Pani Elżbieta chciała sprzedać figurki Lego na popularnym portalu ogłoszeniowym. Po krótkim czasie zgłosił się kupujący, który poprosił o numer telefonu i przesłał link do rzekomej etykiety nadawczej. Po zalogowaniu na stronie wyglądającej jak witryna banku i zatwierdzeniu transakcji kodem SMS z konta zniknęło 12 200 zł. Bank nie uznał reklamacji. Czy kobieta ma szansę odzyskać pieniądze?
Pani Elżbieta, czytelniczka Bankier.pl, straciła trzy miesięczne wynagrodzenia (12 200 zł) w cztery minuty. Wszystko zaczęło się od niewinnej sprzedaży figurek Lego na jednym z portali ogłoszeniowych. Córka kobiety wystawiła zabawki na sprzedaż, a niedługo później odezwał się potencjalny kupujący. Osoba zainteresowana ofertą zaproponowała zakup i poprosiła o podanie numeru telefonu. Jak poinformował potencjalny kupiec portal wymagał podania numeru, aby kupujący mógł zrealizować płatność za przedmiot.
Kupujący miał wygenerować etykietę wysyłkową i opłacić zakup, do wygenerowania etykiety wysłał link. Na numer telefonu pani Elżbiety po kilku sekundach przyszła wiadomość SMS, poszkodowana myślała, że to wiadomość nadana przez przewoźnika, zawierająca link, którego użycie miało umożliwić potwierdzenie sprzedaży, a następnie odbiór środków za sprzedane przedmioty. Po wybraniu swojego banku otworzyła się strona z oknem logowania do rachunku bankowego. "Wszystko przebiegało jak standardowa procedura logowania" - podkreśla pani Elżbieta.
Cztery transakcje w kilka minut – konto i karta przejęte
Po zalogowaniu należało, potwierdzić tożsamość oraz podać dane karty płatniczej - relacjonuje kobieta. Po krótkiej chwili otrzymała SMS-a z banku wraz z kodem do zatwierdzenia transakcji, który wpisała. Po tych czynnościach nie pojawił się żaden komunikat o powodzeniu transakcji. Oszuści natychmiast rozpoczęli serię transakcji, w wyniku których z konta czytelniczki zniknęło łącznie 12 200 zł:
- 4900 zł – płatność za pomocą kodu Blik w punkcie Profee.com
- 1500 zł – wypłata gotówki z bankomatu w Poznaniu
- 5800 zł – dwie płatności kartą po 1900 zł i 3900 zł na Revoluta.
Wszystkie operacje zostały przeprowadzone błyskawicznie, minuta po minucie. Po zauważeniu podejrzanych operacji pani Elżbieta natychmiast zastrzegła kartę i zgłosiła sprawę do banku oraz na policję.
Bank nie zdążył zatrzymać transakcji?
Kobieta zgłosiła reklamację do banku. Uważa, że co najmniej dwie transakcje można było zatrzymać – przelewy na Revolut wykonano kilka minut po godz, 18, czyli już po sesjach Elixir. PKO Bank Polski nie uwzględnił reklamacji, argumentując, że nie została zgłoszona utrata karty ani telefonu. Tymczasem oszuści wyczyścili konto do zera.
Jak czytamy na stronie Revoluta, przelewy na kartę zazwyczaj realizowane są natychmiast, choć w niektórych przypadkach mogą potrwać do 30 minut. W wyjątkowych sytuacjach banki mogą opóźnić przekazanie środków o 24 do 48 godzin.
PKO Bank Polski poinformował, że nie może odnieść się bezpośrednio do sytuacji danej klientki z uwagi na tajemnicę bankową. Natomiast otrzymaliśmy pakiet wskazówek dla użytkowników - na co zwracać uwagę i jak nie dać się okraść oszustom.
