Czy bank ponosi odpowiedzialność za wyczyszczenie rachunku klienta przez oszusta — jeśli klient nie reagował na niepokojące esemesy wysyłane z systemu?

Tutejsze łamy pełne są opisów orzeczeń przesądzających o odpowiedzialności banku za włamanie na konto klienta będące efektem phishingu, socjotechniki lub innych sprytnych zabiegów. Dziś zatem kolejny ciekawy przypadek: czy zignorowanie ostrzeżeń przez klienta banku, który dostaje esemesy informujące go o nieznanych operacjach, może być potraktowane jako naruszenie ustawowych obowiązków? Czy bank będzie odpowiadał za utratę pieniędzy klienta, jeśli nie doszło do włamania do systemu? Czy bank ma obowiązek profilowania użytkowników i reagowania w przypadku niestandardowej operacji? Czy ewentualne uchylenie się od odpowiedzialności przez bank może wynikać z faktu, że użytkownik bankowości elektronicznej korzysta z darmowego programu antywirusowego, który być może nie jest tak dobry jak płatny? (wyrok Sądu Apelacyjnego w Warszawie z 30 sierpnia 2018 r., sygn. akt VI ACa 509/17).


Zignorowanie ostrzeżeń klienta banku

Zignorowanie ostrzeżeń przez klienta banku może skutkować jego odpowiedzialnością za wyczyszczenie jego konta z pieniędzy — bank nie może ponosić konsekwencji za niefrasobliwość swoich klientów


Spór dotyczył odpowiedzialności banku za wyprowadzenie pieniędzy z rachunku firmowego klienta (łącznie 7 przelewów na kwotę 137 tys. złotych).

Feralnego dnia nieznany sprawca zalogował się na konto klienta i złożył dyspozycję utworzenia nowego szablonu odbiorcy; klient otrzymał esemesa autoryzacyjnego, ale zignorował go, bo uznał, iż jest to codzienna informacja o saldzie konta; kodu nie użył i nikomu nie przekazał — a jednak hasło zostało wykorzystane do wykonania operacji. Po kilkunastu minutach klient sam zalogował się do banku i wykonał zaplanowane przez siebie operacje (co ciekawe korzystał z tego samego adresu IP co oszust). Kilka godzin później zaczęła się operacja wyprowadzania środków do zdefiniowanego odbiorcy (oszust najprawdopodobniej raz się pomylił, bo klient dostał esemesa z kodem do autoryzacji przelewu, ale znów go zignorował).

Klient zauważył, że z jego rachunku zginęły pieniądze dopiero wieczorem, zatem złożył reklamację w banku i zawiadomienie o popełnieniu przestępstwa — bank reklamację odrzucił wskazując, że nie ponosi odpowiedzialności za skutki korzystania z zainfekowanego komputera, zaś przeciwko beneficjentowi przelewów (najprawdopodobniej był to słup) wniesiono akt oskarżenia z art. 278 par. 1 kk.

art. 42 ust. 1-2 ustawy o usługach płatniczych (w brzmieniu aktualnym)
1. Użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany:
1) korzystać z instrumentu płatniczego zgodnie z umową ramową oraz
2) zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.
2. W celu spełnienia obowiązku, o którym mowa w ust. 1 pkt 1, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym.

Sąd zauważył, iż żadna z operacji nie polegała na przełamaniu zabezpieczeń systemu bankowego, zaś wszystkie logowania odbywały się z użyciem jego osobistego ID i hasła — co oznacza, iż bankowi nie można zarzucać naruszenia obowiązków w zakresie bezpieczeństwa zgromadzonych środków (art. 43 ust. 1 pkt 1 uup, art. 50 ust. 2 pr.bank.), a przynajmniej powód nie udowodnił okoliczności pozwalających przypisać ową odpowiedzialność (art. 46 ust. 3 uup). Odpowiedzialności banku nie można wywieść także z faktu, że nie zablokował automatycznie dostępu do konta ze względu na niestandardowe operacje — owszem, poszkodowany nigdy nie zlecał ani ustanowienia zaufanych odbiorców, ani przelewów natychmiastowych, ale już nie potwierdził się jego zarzut, że nigdy wcześniej suma dziennych przelewów nie przekraczała 20 tys. złotych (zwłaszcza, że łączne miesięczne obroty na rachunku sięgały kilku milionów).

