Nieautoryzowane transakcje: Skuteczny atak hakerów jest możliwy mimo zainstalowania programu antywirusowego.

Warto wiedzieć, że złośliwe oprogramowanie jest systematycznie ulepszane i istnieją nawet programy, które po zainfekowaniu naszego komputera, samoczynnie się usuwają, co uniemożliwia ich wykrycie przez pogramy antywirusowe. Zdaniem jednak Sądu Okręgowego w Łodzi to bank powinien stworzyć na tyle pewny i bezpieczny system płatniczy, by wyeliminować możliwość dostępu do rachunku dla osób trzecich.    

Źródło: Wyrok Sądu Okręgowego w Łodzi z dnia 02 maja 2017 r., sygn. akt III Ca 43/17

W niniejszej sprawie ustalono, że komputer poszkodowanej klientki banku nie został zainfekowany złośliwym oprogramowaniem (malware), a mimo to doszło do przełamania zabezpieczeń rachunku i nieautoryzowanego wytransferowania środków pieniężnych na rachunek przestępcy (rachunek fraudowy).

Poszkodowana dokonała kilku nieudanych prób zalogowania się do systemu bankowości elektronicznej swojego banku. Na ekranie komputera pojawił się komunikat dotyczący ubezpieczenia kart klientów wymuszając zaakceptowanie informacji celem wykonania dalszych czynności. Jak ustalono w toku sprawy komunikat ten nie był  komunikatem przesłanym przez pozwany bank. Następnego dnia kolejne logowania również okazały się bezskuteczne, gdyż po wyświetleniu się strony banku ekran komputera zaczął emitować białe światło, co skutkowało tym, że dalsza praca była niemożliwa, a komputer nie odpowiadał na żadne komendy użytkownika i konieczne było jego ręczne wyłączenie.

Poszkodowana niezwłocznie zgłosiła to zdarzenie pozwanemu telefonicznie za pomocą infolinii i została poinformowana, że nie stwierdzono żadnego zagrożenia.

W wyniku dokonania nieautoryzowanej operacji środki poszkodowanej zostały przekazane najpierw na rachunek jej małoletniego syna, a następnie na rachunek nieznanego odbiorcy. Powyższe operacje nie wymagały potwierdzenia hasłem przekazywanym wiadomością SMS, ponieważ syn poszkodowanej miał status odbiorcy zdefiniowanego, a przed wykonaniem operacji nastąpiła autoryzacja przelewu zdefiniowanego. Co najważniejsze przedmiotowej autoryzacji nie dokonała poszkodowana.

Pozwany bank odmówił jednak poszkodowanej zwrotu utraconej kwoty pieniężnej, twierdząc, że w należyty i właściwy sposób chroni swoich klientów, a poszkodowana swoim zachowaniem (naruszenie zasad związanych z dbaniem o bezpieczeństwo wykonywanych operacji) doprowadziła do wyjścia środków pieniężnych z należącego do niej rachunku bankowego na rachunek osoby trzeciej.

Zarówno Sąd I instancji, jak i Sąd II instancji nie uznały argumentacji pozwanego banku. Sąd Okręgowy stwierdził, że bank wbrew własnym zapewnieniom nie zagwarantował powódce odpowiedniego stopnia bezpieczeństwa odnośnie przechowywanych przez nią na rachunku środków finansowych.

Sąd stwierdził równie, że to bank powinien stworzyć pewny i bezpieczny system płatniczy, eliminujący możliwość dostępu dla osób nieuprawnionych. W niniejszej sprawie bank, mimo posiadanych zasobów personalnych i rzeczowych, nie sprostał jednak temu zadaniu, wobec czego za niedopuszczalną należało uznać następczą próbę przerzucenia odpowiedzialności na powódkę. Po jej stronie nie wystąpiły bowiem żadne uchybienia ani wadliwości, za czym przemawia też jej szybka reakcja, sprowadzająca się do niezwłocznego powiadomienia banku i policji o „wyczyszczeniu” jej konta.

Adwokat przy Izbie Adwokackiej w Katowicach. Członek Sekcji Praktyków Prawa  Okręgowej Rady Adwokackiej w Katowicach, Sekcja Prawa Cywilnego i Postępowania Cywilnego. Absolwent Wydziału Prawa i Administracji Uniwersytetu Śląskiego w Katowicach oraz Wydziału Nauk Społecznych Uniwersytetu Śląskiego w Katowicach. .

telefon: +48 503 891 164
e-mail: r.kirsch@pirozek.pl

Więcej artykułów