http://orzeczenia.lodz.sr.gov.pl/content/$N/15251010
0000603_II_C_000383_2015_Uz_2015-09-28_001

W skrócie, poszkodowana straciła kasę (19k) z konta podając swoje
dane autoryzacyjne na podstawionej stronie udającej oryginalną stronę
banku. Klasyka.
Pozwała bank by oddał jej kasę bo to nie ona autoryzowała te
przelewy. Sąd przychylił się do poszkodowanej argumentując, że
zgodnie z prawem na banku ciąży obowiązek zwrócenia kwoty, jeśli
została ona wydana w sposób nieautoryzowany przez użytkownika z jakim
wiąże umowa o dany instrument płatniczy.
Skoro nie ona dokonała tych przelewów oznacza, że nie była to
transakcja autoryzywana:

"Udostępnienie przez powódkę za pośrednictwem podstawionej witryny
internetowej swoich danych identyfikacyjnych oraz haseł z listy
będącej w jej posiadaniu osobom nieuprawnionym o nieustalonej
tożsamości umożliwiło tym osobom zalogowanie się do jej konta i
wykonanie dwóch przelewów. Czynności te z punktu widzenia systemu
informatycznego Banku były przeprowadzone poprawnie, przy
wykorzystaniu właściwych narzędzi autoryzacyjnych. Mimo tego,
kwestionowanych transakcji płatniczych wykonanych z konta powódki w
dniach 22 i 23 maja 2014 r. nie można uznać za transakcje
autoryzowane."


Dalej sąd stwierdza, że prawo oczywiście ogranicza w pewnym zakresie
odpowiedzialność banku w przypadku rażącego niedbalstwa użytkownika,
ale sąd takiego niedbalstwa się że strony poszkodowanej nie
dopatrzył:

" W ocenie Sądu oczywistym jest, że w okolicznościach niniejszej
sprawy nie można powódce przypisać zgody ani woli podjęcia czynności
zmierzających do przeprowadzenia kwestionowanych transakcji
płatniczych przy użyciu posiadanych przez nią instrumentów
płatniczych, a które to okoliczności świadczyłyby o autoryzowaniu
przez nią transakcji. Nie można jej również przypisać umyślnego
doprowadzenia do nieautoryzowanych transakcji płatniczych, a to
choćby z tej przyczyny, że o ich dokonaniu powódka dowiedziała się
dopiero w dniu 27 maja 2014 r. Zostały one zatem przeprowadzone bez
jej wiedzy. Nie można jej również przypisać rażącego niedbalstwa w
naruszeniu obowiązków, wynikających z art. 42 ustawy. Wprawdzie
powódka, jak wskazano powyżej, udostępniła osobom nieuprawnionym dane
z listy haseł jednorazowych, czego nie powinna czynić, jednak nie
nastąpiło to w okolicznościach świadczących o rażącym niedbalstwie z
jej strony."

--
Marek

do góry

On 3/19/2016 6:22 PM, Marek wrote:
> http://orzeczenia.lodz.sr.gov.pl/content/$N/15251010
0000603_II_C_000383_2015_Uz_2015-09-28_001
>
>
> W skrócie, poszkodowana straciła kasę (19k) z konta podając swoje dane
> autoryzacyjne na podstawionej stronie udającej oryginalną stronę banku.
> Klasyka.
> Pozwała bank by oddał jej kasę bo to nie ona autoryzowała te przelewy.
> Sąd przychylił się do poszkodowanej argumentując, że zgodnie z prawem
> na banku ciąży obowiązek zwrócenia kwoty, jeśli została ona wydana w
> sposób nieautoryzowany przez użytkownika z jakim wiąże umowa o dany
> instrument płatniczy. Skoro nie ona dokonała tych przelewów oznacza, że
> nie była to transakcja autoryzywana:
>
> "Udostępnienie przez powódkę za pośrednictwem podstawionej witryny
> internetowej swoich danych identyfikacyjnych oraz haseł z listy będącej
> w jej posiadaniu osobom nieuprawnionym o nieustalonej tożsamości
> umożliwiło tym osobom zalogowanie się do jej konta i wykonanie dwóch
> przelewów. Czynności te z punktu widzenia systemu informatycznego Banku
> były przeprowadzone poprawnie, przy wykorzystaniu właściwych narzędzi
> autoryzacyjnych. Mimo tego, kwestionowanych transakcji płatniczych
> wykonanych z konta powódki w dniach 22 i 23 maja 2014 r. nie można uznać
> za transakcje autoryzowane."
>
>
> Dalej sąd stwierdza, że prawo oczywiście ogranicza w pewnym zakresie
> odpowiedzialność banku w przypadku rażącego niedbalstwa użytkownika,
> ale sąd takiego niedbalstwa się że strony poszkodowanej nie dopatrzył:
>
> " W ocenie Sądu oczywistym jest, że w okolicznościach niniejszej sprawy
> nie można powódce przypisać zgody ani woli podjęcia czynności
> zmierzających do przeprowadzenia kwestionowanych transakcji płatniczych
> przy użyciu posiadanych przez nią instrumentów płatniczych, a które to
> okoliczności świadczyłyby o autoryzowaniu przez nią transakcji. Nie
> można jej również przypisać umyślnego doprowadzenia do nieautoryzowanych
> transakcji płatniczych, a to choćby z tej przyczyny, że o ich dokonaniu
> powódka dowiedziała się dopiero w dniu 27 maja 2014 r. Zostały one zatem
> przeprowadzone bez jej wiedzy. Nie można jej również przypisać rażącego
> niedbalstwa w naruszeniu obowiązków, wynikających z art. 42 ustawy.
> Wprawdzie powódka, jak wskazano powyżej, udostępniła osobom
> nieuprawnionym dane z listy haseł jednorazowych, czego nie powinna
> czynić, jednak nie nastąpiło to w okolicznościach świadczących o rażącym
> niedbalstwie z jej strony."
>

