24

Dodanie odbiorcy zaufanego nie jest autoryzacją transakcji. Kolejny wyrok sądowy dla banku na korzyść klienta

Wygląda na to, że sądy w Polsce rzeczywiście podchodzą do wyłudzeń danych i kradzieży pieniędzy z kont Polaków prokonsumencko. Serwis Niebezpiecznik dotarł dziś do kolejnego wyroku sądu apelacyjnego nakazujący bankowi (mBank) zwrot skradzionych z konta klienta środków w wysokości 107 tysięcy złotych.

Dlaczego po raz kolejny piszemy o tym samym? Wydaje mi się, że warto choćby z jednego powodu – banki nigdy same z siebie nie zwracają skradzionych środków czy to w wyniku phishingu czy zbyt łatwego do odgarnięcia danych do logowania lub PIN-u do karty, choć nakazuje to obowiązujące prawo, do tego mają to zrobić w 1 dzień roboczy. Nie robią tego, bo liczą, że ten czy inny klient zwątpi i nie skieruje sprawy na drogę postępowania sądowego.

Warto więc opisywać przypadki, w których sądy stają po stronie klientów, by potencjalnie okradzeni klienci wiedzieli w jakiego typu sprawach mają w ogóle szanse w starciu z dużą korporacją i ich prawnikami przed polskimi sądami. O jaką sprawę chodzi tym razem?

Niebezpiecznik opisuje sprawę, która swój finał miała w ubiegły piątek przed Sądem Apelacyjnym w Warszawie (I ACa 431/18). Klient jednego z banków padł ofiarą ataku, w którym do przypadkowych osób wysyłano e-maila z informacją o nieodebranej przesyłce z firmy kurierskiej z załącznikiem, w którym było złośliwe oprogramowanie. Na zawirusowanym komputerze uruchomił on w przeglądarce serwis transakcyjny swojego banku, po zalogowaniu się ukazał mu się podstawiony komunikat o konieczności dodatkowego ubezpieczenia transakcji i wprowadzenia kodu z przesłanego przez bank SMS-a.

W momencie wejścia klienta na stronę któregoś z banków, które obejmowała kampania, prezentowana była strona z łatką to jest w miejscu w którym podaje się zwyczajowo dane uwierzytelniające jest wklejony obcy fragment strony, który najpierw wyłudza dane do logowania, a następnie po zalogowaniu do systemu transakcyjnego wyświetla kolejną łatkę z komunikatem, w szacie graficznej danego banku, który ma przekonać klienta by podał w następnych kroku kod z smsa, czy inne dane to jest wyłudzić newralgiczne dane – w tym wypadku była prośba o podanie kodu sms.

Przestępcy mieli więc już dane do logowania, potrzebowali jeszcze kodu z SMS-a do dodania odbiorcy zaufanego. Komunikat ten jednak wzbudził podejrzenia klienta, który dwukrotnie wylogowywał się z konta, by ominąć konieczność wprowadzenia kodu. Poddał się jednak za trzecim razem i wprowadził go pod rzeczonym komunikatem. Przestępcy dodali więc swojego odbiorcę zaufanego i następnego dnia wyprowadzili z konta klienta 107 tys. zł w czterech przelewach – 24 950 zł, 27 340 zł, 27 440 zł i 28,10 zł.

Bank z uwagi na to, że klient wykazał początkowo czujność i nie wprowadził od razu kodu z SMS-a, nie zdecydował się wyjątkowo na udowadnianie rażącego niedbalstwa klientowi, ale skupił się na fakcie, że transakcje te były autoryzowane. Sąd z tą argumentacją się nie zgodził trwając przy stanowisku, że transakcja uznana może być za autoryzowaną wyłącznie w przypadku, gdy klient wyrazi na nią świadomą zgodę.

Źródło: Niebezpiecznik.pl.