Po kradzieżach z kont PKO BP uszczelnia procedury

analityk Bankier.pl

Wracamy do głośnej sprawy ataku hakerów na klientów PKO BP. Po naszej publikacji bank zdecydował się zmienić procedury dotyczące modyfikacji odbiorców zdefiniowanych. Poszkodowani chcą by bank oddał im pieniądze, bo ich zdaniem nie stosował odpowiednich zabezpieczeń. Bank ripostuje, że to klienci nie przestrzegali zasad bezpieczeństwa. Sprawa trafiła do sądu.

PKO BP uszczelnia procedury
Źródło: PKO BP

Jesienią pisaliśmy o sprawie przedsiębiorcy z Radomia, którego konto bankowe zostało zaatakowane przez hakera. Przestępca pozyskał dane do logowania do systemu bankowości internetowej (bank stosuje stałe hasło i login), a następnie podmienił numery rachunków odbiorców zdefiniowanych na "swój" numer konta. Było to możliwe, bo bank nie wymagał potwierdzania takiej operacji kodem autoryzacyjnym ze zdrapki lub SMS. Nieświadomy niczego przedsiębiorca nadal realizował przelewy, w rzeczywistości wysyłając pieniądze złodziejowi. Dopiero po jakimś czasie zorientował się, że pieniądze nie dotarły do prawidłowych odbiorców.

Interwencje Bankier.pl

Z pism prokuratury, do których dotarliśmy jesienią wynikało, że zaatakowanych w ten sposób było ponad 20 osób. Proceder trwał od sierpnia 2012 r. do czerwca 2013 r. Część ataków bank zablokował, ale niektórzy poszkodowani stracili po kilkadziesiąt tysięcy złotych. Po publikacji skontaktowali się z nami kolejni przedsiębiorcy, którzy padli ofiarą tego samego ataku. Jeden z nich, Piotr B., przedsiębiorca z Płocka stracił 25 tys. zł. Stworzył stronę internetową poszkodowaniprzezpkobp.pl, na której opisuje szczegółowo całe zajście.

Bank: Klient powinien weryfikować dane odbiorcy

Policja dotarła do właściciela jednego z kont, na które wpływały pieniądze. Było to konto założone "na słupa". Właściciel w zamian za kilkaset złotych założył rachunek i oddał dane dostępowe hakerowi. "W lutym 2014 Mariusz P. został zatrzymany i trafił na przesłuchanie. Przyznał się do założenia konta w BZWBK na które trafiały skradzione pieniądze. Jak twierdził, dostał za to wynagrodzenie. Mariusz P. twierdzi, że nie ma nic wspólnego z kradzieżą pieniędzy z naszego konta, jest jedynie założycielem konta. Prokuratura postawiła Mariuszowi P. zarzuty i skierowała sprawę do sądu. Ślad natomiast zaginął po hackerze, który dokonał włamania. Mariusz P. twierdzi, że go nie zna i założył konto, gdyż dostał kilkaset złotych" - czytamy na stronie internetowej z opisem sprawy.

Zdaniem banku winę za kradzież środków z konta ponoszą klienci, którzy nie dochowali należytej staranności w obsłudze systemów internetowych.- W tej konkretnej sprawie kradzież środków, możliwa dzięki uzyskaniu a następnie posłużeniu się danymi do logowania do serwisu transakcyjnego przez osoby trzecie, była wynikiem nieprzestrzegania zasad bezpieczeństwa przez klienta - usłyszeliśmy w biurze prasowym PKO BP, kiedy kontaktowaliśmy się w sprawie przedsiębiorcy z Radomia. - W tej sprawie nie było żadnej winy Banku. Weryfikacja poprawności danych realizowanego przelewu przed jego wysłaniem, w tym numeru konta odbiorcy, należy do klienta. Potwierdził on dane zlecanego przelewu indywidualnym narzędziem autoryzacyjnym - dodano.

Klienci: przecież to absurd!