Nareszcie.

Skoro bank udostępnia narzędzie, wiedząc, że to narzędzie jest wadliwe i
umożliwia wypłatę przez osoby inne niż upoważnione to ponosi za to
odpowiedzialność.

do góry

On Sat, 19 Mar 2016, witek wrote:

> Nareszcie.
>
> Skoro bank udostępnia narzędzie, wiedząc, że to narzędzie jest wadliwe i
> umożliwia wypłatę przez osoby inne niż upoważnione to ponosi za to
> odpowiedzialność.

[...]
"Jak wynika z poczynionych ustaleń, pozwany Bank wywiązywał się z
obowiązku zapewnienia, że indywidualne zabezpieczenia instrumentu
płatniczego nie są dostępne dla osób innych niż użytkownik uprawniony do
korzystania z tego instrumentu, powódka natomiast swoim obowiązkom
wymienionym w art. 42 ust. 2 ustawy uchybiła, udostępniając instrument
płatniczy osobom nieuprawnionym przez wpisanie przynajmniej dwukrotnie w
dniach 22 i 23 maja 2014 r. kodów z listy haseł jednorazowych na
podstawionej stronie internetowej."
[...]
"Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na
autoryzację transakcji płatniczej przez płatnika albo okoliczności
wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej
transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa
dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa
w art. 42."

Jak rozumiem sąd uznał, że skoro ta kretynka zainstalowała sobie jakiś
malware to nie dopuściła się w ocenie tego żałosnego sądu rażącego
niedbalstwa tylko jakiegoś innego niedbalstwa. Ten kraj mnie osłabia.
Banki mogą sobie żonglować TOiP jak chcą i wyłudzać w ten sposób od ludzi
wzięte z czapki kwoty, kablówki mogą wciskać ludziom usługi których nikt
nie chce i potem domagać się na fakturach kwot wyższych od ustalonego
abonamentu bo ktoś kliknął nie ten przycisk na pilocie, telekomy zawsze
bardzo chętnie przywalą opłatę za SMSy przychodzące najlepiej użytkownikom
umów abonamentowych, bo tam nie ma limitu jak w prepaidzie. To jest
wszystko wporządku. Ale jak trafi się debil, który poda jakimś bambusom
swoje dane autoryzacyjne do konta to sąd się pochyla nad jego losem, bo
<cytat z wyroku>:

"Jak wynika ze zgromadzonego w sprawie materiału dowodowego, do
zainfekowania komputera użytkownika usług bankowości elektronicznej może
dojść w podstępny, lecz prosty sposób, np. przez kliknięcie przez
użytkownika w zdjęcie na ekranie czy otwarcie załącznika do wiadomości
nadesłanej pocztą elektroniczną, informującej np. o nierozliczonych
płatnościach czy zawierającej rzekome faktury. "

swoją drogą to uzasadnienie jest wadliwe, bo żaden popularny program
pocztowy ani przeglądarka nie umożliwiają zainstalowania czegokolwiek
przez kliknięcie na zdjęcie. Trzeba jeszcze potwierdzić, że chce się
zainstalować kod na który użytkownik wyraża zgodę i bierze odpowiedzianość
za jego wykonanie. A to już nie jest klikanie "na zdjęcie" tylko na
odpowiedni komunikat systemu/programu pocztowego czy przeglądarki.

do góry

Rafal Jankowski <j...@o...wsisiz.edu.pl> writes:

[...]
>
> swoją drogą to uzasadnienie jest wadliwe, bo żaden popularny program
> pocztowy ani przeglądarka nie umożliwiają zainstalowania czegokolwiek
> przez kliknięcie na zdjęcie. Trzeba jeszcze potwierdzić, że chce się
> zainstalować kod na który użytkownik wyraża zgodę i bierze

Dasz sobie głowę uciąć? Pod androidem podatnym na Stagefright też?


