Klient nie odpowiada za skutki nieautoryzowanego przelewu bankowego, nawet jeśli dostrzegał, że może być ofiarą phishingu

Na tutejszych łamach czas na kolejne ciekawe orzeczenie traktujące o odpowiedzialności banku za phishing — czyli czy można się domagać zwrotu nieautoryzowanej transakcji płatniczej jeśli klient widział, że coś nie gra i chyba nawet podejrzewał, że staje się ofiarą phishingu — ale jednak potwierdził to, czego oczekiwali od niego przestępcy. Słowem: czy takie zachowanie nie jest wystarczające do przyjęcia, iż mamy do czynienia z rażącym niedbalstwem po stronie klienta banku? (nieprawomocny wyrok Sądu Okręgowego w Warszawie z 12 maja 2018 r., sygn. akt I C 566/17).


phishing zwrot nieautoryzowanej transakcji płatniczej

Ilustracja czysto ilustracyjna


Klient wystąpił przeciwko bankowi z pozwem o zwrot kwoty 107 tys. złotych tytułem nieautoryzowanych transakcji płatniczych z jego rachunku bankowego — przelewów, którymi przestępcy wyprowadzili pieniądze z jego konta.

Zaczęło się od wyświetlonego po zalogowaniu do systemu bankowości elektronicznej komunikatu (identycznego z tymi, które zwykle wyświetlał bank), w myśl którego wzrastająca ilość nieuczciwych operacji wymaga dodatkowego ubezpieczenia. Klient dwukrotnie próbował ominąć tę informację, jednak system wywołał funkcję utworzenia użytkownika zaufanego, wraz z automatycznym wysłaniem esemesa z kodem potwierdzającym („Operacja nr 3 z dn. 03-06-2015 Definicja odbiorcy i przelewu zdef. Z rach.(…) na rach. (…)”).
Ostrożny klient wylogował się z konta, ale po ponownym zalogowaniu sytuacja się powtórzyła; za trzecim razem przepisał kod, autoryzując w ten sposób operację polegającą na utworzeniu zaufanego odbiorcy zaufanego (tj. takiego, do którego wysłanie przelewu nie wymaga dodatkowego potwierdzenia).

Kolejnego dnia z jego rachunku ktoś wykonał cztery przelewy do owego zaufanego odbiorcy — operacje zostały wykonane przez „hakerów używających dane identyfikacyjne i hasło powoda pozyskane przy wykorzystaniu szpiegowskiego oprogramowania zainstalowanego na komputerze z którego korzystał powód, za pośrednictwem podstawionej witryny internetowej” (do infekcji doszło metodą „na kuriera”) — zaś pieniądze zostały przelane na rachunek należący do osoby trzeciej (zapewne słupa).
Klient dowiedział się o tych przelewach po kolejnych 5 dniach, od razu złożył w banku reklamację (nieuwzględniona), a także złożył na policji zawiadomienie o przestępstwie (postępowanie się toczy).

art. 40 ust. 1 ustawy o usługach płatniczych
Transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. (…)

Bank wniósł o oddalenie powództwa: wyłączną odpowiedzialność za operacje powinien ponosić powód, który w 100% przyczynił się do powstania szkody, a to przez to, że swoim działaniem umożliwił przestępcom kradzież środków z konta. Nie można banku obarczać odpowiedzialnością za brak należytej staranności klienta, który bezrefleksyjnie potwierdził czynność, która słusznie wzbudziła jego podejrzenia.

Sąd w znacznej mierze uwzględnił roszczenia powoda. Na banku spoczywa obowiązek zapewnienia, że indywidualne zabezpieczenia instrumentu płatniczego jakim jest internetowy system dostępu do rachunku bankowego, nie są dostępne innym osobom, niż uprawniony użytkownik (art. 43 ust. 1 pkt 1 uup) — który powinien korzystać z instrumentu w sposób zgodny z umową oraz podejmować wszelkie niezbędne środki zapobiegające naruszeniu zabezpieczeń, a także niezwłocznie zgłaszać wszelkie przypadki utraty, kradzieży, przywłaszczenia albo nieuprawnionego dostępu do instrumentu płatniczego (art. 42 ust. 1-2 uup).
Ze zgromadzonych dowodów wynika, że bank wywiązał się ze swoich obowiązków, natomiast klient — umożliwiając osobom nieuprawnionym, w sposób niezamierzony i nieświadomy dostęp do swego konta — uchybił obowiązkom wynikającym z ustawy.

art. 45 ust. 1 i 2 ustawy o usługach płatniczych
1. Na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę (…)
2. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy.

