Wirus i kradzież z konta. Czy można odzyskać pieniądze?

analityk Bankier.pl

Po zalogowaniu się do serwisu banku, widzisz komunikat o konieczności zainstalowania na telefonie oprogramowania, które ma chronić cię przed przestępcami. Posłusznie wykonujesz polecenia, a kilka dni później w historii rachunku widzisz serię przelewów do nieznanych ci osób. Czy w takiej sytuacji bank zwróci pieniądze?

W ostatnich latach na łamach Bankier.pl wielokrotnie ostrzegaliśmy przed złośliwym oprogramowaniem wycelowanym w klientów banków. Konie trojańskie, takie jak ZeuS czy mobilny Zitmo, atakowały użytkowników co najmniej kilku polskich instytucji. Schemat działania szkodników był następujący:

  • Koń trojański infekował komputer ofiary (zarażenie mogło mieć miejsce np. przy otwarciu załącznika do wiadomości e-mail).
  • Oprogramowanie przechwytywało dane do logowania w serwisie bankowości internetowej na komputerze ofiary.
  • Podczas korzystania z serwisu banku szkodnik „wstrzykiwał” w przeglądarce internetowej dodatkowy komunikat, wyświetlany tak, by wydawało się, że pochodzi on z banku. Zachęcał on do zainstalowania w telefonie dodatkowego oprogramowania (np. „antywirusowego” lub „certyfikatu”).
  • Użytkownik instalował na swoim telefonie oprogramowanie, które niewidocznie dla ofiary przekierowywało SMS-y autoryzacyjne na inny numer.
  • Przestępcy posiadając komplet danych potrzebnych do wykonania operacji, rabowali środki z konta, przelewając je na rachunki pośredników-słupów (czasami rekrutowanych pod pozorem pracy przy „księgowaniu przelewów”).

Ofiary tego rodzaju przestępstw często zmuszone były do walki o odzyskanie swoich środków przed sądem. Banki nierzadko odrzucały reklamacje, powołując się na zapisy w ustawie o usługach płatniczych, mówiące, iż nieautoryzowane transakcje obciążają klienta, jeśli wykazał się on rażącym niedbalstwem w ochronie danych umożliwiających dostęp do rachunku. Zakładały przy tym, że skoro klient sam zainstalował dodatkowe oprogramowanie na telefonie i nie ochronił swojego komputera przed zakażeniem, to wykazał się właśnie wskazywanym przez ustawę niedbalstwem.

Ofiary konia trojańskiego wygrywają w sądzie
Ofiary konia trojańskiego wygrywają w sądzie (fot. Gajus / YAY Foto)

Sądy w takich sytuacjach mogą jednak stanąć po stronie klienta. O tym, że jest tak w rzeczywistości, świadczyć mogą dwa niedawne wyroki Sądu Okręgowego w Łodzi, na które uwagę zwrócił wydawca facebookowe’go fanpage „PozwałemBank”.

Antywirus nie pomógł

W obu przypadkach sprawa dotyczyła wydarzeń sprzed kilku lat, gdy świadomość zagrożeń związanych z mobilnymi koniami trojańskimi była jeszcze stosunkowo niewielka. Klienci posiadali na swoich komputerach zainstalowane aktualne oprogramowanie antywirusowe, jednak mimo tego padli ofiarą złośliwego oprogramowania.

Przyjmując, że komunikat o konieczności zainstalowania dodatkowego oprogramowania na telefonie pochodzi rzeczywiście z banku, spełnili żądania przestępców. W pierwszej ze spraw klientka straciła niemal 140 tys. zł, a w drugiej z rachunku klienta przelano blisko 90 tys. zł. W obu przypadkach bank odmówił zwrócenia środków, które wypłynęły z rachunków w wyniku nieautoryzowanych przez posiadaczy operacji, powołując się na zapisy ustawy o usługach płatniczych dotyczące rażącego niedbalstwa.

Sąd przeciwko bankowi

Sąd nie podzielił tego punktu widzenia. W jednym z orzeczeń czytamy: „Zdaniem Sądu powódce nie można przypisać umożliwienia dokonania nieautoryzowanych transakcji wskutek rażącego niedbalstwa. Komputer powódki posiadał zainstalowane oprogramowanie antywirusowe. W ocenie Sądu skorzystanie przez powódkę z wyświetlonego podczas logowania na stronę Banku komunikatu zachęcającego użytkowników do ‘dodatkowego zabezpieczenia telefonu’, które spowodowało w dalszej kolejności zainfekowanie szkodliwym oprogramowaniem aparatu komórkowego oraz komputera powódki nie nosi cech rażącego niedbalstwa (podkreślenie redakcji)”.

„Powódka miała prawo pozostawać w przekonaniu, że komunikat wyświetlający się podczas logowania na stronę Banku pochodzi właśnie od Banku i służy uzyskaniu lepszych zabezpieczeń. Komunikat mówiący o potrzebie pobrania dodatkowego oprogramowania zabezpieczającego pojawiał się po wpisaniu adresu prawdziwej strony mBanku i pojawieniu się tej strony. Komunikat zajmował część strony. Był też widoczny symbol zamkniętej kłódki oznaczający bezpieczną stronę. Możliwe było ominięcie tego komunikatu i normalne korzystanie ze strony banku. Bank nie ostrzegał w dacie zdarzenia swoich klientów przed tego rodzaju komunikatami (podkr. red.), nie informował, iż skorzystanie z nich może nieść za sobą negatywne skutki” czytamy dalej w dokumencie.

