Oszuści zaciągnęli na swoją ofiarę pożyczki na 80 tys. złotych, wykorzystując AnyDesk i socjotechniki. Bank kazał jej spłacać odsetki, ale po 3-letniej prawnej batalii sąd stanął po stronie poszkodowanej. To prawdopodobnie pierwszy prawomocny wyrok w tego rodzaju sprawie w Polsce.
Sąd Okręgowy w Rybniku wydał wyrok na korzyść klientki banku, która padła ofiarą oszustwa. Przestępcy zaciągnęli w jej imieniu dwie pożyczki i zadłużyli kartę kredytową, a następnie wysłali pozyskane w ten sposób 80 tys. złotych przelewem walutowym za granicę. Policja umorzyła sprawę przez brak wykrycia sprawców. Bank nie uznał reklamacji poszkodowanej i nakazał jej spłacić całą kwotę.
- To prawdopodobnie pierwszy prawomocny wyrok na korzyść klienta polskiego banku, w przypadku którego oszuści zaciągnęli kredyty, korzystając z jego bankowości elektronicznej - komentuje adwokat Wojciech Kaczmarczyk, który reprezentował powódkę. - W bardzo dużym skrócie sąd uznał, że pożyczki nie zostały nigdy skutecznie zawarte z klientką banku, więc bank swoje roszczenia o spłatę może adresować co najwyżej do oszustów - podsumowuje prawnik.
- Pozytywnych wyników w sprawach o cyberoszustwa przeciwko bankom było już kilka w skali kraju, ale zwykle obejmowały one środki wyprowadzone z konta, a nie zaciągnięte przez oszustów kredyty. Wiem, że jeden podobny wyrok związany z pożyczkami został wydany w Sądzie Okręgowym w Olsztynie, ale on nie jest jeszcze prawomocny - mówi mecenas Kaczmarczyk.
Klasyczne oszustwo na fałszywe inwestycje
Pod koniec lutego 2020 roku mieszkanka Rybnika założyła konto na stronie fałszywego brokera LV Grow Markets (na czarną listę KNF trafił w marcu 2021 roku, a ostrzegał przed nim m.in. portal ForexRev). Instruowana przez “opiekuna konta” kobieta przelała oszustom 250 dolarów. Środki przepadły i zdążyła pogodzić się z ich stratą.
W czerwcu 2020 roku oszuści odezwali się jednak znowu. Udało im się przekonać ofiarę, że środki zdeponowane na jej koncie na platformie inwestycyjnej wypracowały znaczny zysk za sprawą robota inwestycyjnego i zarobiła ok. 5000 dolarów.
Był tylko jeden szkopuł. Żeby otrzymać pieniądze z londyńskiego banku, musiała zainstalować na swoim komputerze “specjalistyczne oprogramowanie”. Chodziło o AnyDesk - aplikację do zdalnego łączenia się z komputerem.
Oszuści zaoferowali kobiecie pomoc w procesie przelania pieniędzy na jej konto. Przez telefon instruowali ją o kolejnych krokach. Najpierw miała zalogować na swoim rachunku inwestycyjnym u fałszywego brokera, a później na stronie swojego banku, żeby przekonać się, czy przelew doszedł.
W pewnym momencie oszuści przejęli sterowanie jej myszką. Jak czytamy w uzasadnieniu wyroku, kobieta widziała, że na jej koncie zaczęły pojawiać się różne kwoty w polskiej i zagranicznych walutach, ale oszuści uspokajali ją, mówiąc, że przelew środków musi zweryfikować jeszcze bank z Londynu.
Następnego dnia gdy z poczty kobiety zaczęły znikać maila wymieniane z oszustami, zorientowała się, że padła ofiarą przestępstwa. Zrozumiała też, że zaciągnięto na nią dwie pożyczki i zadłużono jej kartę kredytową - łącznie na 80 tys. złotych. Oszuści ukradli jej również 2500 złotych renty, które miała na swoim koncie.