KJ

--
http://wolnelektury.pl/wesprzyj/teraz/
I am a traffic light, and Alan Ginzberg kidnapped my laundry in 1927!

do góry

On Sun, 20 Mar 2016, Kamil Jońca wrote:

> Rafal Jankowski <j...@o...wsisiz.edu.pl> writes:
>
> [...]
>>
>> swoją drogą to uzasadnienie jest wadliwe, bo żaden popularny program
>> pocztowy ani przeglądarka nie umożliwiają zainstalowania czegokolwiek
>> przez kliknięcie na zdjęcie. Trzeba jeszcze potwierdzić, że chce się
>> zainstalować kod na który użytkownik wyraża zgodę i bierze
>
> Dasz sobie głowę uciąć? Pod androidem podatnym na Stagefright też?

Pod każdym systemem, który ma niezałataną jakąś dziurę (znaną lub nie)
może się tak zdarzyć, ale:

-po pierwsze taka sytuacja nie miała miejsca (przynajmniej żadna ze stron
tego nawet nie próbowała sugerować)

-po drugie nikt nie powiedział , że bank ponosi odpowiedzialność za
dziury w sofcie po stronie użytkownika

do góry

Rafal Jankowski <j...@o...wsisiz.edu.pl> writes:

[..]
>
> -po drugie nikt nie powiedział , że bank ponosi odpowiedzialność za
> dziury w sofcie po stronie użytkownika

Ale tu mówimy o dochowaniu należytej staranności przez
użytkownika. Który na dodatek nie musi być "profesjonalistą w zakresie
informatyki"
KJ
--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html
I have become me without my consent.

do góry

On Sun, 20 Mar 2016, Kamil Jońca wrote:

> Rafal Jankowski <j...@o...wsisiz.edu.pl> writes:
>
> [..]
>>
>> -po drugie nikt nie powiedział , że bank ponosi odpowiedzialność za
>> dziury w sofcie po stronie użytkownika
>
> Ale tu mówimy o dochowaniu należytej staranności przez
> użytkownika. Który na dodatek nie musi być "profesjonalistą w zakresie
> informatyki"

To jest już inny przypadek niż ten, którego dotyczyła ta sprawa. Gdyby sąd
uznał, że dane autoryzacyjne były zdobyte przy użyciu świeżutkiego
exploita i w takim przypadku nie można mówić o rażącej niedbałości to
pewnie bym się chwilę zastanowił czy nazwać taki sąd żałosnym. Chociaż i
tak jest jeszcze wiele rzeczy których użytkownik mógł dopilnować nawet na
taką okoliczność - np. z jakiej racji komputer a tym bardziej aplikacja do
łączenia się z bankiem ma mieć prawo do łączenia się z całym internetem w
chwili robienia przelewu.
No ale załóżmy że to są już kazmaty informatyki zarezerwowane dla
"profesjonalistów".
Tak czy inaczej dla mnie to przykład nie tylko głupoty sądu ale i
kiepskiej jakości prawa, które powinno pozostawiać możliwie mało pola
manewru subiektywnej ocenie, a obydwie omawiane sytuacje (dziura w
bezpieczeństwie i zainstalowanie złośliwego oprogramowania) to przypadki
bardzo proste do przewidzenia i to nie sąd a przepisy powinne jasno
określać zarówno to kto ponosi ciężar dowodu jaka z tych sytuacji miała
miejsce jak i to kto w konsekwencji płaci za wyprowadzone z konta środki.

do góry

On Sun, 20 Mar 2016 11:03:35 +0100, Rafal Jankowski
<j...@o...wsisiz.edu.pl> wrote:
> -po pierwsze taka sytuacja nie miała miejsca (przynajmniej żadna ze
stron
> tego nawet nie próbowała sugerować)
> -po drugie nikt nie powiedział , że bank ponosi odpowiedzialność za
> dziury w sofcie po stronie użytkownika

Ale jest wyraźnie powiedziane w ustawie: transakcje autoryzowane to
te, które robi użytkownik-strona umowy a nie ktoś inny.
Proste. Skoro fizycznie transakcji dokonuje osoba trzecia
nieuprawniona mimo, że narzędziami użytkownika (tutaj hasłem czy
tanem.wykradniętymi podstępnie) to nie jest to transakcja
autoryzowana. Logiczne, prawda?

