Atak phishingowy, klienci stracili setki tysięcy złotych – czy WBK będzie musiał płacić odszkodowania?

W pierwszych słowach, autor wskazuje, że artykuł nie jest poradą prawną, ale przedstawieniem poglądów prawnych autora.

Teraz do rzeczy – do klientów banku przesłano sfabrykowane maile zawierające informacje o zablokowaniu konta i konieczności dokonania weryfikacji poprzez wpisanie numeru identyfikacyjnego klienta, numeru PIN oraz danych karty płatniczej.

W WBK natomiast w zakresie usługi przelew24, nie było konieczności dodatkowego potwierdzania transakcji hasłem z tokena, lub SMS-a (jak podaje fakt.pl). Teraz powstaje pytanie, jak kształtuje się odpowiedzialność banku za przedmiotowe zdarzenia?

Pieniądze skradzione z konta w BZ WBK - czy bank odpowiada?

W mojej ocenie patrząc z mojego doświadczenia cywilisty, w pierwszej kolejności poddałbym ocenie zachowania klientów banku. Rozumiem oczywiście, że sytuacje w życiu są różne, mogliśmy być zdenerwowani otrzymując wiadomość od przestępców, zestresowani pracą lub też z innych powodów nasz stan psychiczny mógł spowodować, że nieopatrznie podaliśmy dane (co też w nawiązaniu do prac noblisty Daniela Kahneman mogło być spowodowane działaniem tzw. szybkiego systemu myślenia).

Jednakże, z punktu widzenia prawa okoliczności takie są, co do zasady indyferentne i nasze zachowanie należałoby ocenić raczej jako rażącą niedbałość. Jeżeli więc dana szkoda powstała z naszej rażącej niedbałości, to tym samym jej powstanie spowodowane było niezachowaniem należytej ostrożności, jakiej od przeciętnego konsumenta można by oczekiwać w przedmiotowym zakresie i to nas, a nie bank winno obciążać owe działanie.

Pieniądze skradzione z konta w BZ WBK - phishing zmorą XXI wieku

Drugą kwestią jest natomiast to, czy mając na uwadze istniejące standardy zabezpieczeń i zdarzające się coraz częściej ataki hakerskie, w tym phisingowe, bank nie powinien zastosować standardowego systemu zabezpieczeń jakim są sms-y lub tokeny? I czy taki brak obciąża pod względem prawnym bank? To zależy, wydaje się, że raczej nie, choć być może biegły sądowy wskazałby, że przedmiotowe stanowi obecnie standard, a brak tej formy zabezpieczenia samo w sobie przesądza o rażącej niedbałości banku w zakresie zabezpieczeń?

Warto w tym miejscu wskazać, że przy ataku phishingowym na bank WBK (źródło wyborcza.biz) Sąd Okręgowy w Łodzi w wyrokach z 2013 r. uznał odpowiedzialność banku, gdy potwierdzenia transakcji dokonywane były za pomocą kodów SMS. Ocena zasadności wyroków może być różna, tym niemniej judykaty te wspierają stanowisko oszukanych klientów, w zakresie zasadności dochodzenia przez nich roszczeń od banku. Nie budzi bowiem wątpliwości, że od przestępców kwoty te nie będą możliwe – co należy stwierdzić prawie ze 100 procentową pewnością – do odzyskania.

Podając treść uzasadnienia jednego z wyroków:

Każda jednak sytuacja winna podlegać indywidualnej ocenie, najistotniejszą kwestią jest to czy:

Warto w tym miejscu zacytować Pana Adriana Latoszka, prawnika w departamencie Bankowości i Finansów Międzynarodowych warszawskiego biura CMS ,,Jednak katalog działań klienta, które mogą być uznane za jego rażące niedbalstwo, nie jest zamknięty, gdyż zmienia się wraz z rozwojem techniki i świadomości społecznej, w szczególności w obszarze bezpieczeństwa i potencjalnych zagrożeń.”

Z poglądem tym należałoby się zgodzić, jednakże nie powinniśmy tracić z oczu tego, że i bank powinien udoskonalać swe metody działania i swe systemy zabezpieczeń, mając na uwadze posiadane przez ów podmiot środki finansowe, zasoby organizacyjne, materialne, know–how.

Odpowiadając na pytania w tytule, w mojej ocenie odpowiedzialność w sytuacji, w której na opisanych warunkach pieniądze zostały skradzione z konta w BZ WBK odpowiedzialność odszkodowawcza banku mogłaby wystąpić.

Jeśli masz wątpliwości dotyczą w/w lub innego zagadnienia, możesz skonsultować się z prawnikiem. Na przykład za pomocą adresu [email protected], pod którym uzyskasz płatną poradę prawną od doświadczonych prawników.