Klient domagał się od banku ponad 178 000 zł, które zniknęły z jego konta po ataku hakerskim wykonanego przez nieokreślonych sprawców z zagranicy. Pieniądze zaczęły opuszczać konto bez jego zezwolenia czy udziału.
Klient ten, padł ofiarę hakerów, którzy podszyli się pod internetową stronę banku. Po zalogowaniu się na swoje konto, powód ujrzał komunikat dotyczący konieczności zainstalowania aplikacji w swoim smartfonie, celem podniesienia bezpieczeństwa. Sprawcy uzyskali w ten sposób dostęp do loginu i hasła powoda, a następnie przejmowali SMS-sy, które w miały akceptować kolejne wykonywane przez nich zlecenia na konta osób podstawionych. Osoby te wypłacały środki z rachunku powoda na wskazane przez hakerów konta, działając w przekonaniu, że uczestniczą w legalnych transakcjach związanych z wykonywaniem pracy, m.in. na obszarze Ukrainy.
Sąd Okręgowy ustalił, że 8 października 2013 r. z rachunku powoda w pozwanym banku wyprowadzono kwotę 239 566 zł. Tylko jeden przelew, na kwotę 19948 zł, nie został zrealizowany z przyczyn technicznych. Ilość i wysokość dokonywanych przelewów doprowadziła do tego, że do powoda jeszcze tego samego dnia zadzwonił pracownik pozwanego banku, celem ich potwierdzenia. Pozwany bank szybko skontaktował się z Bankiem, który prowadził rachunki, na które środki z konta powoda zostały przelane, dzięki czemu część pieniędzy wróciła na konto klienta. Niestety, pozostałych środków nie zdołano odzyskać.
Gratulacje! Wygrałeś I-Phone!
Phishing, to przedstawiony powyżej, coraz popularniejszy typ oszustwa internetowego. Polega na podstępnym wyłudzeniu poufnych danych użytkownika, skutkującym np. kradzieżą haseł czy numerów kart kredytowych. Ataki te mogą przybrać przeróżne kształty, takie jak wyskakujące komunikaty dot. wygranych nagród, zablokowania/utraty konta, chęci poprawy zabezpieczeń przed hakerami. Mogą skupiać się na konkretnej jednostce, bądź obejmować wielką skalę osób, tak jak w przypadku akcji w 2014 roku, kiedy to utworzono fałszywszą stronę internetową, łudząco podobną do oficjalnej strony FIFA. Na stronie można było podpisać petycję w obronie Luisa Alberta Suareza, gwiazdy urugwajskiej drużyny narodowej. W celu jej podpisania niezbędnym było podanie imienia, kraju, numeru telefonu i adresu e-mail.
Bank: autoryzacja przebiegła pomyślnie
Na reklamację złożoną przez klienta banku udzielono odpowiedzi negatywnej z tego powodu, że zlecenia przelewów były składane przy użyciu loginu, hasła, kodów dostępu oraz jednorazowych SMS-ów. Z punktu widzenia banku były więc właściwie autoryzowane. Pozwany bank podnosił także, że klient naruszył ponadto łączącą strony umowę, dzieląc się danymi ze swoją małżonką, która zajmowała się wykonywaniem tego rodzaju przelewów. Konieczne było jednak wykazanie, że autoryzacji dokonał klient, albo że z winny umyślnej albo rażącego niedbalstwa się do tego przyczynił. Żadna z tych okoliczności nie została jednak wykazana.
Sąd orzekł, że nie wystąpiła żadna z sytuacji opisanych w art. 46 ust. 3 ustawy o usługach płatniczych, i nie dopatrzył się po stronie powoda winy umyślnej lub rażącego niedbalstwa przy wykonaniu polecenia (tj. instalacji aplikacji), które zasadnie uznał za pochodzące od banku, lub rażącego niedbalstwa albo przyczynienia się przez powoda do utraty spornych środków (w przypadku zarzutu podania swoich danych małżonce).
Art. 46. 3. Płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 (Użytkownik jest obowiązany korzystać z instrumentu płatniczego zgodnie z umową ramową oraz zgłaszać niezwłocznie dostawcy utratę, kradzież, przywłaszczenie albo nieuprawnione użycie tego instrumentu).
Dodatkowo należy zauważyć, że przez częściowe przywrócenie środków na rachunek pozwany bank w tym zakresie uznał swoją odpowiedzialność z art. 46 ust. 1 powołanej ustawy – pomimo tego, że wszystkie przelewy zostały zrealizowane na podstawie prawidłowego loginu, hasła oraz kodu SMS.
Autoryzacja przez hakera?
Podstawowe znaczenie dla sprawy miało poprawne ustalenie, że żaden z tych przelewów nie był autoryzowany przez powoda jako płatnika w rozumieniu ustawy. Autoryzowanie transakcji, na podstawie art. 40 ust. 1 ustawy, musi pochodzić od płatnika – czyli użytkownika rachunku bankowego, a nie osoby, której udało się zdobyć jej dane.
Art. 40. 1. Transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych.
Powód natomiast nie wyraził zgody na przelewy w wyniku których stracił pieniądze. Nie było również podstaw do uznania, że małżonka powoda udostępniła poufne dane osobom trzecim, a tym bardziej hakerom. Z tego względu, Sąd Okręgowy zobligował pozwany bank do zwrotu wymaganej sumy, a Sąd Apelacyjny oddalił apelację wniesioną przez pozwanego.
Zachęcamy do zapoznania się z naszą ofertą: jak odzyskać skradzione pieniądze z konta?