info:Jeśli macie déjà vu to nie bez powodu. W Polsce zapadł kolejny wyrok mówiący, że bank musi zwrócić pieniądze ofierze phishingu. Nawet bowiem, jeśli ofiara sama podała przestępcom dane dostępowe do konta to nie można tylko na tej podstawie założyć, że było to “rażąco niedbałe” działanie klienta banku.
W czerwcu tego roku pisaliśmy o tym, że w Polsce banki notorycznie lekceważą przepisy dotyczące nieautoryzowanych transakcji płatniczych. Prawo jest skonstruowane tak, że każda transakcja dokonana przez osobę nieupoważnioną jest transakcją nieautoryzowaną. Co więcej za transakcje nieautoryzowane odpowiada bank. Tej odpowiedzialności bank może uniknąć tylko wówczas, kiedy ofiara dopuściła się tzw. “rażącego niedbalstwa”, ale uwaga! Rażącym niedbalstwem nie jest podłapanie wirusa albo nabranie się na phishing. Rażącym niedbalstwem będzie np. dawanie hasła innej osobie przy pełnej świadomości, że jest to naruszenie zasad.
Banki nie przejmują się tak sformułowanymi przepisami. Po prostu odmawiają zwrotu pieniędzy, zarzucają klientowi rażące niedbalstwo i tyle. Nie tłumaczą swoich decyzji i nie bawią się w analizę sytuacji. Skąd my to znamy?
Oczywiście klient może iść do sądu. Wielu tego nie robi, bo przecież koszty, masa nerwów i całe lata żmudnego postępowania. A jednak są tacy, którzy idą do sądu i wygrywają. Pisaliśmy o tym nie raz, ale napiszemy znów.
Wyrok sprzed miesiąca, kradzież sprzed 3 lat
Najnowszy wyrok korzystny dla ofiary kradzieży i niekorzystny dla banku wydał 3 lipca 2019 Sąd Rejonowy dla Warszawy-Mokotowa (sygn. akt. XVI C 169/16). Już po sygnaturce widzicie, że pozew w tej sprawie trafił do sądu w roku 2016 (dokładnie w styczniu 2016 r.). Smutny wniosek jest taki, że ofiara czekała ponad 3 lata na reakcję wymiaru sprawiedliwości.
Do kradzieży doszło 26 maja 2015 r. Z konta powódki (nazwijmy ją D.I.) wypłynęło ponad 44,1 tys. zł. Pani D.I. złożyła reklamację, a bank odpisał, że sporne transakcje zostały zlecone po poprawnym zalogowaniu się w serwisie.
Bank dodał iż…
….do realizacji tych transakcji doszło „w wyniku zainfekowania stacji roboczej”, z której powódka logowała się do serwisu (…), złośliwym oprogramowaniem oraz że wirus spowodował, że po zalogowaniu powódka otrzymała fałszywy komunikat z prośbą o podanie kodu autoryzacyjnego. W ten sposób osoby nieupoważnione miały zdefiniować nowy szablon płatności na podstawiony rachunek odbiorcy, który następnie został wykorzystany do realizacji przelewów.Pani D.I. nie poddała się i złożyła pozew do sądu. W odpowiedzi na pozew bank przytoczył klasyczny argument – nie doszło do złamania żadnego z zabezpieczeń banku, zatem albo powódka musiała sama dokonać przelewów, albo musiało dojść do niedbalstwa z jej strony. Już wcześniej pisaliśmy o tym, że taki sposób rozumowania nie broni się w sądach, ale banki konsekwentnie go stosują.
To był raczej phishing
W toku postępowania sąd ustalił m.in., że 26 maja 2015 roku na skrzynki pracowników powódki trafiły e-maile phishingowe, których nadawcy podszywali się pod kuriera. Zgadujemy, że właśnie wtedy doszło do wyłudzenia danych. Tego samego dnia na numer telefonu D. I. został wysłany przez Bank wiadomość SMS z jednorazowym kodem autoryzacyjnym. Powódka twierdziła, że tego nie pamięta i SMS-a nigdy nie dostała.
Naszym zdaniem to jednak mógł być phishing. Dodajmy, że bank ostrzegał przed takimi rzeczami i monitorował transakcje pod katem ewentualnych nadużyć. Zdaniem Sądu nie udało i nie uda się ustalić, czy SMS z kodem autoryzacyjnym wysłanym przez Bank na nr telefonu powódki w istocie dotarł do adresata, czy też może został w jakiś sposób przechwycony przez osoby trzecie?
W ramach sprawy sąd posunął się do różnych ciekawych rozważań i zadawania biegłym ciekawych pytań. Czy ktoś mógł się posłużyć adresem IP powódki? Czy ktoś mógł naruszyć bezpieczeństwo systemów operatora komórkowego, by przejąć SMS-a? Było to ciekawe, ale nie wydawało się mieć dużego znaczenia dla ostatecznego wyniku sprawy.
Bycie oszukanym to nie “rażące niedbalstwo”
Sąd uznał, że powództwo zasługiwało na uwzględnienie i zasądził na rzecz D.I. kwotę 44183,65 zł. Po pierwsze bowiem nie było podstaw do uznania transakcji za autoryzowaną.
Następnie, zgodnie z art. 45 ust. 1 u.u.p. ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy tego użytkownika. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana.Takie rozumowanie jest w pełni zgodne z wyrokami, które opisywaliśmy wcześniej.
Sąd uznał również, że nie było podstaw by klientce banku zarzucić “rażące niedbalstwo”. Po pierwsze nie było 100% dowodów na to, że kobieta nabrała się na phishing. Z drugiej strony, nawet gdyby tak było to czy bycie ofiarą phishingu jest niedbalstwem?
Sąd uznał, że nie jest.
Phisherom udaje się oszukiwać wiele osób, a zatem trudno uznawać zachowanie ich ofiar wyłącznie za efekt “niedbalstwa”. Jest to raczej efekt dobrze zorganizowanego oszustwa. Zacytujmy tu istotny fragment uzasadnienia wyroku.
….schemat działania sprawców wpisywał się w akcję hakerskich ataków phishingowych jakie nastąpiły na banki w maju 2015 roku. Były to więc działania precyzyjne i dobrze zorganizowane. O powszechnej skuteczności tych działań świadczyć zaś muszą zeznania świadka J. G., która wprost określiła tę sytuację jako masową akcję hakerską oraz przyznała, że po niej wprowadzono zmiany w algorytmach zabezpieczeń Banku.Z powyższego wynika więc, że jeżeliby nabranie się przez powódkę na prośbę o podanie informacji przez ich wpisanie na fałszywą stronę internetową, uznać za jej rażące niedbalstwo, to konsekwentnie uznać należałoby, że wielu konsumentów których dotknęła „masowa” akcja zachowała się w sposób rażąco niedbały. Ta mnogość przypadków rażąco niedbałego zachowania się, musi zaś stawiać w wątpliwość przypisanie temu zachowania „rażącego” charakteru.Sąd wspomniał również o tym, że dla oceny działania jako “rażąco niedbałego” należałoby wskazać stan świadomości powódki o zagrożeniach i fakt ich lekceważenia. Rażącym niedbalstwem nie jest “dawanie się oszukać”. Rażącym niedbalstwem może być świadome ignorowanie zasad bezpieczeństwa. Taki sam sposób rozumowania widzieliśmy przy okazji innych wyroków.
Innych, czyli jakich?
Podsumowanie wyroków
Te inne wyroki przypomnimy jeszcze raz.
Widzieliśmy rzeczy niezwykłe
- W sierpniu ubiegłego roku pisaliśmy o wyroku, w którym Sąd nakazał oddał bankowi oddać 107 tys. zł ofierze infekcji złośliwym oprogramowaniem. Zdaniem Sądu nie można przypisać klientowi winy za to, że został zainfekowany,
- Podobny wyrok zapadł wcześniej w Sądzie Najwyższym.
- W czerwcu 2016 r. pisaliśmy o wyroku dotyczącym kobiety, która ustawiła datę urodzenia jako PIN.
- Na początku tego roku pisaliśmy o wyroku, który nakazał bankowi zwrócenie 86 tys. zł. Tu też nie było rażącego niedbalstwa.
Po naszej ostatniej publikacji na ten sam temat otrzymaliśmy od was wiele e-maili i telefonów. Opisaliście nam różne swoje reklamacje złożone po kradzieży pieniędzy z konta, na które banki udzieliły różnych odpowiedzi. Zobaczyliśmy też interesujące dokumenty ze spraw sądowych, które ciągle się toczą.
Powyższe materiały zaprezentujemy wam innym razem. Na razie możemy powiedzieć tyle, że niektóre banki mają gotowe szablony odpowiedzi dla wszystkich, którzy składają reklamacje po kradzieży (co zabawne, w tych szablonach jest wzmianka o uważnym przeanalizowaniu sytuacji klienta).
Niektóre banki potrafią karygodnie wprowadzać klientów w błąd co do ich sytuacji prawnej. Pisząc “karygodnie wprowadzać w błąd” mamy na myśli wypisywanie takich bzdur, że naprawdę trudno uwierzyć, iż ktoś z tej branży mógł się do tego posunąć. Klasyką gatunku są odpowiedzi w rodzaju “naszym zdaniem ta ustawa nie ma znaczenia” (dotyczy to Ustawy o usługach płatniczych), albo “nie można interpretować przepisów tak, jak mówią wyroki sądów i Rzecznik Finansowy bo my tak uważamy”.
Ciąg dalszy nastąpi…
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
Ostatnia edycja:
