Ciekawy wyrok z Poznania dotyczący ofiary phishingu. Klientka banku dała się nabrać i kliknęła fałszywy link prowadzący rzekomo do strony banku (a tak naprawdę do strony złodziei), podała tam dane logowania, następnie pozwoliła sparować konto z telefonem złodzieja za pomocą aplikacji mobilnej i straciła ponad 90 000 zł. Sąd mimo wszystko uznał, że bank powinien oddać jej pieniądze. Jak to możliwe?
Phishing to dzisiaj najpopularniejszy sposób okradania klientów banków. Ma różne odmiany, ale generalnie polega na tym, żeby wyłudzić nasze dane, a następnie skłonić nas do autoryzowania innej transakcji lub czynności, niż nam się wydaje, że zatwierdzamy. Przełamanie systemów bankowości elektronicznej jest trudne i kosztowne, socjotechniczne metody prowadzące do tego, byśmy sami podali złodziejowi klucz do naszych pieniędzy, działają znacznie lepiej.
- Zastanawialiście się kiedyś, ile śladu węglowego generuje Wasza firma? Warto wiedzieć, bo coraz częściej mogą Was o to pytać. Jak policzyć swój ślad? [POWERED BY BANK PEKAO]
- Na jaki procent założyć lokatę, żeby ochronić swoje pieniądze przed inflacją? Trzy kroki [POWERED BY RAISIN]
- Polska na ścieżce inwestycji, Europa na ścieżce konfrontacji. Dr Ernest Pytlarczyk o deglobalizacji [POWERED BY BANK PEKAO]
Pomiędzy bankowcami i konsumentami nieustannie trwa spór, którego treścią jest ustalenie granic odpowiedzialności banku i klienta za sytuację, w której z konta znikają pieniądze. Banki mówią: „jeśli dajesz złodziejowi klucz, to nie miej pretensji do jego producenta, że został użyty w przestępczym celu”. Klienci odpowiadają: „skoro banki chcą oszczędzać pieniądze i żądają od nas samoobsługi, to niech dbają o to, żebyśmy przy tej samoobsłudze byli stuprocentowo bezpieczni”.
Straciła 90 000 zł, bo myślała, że klika na stronie banku…
I właśnie na ustalaniu granicy odpowiedzialności opiera się sprawa, którą dziś chciałbym opisać. Poszkodowaną jest klientka jednego z banków, która straciła ponad 91 000 zł. Z tego niecałe 60 000 zł to były pieniądze znajdujące się na koncie klientki, a kolejne ponad 30 000 zł – kredyty zaciągnięte w jej imieniu. Mimo że transakcje odbywały się w nocy i miały niestandardowy charakter, bank uznał, że nie dzieje się nic niestandardowego, bo wszystkie transakcje były prawidłowo autoryzowane.
Z uzasadnienia orzeczenia poznańskiego Sądu Rejonowego (sprawa I C 209/22), w którym znalazłem dokładny opis nieszczęścia – które udostępnił mi reprezentujący klientkę mec. Jacek Szymański z kancelarii Szymański Wyjatek (dziękuję bardzo!) – wynika, że klientka na drodze do utraty pieniędzy ominęła co najmniej kilka check pointów. Wszystko zaczęło się od SMS-a, które dostała rzekomo od firmy energetycznej. Informacja była taka, że na koncie jest nieduża, kilkuzłotowa niedopłata. I że jeśli do następnego dnia nie zostanie wyrównana, energetycy odetną w mieszkaniu prąd.
Klientka rzeczywiście miała niedopłatę (nie wiadomo, czy przestępcy o tym wiedzieli, bo np. włamali jej się na e-mail i przeczytali jakiś monit, czy też strzelali na oślep), więc uznała SMS za autentyczny. Nie wzbudziło jej wątpliwości, że nadawcą SMS-a była rzekomo PGE, zaś klientka ma umowę z firmą Enea. Nie skontaktowała się z firmą Enea i nie potwierdziła, że ta rzeczywiście monituje o tych kilka złotych i że rzeczywiście istnieje zagrożenie wyłączeniem prądu.