Okradzeni klienci oczywiście nie zgadzają się z opinią banku. "Przecież to absurd. W jakim celu w takim razie definiować przelew skoro musimy go za każdym razem sprawdzać? Skoro bank oferuje przelewy zdefiniowane, powinien zabezpieczyć je przez możliwością zmiany bez zgody klienta. Skoro bank PKO BP nie jest w stanie zabezpieczyć swoich klientów przez włamaniem na ich konta i zmianą tych przelewów, powinien wyraźnie o tym powiadomić lub zlikwidować taką usługę." - napisał przedsiębiorca z Płocka. Piotr B. zapewnia przy tym że komputer, z którego wykonywał przelewy, "jest najlepiej zabezpieczonym komputerem w firmie".

Poszkodowani zarzucają bankowi, że jego procedury bezpieczeństwa stosowane w kontach nie były wystarczające. "Posiadając login i hasło można na nich wykonywać dowolne operacje bez wiedzy właściciela, oprócz zatwierdzania przelewów" - czytamy na stronie poszkodowaniprzezpkobp.pl. "W konkurencyjnych bankach już dawno wykonanie jakiejkolwiek operacji wiąże się z każdorazowym wpisaniem kodu".

Sprawa jesienią trafiła do sądu rejonowego w Warszawie. W pozwie zarzucono bankowi, że nie zabezpieczył w sposób należyty bezpieczeństwa transakcji kartą kodów jednorazowych. Zarzucono ponadto, że przyjął założenie, iż komputer jest zawirusowany, ale nie poparł tego żadnymi danymi i nie zwrócił się do poszkodowanych z prośbą o zbadanie komputera na tę okoliczność. Przedsiębiorcy zaznaczyli też, że bank nie dochował należytej staranności i pozwolił wykonać trzy przelewy na jeden numer rachunku mimo tego, że odbiorcy mieli różne nazwy i adresy.

Bank: zmiana danych to nie przelew

Bank w odpowiedzi na zarzuty napisał: "Nawet gdyby prawdą było to, że modyfikacja danych zdefiniowanych odbiorców dokonał została w sposób oszukańczy, i tak nie byłoby podstaw do przyjęcia odpowiedzialności PKO BP za realizację przelewów. Wynika to z prostego faktu, że dyspozycja zmiany danych odbiorcy zdefiniowanego jest całkowicie odrębną dyspozycją niż zlecenie przelewu.

O ile do dyspozycji przelewu znajdują zastosowanie przepisy ustawy o usługach płatniczych z wszelkimi tego konsekwencjami, o tyle należy podkreślić, że możliwość zdefiniowania odbiorcy jest jedynie narzędziem ułatwiającym użytkownikowi serwisu internetowego iPKO realizowanie zleceń płatniczych. Nie stanowi natomiast elementu zlecenia płatniczego ani nie zwalnia użytkownika z leżącego w jego własnym interesie obowiązku weryfikacji numeru rachunku bankowego, na który według jego zamiaru mają trafić środki."

Bank: czynności wykonywane były przez osobę nieuprawnioną

W przypadku sprawy przedsiębiorcy z Płocka bank ponadto zaznaczył, że właścicielem rachunku firmowego jest żona przedsiębiorcy, a nie on sam (oficjalnie jest jej pracownikiem), więc to ona nie zachowała należytej staranności przekazując dane autoryzacyjne, login i hasło swojemu mężowi.

"Z pełną stanowczością zatem należy podkreślić, że w niniejszej sprawie czynności wykonywane były przez osobę nieuprawnioną, tj. Piotra B., któremu świadomie i celowo udostępnione zostały narzędzia dostępu do środków na rachunku Powodów." - napisano w odpowiedzi na pozew. "Tym nie mniej jednak, nawet w razie (bezpodstawnego zdaniem Banku) uznania, że Przelewy były transakcjami nieautoryzowanymi (...) w niniejszej sprawie pełną odpowiedzialność można przypisać jedynie Powódce, która w pełni świadomie (okoliczność przyznana w pozwie) naruszyła co najmniej jeden ze swoich obowiązków (...)".

Procedury jednak zmieniono. "Dla wygody użytkowników"

Mimo zdecydowanych stanowisk obu stron, bank w marcu zmienił procedury i wprowadził konieczność zatwierdzania zmian w odbiorcach zdefiniowanych kodem SMS lub kodem ze zdrapki. W Inteligo - internetowej marce PKO BP - taka operacja już wcześniej standardowo była zatwierdzana kodem SMS. Według banku nie ma to związku ze sprawą, bo system i tak był bezpieczny.