W konsekwencji oznacza to, że to powód nie wywiązał się z obowiązków nieudostępnienia instrumentu płatniczego osobom nieuprawnionym i nie podjął niezbędnych kroków w celu przeciwdziałania naruszeniom bezpieczeństwa urządzeń, przy użyciu których logował się do banku. Sąd negatywnie ocenił korzystanie z bezpłatnego programu antywirusowego („taki rodzaj programów, niezależnie od tego iż nie jest przeznaczony dla firm, to nie zapewnia należytej ochrony antyphishingowej i antywirusowej”) a także to, że powód potrafił nic powiedzieć o systemach antyspamowych i zaporze firewall (obowiązek stosowania takich zabezpieczeń nakładał nań regulamin bankowy), a komputer przechowywał w pracy, czyli miejscu, gdzie dostęp do sprzętu miało wiele osób. Za okoliczność obciążającą uznano także także to, że kwartał później sprzedał komputer i tablet, z którego korzystał feralnego dnia, co uniemożliwiło zbadanie sprzętu — zaś niezależnie od tego, że nie ustalono w jaki sposób sprawca użył tego samego adresu IP i w jaki sposób uzyskał dostęp do („doskonale zabezpieczonej”, jak ocenił biegły) komórki powoda, to jednak bank nie może ponosić odpowiedzialności za transakcje wykonane zgodnie z ustalonymi procedurami.

art. 45 ust. 1 i 3 ustawy o usługach płatniczych (w brzmieniu aktualnym)
1. Na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej.
2. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy.

To raczej klient wykazał się dużą niefrasobliwością: zignorował otrzymane esemesy, chociaż ich treść powinna wzbudzić jego podejrzenia — gdyby zawiadomił bank o podejrzanych komunikatach (taki obowiązek wynika z art. 42 ust. 1 pkt 2 uup), może udałoby się je zablokować, a co najmniej rozważać odpowiedzialność banku za zaniedbania.

Sąd stwierdził, że brak dowodu na przełamanie zabezpieczeń bankowych pozwala na ustalenie, iż nie doszło do „włamania” do systemu po stronie banku — zaś bank nie ma obowiązku zapewnienia zabezpieczeń indywidualnych dla systemów komputerowych płatników oraz do analizy danych wychodzących z komputerów klientów pod kątem działań przestępczych — takich powinności nie nakłada nań ani prawo bankowe, ani ustawa o usługach płatniczych, ani też nie można ich wywieść z art. 355 par. 2 kc.

Finalnie oznacza to, że pozwany bank skutecznie — zgodnie z zasadami rozkładu ciężaru dowodów wynikających z art. 45 uup — wykazał, iż to powód autoryzował utworzenie nowego szablonu płatności (skutek dla kolejnych przelewów wynikał z art. 40 ust. 1 uup), co wyklucza zarówno odpowiedzialność ex contractu (art. 471 kc), jak i ex delicto (art. 415 kc), zatem powództwo zostało oddalone w całości.

Zamiast komentarza: rzecz jasna wyrok jest prawidłowy, zaś to, co można odbierać za niuans — bank musi przeciwdziałać włamaniom do własnego systemu, ale nie może odpowiadać za skutki ew. włamania na sprzęt klienta lub innego nieuprawnionego użycia instrumentu po stronie klienta — wcale niuansem nie jest.
Najważniejszy jednak morał brzmi: nie olewajcie dziwnych komunikatów, nawet jeśli wydają się absurdalne — zignorowanie ostrzeżeń przez klienta banku może oznaczać faktyczne przejęcie odpowiedzialności za takie oszustwo (inna sprawa, że mnie i tak zastanawia użycie tego samego adresu IP zakończenia sieci — co może wskazywać, że przekrętu dopuścił się jakiś insider).

