Czy bank ponosi odpowiedzialność za phishing?

A skoro niedawno było o prostackim spamie — dziś kilka zdań o tym czy klient jest sam sobie winien jeśli pozwolił oszustowi, który uzyskał dostęp do jego konta bankowego, przelać pieniądze? Czy jednak są okoliczności, w których bank może ponosić odpowiedzialność za phishing? (wyrok Sądu Najwyższego z 18 stycznia 2018 r., V CSK 141/17).


odpowiedzialność banku phishing

Niezależnie od tego czy bank może ponosić odpowiedzialność za phishing, zawsze warto mieć głowę na karku i szeroko otwarte oczy — aby nie dać się nabrać na tak prymitywny numer jak na obrazku


Spór dotyczył odpowiedzialności banku za wyczyszczenie konta z pieniędzy przy użyciu spreparowanego systemu transakcyjnego. Podczas próby zalogowania się kobieta otrzymała komunikat o przebudowie strony, a po dwóch dniach, kiedy już udało się zalogować, na koncie brakowało 60 tys. złotych — okazało się, że 2 minuty po pierwszej (nieudanej) próbie ktoś przelał pieniądze na rachunek jakiejś spółki, a dzień później wypłacił je w gotówce. Sprawą (która była elementem większej akcji) zajęły się organy ścigania, ale chociaż podejrzanych było 134 osób, nie ustalono sprawców procederu.

Zdaniem powódki bank powinien zwrócić wyprowadzoną kwotę, ponieważ nie wychwycił, że przy phishingu wykorzystano komputer o innym adresie IP, a poza tym nie potwierdzono telefonicznie, iż zamierza ona zlecić przelew na całość zgromadzonych środków.

art. 42 ustawy o usługach płatniczych
1. Użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany:
1) korzystać z instrumentu płatniczego zgodnie z umową ramową oraz
2) zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.
2. W celu spełnienia obowiązku, o którym mowa w ust. 1 pkt 1, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego instrumentu, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym.

Sąd I powództwo oddalił, wychodząc z założenia, że nawet podwyższona staranność nie nakłada na bank obowiązku weryfikacji adresów IP, z których korzystają klienci, ani też potwierdzać zamiaru wykonania przelewu. To raczej powódce można zarzucać zachowanie niezgodne z zasadami bezpieczeństwa przy korzystaniu z bankowości elektronicznej.

Skuteczna okazała się apelacja powódki: ryzyko wypłaty z rachunku bankowego do rąk osoby nieuprawnionej (art. 725 kc) obciąża bank także w przypadku dostępu do konta przez internet, zwłaszcza, że operacja nie była autoryzowana w rozumieniu przepisów o usługach płatniczych, bo została wykonana przez osobę nieuprawnioną. Jeśli bank uważa, że klientka umyślnie doprowadziła do transakcji płatniczej lub umyślnie lub przez rażące niedbalstwo naruszyła obowiązki (art. 42 uup), to okoliczność tę musi udowodnić, a nie poprzestawać na przypuszczeniach (art. 45 uup).
Zdaniem sądu bank nieprawidłowo zabezpieczył system, skoro pozwolił na cztery nieudane próby logowania — bo już drugi błąd powinien blokadą dostępu — a przeciwnym wypadku ma obowiązek zwrócić kwotę nieautoryzowanej transakcji (art. 46 uup).

art. 45 ustawy o usługach płatniczych
1. Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy tego użytkownika.
2. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.

Sąd Najwyższy przypomniał, że uprawniony użytkownik ma obowiązek korzystać z instrumentu płatniczego zgodnie z umową, przechowywać instrument płatniczy w bezpieczny sposób oraz zgłaszać każdy incydent (utratę, kradzież, nieuprawniony dostęp). W sprawie nie jest jednak sporne, iż to nie powódka naruszyła zasady bezpieczeństwa — wszakże do przelewu z rachunku doszło wskutek popełnienia przestępstwa przez osobę trzecią, która skorzystała z niewłaściwych środków zabezpieczających stosowanych przez bank — zatem odpowiedzialność za wyprowadzenie pieniędzy ponosi bank.

Do wykazania, iż operacja była autoryzowana prawidłowo nie wystarczy użycie zarejestrowanego instrumentu płatniczego (w tym przypadku tokena, ale dotyczy to także autoryzacji przy pomocy esemesów przesyłanych na telefon klienta) — bank musi udowodnić, że istnieją inne okoliczności potwierdzające, że transakcję autoryzował płatnik, lub też, że celowo zaniedbał on swoim obowiązkom w zakresie bezpieczeństwa.