Co gorsza, klientka kliknęła podany w SMS-ie link (nie wolno nigdy klikać żadnych linków) i została przeniesiona do czegoś, co przypominało bramkę płatności. Kliknęła widniejący tam logotyp jej banku i nastąpiło przekierowanie na stronę niemal identyczną ze stroną logowania do jej banku. Nie zgadzały się dwie rzeczy, których klientka nie zauważyła – przy adresie strony nie było zamkniętej kłódki (a więc strona nie była szyfrowana, a bankowe strony zawsze są), zaś sam adres nie miał nic wspólnego z nazwą jej banku – był zupełnie inny.
Na tej stronie klientka podała wszystkie informacje pozwalające na zalogowanie się do jej konta. Złodzieje natychmiast spróbowali zrobić kolejny krok, czyli przejąć kontrolę nad dostępem do aplikacji mobilnej banku, za pomocą której mogliby autoryzować transakcje wyprowadzające pieniądze z konta. W rzekomym formularzu płatności klientka została poproszona o kod pozwalający wszcząć procedurę parowania konta z nowym urządzeniem.
Złodzieje mieli już prawie wszystko. Do pełni szczęścia potrzebowali tylko jednego: żeby klientka się nie zorientowała, co się dzieje. A mogła, bo w ramach parowania konta z nowym telefonem na poprzedni dzwoni automat bankowy i podaje trzycyfrowy kod. Przy okazji informuje, że nie wolno go nikomu przekazywać. Klientka jednak wpisała go do formularza. Bank wysłał na jej telefon SMS z informacją, że „odpięła” telefon od konta i że jeśli nie miała takiej intencji, ma się natychmiast skontaktować z bankiem.
Telefon „wyczyszczony”, dowody zatarte
Kiedy następnego dnia okazało się, że konto jest wyczyszczone, spanikowana klientka najpierw zadzwoniła do banku (gdzie poradzono jej… przywrócić ustawienia telefonu do fabrycznych, co spowodowało utratę wszystkich danych, które mogły pomóc w śledztwie). Potem pobiegła na posterunek policji, by złożyć doniesienie o przestępstwie, gdzie również doradzono jej „wyczyszczenie” telefonu.
Policja wszczęła śledztwo i szybko ustaliła, że konta, na które zostały przelane pieniądze, należą do obywateli Uzbekistanu, Azerbejdżanu i Białorusi, a pod podanymi w bankach adresami nikt nie mieszka. Telefon, z którego klientka otrzymała SMS z informacją o rzekomej groźbie wyłączenia dostawy prądu, pochodził z numeru wcześniej zgłaszanego przez innych użytkowników jako podejrzany (co policja sprawdziła w swoich źródłach i na stronie infonumer.pl).
Klientka złożyła więc reklamację w banku, ale – jak się zapewne domyślacie – została ona odrzucona. Bank wyliczył aż dziewięć punktów, w których klientka naruszyła zasady bezpiecznego korzystania z konta i oferowanych jej przez bank narzędzi do zdalnego zawierania transakcji. Ponieważ historia połączeń i SMS-ów została z telefonu ofiary skasowana, to nie było jak ustalić, czy informacje z banku – o zmianie numeru sparowanego z kontem urządzenia – rzeczywiście do klientki dotarły.
Klientka – chwytając się ostatniej deski ratunku – wynajęła prawnika, który złożył w jej imieniu pozew w sądzie o zwrot skradzionych pieniędzy wraz z odsetkami. Sąd zebrał fakty i zeznania oraz powołał biegłego, który stwierdził, że żadne zabezpieczenia bankowe nie zostały przełamane. Ale ta ekspertyza nie miała znaczenia w sprawie, bo sąd zajął się inną rzeczą: ustaleniem, czy doszło do rażącego niedbalstwa klientki.
