Banki muszą oddawać pieniądze osobom, których komputery zostały zainfekowane, a konta bankowe – okradzione, potwierdził sąd

Finanse Gorące tematy Prywatność i bezpieczeństwo dołącz do dyskusji (139) 26.09.2019
Banki muszą oddawać pieniądze osobom, których komputery zostały zainfekowane, a konta bankowe – okradzione, potwierdził sąd

Paweł Mering

Sądu Apelacyjny w Warszawie potwierdza, że bank musi oddać pieniądze ukradzione przez cyberprzestępców. Takie działanie wymusza ponadto ustawa o usługach płatniczych, jednakże spełniony musi być pewien — kluczowy — warunek.

Bank musi oddać pieniądze ukradzione przez cyberprzestępców

Ustawa o usługach płatniczych wyjątkowo jasno reguluje kwestie związane z występowaniem nieautoryzowanych operacji pieniężnych w internetowym serwisie transakcyjnym banku. Zgodnie z art. 46 owej ustawy co do zasady bank ma obowiązek przywrócić stan konta do stanu przed wystąpieniem nieautoryzowanej operacji, tj. transakcji, wypłaty lub wpłaty, czyli de facto musi oddać pieniądze.

Banki się z tego nie zawsze wywiązywały, między innymi przez pewien kluczowy element. Bank jest zwolniony od odpowiedzialności, jeżeli klient dopuści się rażącego niedbalstwa albo doprowadzi do nieautoryzowanej transakcji umyślnie.

Sprawa (sygn. akt I ACa 431/18) opisana przez Niebezpiecznika dotyczyła pewnego klienta jednego z banków, który po zalogowaniu się do serwisu transakcyjnego dostał komunikat, że musi dodatkowo wprowadzić kod SMS. Przelogował się jeszcze dwa razy, aż w końcu dał za wygraną i wprowadził kod z wiadomości tekstowej. Po chwili kilkadziesiąt tysięcy złotych popłynęło do oszusta.

Rażące niedbalstwo

Okazało się, że klient padł ofiarą cyberprzestępcy, który zainfekował komputer ofiary specjalnym wirusem, wyświetlającym w przeglądarce złośliwy kod, jedynie udający dodatkową weryfikację ze strony banku. Zamiast potwierdzić swoją tożsamość, dodał do zaufanych odbiorców konto oszusta, na które ten mógł potem niemalże dowolnie przelewać pieniądze.

Klient niezwłocznie poinformował bank o tym zdarzeniu, a ten — zamiast zastosować się do ustawy o usługach płatniczych — odmówił zwrotu pieniędzy, bo klient rzekomo dopuścił się rażącego niedbalstwa.

Sąd jednak uznał, że nabranie się na phishing nie jest rażącym niedbalstwem, tym samym nie da się go klientowi przypisać. Okazuje się, że jeżeli klient nabierze się na phishing i straci pieniądze, to prawo najczęściej stoi po stronie konsumenta — bank musi oddać pieniądze ukradzione przez cyberprzestępców.

Co to oznacza?

Zgodzę się z Niebezpiecznikiem, że o ile faktem jest, że banki nie chcą stosować się do przepisów prawa (podobno nikt nie słyszał o przypadku, w którym bank oddałby pieniądze), to z drugiej strony taki wymóg może być zbyt prokonsumencki.

Banki wydają mnóstwo środków na kampanie o bezpieczeństwie w sieci, a gros Polaków w dalszym ciągu nie zna choćby podstaw rozsądnego zachowania w internecie. Ponadto, ciężko wyobrazić sobie zabezpieczenia, które całkowicie mogłyby wyłączyć odpowiedzialność banku za nieautoryzowaną transakcję.

Nawet, jakby przelew poprzedzony był dziesięcioma pytaniami „Czy na pewno?”, a do tego telefonem od pracownika banku, to — cytując klasyka — nic by nie dało, bo wirus, który podmienia treść w serwisie transakcyjnym, może zmylić niemalże każdego.

Przykre natomiast jest, że banki — nawet mając przepisy niekorzystne dla siebie — otwarcie nie stosują się do przepisów prawa, stosując nieraz wykładnię contra legem, czyli oczywiście sprzeczną z normą prawną.