„Należy podkreślić, że powódka nie przekazała swojego loginu ani hasła do konta bankowego, a jedynie numer telefonu, nie naruszyła więc obowiązku wskazanego w art. 42 ust. 2 ustawy o usługach płatniczych. (…) Bezzasadne jest tym samym twierdzenie pozwanego, że powódka przyczyniła się do powstania szkody. Należy dodać, iż powódka spełniła wynikający z art. 42 ust. 1 pkt. 2 ustawy o usługach płatniczych obowiązek niezwłocznego zawiadomienia o zaistnieniu nieautoryzowanej transakcji płatniczej” wskazał Sąd Okręgowy w Łodzi w dokumencie datowanym na 8 lutego 2016 r.

Bankowość w sieci – bezpieczni czy nierozważni?

Bankowość w sieci – bezpieczni czy nierozważni?

Nie blokują dostępu do telefonu, używają tego samego hasła do różnych systemów, logują się do banku mimo niezabezpieczonej sieci WiFi, zbyt rzadko monitorują przelewy i płatności - to tylko niektóre z grzechów klientów bankowości internetowej i mobilnej - pisze Michał Kisiel.

Klienci otrzymają zwrot pieniędzy

W obu przypadkach sąd zobowiązał bank do niezwłocznego zwrotu kwot nieautoryzowanych transakcji płatniczych oraz prowizji za przelewy zlecone przez przestępców. Klienci otrzymają także odsetki i zwrot kosztów poniesionych w związku z procesem.

W pierwszym z przypadków (Wyrok SO w Łodzi z dnia 15.01.2016 r., sygn. akt I C 307/15) wyrok jest już prawomocny, a bank nie złożył apelacji. W drugim (Wyrok SO w Łodzi z dnia 27.01.2016 r., sygn. akt I C 1908/14) pozwany może jeszcze się odwoływać. Orzeczenia łódzkiego sądu mogą okazać się pomocne dla osób, które padły ofiarą podobnych przestępstw, chociażby ze względu na wskazanie okoliczności, które przekonały wymiar sprawiedliwości do argumentów klientów.

Michał Kisiel

Źródło:

Newsletter Bankier.pl

Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
2 5 ~fgg

Pracuje sam na siebie
Zarabiam na polskie warunki jak srednia warszawska
Nie jedno krotnie pelne kieszenie waluty
Ale to co u mnie to pewne
W domu mam bank i nie potrzebuje te 200zl miesięcznie z odsetek
Mam na tyle żeby nie oszczędzać nie jestem za cofany

! Odpowiedz
3 1 ~KretynBank

Co zrobisz, jak zdarzy Ci się jeden lub więcej "chudych miesięcy"?
Z czego będziesz żyć.

P.S. Po Twoim wpisie widać, że chyba nie stać Cię na słownik - roi się w nim od błędów
np. "nie_jedno_krotnie", "za_cofany" (obydwa wyrazy piszemy łącznie),
"te 200zl" (brak dopełniacza przy zaprzeczeniu - "nie potrzebuję TYCH 200zł"),
brak INTERPUNKCJI, polskich znaków diakrytycznych, ...

Pokaż cały komentarz ! Odpowiedz
0 0 ~Irna

Jestes straszny burak,robisz karygodne bledy "madry i niezacofany Polaku".

! Odpowiedz
0 2 ~SONDA odpowiada ~Irna

co wolicie?
mieć "pełne kieszenie waluty" - zielona łapka
wybornie znać się na ortografii - czerwona łapka

! Odpowiedz
2 9 ~ddd

Dlatego ja pieniądze biorę na rękę
Nie mam konta w banku i żyje
I śpię spokojnie

! Odpowiedz
14 4 ~on

a śpisz w ziemiankach czy może chociaż tu postęp u ciebie zawitał, ale musisz być zacofany albo kase z socijalu dostajesz w kuponach.

! Odpowiedz
0 6 ~anonim

Do dziś zastanawiam się gdzie można założyć anonimowe konto bankowe, w którym nie wiadomo kto jest właścicielem. Skoro pieniądze gdzieś wyciekają na nieznane konta, to chyba Policja nie powinna mieć trudności z namierzeniem delikwenta, na którego konto zostało przelane pieniądze. A jak on dalej je gdzieś przesłał to dalej sprawdzać kolejne konta aż dojdzie się do osoby właściwej.

Pokaż cały komentarz ! Odpowiedz
0 2 ~lol

oczywiście tylko że w praktyce ta kasa ląduje gdzieś na Kajmanach albo do Amer. Pd tam nie ma podpisanch umów,a konta są na fikcyjne firmy, w wielu krajach możesz założyć konto na firmę bez żadnych papierów na słowo albo coś podłożyć co oni skopiują

! Odpowiedz
0 1 ~KretynBank

Najczęściej konta zakładane są na słupa (np. Mietka spod monopolowego), albo na osoby, które zgubiły dowód osobisty lub w inny sposób podały swoje dane (np. odpowiedziały na fałszywe ogłoszenie o zatrudnieniu).

! Odpowiedz
1 2 ~Kasia

polecam Wam sami wiecie co, korzystam i jestem bardzo zadowolona. Chętnie napisałabym konkretnie, ale widzę, że admin dziś szaleje

! Odpowiedz

Księgarnia Bankier.pl

Zasady wywierania wpływu na ludzi. Szkoła Cialdiniego Zasady wywierania wpływu na ludzi. Szkoła Cialdiniego ilustracje: Andrzej Mleczko, Robert B. Cialdini Cena: 34,90 zł  Zamów książkę

Znajdź nas na Facebooku

Zapisz się na bezpłatny newsletter Bankier.pl