- Wprowadzenie dodatkowej autoryzacji przy edycji danych w odbiorcach zdefiniowanych wynika z planowanego połączenia listy zdefiniowanych odbiorców i listy płatności. Jest to element ciągłego procesu doskonalenia systemów bankowości elektronicznej PKO pod kątem wygody, komfortu i prostoty użytkowania - usłyszeliśmy w biurze prasowym.

Tak było do marca 2014:


Tak jest obecnie:


Do pierwszych kradzieży taką metodą doszło w 2012 roku. Poszkodowani uważają, że gdyby bank od razu wprowadził dodatkową autoryzację przy zmianie odbiorców zdefiniowanych, dałoby się uniknąć kolejnych włamań. Zwłaszcza, że z danych prokuratury wynika, że później bank kilkukrotnie udaremnił podobne ataki. Nie wszystkie skutecznie, o czym świadczy chociażby przypadek przedsiębiorcy z Radomia.

Sąd rejonowy w Warszawie na wniosek PKO BP zdecydował się przekazać sprawę do sądu polubownego przy Związku Banków Polskich. Poszkodowany przedsiębiorca z Płocka złożył zażalenie na tę decyzję i obecnie czeka na odpowiedź.

Wojciech Boczoń
Bankier.pl

Wojciech Boczoń

Źródło:

Newsletter Bankier.pl

Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
0 0 ~Max

Ja się pytam czy chociaż raz jakikolwiek bank zwrócił skradzioną kwotę klientowi i czy chociaż raz złapano złodzieja.

! Odpowiedz
0 0 ~Ahmed

Dlatego konto mam założone w innym banku a dokładnie w getin banku. Konto getin up mam już od dłuższego czasu. Wszystko jest ok. Przede wszystkim bezpiecznie!

! Odpowiedz
2 0 ~klient

To zabawne - pkobp jest najgorszy w momencie gdy wprowadził dodatkowe zabezpieczenie.Ciekawe, że tej luki niemal nikt wcześniej nie dostrzegał, a teraz jak wprowadzili dodatkowe zabezpieczenie, to zaczął się hajt jaki to zły bank. Trzeba tylko zwrócić uwagę, ze aby zmienić dane odbiorcy zdefiniowanego, trzeba wejść na konto, a to jesli zachowujesz minimum bezpieczeństwa, nie dajesz nikomu hasła i nie logujesz sie w podejrzanych miejscach, jest prawie niemożliwe.
Pozostaje w pko i ostatnie wydarzenia tylko mnie w tym utwierdziły

Pokaż cały komentarz ! Odpowiedz
0 0 ~sfinks53

Zawsze wiedziałem,że bank w takiej sytuacji będzie się bronił przed pokryciem strat i to każdy bez wyjątku.Dlatego wolę stosować przelewy papierowe i chociaż to może metoda przestarzała ale pewna.

! Odpowiedz
0 0 ~FX

Jak najszybciej trzeba uciekać z tego oszukańczego banku

! Odpowiedz
1 0 ~Michał234

Hejt dla Hejtu ;) Na razie to chyba pioner a nie oszukańczy bank ;)

! Odpowiedz
0 0 ~W.T

Prawo prawem a racja i tak musi być po naszej stronie! Im bank większy tym więcej ma prawnikow i może sobie powolic na bardziej bezczelne traktowanie klientów. Tak to juz jest, prawo piesci zawsze ma pierwszeństwo.

! Odpowiedz
0 1 ~az

pracownicy emeryci a klient główny to emeryt

! Odpowiedz
0 0 ~majkel

nie znawałbym bankiem dla emerytów instytucji która dostała nagrodę za największą innowacyjność w tym roku. PKO przestało być bankiem dla emerytów na długo znaim zacząleś tak je nazywać

! Odpowiedz
1 0 ~Oli

Wstyd !!! Ale tak to jest, że firmy kontrolowane przez Skarb Państwa są zarządzane jak za komuny, nikt za nic nie jest odpowiedzialny. I dlatego, pomimo, że pracuję w PKO BP rachunek mam u konkurencji.

! Odpowiedz
Polecane
Najnowsze
Popularne