Jednakże nie oznacza to, że transakcję można uznać za autoryzowaną w rozumieniu ustawy o usługach płatniczych (art. 40 ust. 1 uup). Z okoliczności wynika, że operacje zostały wykonane wbrew wiedzy i woli powoda, zaś do utworzenia zaufanego odbiorcy doszło wskutek przestępstwa, co oznacza, iż są to transakcje nieautoryzowane (a potwierdza to natychmiastowe złożenie reklamacji i zawiadomienie organów ścigania).
Ciężar dowodu, iż operacja była autoryzowana przez klienta spoczywa na banku (art. 45 ust. 1 uup), jednak do udowodnienia tej okoliczności nie wystarczy wykazanie, iż użyto instrumentu płatniczego (art. 45 ust. 2 uup) — w takim przypadku bank musi wykazać inne okoliczności potwierdzające, że klient celowo autoryzował taką operację, albo że choćby wskutek rażącego niedbalstwa dopuścił się naruszenia choćby jednego z obowiązków określonych w art. 42 uup.

Tymczasem w ocenie sądu powód miał prawo być przekonany, że komunikat, który był identyczny jak wcześniejsze komunikaty banku, pochodzi od jego banku; a skoro próbował go dwukrotnie obejść, to oznacza, że nie podszedł do sprawy bezrefleksyjnie — jednak fakt, że informacja wracała, przekonał go o prawdziwości wiadomości. Bank nie ostrzegał wcześniej o tego rodzaju zagrożeniach ze strony cyberprzestępczości czy działaniu zorganizowanej grupy przestępczej, która uzyskuje dostęp do kont klientów. (Z przedstawionych przez stronę pozwaną dowodów nie można wnioskować kiedy i jakie dokładnie treści ostrzeżeń były publikowane przez bank — jednak kampanie informacyjne były chyba nieskuteczne, skoro nawet zawnioskowany przez bank świadek potwierdził, że ofiarą procederu było mnóstwo klientów).

W przypadku wykazania, iż operacja nie była autoryzowana przez użytkownika — bank nie wykazał żadnej okoliczności zwalniającej go z odpowiedzialności za wykonanie nieautoryzowanych dyspozycji — obowiązkiem dostawcy (banku) jest zwrócić kwoty skradzione w ten sposób (art. 46 ust. 1 uup), z pomniejszeniem jednak równowartości 150 euro, za które odpowiada klient (art. 46 ust. 2 uup, od kilku tygodni odpowiedzialność płatnika ograniczona jest do kwoty 50 euro).

Zamiast komentarza: myślę, nie da się ukryć, że obowiązujące przepisy bardzo ale to bardzo stoją po stronie klientów banków — cóż jednak przepisy, jeśli sądy wydają się jeszcze bardziej zaostrzać warunki ich ewentualnej odpowiedzialności. To jest oczywiście kwestią interpretacji, ale czy faktycznie można przyjąć, że użytkownik, który widząc, że coś nie gra, przypuszczając, że jest ofiarą phishingu, próbuje pozbyć się problemu — aż w końcu się poddaje i akceptuje utworzenie zaufanego odbiorcy — nie dopuścił się rażącego niedbalstwa? (Inna sprawa, że utworzenie takiego odbiorcy nie oznacza jeszcze akceptacji dla przelania tam wszystkich pieniędzy — przecież mogę mieć ustalonego odbiorcę w postaci operatora telefonicznego, co nie oznacza, że ktoś może przelać tam kilka tysięcy złotych.)

23 comments for “Klient nie odpowiada za skutki nieautoryzowanego przelewu bankowego, nawet jeśli dostrzegał, że może być ofiarą phishingu

  1. 11 września 2018 at 07:26

    „Inna sprawa, że utworzenie takiego odbiorcy nie oznacza jeszcze akceptacji dla przelania tam wszystkich pieniędzy — przecież mogę mieć ustalonego odbiorcę w postaci operatora telefonicznego, co nie oznacza, że ktoś może przelać tam kilka tysięcy złotych.”
    mam wrażenie, że mówimy o mbanku (treść sms + tytuł regulaminu) a tam (i nie tylko, w aliorze czy chyba eurobanku też) zdefiniowani odbiorcy mogą być zaufani (=nie trzeba przelewu dodatkowo potwierdzać) bądź nie, więc można mieć zdefiniowanego odbiorce, któremu nie przeleje się tak po prostu wszystkich pieniędzy.
    Inna sprawa, że faktczynie orzeczenie mnie aż dziwi.