20
Dodaj komentarz

avatar
9 Comment threads
11 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
najnowszy najstarszy
Powiadom o
ja
Gość
ja

Zarzut korzystania z bezpłatnego programu antywirusowego jest śmieszny. No ale na szczęście nie był chyba decydujący dla rozstrzygnięcia sprawy.

ja
Gość
k3iran
Gość

Absurd goni absurd. Facet, który autoryzuje dodanie odbiorcy zaufanego nie jest winny rażącego niedbalstawa (z innego orzeczenia) i wygrywa z bankiem. Facet, który dostaje informację o nieudanym logowaniu i nie zgłasza jej do banku, a potem traci pieniądze bez swojego udziału przegrywa z bankiem.

ajax
Gość
ajax

Przeczytaj uważnie wszystko. Prawo jest dla starannych, a te sprawy ewidentnie się różnią.

Anonimowo
Gość
Anonimowo

„taki rodzaj programów, niezależnie od tego iż nie jest przeznaczony dla firm, to nie zapewnia należytej ochrony antyphishingowej i antywirusowej” – ciekawe czy można podać sąd do sądu za rozpowszechnianie fałszywych twierdzeń i oczernianie firmy produkującej takie oprogramowanie?

A dwa – facet, który – jak mi wynika z opisu – nie ma zielonego pojęcia o informatyce, a do tego obraca milionami poskąpił na informatyka, który zabezpieczyłby mu system i laptopa. Nauka kosztuje.

matipl
Gość

Chciałoby się powiedzieć „Citi” i wszystko jasne.
Niektóre banki posiadają pewne zabezpieczenia, aby weryfikować innymi sposobami czy to ta sama osoba.
Argument z tym samym adresem IP jest niesamowicie śmieszny. Jestem ciekaw na jakim etapie Citi gromadzi te dane?
Bo i adres można ofiary łatwo wydobyć, a również mowa i sieci firmowej, czyli działają za NATem. Do tego mowa, że przestępca posługiwał się loginem i hasłem ofiary…
Można podejrzewać, że to też był phishing tylko miał słabego prawnika, który nie potrafił poprzeć argumentów klienta banku. Szkoda.

kjonca
Gość
kjonca

Trochę to straszne. Nie używam żadnego programu antywirusowego. Firewall tylko wbudowany w system. Ciekawe co by bank powiedział jakby mi kasa zginęła …

mp
Gość
mp

Czyli, że używając komputera obowiązkowo muszę mieć oprogramowanie antywirusowe?
Nawet używając systemu Linux?

Łał
Gość
Łał

Witam. Od wielu lat zajmuję się tematyką etycznego hackingu , kryptografii, kryptoanalizy, inżynierii wstecznej, programowania i ogólnie pojętego cyberbezpieczeństwa (choć nazwę uważam za komiczny potworek, al niech tam, przyjęła się…). Mam zamiar wypowiedzieć się jedynie w kwestii programów antywirusowych i ich wpływu na bezpieczeństwo. Generalizując w rękach niewprawnego i nieobeznanego z IT użytkownika, klikającego w co popadnie, to poprawiają one bezpieczeństwo. Wystarczy jednak bardziej świadomy użytkownik i program staje się zbędny, wręcz obniża bezpieczeństwo systemu. Postaram się w paru uproszczeniach to przekazać. Po pierwsze paradoksalnie bezpieczeństwo nie jest priorytetem podczas tworzenia kodu takich programów. Same programy antywirusowe (w zasadzie każdy)… Czytaj więcej »

Karramba
Gość
Karramba

Łał, czy polecasz zainstalować dziadkom Cubes OS zamiast Elementary OS?

Anonimowo
Gość
Anonimowo

„Witam. Od wielu lat zajmuję się” – popieram „Łał, czy polecasz zainstalować dziadkom” – dziadkom polecam zainstalować to, z czym dadzą sobie radę. Prezesom polecam albo naukę albo zatrudnienie kogoś, kto się zna. „jakbym chciał, żeby u klienta wszystko było super-zabezpieczone, na każdym stanowisku byłby Linux,” – fakt. Ale można to wypośrodkować, firewall z analizą pakietów i aktywnym blokowaniem ataków na linuxie, jako bramę, kontakt do internetu spoza firmy wyłącznie przez NAT, zablokowanie portów podatnych na ataki i pracownicy mogą sobie mieć windowsy. Najwyżej zaszyfruje im komputer, to się odtworzy z kopii i tyle. Ostatnio miałem do czynienia z sytuacją,… Czytaj więcej »