Starsza pani dała się nabrać na wizję fałszywej „inwestycji” i złodzieje ukradli jej z konta pieniądze. Sąd uznał, że to nie było rażące niedbalstwo

Dała się nabrać na fałszywą „inwestycję” z Facebooka. Sąd uznał: to nie było rażące niedbalstwo. Odkąd banki udostępniły nam możliwość zdalnego zarządzania pieniędzmi – głównie za pośrednictwem aplikacji mobilnych i bankowości elektronicznej – trwa spór o to, czy powinny również brać odpowiedzialność za większe ryzyko naszych, klientów błędów. Niedawny wyrok sądu, dzięki któremu okradziona klientka – mimo swojej nieostrożności – odzyskała 19 000 zł, daje nadzieję na to, że banki zaczną się bardziej poczuwać do wspomagania nas w pilnowaniu pieniędzy. Choć zapewne będą niemiłe skutki uboczne

O tym wyroku być może mogliście przeczytać już w niektórych portalach informacyjnych, bo pod koniec czerwca pochwalił się nim Rzecznik Finansowy. To on, w imieniu starszej pani, 85-letniej klientki, wytoczył proces bankowi, który odrzucił reklamację dotyczącą nieautoryzowanych płatności. Postanowiłem poczekać z opisaniem tej sprawy do momentu, gdy będę miał w ręku uzasadnienie wyroku, bo to ono jest tu najważniejsze.

Do tej pory bowiem tego typu sprawy były traktowane jako z góry przegrane. Klientka sama – dając się zwieść socjologicznym sztuczkom – udostępniła przestępcom dane do logowania na swoje konto oraz ułatwiła im dostanie się do jej telefonu. Złodzieje mieli wszystkie dane, by zrealizować transakcje na koncie klientki i zrobili to. Z punktu widzenia banku to były autoryzowane transakcje.

Wielokrotnie zgłaszali się do mnie czytelnicy z podobnymi sprawami. Przeważnie nie byłem w stanie nic polubownie (ani za pomocą szantażu emocjonalnego, do którego też czasem się posuwam – bankowcy to znają…) załatwić. Banki w takich sprawach są twarde, jak skała: skoro klient udostępnił (albo dopuścił do przejęcia) wszystkie dane do logowania, to on ponosi pełną odpowiedzialność za transakcję. I koniec pieśni.

I nie działają na bankowców argumenty, iż to oni postawili technologiczną „bramę”, która niesie dla klientów nowe ryzyka. Oczywiście, nie ma obowiązku korzystania z bankowości elektronicznej lub mobilnej. Ale skoro bank daje takie narzędzie, to powinien w jakimś stopniu współodpowiadać za ryzyka z tym związane. I tutaj dochodzimy do clue sprawy. Bo banki współodpowiadać nie mają ochoty.

Czytaj o skandalicznej bezczynności banku: Głupia sytuacja? Gdy ktoś chce ukraść ci pieniądze z karty, a bank ci o tym nie powie. Po co miałby mówić? Bo w końcu złodziejowi się uda

Czytaj też: Klikasz w podesłany przez nieznajomego link i… tracisz wszystkie pieniądze z konta. Banki spychają z siebie 100% odpowiedzialności. Czy to fair?

Sąd: to nie było rażące niedbalstwo. Starsza pani nie miała szans

Sądy – zarówno pierwszej, jak i drugiej instancji – uznały bowiem, że w tym konkretnym przypadku postępowanie klientki banku (przypomnijmy, starszej pani, co mogło nie być bez znaczenia) nie stanowiło rażącego niedbalstwa, a bank powinien wykryć niestandardowe transakcje i potraktować je co najmniej jako podejrzane, a więc zatrzymać.

Wyrok Sądu Okręgowego dla Warszawy chyba trzeba potraktować jako istotny precedens pokazujący, jak sądy zmieniają pogląd, badając kwestie winy klienta (i winy banku) w przypadku wykorzystania zdalnego dostępu oraz braku pełnej kontroli klienta (oraz też banku) nad transakcjami bankowymi mimo zastosowania zabezpieczeń, takich jak kody SMS.