Bowiem prawo jest takie, że generalnie odpowiedzialność klienta za nieautoryzowane transakcje jest ograniczona do równowartości 50 euro, chyba że instytucja finansowa udowodni, że użytkownik doprowadził do nieautoryzowanej transakcji umyślnie lub właśnie wskutek rażącego niedbalstwa. Sąd szybko doszedł do wniosku, że o umyślnym doprowadzeniu do utraty pieniędzy nie ma mowy. No i też nie można powiedzieć, że transakcje były prawidłowo autoryzowane, bo wymaga to świadomej zgody klienta, a tutaj oczywiście jej nie było. Była zgoda złodzieja (transakcje były prawidłowo uwierzytelnione, ale nie autoryzowane).
Rażące niedbalstwo czy… nie?
„Rażące niedbalstwo” sąd zdefiniował jako coś bardzo bliskiego winie umyślnej („gdy stopień naganności postępowania drastycznie odbiega od modelu właściwego zachowania w danych warunkach”). Sąd uznał, że owszem, zaszło niedbalstwo, ale… nie rażące. Napisał w uzasadnieniu, że klientka posługiwała się platformą informatyczną, sprzętem oraz aplikacją mobilną aprobowaną przez bank. I że bank nie wymagał od niej żadnych dodatkowych zabezpieczeń poza tymi, które sam stworzył.
Sąd (nieco brawurowo) stwierdził w uzasadnieniu, że „powódka w swoim przekonaniu korzystała ze strony banku i działała w zaufaniu do wyświetlanych tam poleceń. Co więcej, identycznie jak ona postępowałby także każdy inny klient banku”.
No nie wiem, czy sędzia nie przesadził. Klikanie w link przesłany SMS-em? Podawanie danych do logowania w banku na stronie, która miała inny adres niż legalna strona bankowa (i nie była szyfrowana)? Wpisanie na tej stronie kodu, którego nie wolno nikomu przekazywać? Tak naprawdę zachowałby się każdy klient banku? Jeśli tak, to naprawdę czas zlikwidować bankowość elektroniczną, żebyśmy nie dawali już sobie robić krzywdy.
No dobra, w tym ostatnim punkcie można się kłócić, bo jeśli klientka myślała, że jest na stronie banku, to mogła nie uznawać, że przekazuje komuś kod, bo wpisywała go „na stronie banku”. Ale na końcu był SMS, który potwierdza, że klientka nie zapłaciła rachunku w firmie energetycznej, tylko zmieniła urządzenie sparowane ze swoim kontem bankowym. Sąd stwierdził jednak, że bank nie udowodnił, iż do klientki banku zostało wykonane automatyczne połączenie (czyli że to do niej, a nie do złodziei trafił głosowo przekazany „kod przepięcia aplikacji”).
Natomiast bank udowodnił, że do klientki trafił finalny SMS z informacją o tym, że jej urządzenie jest odpięte od konta. I że jeśli to nie ona je odpięła, to powinna natychmiast skontaktować się z bankiem. Sąd mimo wszystko stwierdził, że „okoliczności sprawy, w połączeniu z wyglądem strony internetowej usprawiedliwiały przekonanie powódki o działaniu zgodnie z poleceniami banku”. Sąd stwierdził, że powódce można postawić zarzut, że „niezbyt precyzyjnie weryfikowała komunikaty”. I że to była nienależyta staranność, ale nie w stopniu rażącym.
Sąd powiedział też, że wiedza o takich rzeczach jak odróżnianie fałszywych stron od prawdziwych jest wiedzą, którą dysponują profesjonaliści, a zwykły użytkownik zwykle nie zwraca uwagi na takie detale. I że „to bank powinien stworzyć bezpieczny system płatniczy eliminujący możliwość dostępu dla osób nieuprawnionych”. Z całą pewnością jest wielkim sukcesem mec. Szymańskiego, że przedstawił argumentację, która przekonała sąd do takiego spojrzenia. Skutkiem jest orzeczenie o zwrocie klientce ponad 90 000 zł, które zniknęły z konta.
