Padłeś ofiarą ataku hakerskiego?
Twoje dane zostały wykradzione jedną z popularnych metod, a konto bankowe „wyczyszczone”?
Bank odmawia zwrotu środków, twierdząc, że to twoja wina?
Co dalej? Czy można walczyć o odzyskanie pieniędzy wykradzionych z rachunku płatniczego za pomocą uprzednio wyłudzonych danych klienta?
Owszem można !
Pishing.
Na większości stron Internetowych Banków, jak również na wielu popularnych serwisach Internetowych (np. niebezpiecznik.pl), aż huczy od ostrzeżeń na temat oszustw mających na celu wyłudzenie danych do konta bankowego.
W dzisiejszych czasach wyłudzeniu danych nie zapobiegnie brak noszenia ze sobą loginu i hasła do konta spisanego na kartce w portfelu. Przestępcy działają obecnie w bardzo wyrafinowany sposób i potrafią wysłać nie tylko spreparowane wiadomości e-mail, fałszywe sms-y i linki do fałszywych stron, ale nawet podszyć się pod infolinie banku. Często przestępcy wykorzystują także popularne komunikatory, serwisy społecznościowe czy nawet serwisy sprzedażowe (np. popularny portal OLX, gdzie ostatnio „na czasie” są oszustwa związane z „alternatywną” metodą wysyłki paczki).
Takie działanie nazywa się „Phishingiem”. Jest to termin określający szeroką gamę oszustw przeprowadzanych za pośrednictwem Internetu. Celem tych działań jest uzyskanie kluczowych danych, które umożliwiają dokonanie transakcji z dane konta bankowego, a więc:
- loginu i hasło do konta;
- numeru karty kredytowej;
- numeru PESEL.
Nazwa przytoczonego terminu nie przypadkowo jest bardzo podobna do angielskiego słowa „fishing”, które oznacza łowienia ryb. Oszuści bowiem niejako „łowią” klientów banków na różne metody, a po wyłudzeniu ich danych, wyprowadzając pieniądze z kont.
Co jednak zrobić, kiedy pomimo naszej czujności, padliśmy ofiarą oszustwa, a „Cyber-przestępcy” wykradli nasze dane do konta bankowego, a następnie zgromadzone środki pieniężne?
Koniecznie – i to w trybie natychmiastowym – należy zgłosić i opisać sytuację w banku. Należy zastrzec nasze dane (i to nie tylko w danym banku, ale również np. w BIK czy jakichkolwiek instytucjach finansowych, w których wykradzione dane mogą zostać wykorzystane), karty i konta bankowe. Następnie warto zwrócić się do swojego „dostawcy usług płatniczych” z wnioskiem o zwrot skradzionych środków. W przeważającej części tego rodzaju spraw bank zdecydowanie odmawia jakichkolwiek zwrotów przerzucając winę za utratę pieniędzy na klienta. W takich przypadkach należy sięgnąć po przepisy prawa i sprawdzić, czy być może „wina”, którą usilnie przypisuje nam bank, nie była wyłącznie „nasza”, a bank mógł przeciwdziałać utracie pieniędzy. Przede wszystkim zaś warto przedstawić sprawę zawodowym prawnikom z licencją (np. Adwokatowi), którzy takimi sprawami zajmują się na co dzień.
Garść przepisów – odpowiedzialność za nieautoryzowane transakcje.
Stosownie do art. 46 ust. 1 ustawy z 19 sierpnia 2011 r. o usługach płatniczych (Dz.U. z 2020 r. poz. 794) – zwanej dalej „ustawą o usługach płatniczych” – z zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. W przypadku gdy płatnik korzysta z rachunku płatniczego, dostawca płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Data waluty w odniesieniu do uznania rachunku płatniczego płatnika nie może być późniejsza od daty obciążenia tą kwotą.
Adekwatnie do art. 46 ust. 3 ustawy o usługach płatniczych Płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.
W myśl treści art. 42 ust. 1 ustawy o usługach płatniczych, użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany:
- korzystać z instrumentu płatniczego zgodnie z umową ramową oraz
- zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.
Stosownie do art. 42 ust. 2 ustawy o usługach płatniczych, w celu spełnienia obowiązku, o którym mowa w art. 42 ust. 1 pkt 1, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym.
Zgodnie z art. 45 ust. 1 ustawy o usługach płatniczych, na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej.
Jak wynika z powyższych przepisów klient odpowiada za utratę środków tylko wtedy, gdy doprowadził do ich utraty umyślnie bądź też w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia m.in. obowiązku zapobieżenia naruszenia indywidualnych danych uwierzytelniających.
Z kolei zgodnie z orzecznictwem na banku spoczywa obowiązek zwrócenia powodowi całej kwoty nieautoryzowanych przez powoda przelewów, stosownie do art. 46 ust. 1 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych, jeżeli powód z winy umyślnej lub rażącego niedbalstwa nie doprowadził albo nie przyczynił się do przejęcia swoich danych przez osoby, które z nich skorzystały poprzez dokonanie tych przelewów (por. wyrok Sądu Apelacyjnego w Warszawie z 24 października 2018 r., sygn. akt V ACa 823/17).
Transakcję płatniczą uważa się za autoryzowaną tylko wówczas, jeżeli płatnik wyraził zgodę na jej wykonanie, przy czym zlecenie płatnicze nie może zostać odwołane od chwili jego otrzymania przez bank. Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy, czyli na banku. Autoryzacja to zatem nic więcej jak wyrażenie zgody na wykonanie transakcji, przy czym sposoby autoryzacji określa umowa łącząca posiadacza rachunku i bank (por. wyrok Sądu Apelacyjnego w Warszawie z 19 lipca 2018 r., I ACa 348/17).
Co powyższe oznacza dla zwykłego klienta/ konsumenta?
Szybka lektura przepisów związanych z nieautoryzowanymi transakcjami doprowadza do wniosku, że w przypadku kradzieży naszych danych sytuacja nie jest wcale „zero-jedynkowa”, to na banku bowiem leży ciężar wykazania, iż dana transakcja była przez nas prawidłowo autoryzowana.
Dokonując głębszej analizy orzecznictwa sądów powszechnych możemy natomiast dowiedzieć się, że nie można całkowicie obarczać klienta winą za to, iż padł ofiarą ataku hakerskiego. Tego rodzaju ataki zdarzają się nawet wtedy jeśli nasz komputer czy telefon jest zabezpieczony oprogramowaniem antywirusowym, a sam system komputerowy jest w 100% aktualny oraz legalny. Utrata danych wskutek ataku hakerskiego nie jest bowiem celowym udostępnieniem danych. Jeśli więc nasze dane zostały podstępnie wykradzione przy użyciu fałszywego e-maila (np. od banku lub firmy kurierskiej), sms-a (np. od dostawy mediów – prąd, Internet, telewizja) czy choćby fałszywej infolinii banku, to nie jest zasadnym jednostronne twierdzenie, że nasze dane świadomie udostępniliśmy innej osobie.
Dobrowolne i świadome udostępnienie danych do konta bankowego nie ma bowiem niczego wspólnego z sytuacją, kiedy te dane są od nas wyłudzane i podajemy je w celu zupełnie nie związanym z ich użyciem przez inną osobę (np. w celu autoryzacji dostępu do konta bankowego – co może mieć miejsce np. przy nieświadomym skorzystaniu z fałszywej strony banku). Przytaczając prosty przykład można wyobrazić sobie sytuację, gdzie ktoś w sposób nieuprawiony uzyskał dostęp do komputera (np. podszywając się pod uprawnionego pracownika) i zainstalował wirusa na komputerze i w ten sposób wykradł dane do logowania. Nie sposób jest w takiej sytuacji przypisać winy osobie, która jest właścicielem komputera, gdyż udostępnienie sprzętu, a następnie danych nastąpiło w drodze oszustwa.
W Identycznej sytuacji znajduje się wiele osób, które są podstępnie nakłaniane do udostępnienia danych przez sms czy e-maila. W orzecznictwie sądów powszechnych można znaleźć stwierdzenia, że tego rodzaju sytuacje (tj. wyłudzenie danych klienta przez osobę trzecią wskutek prowadzonej kampanii „pishingowej”) nie stanowią ze strony klienta umyślnego udostępnienia danych czy też choćby udostępnienia ich w ramach rażącego niedbalstwa (por. wyrok Sądu Apelacyjnego w Warszawie z 19 lipca 2018 r., I ACa 348/17).
PODSUMOWANIE
Na koniec warto mieć na uwadze, że zgodnie z art. 50 ust. 2 ustawy z 29 sierpnia 1997 r. Prawo bankowe, bank jest zobowiązany do dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych.
Nasze szanse w walce o pieniądze tym bardziej rosną jeśli możemy zarzucić bankowi niedostateczne zabezpieczenia. Często bowiem przestępcy doprowadzają do błyskawicznego „opróżnienia” naszego rachunku bankowego. Jeśli więc ostrożności banku nie budzi sytuacja, w której:
- w krótkim okresie czasu następują znaczne ilość transakcji, pomiędzy którymi dodatkowo występują niewielkie odległości czasowe;
- kwoty transakcji są bardzo podobne (np. 20 przelewów po 1.000 zł);
- opisy odbiorców czy tytuły transakcji wyglądają jakby były wpisywane losowo;
to nie sposób jest nie mieć zastrzeżeń do tego, że bank nie podjął jakiejkolwiek interwencji mającej służyć powstrzymaniu przelewów do czasu zweryfikowania ich autentyczności u klienta w dodatkowy sposób;
Odrębną kwestią jest to, że jeśli nasze dane padły ofiarą przestępców spoza kraju, to same adresy IP czy dane identyfikacyjne urządzeń telefonicznych (zapewne całkowicie odrębne od tych, z których korzystał klient „na co dzień”), z których były wykonywane operacje powinny zwrócić czujność banku i uruchomić stosowne zabezpieczenia w elektronicznym systemie.
Jeśli zatem nasze dane osobowe zostały podstępnie wykradzione, a następnie użyte do wyprowadzenia środków pieniężnych z konta bankowego, to istnieje szansa na skuteczną walkę o odzyskanie skradzionych sum.