To był złożony atak socjotechniczny ze strony profesjonalnych oszustów podszywających się pod brokera inwestycyjnego. Poszkodowana, będąc osobą starszą, została wprowadzona w błąd przez oszustów, którzy nawiązali z nią kontakt podając się za przedstawicieli legalnej firmy brokerskiej. W trakcie kontaktu kobieta:

>>> Udostępniła dane swojego dowodu osobistego,

>>> Zainstalowała na swoim komputerze oprogramowanie do zdalnego pulpitu (umożliwiające przestępcom pełną kontrolę nad urządzeniem),

>>> Dostarczyła oszustom dane do logowania do swojego konta bankowego.

W efekcie ktoś zalogował się na jej konto bankowe i dokonał nieautoryzowanej transakcji, czyli wyprowadził pieniądze. Straty wyniosły 19 000 zł. Bank zablokował kolejne próby wypłat, ale pieniądze ze spornego przelewu już zostały skradzione.

Wydawałoby się, że skoro złodzieje dostali na złotej tacy wszystkie dane pozwalające wyprowadzić pieniądze, to klientka nie ma szans na ich odzyskanie od banku. To tak, jakby dała komuś klucze do swojego mieszkania i później domagała się odszkodowania za utracone wskutek kradzieży przedmioty. Inna sprawa, że coraz więcej polis ubezpieczenia mieszkania to tzw. polisy all risk (w nich nawet rażące niedbalstwo nie ma znaczenia).

Otworzyła złodziejom drzwi. Sąd uznał, że bank mógł zrobić więcej

W tym przypadku Sąd Rejonowy, a następnie Sąd Okręgowy, uznały, że klientka działała w dobrej wierze i była ofiarą wyrafinowanego oszustwa. Kluczowe argumenty sądu to:

>>> Brak rażącego niedbalstwa ze strony klientki — mimo że udostępniła dane i zainstalowała oprogramowanie, było to efektem zmanipulowania przez przestępców przy użyciu metod socjotechnicznych, co istotnie ograniczyło jej zdolność do obiektywnej oceny sytuacji.

>>> Profesjonalizm i zorganizowanie działania oszustów — prowadzone działania manipulacyjne włączyły m.in. przekierowanie klientki na fałszywą stronę internetową, przez co trudno wymagać od osoby w jej wieku samodzielnej weryfikacji prawdziwości usługodawcy.

>>> Niewystarczająca reakcja banku na nietypowe operacje — bank zarejestrował podejrzane zdarzenia (likwidacja lokaty, dodanie nowego odbiorcy, wysoki zlecony przelew), ale nie podjął wystarczających kroków weryfikacyjnych przed realizacją transakcji.

>>> Autoryzacja za pomocą kodu SMS jako czynnik nie przesądzający o zgodzie klienta na transakcję — sąd podkreślił, że kod SMS został przechwycony przez oszustów dzięki zdalnemu dostępowi i klientka nie miała rzeczywistej kontroli nad procesem wykonania przelewu.

Brak umyślnego działania ani rażącego niedbalstwa klientki (plus jej ograniczona wiedza techniczna), brak reakcji banku na podejrzane transakcje i „niedecydujące” znaczenie SMS-a jako elementu potwierdzającego, że to klientka zleca transakcję – to najważniejsze elementy, które mogą wyznaczyć nową linię orzeczniczą i zmusić banki do bardziej uważnego przyglądania się transakcjom na naszych rachunkach.

Sąd uznał, że bank nie dopełnił należytej staranności mimo posiadania przesłanek do podjęcia dodatkowej weryfikacji, a klientka powinna zostać chroniona przed skutkami nieautoryzowanych transakcji. Sąd wskazał, że:

>>> Nie wystarczy samo użycie bezpieczeństwa technicznego (np. kodów SMS), jeśli klient nie miał faktycznej kontroli nad operacją – bank musi się upewnić (albo przynajmniej udowodnić, że dołożył wszelkich starań, żeby się upewnić), że transakcja nie tylko jest autoryzowana, ale jest autoryzowana przez klienta.

>>> Wyrafinowane metody oszustw socjotechnicznych mogą wykluczać przypisanie klientowi rażącego niedbalstwa. Banki mają obowiązek aktywnie monitorować i reagować na nietypowe transakcje, nie mogą przesyłać odpowiedzialności wyłącznie na klienta. To oznacza, że banki nie mogą już w takich sytuacjach automatycznie powoływać się na rażące niedbalstwo klienta. To już nie zadziała w każdym przypadku.