Czytaj też: Google ułatwi korzystanie z passkeys. Początek końca haseł?
Straciła 90 000 zł, a bank się tylko przyglądał
Wyrok nie jest prawomocny, zobaczymy, czy się utrzyma, ale nie ulega wątpliwości, że jest kontrowersyjny. W tej sprawie klientka złamała wszystkie możliwe zasady i przekroczyła wszystkie czerwone linie, a mimo to sąd uznał, że to nie było rażące niedbalstwo. Ale z drugiej strony: może to sąd ma rację, gdy mówi, że skoro bank oferuje zdalny dostęp do konta, to ponosi pełną odpowiedzialność za to, żeby on był szczelny?
Gdyby przyjąć taką linię rozumowania, to banki zapewne musiałyby zrobić przegląd procedur i np. wprowadzić obowiązek osobistej wizyty w banku klienta, który chce zdefiniować lub zmienić urządzenie „przywiązane” do konta. Nie byłoby to wygodne ani szybkie, ale to jedyny sposób wykluczający możliwość oszustwa. Przynosisz telefon, do którego chcesz „przypiąć” konto, udowadniasz, że to Twój telefon i dopiero wtedy – w obecności pracownika banku – możesz dokonać nowego sparowania. Może taka przyszłość nas czeka?
W pierwszej chwili pomyślałem, że bank jest pokrzywdzony tym wyrokiem. Tyle nieostrożności, lekkomyślności w zachowaniu klientki (straciła 90 000 zł, ale zostawiła „dom” otwarty na oścież), a jednak to jej prawnik był górą. Z drugiej strony każda sytuacja, w której następują masowe, nocne transakcje przelewów, poprzedzone zaciąganiem kredytu w ciężar rachunku, powinny zapalać w banku czerwoną lampkę. Te przelewy nie powinny wyjść z konta klientki bez dodatkowej weryfikacji.
Pytanie, czy to by coś dało, skoro konto było już powiązane z nowym urządzeniem. Owszem, można wprowadzić obostrzenie polegające na tym, że w takich sytuacjach (transakcje przekraczające jakiś poziom) klient musi osobiście stawić się w banku i je potwierdzić. Ale obawiam się, że mielibyśmy setki i tysiące e-maili od wściekłych klientów, którym ogranicza się dostęp do pieniędzy.
Jak uważacie, czy powinniśmy zacząć iść do tyłu i część operacji uczynić możliwymi tylko w tradycyjny sposób (czyli osobiście), by utrudnić życie złodziejom? Albo zatrzymywać każdy potencjalnie podejrzany przelew i kazać klientowi go potwierdzać na kilka sposobów? A może jednak pozwolić nieostrożnym ludziom tracić setki tysięcy złotych w imię wygody wszystkich pozostałych, bardziej ostrożnych? W tym drugim przypadku wynik apelacji w omawianej sprawie byłby oczywisty. Klientka straciła 90 000 zł i to jest wyłącznie jej problem.
——————————-
ZAPISZ SIĘ NA NASZE NEWSLETTERY
>>> W każdy weekend sam Samcik podsumowuje tydzień wokół Twojego portfela. Co wydarzenia ostatnich dni oznaczają dla Twoich pieniędzy? Jakie powinieneś wyciągnąć wnioski dla oszczędności? Kliknij i się zapisz.
>>> Newsletter „Subiektywnie o Świ(e)cie i Technologiach” będziesz dostawać na swoją skrzynkę e-mail w każdy czwartek bladym świtem. Będzie to podsumowanie najważniejszych rzeczy, o których musisz wiedzieć ze świata wielkich finansów, banków centralnych, najpotężniejszych korporacji oraz nowych technologii. Kliknij i się zapisz.
——————————
zdjęcie tytułowe: Jan Tinneberg