  2. 11 września 2018 at 08:20

    W ten sposób hodujemy bezmózgich konsumentów, ofiary wszelkiej maści oszustów, które nic nie czytają, nic nie rozumieją i klikają wszystko, co im wyskoczy na ekranie.
    Podpisane – konsument, który wszystko czyta, a jak czegoś nie rozumie, to pyta i prawie zawsze widzi, że druga strona też nie rozumie, co sprzedaje.

    • NotteNick
      11 września 2018 at 08:39

      To Bank musi mieć pewność że to dany klient daną transakcje zleca. Może robić to na 1000 różnych sposobów, ale jak się pomyli, to sorry, ale to Bank powinien ponosic konsekwencje swojej pomyłki.

      Jeżeli jakiś Bank w swojej frywolności uzna że „słowo harcerza” jest wystarczającym zabezpieczeniem to OK, ale niech potem niech Bank ponosi odpowiedzialność, gdy ktoś tego „słowa harcerza” nadużyje. Jeżeli Bank w swojej lekkomyslnosci uznaje, że podanie kodu z SMS jest wystarczającym dla Banku dowodem, że to na pewno dany klient autoryzuje te transakcje, to OK, ale niech potem bank wezmie pełną odpowiedzialnosc jeżeli finalnie zostanie udowodnione, że to nie on to autoryzował.

      • Olgierd Rudak
        11 września 2018 at 09:21

        Co ciekawe sąd raczej nie miałby wątpliwości nawet gdyby klient sam własnoręcznie autoryzował każdy z tych 4 przelewów — bo w rozumieniu ustawy „autoryzacja” to nie proste przepisanie esemesa, lecz raczej coś w rodzaju oświadczenia, które można opisać jako „pełen świadomości swego czynu chcę wysłać pieniądze moje w kwocie x złotych na rachunek nr nn nnnn nnnn …, który należy do Państwa Kowalskich; a gdyby się okazało, że rachunek nie należy do Państwa Kowalskich, bo jakaś łachudra coś namotała, to przecież nie o to mi chodziło, więc ja teraz ten przelew zrobię, ale bank mi będzie musiał oddać (tyle, że nie samolot)”.

        Natomiast utworzenie „zaufanego” odbiorcy… Hmmm… Wychodzi na to, że faktycznie: może ja chciałem go utworzyć, ale przecież nie chciałem mu przelać (ja tego nie zrobiłem!) 107 tys. złotych!

        • Borek
          11 września 2018 at 09:59

          Lepsze jest to, że kiedyś zlecając przelew trzeba było podać oprócz rachunku odbiorcy również jego nazwę – od kilku lat wystarcza sam rachunek, przynajmniej w mbanku. Może to tylko moje wrażenie, ale to mocno uprościło nie tylko działalność oszustów, ale i tłumaczenie się banków.

          Na szczęście pomimo braku obowiązku nadal można te informacje wprowadzić, ciekawe tylko czy ma to jakiekolwiek znaczenie.

          • Olgierd Rudak
            11 września 2018 at 10:08

            Podanie innych danych nie jest już ani obowiązkowe, ani wiążące:

            art. 143 ust. 1 ustawy o usługach płatniczych
            Zlecenie płatnicze uznaje się za wykonane na rzecz właściwego odbiorcy (…) w przypadku wskazania w treści zlecenia płatniczego unikatowego identyfikatora – jeżeli zostało wykonane zgodnie z tym unikatowym identyfikatorem bez względu na dostarczone przez użytkownika inne informacje dodatkowe.

      • marcin gryszkalis
        12 września 2018 at 11:44

        Bardzo jestem ciekaw choć jednej metody autoryzacji, która zapewni że bank jest w stanie mieć „pewność” intencji klienta.

        • Olgierd Rudak
          12 września 2018 at 12:20

          Zapewne nie ma takiego, a gdyby próbował się do tego zbliżyć — klienci byliby wkurzeni utrudnieniami oraz koniecznością notorycznego odblokowywania konta po każdym przypadku próby nieuprawnionego dostępu.
          To chyba zawsze jest jakiś kompromis.

          • marcin gryszkalis
            12 września 2018 at 13:33

            Czynniki uwierzytelniające dzielimy tradycyjnie na 3 typy (coś co wiesz – np. hasło, coś co masz – np. kartę sim na którą przychodzą kody, coś czym jesteś – biometria).
            W pierwszym przypadku utrata czynnika jest trywialna (przekazanie hasła, podsłuchanie, wymuszenie podania).
            W drugim przypadku podobnie (przekazanie karty lub tokenu, kradzież).
            W trzecim – wymuszenie użycia jest proste, przekazanie komuś może nie jest trywialne, ale w przypadku gdy weryfikacja następuje zdalnie (nie osobiście), nie da się zagwarantować powiązania czynnika z czasem użycia.
            Oczywiście mimo tej wiedzy nadal tych trzech metod się używa – po pierwsze dążąc do używania kilku metod jednocześnie (stąd coraz większa popularność 2FA – „2 factor authentication”) oraz kalkulując, że ich nadużywanie jest dla przestępców nieopłacalne, zbyt ryzykowne albo nieskalowalne.

  3. Tomek
    11 września 2018 at 08:59

    Chyba czas powrócić do dodatkowej weryfikacji przy większych przelewach. Jakieś 8-9 lat temu pracownik PKO BP dzwonił i upewniał się czy faktycznie przelew został zlecony. Chodziło o przelew zlecony przez serwis internetowy i potwierdzony smsem. Kwota rzędu kilkudziesięciu tysięcy złotych.

    • Olgierd Rudak
      11 września 2018 at 09:12

      Ba, naście lat temu Citi dzwoniło do klienta po transakcji kartą płatniczą na niecałego tysiaka.

      • marcin gryszkalis
        12 września 2018 at 11:24

        Zapewne nadal dzwoni, tyle, że przez te naście lat bank zbudował na tyle kompletny profil klienta, że jest w stanie dużo lepiej ocenić jakie operacje są typowe a jakie nie – i dlatego u Ciebie wydanie 1000zł w sklepie z nożami w Czechach nie wygeneruje alertu – a u kogoś innego tak ;)

  4. matipl
    11 września 2018 at 11:34

    „cóż jednak przepisy, jeśli sądy wydają się jeszcze bardziej zaostrzać warunki ich ewentualnej odpowiedzialności.”

    jednak, 3x taka sama operacja, w różnych czasie… powinno wyskoczyć na bezpiecznikach w banku. pytanie jeszcze jak wyglądał sam atak i nagłówki. IMHO wina banku

    • Olgierd Rudak
      11 września 2018 at 11:38

      Masz rację — patrząc na sprawę przez to, że kilka razy wywołana została jakaś operacja, której najwyraźniej klient sobie nie życzył, masz 100% racji.

  5. RYBY
    11 września 2018 at 12:01

    Z komentarzy wynika taki oto obraz. Bank dał nam dostęp do konta przez internet, to niech się martwi.

    Idąc tym tropem – firma dała nam zamek do drzwi, to niech się martwi, że ja ich nie zamykam kluczem, zostawiam klucze byle gdzie, pozwalam innym korzystać z moich kluczy i włazić do mojego domu.

    Jaka to jest według Państwa komentatorów kwota, od której bank ma dzwonić do klienta po dodatkową autoryzację? 100.000zł, 10.000zł, 1000zł, a może każdą powyżej 50EUR, bo to tej odpowiada klient.
    Jak firma puszcza kilkanaście/ -dziesiąt przelewów dziennie, to chyba trzeba zatrudnić dodatkowo telefonistkę do odbierania telefonów i potwierdzania przelewów.

    • matipl
      11 września 2018 at 12:12

      Bank „zna” zachowanie swojego Klienta. I wszystko zależy od tego ile ma kasy zmagazynowanej na potencjalne pokrycie strat, aby podjąc decyzję jaką drogę wybrać – zwracać kasę, czy stworzyć dział od fraudów (lub go rozbudować).

    • Olgierd Rudak
      11 września 2018 at 13:06

      Popatrzmy na to inaczej: firma ochroniarska dała mi bezpieczny klucz do mojego domu, ale ignoruje (nie wyłapuje) sygnały, które podpowiadają, że ktoś próbuje użyć mojego klucza, by się do niego dostać.

