Polska

Dodanie odbiorcy zaufanego nie jest autoryzacją transakcji. Kolejny wyrok sądowy dla banku na korzyść klienta

Grzegorz Ułan
Dodanie odbiorcy zaufanego nie jest autoryzacją transakcji. Kolejny wyrok sądowy dla banku na korzyść klienta
23

Wygląda na to, że sądy w Polsce rzeczywiście podchodzą do wyłudzeń danych i kradzieży pieniędzy z kont Polaków prokonsumencko. Serwis Niebezpiecznik dotarł dziś do kolejnego wyroku sądu apelacyjnego nakazujący bankowi (mBank) zwrot skradzionych z konta klienta środków w wysokości 107 tysięcy złotych.

Dlaczego po raz kolejny piszemy o tym samym? Wydaje mi się, że warto choćby z jednego powodu - banki nigdy same z siebie nie zwracają skradzionych środków czy to w wyniku phishingu czy zbyt łatwego do odgarnięcia danych do logowania lub PIN-u do karty, choć nakazuje to obowiązujące prawo, do tego mają to zrobić w 1 dzień roboczy. Nie robią tego, bo liczą, że ten czy inny klient zwątpi i nie skieruje sprawy na drogę postępowania sądowego.

Warto więc opisywać przypadki, w których sądy stają po stronie klientów, by potencjalnie okradzeni klienci wiedzieli w jakiego typu sprawach mają w ogóle szanse w starciu z dużą korporacją i ich prawnikami przed polskimi sądami. O jaką sprawę chodzi tym razem?

Niebezpiecznik opisuje sprawę, która swój finał miała w ubiegły piątek przed Sądem Apelacyjnym w Warszawie (I ACa 431/18). Klient jednego z banków padł ofiarą ataku, w którym do przypadkowych osób wysyłano e-maila z informacją o nieodebranej przesyłce z firmy kurierskiej z załącznikiem, w którym było złośliwe oprogramowanie. Na zawirusowanym komputerze uruchomił on w przeglądarce serwis transakcyjny swojego banku, po zalogowaniu się ukazał mu się podstawiony komunikat o konieczności dodatkowego ubezpieczenia transakcji i wprowadzenia kodu z przesłanego przez bank SMS-a.

W momencie wejścia klienta na stronę któregoś z banków, które obejmowała kampania, prezentowana była strona z łatką to jest w miejscu w którym podaje się zwyczajowo dane uwierzytelniające jest wklejony obcy fragment strony, który najpierw wyłudza dane do logowania, a następnie po zalogowaniu do systemu transakcyjnego wyświetla kolejną łatkę z komunikatem, w szacie graficznej danego banku, który ma przekonać klienta by podał w następnych kroku kod z smsa, czy inne dane to jest wyłudzić newralgiczne dane – w tym wypadku była prośba o podanie kodu sms.

Przestępcy mieli więc już dane do logowania, potrzebowali jeszcze kodu z SMS-a do dodania odbiorcy zaufanego. Komunikat ten jednak wzbudził podejrzenia klienta, który dwukrotnie wylogowywał się z konta, by ominąć konieczność wprowadzenia kodu. Poddał się jednak za trzecim razem i wprowadził go pod rzeczonym komunikatem. Przestępcy dodali więc swojego odbiorcę zaufanego i następnego dnia wyprowadzili z konta klienta 107 tys. zł w czterech przelewach - 24 950 zł, 27 340 zł, 27 440 zł i 28,10 zł.

Bank z uwagi na to, że klient wykazał początkowo czujność i nie wprowadził od razu kodu z SMS-a, nie zdecydował się wyjątkowo na udowadnianie rażącego niedbalstwa klientowi, ale skupił się na fakcie, że transakcje te były autoryzowane. Sąd z tą argumentacją się nie zgodził trwając przy stanowisku, że transakcja uznana może być za autoryzowaną wyłącznie w przypadku, gdy klient wyrazi na nią świadomą zgodę.

Źródło: Niebezpiecznik.pl.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu