Atak phishingowy - jak dochodzić swoich praw w banku?

Przeczytaj także: Dostałeś powiadomienie o naruszeniu danych? Co należy zrobić?

Phishing, czyli przebiegła metoda wyłudzenia informacji istotnych dla każdego użytkownika sieci, takich jak numery kart kredytowych, numery CVV, login i hasło do bankowości elektronicznej, kody uwierzytelniające transakcje w bankowości elektronicznej. Polega ona na podszywaniu się przez oszusta pod inną osobę lub instytucję w celu wyłudzenia danych. Zwykle dzieje się to poprzez przesłanie potencjalnej ofierze spreparowanej wiadomości e-mail, wyglądającej bardzo podobnie do wiadomości, którą mógłby nam wysłać bank, w którym posiadamy rachunek bankowy. Jak wskazuje Dawid Jakubiec, aplikant adwokacki w Kancelarii Kupilas&Krupa, takie e-maile grzecznie proszą nas o sprawdzenie aktywności na naszym koncie, potwierdzeniu lub zaktualizowaniu jakichś informacji.

Po kliknięciu w link zawarty w wiadomości e-mail - zostajemy przekierowani na fałszywą stronę internetową, która może wyglądać łudząco podobnie do strony banku, w którym posiadamy rachunek bankowy. Zwykle na takiej stronie jesteśmy proszeni o podanie danych, które finalnie mogą prowadzić do kradzieży należących do nas pieniędzy – tłumaczy prawnik.

Oczywiście nie budzi wątpliwości, że tego typu zachowania oszustów są nielegalne i w przypadku wykrycia sprawców podlegają oni ukaraniu. Jednakże trudność ujawnienia tożsamości sprawców takiego przestępstwa, prowadzi w dużej części tego typu spraw do umorzenia dochodzenia przez organy ścigania. Problem ten nie jest również problemem marginalnym. Jak wskazuje Rzecznik Finansowy nawet 250 tys. osób może paść rocznie ofiarą tego typu przestępstw. W tej sytuacji, osoby oszukane nie pozostają bez wyjścia.

Odpowiedzialność banku

Z dniem 20 czerwca 2018 r. weszła w życie ustawa z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw stanowiąca implementację dyrektywy unijnej PSD II. Wyżej wspomniana ustawa wskazuje, że bank może dokonać danej transakcji, jednak transakcja ta musi być przez klienta autoryzowana. Logika podpowiadałaby, że wykonanie transakcji za pomocą naszego konta bankowego jest jednoczesne z jej autoryzowaniem. Sprawa nie jest taka prosta, bowiem transakcję płatniczą uważa się za autoryzowaną w momencie, gdy płatnik wyraził zgodę na wykonanie danej transakcji. Wykonanie transakcji przez oszusta, który uzyskał nasze dane w wyniku ataku phishingowego, na pewno nie jest zgodą wymaganą przez ustawę. Również sama ustawa o usługach płatniczych wyraźnie precyzuje, iż samo użycie instrumentu płatniczego nie przesądza o autoryzowaniu danej transakcji.

W razie, gdy dana transakcja jest nieautoryzowana, to wyłączną odpowiedzialność z tytułu jej przeprowadzenia, ponosi dostawca usług płatniczych (czyli zwykle bank). Wystąpienie nieautoryzowanej transakcji generuje po stronie dostawcy usług płatniczych obowiązek zwrotu pieniędzy objętych daną transakcją. Z kolei w razie, gdy chodzi o rachunek płatniczy, to zobowiązany jest do przywrócenia stanu rachunku płatniczego do takiego jak sprzed dokonania kwestionowanej transakcji. Ustawa nakłada również termin, w jakim dostawca ma dokonać opisywanych wyżej czynności - powinno stać się to niezwłocznie, lecz nie później niż do końca dnia roboczego następującego po dniu stwierdzenia nieautoryzowanej transakcji (zasada D+1). Jedynym wyjątkiem jest sytuacja, w której dostawca ma podejrzenie świadczące o oszustwie własnego klienta i poinformuje o tym niezwłocznie organy ścigania.

Brak możliwość zwrotu środków z winy klienta

Dopiero dokonanie zwrotu pozwala na ustalenie potencjalnej współodpowiedzialności klienta banku. Płatnik nie odpowiada za nieautoryzowaną transakcję w sytuacji, gdy klient umyślnie lub w wyniku rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji. W tej sytuacji to bank powinien pozwać własnego klienta za umyślne dokonanie nieautoryzowanej transakcji. Praktyka wygląda zgoła odmiennie, banki kompletnie ignorując przepisy ww. ustawy, odmawiają zwrotów twierdząc, że klient dokonał danej transakcji w wyniku rażącego niedbalstwa. W takiej sytuacji to klient zmuszony jest wejść na drogę sądową i pozwać bank.

Jak wskazuje orzecznictwo sądowe, kradzież środków w wyniku ataku phishingowego nie jest zwykle formą rażącego niedbalstwa - oczywiście w tym kontekście istotne są osobiste uwarunkowania danej osoby. Czy była ona świadoma zagrożeń w cyberprzestrzeni i czy ewentualnie ten fakt został przez nią zignorowany – mówi Dawid Jakubiec, aplikant adwokacki.

Aktualne ustawodawstwo daje nam szereg możliwości, z których możemy skorzystać, nie mniej często droga do wyegzekwowania tych praw może być trudna i prowadzić przez sale sądowe. Jednak efekt tej drogi może okazać się satysfakcjonujący i finalnie doprowadzić do zwrotu skradzionych pieniędzy.