Takich dowodów bank w sprawie nie przedstawił, zatem orzeczenie sądu II instancji było prawidłowe, zatem SN oddalił skargę kasacyjną.

Q.E.D.

10 comments for “Czy bank ponosi odpowiedzialność za phishing?

  1. RYBY
    3 lipca 2018 at 08:05

    W takim razie, gdybym był bankiem, to zabrałbym wszystkim klientom możliwość zdalnego zlecania dyspozycji, to samo karty.
    Jest przecież znikoma możliwości udowodnienia, że to ktoś klient autoryzował transakcję a nie osoba trzecia.

    • mall
      3 lipca 2018 at 08:21

      I zrezygnował z oszczędności jakie daje samoobsługa? Akurat :)

      • Olgierd Rudak
        3 lipca 2018 at 09:09

        Myślę, że nawet ryzyka w tym nie ma większego, bo jednak potencjalnych sposobów na skuteczne wykazanie prawidłowej autoryzacji parę jest.

        • RYBY
          3 lipca 2018 at 15:35

          Na przykład?
          Klient zawsze może powiedzieć: to nie ja, ja byłem gdzie indziej, spałem, piłem kawę…

          • Olgierd Rudak
            3 lipca 2018 at 21:00

            Np. uprawdopodobnić może stałe korzystanie z jakiegoś adresu IP (puli adresów) — „złodziejowi” raczej trudno będzie się wstrzelić.

            Ale jeszcze lepsze jest bezwzględne stosowanie zasady „to co wiem i to co mam” (hasło na komórkę) — przyznam, że w moim ukochanym banku jest z tym kiepsko, bo potwierdzenie esemesowe przychodzi po prostu na mój numer telefonu (inna sprawa, że dodatkowe czynności niezbędne do wywołania potwierdzenia z perspektywy klientów to upierdliwość — sam tak traktuję esemesy autoryzacyjne przy transakcji kartą w sieci), nie mówiąc już o tym, że w systemie zawsze wpisuję pełne hasło, a obrazek po zalogowaniu… nie dość, że zniknął, to jest dopiero po zalogowaniu.

            • Oliwka
              3 lipca 2018 at 22:07

              Powinna być jakaś baza osobistych pytań, w końcu jest indywidualna bankowosc i cały ten private banking. Jeśli właściciel jest prawnikiem, to niech rozwiąże kazusa. Jak jest fizykiem kwantowym, to niech rozwiąże problem milenijny. Chociaż przestępczość internetowa (tzw wyjebki) to dzieło ogarniętych informatyków, a nie dresów spod bloku, więc może to nie wystarczyć…

              • Olgierd Rudak
                4 lipca 2018 at 09:46

                Tyle, że jeśli pytania miałyby być z wcześniejszej bazy („a teraz wpisz swoje pytanie kontrolne; a teraz wpisz swoją odpowiedź”), to raz, że można zapomnieć, a dwa, że taka baza też wycieka.

                Natomiast można chyba łatwo utrudnić życie na etapie logowania:
                – ID
                – galeria (rotacyjnych) obrazków, z czego tylko jeden jest mój („który twój?”)
                – hasło (ale tylko 1/3 z 10 znaków),
                – jeśli błąd, komunikat „pomyliłeś się, wypad”, bez informacji gdzie ta pomyłka

                Inna sprawa, że pewnie w ten sposób 50% użytkowników blokowałaby sobie dostęp co najmniej raz w tygodniu.

  2. Ja
    3 lipca 2018 at 22:42

    A mnie zastanawia dlaczego często I instancja odrzuca i dopiero apelacja wykazuje, że jednak klient miał rację. Nie może I instancja zrobić tego od razu?

    • Olgierd Rudak
      4 lipca 2018 at 09:54

      Zawsze może, ale zawsze — jeśli przeciwnik się odwoła — sprawa i tak będzie badana w II instancji. (A różnice zdań to w ogóle przecież norma, nie tylko w sądach.)

  3. Anonim
    18 lipca 2018 at 20:22

    Ale mydlenie oczu przez sady. Dlaczego polowa ludzi jest winna? Bo skoro dali się okraść to mieli zbyt słabe zabezpieczenia.

Dodaj komentarz

This site uses Akismet to reduce spam. Learn how your comment data is processed.