Co oznacza nowe spojrzenie sądu na „rażące niedbalstwo”?

To może być kolejny wyrok, który znacznie wzmacnia ochronę konsumentów przed stratami finansowymi wynikającymi z brutalnej cyberprzestępczości opartej na socjotechnice. Bank, mimo sygnałów alarmowych, nie zatrzymał kradzieży pieniędzy (przynajmniej w pierwszym przelewie, bo potem już, zdaje się, kolejne przelewy zatrzymał). Sądom już zdarzało się przyjmować podobny punkt widzenia.

Czytaj o tym tutaj: Klientka banku padła ofiarą phishingu. Złodzieje wyjęli jej z konta ponad 90 000 zł. Sąd dał się przekonać, że to była… wina banku

I to wystarczyło. Klientka musiała udowodnić – z pomocą Rzecznika Finansowego – że nie dopuściła się szczególnego niedbalstwa. Owszem, dała sobie „ukraść klucze”, ale to nie przerzuca na nią odpowiedzialności. Biorąc pod uwagę, ile jest w sieci ogłoszeń fałszywych inwestycji i jak wiele osób daje się nabrać na wizję szybkiego zarobku z „gwarantowanej inwestycji” – ten wyrok jest niezwykle istotną „zdobyczą”.

Jeśli banki wezmą go pod uwagę w swoich działaniach ochronnych, to negatywnym skutkiem ubocznym może być częstsze wstrzymywanie prawidłowych, aczkolwiek nietypowych płatności lub przelewów. Banki będą chciały kontaktować się z klientami i potwierdzać, że ci klienci rzeczywiście pragną zawrzeć daną transakcję, która może być niezgodna z ich profilem „narysowanym” przez bank.

Nota bene ten wyrok rzuca też nowe światło na innego rodzaju „przewinienia” firm finansowych. Ostatnio dość głośno było o kilku przypadkach włamań złodziei na konta klientów platformy inwestycyjnej XTB. Nie byli oni w stanie ukraść pieniędzy (bo z tego konta można przelać pieniądze tylko na rachunek bankowy zdefiniowany przy zakładaniu konta), ale narobili szkód i wygenerowali straty (przy wysublimowanych strategiach mogli też z użyciem pieniędzy ofiar sami zarobić pieniądze).

Problem polegał na tym, że XTB do tej pory nie wymuszało na klientach stosowania podwójnego uwierzytelniania, czyli logowanie przebiegało tylko poprzez podanie loginu i hasła. Można było zdefiniować sobie dodatkowo konieczność podania SMS-a przesłanego przez platformę, ale żadna z ofiar tego rozwiązania nie stosowała. Ostatnio platforma XTB informowała, że pokryje z własnego budżetu straty klientów. Sądzę, że w tym przypadku też uznano, że skoro dostęp do platformy nie był „przymusowo” zabezpieczony podwójnym uwierzytelnianiem, to mimo wszystko nie klient powinien odpowiadać za negatywne konsekwencje z tego wynikające.

Czasem czujność bankowca może uratować sytuację

Bank Pocztowy dziś pochwalił się, że pracownicy jego oddziału w Sanoku udaremnili próbę wyłudzenia 10 000 zł identyczną metodą „na inwestycję”. 78-letnia mieszkanka miasta, przekonana wizją szybkiego zysku, chciała przesłać pieniądze przez platformę MoneyGram na konto w Gruzji.

Bankowcy opowiadają w komunikacie dla mediów, że mieszkanka Sanoka nawiązała kontakt z osobami podającymi się za doradców inwestycyjnych, które przekonały ją do założenia konta na stronie przypominającej platformę inwestycyjną. Kobieta obserwowała tam symulowane zyski, a dla podtrzymania wiarygodności oszuści umożliwili jej wypłatę 11 euro. Zachęcona rzekomymi sukcesami, seniorka postanowiła przekazać kolejne 10 000 zł.

