Sąd: mBank musi zwrócić 100 tys. zł klientowi, który padł ofiarą phishingu, bo niedbalstwo nie było rażące

Finanse Technologie Zbrodnia i kara dołącz do dyskusji (66) 09.08.2018
Sąd: mBank musi zwrócić 100 tys. zł klientowi, który padł ofiarą phishingu, bo niedbalstwo nie było rażące

Udostępnij

Tomasz Laba

Powszechność elektronicznej bankowości sprawia, że coraz więcej przestępstw polega na wykradzeniu pieniędzy z kont użytkowników. To oznacza, że nasz wymiar sprawiedliwości coraz częściej musi zmierzyć się z kreatywnością przestępców i stanem zaawansowania technologii. Coraz częściej sądy stają w obronie ofiar przestępstw, nawet jeżeli sami przyczynili się do kradzieży.

Przed Sądem Okręgowym w Warszawie zawisła sprawa jednego z klientów banku, który padł ofiarą oszustwa, w którego efekcie stracił ponad 100 tysięcy złotych. Wszystko zaczęło się od fałszywej wiadomości e-mail (podobnej do tych, o których informujemy kilka razy w miesiącu na Bezprawniku), która po otwarciu zainstalowała na komputerze ofiary złośliwe oprogramowanie. Dalszego ciągu można łatwo się domyślić. Mężczyzna zalogował się na swoje konto w banku, upewniwszy się, że antywirus zainstalowany na komputerze działa, a połączenie jest szyfrowane.

Wtedy jego oczom ukazało się wyskakujące okienko, które informowało klientów, że ze względu na częste ataki na konta bankowe w ostatnim czasie, wszystkie transakcje są dodatkowo ubezpieczane. Oczywiście nie była to wiadomość banku, a efekt działania hackera. Złośliwe oprogramowanie zainstalowane wcześniej na jego komputerze podmieniło adres w przeglądarce, a mężczyzna w efekcie padł łupem przestępcy. Oczywiście okienko łudząco przypominało komunikaty banku. Mężczyzna dwukrotnie próbował je ominąć.

Phishing – odpowiedzialność banku tylko za rażące niedbalstwo?

Atak polegał na tym, że po zalogowaniu się na konto poprzez podmieniony link, na koncie została zainicjowana procedura ustanowienia nowego zaufanego odbiorcy (czyli takiego, do którego przelewy nie wymagają podania kodu wysyłanego przez SMS).  Mężczyzna otrzymał kod SMS, lecz go zignorował, a następnie wylogował się z konta. Po ponownym zalogowaniu sytuacja się powtórzyła, a mężczyzna ponownie postanowił się wylogować. Za trzecim razem stwierdził, że ma dość, po czym wpisał kod, który otrzymał w wiadomości SMS. Zrobił zamierzony przelew, wylogował się z konta i o sprawie zapomniał.

Operacja nr 3 z dn. 03-06-2015 Definicja odbiorcy i przelewu zdef. Z rach.:… (…) na rach.(…) h. (…) – wiadomość o takiej treści otrzymał klient na swój telefon.

Nie wiedział jednak, że właśnie do swojego konta dodał nowego zaufanego użytkownika, a zatem przelewy na ten rachunek nie wymagały dodatkowej autoryzacji. W wyniku tego stracił ponad 100 tysięcy złotych, które przestępca wyprowadził z konta w trzech przelewach. Zorientował się następnego dnia i jak najszybciej zgłosił całą sprawę na policji i oczywiście złożył reklamację w banku.

Sąd Okręgowy w Warszawie uznał, że to bank musi zwrócić klientowi środki, które stracił w wyniku tego przestępstwa. Uzasadnił to tym, że ofiara nie dopuściła się rażącego niedbalstwa.

Powód miał prawo być przekonany, iż komunikat pochodzi od banku, ponieważ był identyczny jak komunikaty dotychczas przez bank generowane, komunikat pojawił się po poprawnym zalogowaniu się powoda do serwisu transakcyjnego banku, próbował go dwukrotnie obejść, co wskazuje na okoliczność, iż nie podszedł do tej wiadomości bezrefleksyjnie, ale nieusuwalność komunikatu i każdorazowe pojawienie się przekonała go o jego wiarygodności. Nad to wiadomość sms została przesłana na numer telefonu podany przez powoda bankowi do autoryzacji transakcji. Wcześniej brak było jasnych komunikatów i ostrzeżeń ze strony banku do których z łatwością mógł dotrzeć powód ostrzegających o tych nieuczciwych i nielegalnych praktykach(…).