    • NotteNick
      11 września 2018 at 14:00

      A kto ma się o to martwić? Klient?

      No to OK, ja, jako klient biorący odpowiedzialność za transakcje chce aby aby każdy przelew był autoryzowany nie SMSem ale unikalnym kodem generowanym na podstawie 4 ostatnich cyfr rachunku, a przy przelewie powyżej 1000 zł telefon z banku z potwierdzeniem, dodatkowo limit dla takich przelewów max 1 na dobę.

      A co bank powie na moje wymogi bezpieczeństwa?

      „Spadaj, leszczu masz tu kody SMS i nie marudź. Nam to wisi bo jak ktoś phishing zapuści to i tak ty za to odpowiadasz, a nie my.”

      Czy to jest fair? Bank tworzy nieskuteczne metody autoryzacji, ale to klient ponosi odpowiedzialność za ich nieskuteczność.

      Zastanówcie się, gdyby bank zamiast loginu, hasła i kodów wymagał np. tylko podania imienia kota klienta ( bo bank takie sobie zabezpieczenie wymyśli, a co, to kozacki bank jest ). Co by było gdyby ktoś zrobił nieautoryzowana transakcje? Oczywiście wina klienta, bo imię kota „wyciekło” i ktoś nim autoryzował transakcje. Wszyscy by na kliencie psy wieszali, jaki on jest nierozsądny, głupi i niekumaty, a czy nikt by nie wpadł na to, że skoro tak łatwo było te bankowe „zabezpieczenia” oszukać to może coś z bankiem a nie klientem jest nie tak?

      Tak samo jest z obecnymi zabezpieczeniami, równie łatwo jest je phishingiem obejść tak jak to przykładowe „imię kota” ale większość to klientów krytykuje, że niby nierozsądni, bo dali sie podejśç, a mało kto bank wini, że w imię wygody bezpieczeństwo kiepskie zapewnia.

      • marcin gryszkalis
        12 września 2018 at 11:21

        Nie istnieje w pełni skuteczna metoda uwierzytelnienia osoby – w szczególności zdalnej. Podobnie nie da się zabezpieczyć autoryzacji przed niefrasobliwością użytkownika. Nie jest niczym nietypowym, że klient potwierdza operację po tym jak bank do niego zadzwonił – a pół godziny później składa reklamację, że jednak zmienił zdanie.

      • RYBY
        14 września 2018 at 13:26

        Już tu kiedyś pisałem.
        Znam bank (nawet kilkanaście), w którym Klient mógł wybrać:
        autoryzacja SMS – bezpłatnie
        autoryzacja za pomocą klucza sprzętowego USB (generator potwierdzeń zabezpieczony własnym PIN-em) – koszt wydania 80zł na 3 lata.
        Ilu Klientów wybiera klucz? – mniej niż 1%
        I teraz pytanie do NotteNick:
        Ile byłbyś skłonny płacić za takie zabezpieczenie jakiego wymagasz?
        Nigdy nie zdarzyło Ci się puścić więcej niż jeden przelew na 1000zł w ciągu jednego dnia?
        Co wtedy?

  6. Żuraw
    11 września 2018 at 23:52

    Kilka dni temu zadzwonił do mnie pan z mojego banku z jakąśtam ofertą. Pogadaliśmy, OK, może być. No to pan z banku zabrał się za potwierdzanie mojej tożsamości i zaczął zadawać pytania z różnych danych wrażliwych. Odpowiedzi niestety nie dostał – dla mnie to był tylko głos w telefonie, który akurat znał moje imię i nazwisko oraz bank w którym się stołuję.
    I takie sa banki – krzyczą o ochronie danych osobowych, ale jak ktoś zadzwoni z nieznanego mi numeru i powie że jest z banku, to mam mu wszystko podać na tacy.
    No i oczywiście nie można było przesłać oferty ma m@ila.

    • Olgierd Rudak
      12 września 2018 at 12:19

      Znana i powszechnie krytykowana praktyka banków — wyciąganie danych przez telefon („celem potwierdzenia”).

  7. sjs
    12 września 2018 at 14:27

    Bardzo lubię bankowe potwierdzanie tożsamości przez zadawanie pytań na które odpowiedź zawsze brzmi „nie”.

Dodaj komentarz

This site uses Akismet to reduce spam. Learn how your comment data is processed.