Ten artykuł czytasz w ramach bezpłatnego limitu

Jeszcze rok czy dwa lata temu sytuacja nieszczęśników, którym skradziono pieniądze z konta przez internet, była beznadziejna. Bank stwierdzał, że jego systemy bezpieczeństwa nie zostały naruszone, więc nie ponosi winy za straty klienta. Zaś transakcje, dzięki którym saldo rachunku trafiło do przestępców, zostały wykonane prawidłowo (login i hasło przy logowaniu do konta się zgadzały, podano też kod jednorazowy).

Jeśli sprawa trafiała do sądu, ten z reguły zgadzał się z bankiem. Niezależnie od tego, jaki był poziom zabezpieczeń oferowany przez bank – koszty kradzieży ponosił klient. „Bo on był nieostrożny” – orzekali sędziowie. Sądy nie uwzględniały tego, że złodzieje są coraz sprytniejsi i poziom zabezpieczeń, którym legitymuje się bank, też powinien mieć znaczenie dla podziału odpowiedzialności za kradzież pieniędzy z konta klienta.

Czytaj też: Ten przelew kosztował mojego czytelnika 40 tys. zł prowizji. Co bank na to?

Ale wygląda na to, że wreszcie doczekaliśmy się bardziej sprawiedliwego spojrzenia Temidy na sprawę pieniędzy wykradanych z naszych kont. Rok temu pisałem o pierwszym, odosobnionym jeszcze, wyroku na korzyść klienta (sąd uznał, że bank nie stosował metod monitorowania podejrzanych transakcji, więc niejako „pomógł” złodziejom). Zaś w ostatnim czasie były aż trzy wyroki, w których sędziowie stanęli po stronie okradzionego klienta.

Straciła 120 tys. zł, bo ktoś zmienił numer telefonu

Klientka jednego z banków odzyskała w sądzie 120 tys. zł, które złodzieje zabrali jej z rachunku osobistego. Kradzież wyglądała tak, że ktoś poznał login i hasło do konta, po czym spróbował wyprowadzić z niego pieniądze przez internet. Ponieważ mu się nie udało (klientka nie potwierdziła transakcji SMS-em autoryzacyjnym, bo żadnego przelewu nie zlecała), to złodziej cwaniak zadzwonił na infolinię – gdzie podał prawidłowy telekod i został prawidłowo zweryfikowany – po czym... zmienił numer telefonu, na który mają przychodzić SMS-y autoryzacyjne. Zanim klientka się zorientowała, pieniędzy nie było już na koncie.

Czytaj też: Uwaga na wyjątkowo podstępnego wirusa! Podszywa się pod... wyciąg

Oczywiście żadne systemy bezpieczeństwa w banku nie zostały naruszone. Klientka dostała nawet od banku SMS-a z informacją, że numer do kontaktów został zmieniony, ale. przeczytała go dopiero po kilku godzinach, gdy konto było już puste. Nie wiadomo, w jakich okolicznościach złodziej poznał login i hasło do konta oraz telekod, dzięki któremu skutecznie się skontaktował z infolinią. Na infolinii został zweryfikowany też pytaniami kontrolnymi (musiał więc wiedzieć sporo o ofierze, znać jej datę urodzenia czy np. nazwisko panieńskie matki, bo to tego typu pytania są zwykle zadawane na infolinii).

Sąd uznał, że kluczem jest odpowiedź na pytanie, czy klientka – ofiara kradzieży – dopuściła się „rażącego niedbalstwa”. Każdy regulamin rachunku bankowego opisuje, jak klient ma używać konta. I sąd przeanalizował te zasady krok po kroku. Doszedł do wniosku, że klientka logowała się do bankowości internetowej z domowego komputera osobistego (nie z jakiejś kawiarenki internetowej), że miała legalne i aktualizowane na bieżąco oprogramowanie (Windows i aktualny program antywirusowy).

Klientka zeznała też, że nie udostępniała nikomu haseł. Na podstawie tej wiedzy sąd stwierdził, że choć kasa zniknęła, to nie można być pewnym, że stało się to z powodu rażącego niedbalstwa klientki. Zwłaszcza że SMS o zmianie numeru kontaktowego przyszedł na jej komórkę już po tym, gdy z konta wyprowadzono kasę. Nawet gdyby przeczytała go natychmiast, a nie dopiero wieczorem, nic by to już nie dało.

Straciła 50 tys. zł, bo ktoś przejął SMS-a z banku

Drugi niedawny wyrok, w którym sąd stanął po stronie klientki, opisała dziennikarka „Gazety Wyborczej” z Zielonej Góry. W tym przypadku sprawa była jeszcze dziwniejsza, bo do kradzieży 50 tys. zł doszło kilkadziesiąt godzin po tym, gdy klientka poinformowała bank, że rezygnuje z jego usług, i przenosi konto do konkurencji. Pieniądze zniknęły, jeszcze zanim klientka pojawiła się w placówce, żeby dopełnić formalności. Nie dostała żadnego SMS-a autoryzacyjnego ani informacji, że ktoś loguje się na jej konto.

W tym przypadku prawdopodobnie złodzieje dość dobrze zinwigilowali klientkę: nie tylko poznali login i hasło do konta (można to zrobić, wpuszczając na komputer wirusa schowanego w załączniku do e-maila), ale i numer telefonu klientki, na który wysłali drugiego wirusa. To z kolei robi się za pomocą „lewej” aktualizacji telefonu – wysyła się ofierze SMS-a z linkiem do wirusa i z informacją, że to aktualizacja jakiejś aplikacji. Mobilny wirus przekierował SMS-y autoryzacyjne do złodziei i umożliwił wyprowadzenie pieniędzy z konta klientki.

Bank przez kilka miesięcy zwodził klientkę, a potem odrzucił reklamację, powołując się na podejrzenie, że posiadaczka konta „rażąco naruszyła zasady bezpieczeństwa”. Klientka poszła do sądu z pozwem o zwrot drobnej części skradzionych pieniędzy (by zaoszczędzić na kosztach sądowych). I... wygrała. Sąd doszedł do wniosku, że podejrzenie co do złamania przez klientkę zasad bezpieczeństwa to jedno, a pewność to drugie. I że to bank ma udowodnić, iż doszło do rażącego niedbalstwa i naruszenia regulaminu.

Także w tej sprawie klientce udało się przekonać sąd, że używała banku przez internet ostrożnie – na swoim komputerze, z legalnym systemem operacyjnym i aktualnym oprogramowaniem antywirusowym. Bank wypłacił pieniądze i szybciutko zawarł z klientką ugodę, na podstawie której oddał resztę ukradzionej kwoty już bez wytaczania kolejnej sprawy.

Stracił pieniądze z karty, bo złodziej odgadł PIN

W trzeciej sprawie – dotyczącej wypłacenia pieniędzy z bankomatu przez złodzieja karty płatniczej – na pierwszy rzut oka klient był na straconej pozycji, bo złodziej podał w bankomacie właściwy PIN. I w kilku transakcjach dokumentnie wyczyścił konto ofiary. Nie ma tu innego wytłumaczenia niż to, że ów PIN klient musiał udostępnić komuś nieuprawnionemu.

Czytaj też: Zła wiadomość dla złodziei kart. Oto pierwsza karta... biometryczna!

Bank przyjął, że PIN musiał być zapisany na kartce i noszony w torbie razem z portfelem. Jednak w głowie sędziego pojawiła się wątpliwość, bo z postępowania dowodowego wynikało, że pierwsza podjęta przez złodzieja próba wypłaty gotówki z bankomatu się nie powiodła. A trudno pomylić się przy przepisywaniu PIN-u z kartki. Na tej podstawie sąd uznał, że nie jest pewne, czy klient nie dołożył należytej staranności przy używaniu karty. I nakazał bankowi wyrównać jego straty. Ten wyrok nie jest jeszcze prawomocny.

Sędziowie: „To bank ma udowodnić klientowi niedbalstwo”

Systemy bezpieczeństwa w bankowości internetowej i mobilnej powinny być tak skonstruowane, żeby nawet nieostrożny klient był chroniony. Dziś nie wystarczy chronić login, hasło i PIN, by czuć się bezpiecznym. Nie wystarczy mieć przy sobie telefon, by zlikwidować ryzyko, że ktoś inny przeczyta SMS-a autoryzacyjnego.

Ale wszyscy klienci, których sprawy opisuję, przynajmniej dali sobie szansę. Korzystali z dostępu do banku w swoim domu, na osobistym komputerze (z którego nie korzystał nikt inny), mieli legalnego Windowsa i legalny, aktualizowany program antywirusowy. I nie wykazali się roztrzepaniem przy czytaniu SMS-ów z banku – to nie oni autoryzowali (np. przez pomyłkę lub nieuwagę) złodziejskie transakcje. Tylko taki „komplet” zachowań daje szansę na wygranie sprawy w sądzie, gdybyśmy zostali okradzeni.

Dziś sądy wychodzą z założenia, że bank ma mieć na tyle wysublimowane procedury bezpieczeństwa, żeby nawet nieostrożny klient nie mógł dać się okraść. I banki wprowadzają dodatkowe zabezpieczenia. Ostatnio Komisja Nadzoru Finansowego zażądała od banków, żeby odcięły możliwość jakiegokolwiek zdalnego zmieniania telefonów kontaktowych. Jeśli klient chce zmienić numer telefonu, na który mają przychodzić SMS-y autoryzacyjne, ma przyjść do oddziału, pokazać dowód osobisty i się podpisać zgodnie ze wzorem podpisu złożonym w banku przy zakładaniu konta. Gdyby w pierwszym z opisywanych dziś przypadków bank taką procedurę miał, klient nie straciłby pieniędzy (bo złodziej zmienił numer telefonu kontaktowego przez infolinię).

Zmieniają się też sposoby autoryzowania transakcji. Skoro SMS-a autoryzacyjnego ktoś może zdalnie przekierować do złodzieja, to banki za chwilę wprowadzą – w mBanku oraz T-Mobile Usługi Bankowe to już działa – nowy sposób potwierdzania przelewów. Nie będziemy podawali kodu z przysłanego przez bank SMS-a, lecz zatwierdzimy przelew przez aplikację mobilną banku. Żeby ukraść nam pieniądze, złodziej będzie musiał więc nie tylko poznać nasz login i hasło (co nie jest trudne), lecz także mieć naszego smartfona, dostać się do niego (czyli obejść blokadę klawiatury) i zalogować się do aplikacji mobilnej banku (podając PIN lub odcisk palca – o ile klient go zdefiniował).

Artykuł otwarty w ramach bezpłatnego limitu

Wypróbuj prenumeratę cyfrową Wyborczej

Nieograniczony dostęp do serwisów informacyjnych, biznesowych,
lokalnych i wszystkich magazynów Wyborczej.