SA: Bank zwróci pieniądze skradzione przez hakera

27 grudnia 2018
/

W dzisiejszych czasach bankowi złodzieje mają łatwe zadanie. Nie muszą planować wielkich skoków na pancerne skarbce. Wystarczy, że za pomocą specjalnych algorytmów zdobędą hasła do bankowości internetowej klientów. Metod przestępców jest wiele. Wysyłają mailowo linki z wirusami. Tworzą strony łudząco podobne do bankowych witryn czy po prostu kradną słabo zabezpieczone smartfony z aplikacjami do obsługi rachunków płatniczych. Czy klienci powinni obawiać się o swoją gotówkę?

Niekoniecznie, chyba że zostali pozbawieni pieniędzy z własnej winy albo rażącego niedbalstwa – tak streścić można tezę wyroku Sądu Apelacyjnego w Warszawie z dnia 28 października 2018 roku (V ACa 823/17). Ostateczni rozstrzygnięto, że to bank ma zwrócić klientowi zrabowane przez hakerów niemal 200 000 zł.

Klient uległ hakerom

Sąd badał sprawę mężczyzny, który został zmanipulowany przez internetowych złodziei. Zalogował się poprzez oficjalną stronę banku do systemu płatności. Tam ujrzał komunikat, zgodnie z którym zalecane było zainstalowanie dodatkowego programu, mającego zwiększyć bezpieczeństwo transakcji. Klient zrobił to. Jak się okazało, wraz z aplikacją pobrał złośliwe oprogramowanie. Powodował ono przekierowywanie sms-ów autoryzujących transakcje na telefon hakerów. Ci, dzięki całej operacji, uzyskali dostęp do konta klienta, z którego mogli swobodnie wyprowadzać pieniądze. W ciągu dwóch godzin z przejętego rachunku bankowego zniknęło przeszło 200 000 zł.

Instytucja finansowa odmówiła polubownego zakończenia sprawy, mimo że klient powoływał się na brak własnej winy w utracie środków oraz na obowiązki banku wskazane w art. 46 ustawy o usługach płatniczych. Zgodnie z tym przepisem, W przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej (…). W przypadku gdy płatnik korzysta z rachunku płatniczego, dostawca płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza.

Sądy po stronie klientów

Argumentacja mężczyzny przekonała sądy obydwu instancji. Nie dopatrzyły się one - wymaganej do zwolnienia banku z odpowiedzialności - winy umyślnej ani rażącego niedbalstwa klienta. Nie wykazano bowiem, aby powód sam autoryzował przelewy, przekazał dane złodziejom czy nie zachował minimalnych standardów bezpieczeństwa przy korzystaniu z konta internetowego. Sąd Apelacyjny zauważył ponadto, że do ataku hakerskiego doszło na autoryzowanej przez bank stronie. To dodatkowo wskazuje na konieczność przypisania mu odpowiedzialności.

Pełnomocnik klienta banku  - adwokat Iwo Gabrysiak – zauważył, że wydane w sprawie orzeczenie koresponduje z ostatnią wypowiedzią Sądu Najwyższego (V CSK 141/17). Ten wskazał bowiem, że: Jeśli do utraty pieniędzy dochodzi w wyniku przestępstwa popełnionego przez osobę trzecią, która korzystała z niewłaściwego zabezpieczenia przez bank świadczenia usługi, nie można mówić o rażącym niedbalstwie w świetle przepisów ustawy o usługach płatniczych.

Warto zwrócić również uwagę na jeszcze jedno z najnowszych orzeczeń. Mianowicie, Sąd Apelacyjny w Warszawie podkreślił, że  transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na jej wykonanie. Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo spoczywa na banku (sygn. V ACa 823/17).

Trzeba być ostrożnym

Mimo wydania wielu korzystnych dla klientów wyroków, wciąż warto być ostrożnym. Utrata pieniędzy, nawet jeśli krótkotrwała, zawsze boli. Ponadto sprawę przeciwko bankowi można przegrać, jeśli samemu działało się rażąco niedbale. Problem może mieć więc ten, kto stosuje zbyt proste hasła do bankowości elektronicznej czy nie zabezpiecza danych na smartfonie wyposażonym w aplikacje do mobilnych płatności. Należy też pamiętać, aby nie przekazywać nikomu danych karty płatniczej czy kodów autoryzujących transakcje.