"Bank jest zobowiązany do zwrotu środków"
Jak wyjaśnia radczyni prawna Ewelina Czechowicz, Pani Elżbieta utraciła swoje środki w wyniku tzw. phishingu. Jest to forma oszustwa, polegająca na podszyciu się przez przestępców pod inną osobę/podmiot lub instytucję w celu wyłudzenia poufnych informacji typu np. dane do logowania lub dane karty kredytowej, bądź też zainfekowania urządzenia (instrumentu płatniczego) szkodliwym oprogramowaniem. Fakt zarejestrowanego użycia instrumentu płatniczego, czyli - należy przyjąć - użycia instrumentu płatniczego zgodnie z procedurami i przy zastosowaniu ustalonych sposobów autoryzacji, nie oznacza, że transakcja została autoryzowana przez użytkownika, w tym wypadku kobieta ma prawo do dochodzenia roszczeń od banku.
Mając na uwadze powyższe przepisy, bank jest zobowiązany do zwrotu środków w terminie niezwłocznym, nie później niż w ciągu jednego dnia roboczego od uznania reklamacji (art. 46 ust. 2 ustawy o usługach płatniczych) - stwierdza radczyni.
W podobnych sprawach polskie sądy wielokrotnie przyznawały rację klientom banków, podkreślając, że bank ponosi odpowiedzialność za bezpieczeństwo transakcji: Wyrok Sądu Okręgowego w Warszawie z 29 czerwca 2021 r. (sygn. akt XXVII Ca 2130/20). Sąd orzekł, że: „Dostawca usług płatniczych ponosi odpowiedzialność za skuteczne zabezpieczenie środków klientów. W razie transakcji phishingowej to na banku spoczywa ciężar dowodu wykazania, że klient naruszył obowiązek dbałości o bezpieczeństwo swojego konta”.
Wyrok Sądu Rejonowego dla Warszawy-Śródmieścia z 3 listopada 2022 r. (sygn. akt VI C 1712/21). Sąd uznał, że: „Brak silnej autoryzacji transakcji przez bank oraz mechanizmów ostrzegających klientów o zagrożeniach cybernetycznych stanowi naruszenie przepisów prawa i powoduje odpowiedzialność banku za straty klienta”. Wobec powyższego Bank nie może przerzucać na Klienta ciężaru strat powstałych na skutek przestępstwa phishingowego, a jego odpowiedzialność wynika bezpośrednio z przepisów prawa oraz ugruntowanej linii orzeczniczej.
Jak nie dać się oszukać?
Przypadek pani Elżbiety to kolejny przykład coraz bardziej wyrafinowanych metod oszustów. Jak uniknąć podobnej sytuacji?
– W tym schemacie oszuści próbują przekonać użytkownika, że uzyskanie zapłaty za towar wymaga podania danych swojej karty płatniczej lub zalogowania się do bankowości elektronicznej. Już to powinno być sygnałem ostrzegawczym. Oczekując na zapłatę nie udostępnia się takich danych. W rzeczywistości jest to konieczne w przypadku dokonywania płatności, a nie oczekiwania na zapłatę – wyjaśnia PKO Bank Polski w odpowiedzi na zapytanie Bankier.pl
– Kluczowa jest zatem świadomość jak działa dany portal ogłoszeniowy (...) Należy też pamiętać, że strona www, która wygląda jak witryna banku, pośrednika płatności, portalu ogłoszeniowego czy kuriera, może ją tylko do złudzenia przypominać. Kluczowe jest zwracanie uwagi na adres www widoczny w przeglądarce i właściciela certyfikatu SSL (możemy to sprawdzić, klikając kłódkę lub znak graficzny po lewej stronie paska przeglądarki). Zawsze przed wpisaniem poufnych danych (dane logowania do bankowości, dane karty płatniczej, kody Blik, dane osobowe) należy zastanowić się, czy ich udostępnianie jest niezbędne i bezpieczne. Kolejną kwestią jest również dokładne czytanie SMS-ów przesyłanych przez bank czy treści powiadomień z aplikacji bankowej, w których sygnalizowana jest inicjacja płatności. Dokładne czytanie tych krótkich powiadomień pozwala zweryfikować, co dzieje się na koncie klienta banku i jaki rodzaj transakcji autoryzuje. Chwila refleksji przed potwierdzeniem transakcji pozwoli uniknąć nieostrożnego ruchu – czytamy w odpowiedzi banku.
DF
