Sąd: mBank musi zwrócić 100 tys. zł klientowi, który padł ofiarą phishingu, bo niedbalstwo nie było rażące

Przed Sądem Okręgowym w Warszawie zawisła sprawa jednego z klientów banku, który padł ofiarą oszustwa, w którego efekcie stracił ponad 100 tysięcy złotych. Wszystko zaczęło się od fałszywej wiadomości e-mail (podobnej do tych, o których informujemy kilka razy w miesiącu na Bezprawniku), która po otwarciu zainstalowała na komputerze ofiary złośliwe oprogramowanie. Dalszego ciągu można łatwo się domyślić. Mężczyzna zalogował się na swoje konto w banku, upewniwszy się, że antywirus zainstalowany na komputerze działa, a połączenie jest szyfrowane.

Wtedy jego oczom ukazało się wyskakujące okienko, które informowało klientów, że ze względu na częste ataki na konta bankowe w ostatnim czasie, wszystkie transakcje są dodatkowo ubezpieczane. Oczywiście nie była to wiadomość banku, a efekt działania hackera. Złośliwe oprogramowanie zainstalowane wcześniej na jego komputerze podmieniło adres w przeglądarce, a mężczyzna w efekcie padł łupem przestępcy. Oczywiście okienko łudząco przypominało komunikaty banku. Mężczyzna dwukrotnie próbował je ominąć.

Phishing - odpowiedzialność banku tylko za rażące niedbalstwo?

Atak polegał na tym, że po zalogowaniu się na konto poprzez podmieniony link, na koncie została zainicjowana procedura ustanowienia nowego zaufanego odbiorcy (czyli takiego, do którego przelewy nie wymagają podania kodu wysyłanego przez SMS).  Mężczyzna otrzymał kod SMS, lecz go zignorował, a następnie wylogował się z konta. Po ponownym zalogowaniu sytuacja się powtórzyła, a mężczyzna ponownie postanowił się wylogować. Za trzecim razem stwierdził, że ma dość, po czym wpisał kod, który otrzymał w wiadomości SMS. Zrobił zamierzony przelew, wylogował się z konta i o sprawie zapomniał.

Nie wiedział jednak, że właśnie do swojego konta dodał nowego zaufanego użytkownika, a zatem przelewy na ten rachunek nie wymagały dodatkowej autoryzacji. W wyniku tego stracił ponad 100 tysięcy złotych, które przestępca wyprowadził z konta w trzech przelewach. Zorientował się następnego dnia i jak najszybciej zgłosił całą sprawę na policji i oczywiście złożył reklamację w banku.

Sąd Okręgowy w Warszawie uznał, że to bank musi zwrócić klientowi środki, które stracił w wyniku tego przestępstwa. Uzasadnił to tym, że ofiara nie dopuściła się rażącego niedbalstwa.

Bank nieskutecznie informował o phishingu

Interesujące okazały się argumenty sądu, który stwierdził, że bank owszem, o próbie oszustw ostrzegał na swojej stronie, jednak nie robił tego wystarczająco intensywnie. Informacja o próbach ataków pojawiła się w zakładce "aktualności", co skutkowało tym, że trzeba było do tego działu specjalnie wejść. Komunikat miał nie wyświetlać się na głównej stronie. Co więcej - sąd stwierdził, że taka forma komunikacji w żaden sposób nie zdała egzaminu z uwagi na ilość ofiar tego procederu.

Sąd również podkreślił, że mężczyzna nie był osobą e-wykluczoną, która pierwszy raz w życiu korzystała z internetowego dostępu do konta bankowego. Wręcz przeciwnie, okazał się świadom ryzyka i niebezpieczeństw związanych z taką formą bankowości.

Najwyższy czas, aby banki przestały przerzucać odpowiedzialność na klientów

Ostatecznym argumentem przemawiającym za takim werdyktem było to, że bank w żadnym stopniu nie udowodnił tego, że klient dopuścił się rażącego niedbalstwa.

To kontrowersyjny wyrok, chociaż moim zdaniem tylko pozornie. Nie zgadzam się z argumentami, które podnosi spora część komentujących wyrok. Nie uważam, aby korzystanie z bankowości elektronicznej musiało iść w parze z nadzwyczajnymi umiejętnościami oraz wiedzą dotyczącą informatyki, IT czy bezpieczeństwa informatycznego. To po stronie banku leży obowiązek takiego zaprojektowania systemu, aby ten był tak bezpieczny, jak to tylko możliwe. Oczywiście każde zabezpieczenia da się obejść, a klienci banków powinni być świadomi ryzyka związanego z korzystaniem z najnowszych technologii. Nie można jednak przerzucać na nich całej odpowiedzialności za to, że przestępcom udało się obejść bankowe zabezpieczenia. Nie mam najmniejszych wątpliwości, że to potrzebny wyrok. Mam nadzieję, że zmotywuje banki do bardziej uważnego podchodzenia do kwestii bezpieczeństwa. No i oczywiście nie należy zapominać, że wyrok jest nieprawomocny.