Uratowało ją to, że w tym celu udała się do oddziału Banku Pocztowego, a nie tylko do bankowości internetowej lub mobilnej. Starsza pani chciała zrealizować międzynarodowy przelew, aby jak najszybciej zainwestować pieniądze.

„Realizujący zlecenie nasz doradca dopytał kim jest odbiorca tak dużej kwoty. W odpowiedzi usłyszał, że jest to księgowa z giełdy. Okazało się, że nie była to pierwsza wpłata kobiety – wcześniej przekazała już online ok. 7 000 zł. Strona, na którą się logowała, miała kolumbijską domenę, a jej rachunki bankowe były prowadzone za granicą. Aby powstrzymać dalsze działania oszustów, pracownicy wezwali policję”

Fajnie, że pracownicy byli czujni, ale ciekaw jestem czy bank zachowałby tyle zdrowej podejrzliwości gdyby starsza pani zlecała te przelewy przez internet… Nie mam przekonania, że tak by było, zwłaszcza, że kwota nie była bardzo wysoka – zamiast MoneyGram mógł zostać użyty zwykły przelew zagraniczny…

Czytaj też: Pani Eugenia płaciła za usługi, których nie zamówiła. Bo ktoś się zalogował na jej konto i zmienił dane. Jak to możliwe? Wszystko „dla wygody” klientki

Czytaj też: Telefon z akcentem, czyli jak oszuści znad Dniepru naciągają klientów polskich banków. Ukraińskie przestępcze call-centers to już plaga, ostrzegam!

Czytaj też: Jak zadbać o bezpieczeństwo dziecka w internecie? Pięć metod wyłudzania danych i pieniędzy od nastolatków. I pięć „odtrutek”

———————————-

WIĘCEJ O CYBERBEZPIECZEŃSTWIE:

———————————-

ZAPISZ SIĘ NA NASZE NEWSLETTERY:

>>> W każdy weekend sam Samcik podsumowuje tydzień wokół Twojego portfela.  Co wydarzenia ostatnich dni oznaczają dla Twoich pieniędzy? Jakie powinieneś wyciągnąć wnioski dla oszczędności? Kliknij i się zapisz.

>>> Newsletter „Subiektywnie o Świ(e)cie i Technologiach” będziesz dostawać na swoją skrzynkę e-mail w każdy czwartek bladym świtem. Będzie to podsumowanie najważniejszych rzeczy, o których musisz wiedzieć ze świata wielkich finansów, banków centralnych, najpotężniejszych korporacji oraz nowych technologii. Kliknij i się zapisz.

———————————-

SPRAWDŹ SAMCIKOWE RANKINGI BANKÓW:

Zastanawiasz się, co zrobić z pieniędzmi? W którym banku jest najwyższe oprocentowanie pieniędzy na długo, a w którym na krótko? Który najlepiej zapłaci za nowe środki, a który „w standardzie”? Sprawdź „Okazjomat Samcikowy” – to aktualizowane na bieżąco rankingi lokat, kont oszczędnościowych, a także kont osobistych, rachunków firmowych i kart kredytowych. Wszystkie tabele znajdziesz w zakładce „Rankingi” w „Subiektywnie o Finansach”.

——————————-

POSŁUCHAJ „FINANSOWYCH SENSACJI TYGODNIA”:

W każdą środę publikujemy kolejny odcinek podcastu „Finansowe Sensacje Tygodnia”, w którym opowiadamy o sprawach wokół Waszych portfeli, które nas poruszyły, wkurzyły albo zmierzwiły. Albo rozmawiamy z ekspertami o ważnych sprawach dla naszych portfeli. Podcast do słuchania na Spofity, w Apple Podcast, Google Podcast i na kilku innych platformach z podcastami. A ostatnio w „Finansowych Sensacjach Tygodnia” było o…

———————————-

ZOBACZ EXPRESS FINANSOWY I ROZMOWY O PIENIĄDZACH:

„Subiektywnie o Finansach” jest też na Youtubie. Raz w tygodniu duża rozmowa, a poza tym komentarze i wideofelietony poświęcone Twoim pieniądzom oraz poradniki i zapisy edukacyjnych webinarów. Koniecznie subskrybuj kanał „Subiektywnie o Finansach” na platformie Youtube

zdjęcie tytułowe: Pixabay, Canva