Pokrzywdzona natychmiast zgłosiła się na policję oraz do banku, który zabezpieczył jej konto i kartę. Postępowanie karne zostało umorzone z powodu niewykrycia sprawców. Bank odrzucił możliwość wstrzymania spłat pożyczek i podtrzymał stanowisko, pomimo odwołania.
Rok od oszustwa poszkodowana zgłosiła się do prawnika. Pozew przeciwko bankowi trafił do sądu w czerwcu 2021 roku. Opierał się na tym, że bank nie zablokował podejrzanej transakcji, ani nie skontaktował się z klientką, pomimo nietypowej aktywności na jej koncie. Prawomocny wyrok na jej korzyść zapadł po ponad 3 latach trwania sprawy.
Sprostowanie: w poprzedniej wersji tekstu było napisane, że poszkodowana podała oszustom kody autoryzacyjne SMS. Jak wynika jednak z otrzymanych przez nas później informacji, w toku sprawy nie ustalono w jaki sposób przestępcy uzyskali do nich dostęp i czy nie odbyło się to np. poprzez oprogramowanie wgrane na jej telefonie.
Wina banku w sprawach o oszustwo - kiedy klient ma szansę ją wykazać?
Adwokat Wojciech Kaczmarczyk, który reprezentował klientkę banku, wskazuje, że tego rodzaju sprawy są problematyczne, ponieważ brak jest szczegółowych przepisów, a zwłaszcza wykładni prawa w zakresie tego, w jaki dokładnie sposób bank powinien dbać o środki swoich klientów. W praktyce trzeba więc opierać się na wytycznych instytucji nadzorczych oraz opiniach biegłych.
- Od strony odpowiedzialności banku takie sprawy sprowadzają się do pytania, czy te transakcje powinny zostać wychwycone przez jego system jako transakcje nietypowe, a jeśli tak to czy reakcja banku była prawidłowa - komentuje prawnik
- Nasz przypadek był klasyczny. Mamy konsumenta, który operuje środkami rzędu kilku tysięcy złotych miesięcznie i nagle w ciągu 15 minut maksymalnie się zadłuża i przesyła kilkadziesiąt tysięcy złotych za granicę. Przed tym pojawiają się jeszcze nieudane próby dalszego zadłużenia, które z racji braku zdolności kredytowej zostają już odrzucone przez bank - opisuje sprawę adw. Wojciech Kaczmarczyk.
- Pierwszą kwestią jest więc odpowiedź na pytanie, czy doszło do wychwycenia nietypowej aktywności. Druga sprawa to sposób, w jaki została ona zweryfikowana. Bank powinien w takiej sytuacji podjąć jakieś działania, mające na celu ochronę środków. W praktyce najczęstszym i najlepszym rozwiązaniem jest po prostu telefon do klienta. W naszej sprawie tego zabrakło - mówi adwokat.
- Bank oczywiście broni się, próbując wykazać, że to zachowanie osoby poszkodowanej tym przestępstwem było decydujące. W praktyce zmierza więc do wykazania, że to klient wykonał sporne transakcje. Jeśli zrobił to osobiście, nawet w wyniku przestępstwa, sprawa ma nikłe szanse na powodzenie. Gdy ktoś zadłuża się celem przelania do kogoś pieniędzy, nawet jeśli żyje w błędnym przekonaniu, że coś za to otrzyma, odpowiedzialność banku jest raczej wątpliwa - komentuje mecenas Kaczmarczyk.
Prawne komplikacje
Wymieniając trudności, które pojawiły się podczas sprawy adwokat Kaczmarczyk, wskazuje, że w chwili jej wytoczenia nie było żadnego wyroku na korzyść klienta w podobnym sporze w skali kraju. “Nie mieliśmy na czym bazować, trzeba było wytyczyć od początku własną ścieżkę” - komentuje. Druga trudność dotyczyła dokumentów, w tym wyciągów i logów z konta, którymi bank niejako zasypał sąd w odpowiedzi na pozew. Trzecim wyzwaniem okazało się uzyskanie odpowiedzi na pytania skierowane do biegłych.
