Kilka tygodni pisałem o wyroku nakazującym oddanie wyprowadzonej kasy
przez "złośliwe oprogramowamie".
Tym razem sprawa dot. mBanku i podobny wyrok. Poszkodowany
zainstalował w dobrej wierze z poddstawionej strony "oprogramowanie
antywirusowel" na telefon, które przekierowało smsy autoryzacyjne na
inny nr telefonu. Oczywiście jego laotop też już był wcześniej
skompromitowany, przez co złodzieje uzyskali dostęp do hego loginu i
hasła.

Konkluzja wyroku: jeśli bank by miał dobre zabezpieczenia sytuacja
nie miała by miejsca.
Poszkodowanemu nie można zarzucić rażącego niedbalstwa (jedyny
argument broniący bank w takich sytuacjach) bo miał legalny system
operacyjny oraz oprogramowanie antywirusowe.
Mój komentarz: na korzyść staranności poszkodowanego świadczy pewnie
fakt jego gorliwość w instalacji kolejnego oprogramowania
antywirusowego zalecanego przez podstawioną stronę :-)


Wyrok:

http://orzeczenia.ms.gov.pl/content/bankowo$015bci$0
020internetowej/152510000000503_I_C_001908_2014_Uz_2
016-02-08_001

Sąd wyraźnie stwierdza, że to nie jedyny przypadek w mBanku więc
(zdaniem sądu) ewidentnie świadczy to o słabych zabezpieczeniach,
skoro transakcje mogą dokonywać nieutoryzowani użytkownicy.


Druga ciekawostka wynikająca z tego wyroku to oddalenie biegłego
informatyka, jakiego chciał powoływać bank. Domyślam się, że chodziło
o wykazanie rażącego niedbalstwa użytkownika. Sąd stwierdził, że jest
to zbyteczne bo sprawę można wyjaśnić wyłącznie na gruncie ustawy o
instrumentach płatniczych. Czyli user autoryzowany to tylko ten, z
którym bank ma umowę a nie ten, który się autoryzuje mechanizmami
autoryzacyjnymi oferowanymi przez bank.

Trzecia ciekawosta, gamoń protokolant notujący tekst orzeczenia nie
był konsekwentny w pisowni nazwy banku "mBank", raz napisał m-bank
przez co anonimizacja orzeczenia metodą "znajdź-zamień" nie bardzo
się udała ;)

--
Marek