Oczywiście to jest problem dla banku, który nie jest w stanie
odróżnic fizycznego użytkownika dokonującego transakcji, albo gorzej:
inaczej rozumie "autoryzację" niż zakłada to ustawa. Ale to
niestety jest już ryzyko działalności banku.
Dlatego w krajach bardziej rozwiniętych już kilkadziesiąt lat temu
przy wprowadzaniu takich instrumentów płatniczych jak karty kredytowe
od razu wprowadzono chargeback. I jest w tych krajach świętością
honorowaną bez zbędnej dyskusji z klientem.
Ale oczywiście to dotyczy krajów cywilizacyjne rozwiniętych, gdzie
ryzyko nadużyć możliwych z tego tytułu jest (lub było) marginalne.

--
Marek

do góry

On 2016-03-20 13:17, Rafal Jankowski wrote:
> Tak czy inaczej dla mnie to przykład nie tylko głupoty sądu ale i
> kiepskiej jakości prawa, które powinno pozostawiać możliwie mało pola
> manewru subiektywnej ocenie

Okiem informatyka: to wynik dziadostwa robionego przez banki. Zwóroc
uwagę że banki robia wszystko aby "ułatwić" korzystanie z bankowości. Od
zakładania kond przelewem za grosz przez używanie absurdalnie łatwych do
złamania zabezpieczeń informatycznych.

Oczywiście matematyka i informatyka mają skuteczne metody zabezpieczanie
transakcji (np. tokeny sprzętowe). Problem w tym że znaczna częśc
społeczeństwa to idioci a znaczna część managerów w bankach to debile.
Efektem czego systemy zabezpieczeń banków bazują na poziomie mułu czyli
zakładają że system operacyjny usera jest bezpieczny oraz że imie
panieńskie babki jest absolutnie nie do podsłuchania podane 40 razy
przez telefon.

, a obydwie omawiane sytuacje (dziura w
> bezpieczeństwie i zainstalowanie złośliwego oprogramowania) to przypadki
> bardzo proste do przewidzenia

Nie da się w sposób oczywisty stwierdzić czy twoj komputer posiada
malware. Nawet zaawansowany informatyk nie jest w stanie tego
stwierdzić. Windows, bo o nim tu domyslnie mowa, jest pod tym wzgledem
praktycznie niemożliwy do oceny. Innymi słowy twoje "przypadki proste do
przewidzenia" powinny zakończyć się absolutnym zakazem uzywania kanałów
informatycznych do operacji bankowych. Bo można prosto przewidzieć że
każdy user ma jakieś malware. Da się? Da. To niech nie używa.

> i to nie sąd a przepisy powinne jasno
> określać zarówno to kto ponosi ciężar dowodu jaka z tych sytuacji miała
> miejsce jak i to kto w konsekwencji płaci za wyprowadzone z konta środki.

Ciężar dowodu? Wiesz, że nie da się w sposob bezwzględny ocenić czy
komputer użytkownika zawiera malware? Tak technicznie rzecz biorąc, a
nie prawnie. Technicznie nie masz szans ocenić przy ataku ukierunkowanym
i unikatowym czy dowolnie wybrany system operacyjny z 3 obecnie
używanych na rynku [1] jest bez malware. To wynika z faktu że 3 obecnie
powszechnie używane OSy są po prostu gówno warte pod wzgędem bezpieczeństwa.

[1] Win, OS X, Linux.

PS. Banki migrują z tokentów sprzetowych w kierunku gówno wartych SMSów
itp szitu. Trudno powiedzieć komu należy za to natłuc po mordzie. Byc
może to "zarządzanie ryzykiem" które sprowadza się do stwierdzenia że
przeciętny Kowalski nie ma czasu pozwać banku za ich żałosne zabezpieczenie.

do góry

On Sun, 20 Mar 2016, Marek wrote:

> On Sun, 20 Mar 2016 11:03:35 +0100, Rafal Jankowski
> <j...@o...wsisiz.edu.pl> wrote:
>> -po pierwsze taka sytuacja nie miała miejsca (przynajmniej żadna ze
> stron
>> tego nawet nie próbowała sugerować)
>> -po drugie nikt nie powiedział , że bank ponosi odpowiedzialność za dziury
>> w sofcie po stronie użytkownika
>
> Ale jest wyraźnie powiedziane w ustawie: transakcje autoryzowane to te, które
> robi użytkownik-strona umowy a nie ktoś inny.
> Proste. Skoro fizycznie transakcji dokonuje osoba trzecia nieuprawniona mimo,
> że narzędziami użytkownika (tutaj hasłem czy tanem.wykradniętymi podstępnie)
> to nie jest to transakcja autoryzowana. Logiczne, prawda?

Ani proste ani nie logiczne, bo wtedy zbędny byłby art 42 ustawy na którą
się powołujesz.

do góry