Bank nieskutecznie informował o phishingu

Interesujące okazały się argumenty sądu, który stwierdził, że bank owszem, o próbie oszustw ostrzegał na swojej stronie, jednak nie robił tego wystarczająco intensywnie. Informacja o próbach ataków pojawiła się w zakładce „aktualności”, co skutkowało tym, że trzeba było do tego działu specjalnie wejść. Komunikat miał nie wyświetlać się na głównej stronie. Co więcej – sąd stwierdził, że taka forma komunikacji w żaden sposób nie zdała egzaminu z uwagi na ilość ofiar tego procederu.

Zdaniem sądu o wąskiej dostępności tych komunikatów, a tym samym nieskuteczności kampanii ostrzegawczej prowadzonej przez bank, jak i o nieodosobnionym przypadku powoda, świadczy ilość osób który w ten sam sposób przekazały swoje dane i doznali szkody na skutek tego przestępczego działania, o czym świadczą zeznania świadka zawnioskowanego przez bank, który potwierdził okoliczność zintensyfikowania kampanii phising po koniec maja 2015 roku, jak i skala prowadzonego postępowania karnego.

Sąd również podkreślił, że mężczyzna nie był osobą e-wykluczoną, która pierwszy raz w życiu korzystała z internetowego dostępu do konta bankowego. Wręcz przeciwnie, okazał się świadom ryzyka i niebezpieczeństw związanych z taką formą bankowości.

Powód nie informował nikogo o swoim loginie ani haśle do konta. Nie korzystał z opcji zapamiętywania hasał. Był uczulony na sprawdzenie przez zalogowaniem się do bankowości internetowej czy połączenie jest szyfrowanego, o co uczulał również swoją małżonkę w przypadku korzystania przez nią z tego rodzaju usług banku. Ponad to powód logował się z komputera zainstalowanego w Instytucie (…) z komputera posiadającego legalne oprogramowanie oraz aktywny i aktualny program antywirusowy.

Najwyższy czas, aby banki przestały przerzucać odpowiedzialność na klientów

Ostatecznym argumentem przemawiającym za takim werdyktem było to, że bank w żadnym stopniu nie udowodnił tego, że klient dopuścił się rażącego niedbalstwa.

Pozwany nie wykazał w toku postępowania, by powód umyślnie czy wskutek rażącego niedbalstwa naruszył któryś z obowiązków o których mowa w art. 42 ustawy, a w szczególności poprzez udostępnienie instrumentu płatniczego osobom nieuprawnionym, bowiem jego działanie które doprowadziło do zdefiniowania osoby na której zostały przelane środki z konta powoda nie było działaniem umyślnym, a niezamierzonym i nieświadomym, co wskazuje na niedbalstwo jednak w żadnym wypadku nie w stopniu rażącym.

To kontrowersyjny wyrok, chociaż moim zdaniem tylko pozornie. Nie zgadzam się z argumentami, które podnosi spora część komentujących wyrok. Nie uważam, aby korzystanie z bankowości elektronicznej musiało iść w parze z nadzwyczajnymi umiejętnościami oraz wiedzą dotyczącą informatyki, IT czy bezpieczeństwa informatycznego. To po stronie banku leży obowiązek takiego zaprojektowania systemu, aby ten był tak bezpieczny, jak to tylko możliwe. Oczywiście każde zabezpieczenia da się obejść, a klienci banków powinni być świadomi ryzyka związanego z korzystaniem z najnowszych technologii. Nie można jednak przerzucać na nich całej odpowiedzialności za to, że przestępcom udało się obejść bankowe zabezpieczenia. Nie mam najmniejszych wątpliwości, że to potrzebny wyrok. Mam nadzieję, że zmotywuje banki do bardziej uważnego podchodzenia do kwestii bezpieczeństwa. No i oczywiście nie należy zapominać, że wyrok jest nieprawomocny.