- Nas w takich sporach nie interesuje dokładny mechanizm działania przestępców, tylko to czy bank prawidłowo wypełniał obowiązek ochrony środków klienta. Z drugiej strony bank stara się wykazać, że zawinił klient. Tu jest ten problem, że tych spraw było dotąd tak mało, że biegli nie do końca rozumieją sens i cel tych pytań. Są przyzwyczajeni do nurtu karnego. Na ich opinie trzeba też długo czekać, ponieważ mają dużo pracy - komentuje adwokat Kaczmarczyk.
- Mieliśmy w tej sprawie dwóch biegłych. Ostatecznie dopiero drugi udzielił odpowiedzi dokładnie na te pytania, które do niego kierowano. Najwięcej pracy zajęło doprowadzenie sprawy do punktu, w którym ktoś wytłumaczy, co się stało i kompetentnie wypowie się na temat dokumentów od banku, bo jak się okazało, logi przekazane przez bank były wybrakowane. Czego brakowało i dlaczego, tego się oczywiście nie dowiemy, natomiast biegły wychwycił niezgodności - wyjaśnia prawnik.
Jak mówi mecenas Kaczmarczyk, argumentacja ze strony banku wyglądała “dość dziwnie”. - Nie umieli się zdecydować, czy umowy kredytów zawarła z nimi klientka, czy osoby trzecie, ale za jej wiedzą i zgodą, przy czym od strony prawnej umowę zawiera się albo osobiście, albo przez pełnomocnika. Konstrukcje na zasadzie “klientka przyczyniła się do zawarcia umowy, więc jest ona ważna” są moim zdaniem błędne i na szczęście sąd również uznał, że umowa albo jest zawarta, albo nie jest zawarta. Nie ma tutaj miejsca na kompromis i nie da się zawrzeć umowy tylko trochę albo niechcący - komentuje prawnik.
Ostatecznie sąd uznał, że wyprowadzenie tak dużych środków z konta klientki, jak miało to miejsce w opisywanej sprawie, było anomalią i bank powinien zablokować zlecenie przelewu do czasu kontaktu z posiadaczem konta. “Pomimo że powódka dokonywała nietypowych operacji, bank na żadnym etapie przeprowadzanych transakcji nie zareagował w odpowiedni sposób weryfikując dodatkowo dokonane transakcje.” - czytamy w uzasadnieniu wyroku I instancji utrzymanego w mocy przez Sąd Okręgowy w Rybniku.
Sprawa z Olsztyna
W przypadku wspomnianego wcześniej wyroku z Olsztyna, który czeka na rozpatrzenie apelacji, pożyczka zaciągnięta przez oszustów dotyczyła znacznie wyższej kwoty.
“[...] na prośbę osoby, która przedstawiła się jako pracownik banku, zainstalowała na swoim telefonie aplikację „quick suport”. To umożliwiło sprawcom oszustwa zawarcie w jej imieniu umowy pożyczki, a następnie pobranie z jej konta środków pieniężnych” - czytamy w opisie sprawy. Jak wynika z zeznań poszkodowanej, gdy oszuści zadzwonili do niej, na ekranie jej telefonu wyświetlił się oficjalny numer banku. Przestępcy zastosowali tzw. spoofing.
Jeszcze tego samego dnia poszkodowana złożyła zawiadomienie na policji i reklamację do banku, która jednak nie została uwzględniona. Sąd uznał, że klientka banku padła ofiarą przestępstwa i zawarta w takich okolicznościach umowa pożyczki nie może być uznana za ważną. Oszuści zaciągnęli na klientkę banku kredyt na ponad 170 tys. zł i wyprowadzili środki, a także ukradli z jej konta prawie 30 tys. zł. Wyrok czeka na uprawomocnienie. Apelacja w tej sprawie trafiła do sądu wyższej instancji.
