tego klienci banków są zmuszani przez banki do niektórych rozwiązań. dlaczego wycofano papierowe kody jednorazowe?

Olo
Gość
Olo

Prosta przyczyna – dlatego, że ludzie gubili te kartki z kodami. Poza tym czy bezpiecznie jest trzymać w żaden sposób nie zaszyfrowane kody do potwierdzania?

Adam
Gość
Adam

Mądraliński a czemu wycofano tokeny sprzętowe??? Ponadto skoro banki ułatwiają dostęp do okradania klienta to niech sami „sponsorują” ten bajzel który tym wywołują. Proste jak budowa cepa!!!

Joanna
Gość
Joanna

Token sprzętowy ma Toyota Bank. Proszę uprzejmie. Idealny bank dla oszczedzajacych, na myśl o logowaniu się tam mam drgawki i wcale tego nie robię.

Olo
Gość
Olo

Adamie jeżeli dążysz do prostoty to trzymaj pieniążki w skarpecie.

johnny
Gość
johnny

tu jest odpowiedz „Dlaczego “karty zdrapki” to zły pomysł?” https://niebezpiecznik.pl/post/autoryzacja-mobilna-aplikacja-bank-przelewy/

Gosia
Gość
Gosia

Samo oświadczenie klienta, że przelew był nieautoryzowany miałoby wystarczyć żeby bank mu w ciągu 1 dnia zwrócił równowartość? I to mimo, że przelew został wykonany z użyciem prawidłowego loginu, hasła i kodu z SMS? Niech zwracają, ale dopiero gdy zostanie udowodnione, że to było faktycznie nieautoryzowane, a nie na czyjeś piękne oczy. Przecież to byłaby zachęta dla złodziei, żeby ukraść raz, reklamować i następnego dnia znowu ukraść drugie tyle.

Adam
Gość
Adam

W Idea banku zachęcają do instalowania „IBM Trusteer Rapport”. Czy ktoś wie czy z tego programu jest więcej pożytku czy dodatkowe ryzyko ?
W internecie można znaleźć skrajne opinie, tzn. w niektórych bankach zagranicznych klienci wręcz muszą mieć to coś zainstalowane żeby móc się logować do bankowości internetowej ale jest też wiele artykułów w których chyba eksperci obnażają krytyczne luki w tym oprogramowaniu. Również czasami prawnicy coś piszą, że sposób działania i przechowywania danych przez ten program jest nielegalny.

Maciej Samcik
Admin
Fabian
Gość
Fabian

Więcej banków oferuje obecnie tę aplikację IBM.
Kilka lat temu skorzystałem z propozycji Eurobanku, który chyba pierwszy ją zalecał i zainstalowałem program na komputerze stacjonarnym. Niestety, ubocznym objawem działania IBM TR stało się wyraźne spowolnienie pracy komputera bowiem aplikacja monitorowała wszystkie uruchamiane procesy. Komputer zaczął na tyle pracować wolniej, że usiłowałem zrezygnować z tej aplikacji. Jednak nie było takie proste. Program był mocno zabezpieczony przed odinstalowaniem (prawdopodobna działała zaimplementowana przez producenta ochrona przed próbami usunięcia go przez złośliwe oprogramowanie), że skończyło się ponowną instalacją windowsów.
Nie pamiętam już nazwy tego banku, ale był też taki, który nie polecał tej aplikacji.

Maciej Samcik
Admin

Dzięki za spostrzeżenia!

anonymous
Gość
anonymous

„Jeśli bank się nie wyrobi w wyznaczonym czasie, to zgodnie z prawem reklamację uznaje się jako rozpatrzoną po myśli klienta.” I co dalej robić? Dwukrotnie banksterzy zapomnieli o mojej reklamacji a straszenie ich sądami, komornikami i samcikami nic nie dało.

Maciej Samcik
Admin

Jak straszenie samcikami nic nie dało to proszę o kontakt na maciej.samcik@subiektywnieofinansach.pl, postraszymy tak, żeby było naprawdę straaaaasznie 😉

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij
social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin