Włamanie na konto w XTB i okradanie rachunku w czasie rozmowy klienta z konsultantem, który zablokował dostęp dopiero po kilkunastu minutach od zgłoszenia problemu, gdy straty wzrosły o około 80 tys. zł - to historia pana Marka ze Śląska. XTB bije się w pierś, ale tylko za sposób zakończenia obsługi klienta, z którym konsultant się rozłączył, bo skończyły się jego godziny pracy.
Od czasu ujawnienia ataków na konta klientów XTB do redakcji Bankier.pl wpływają coraz to nowe zgłoszenia poszkodowanych inwestorów. Wszystkich łączy brak dwuetapowego uwierzytelnienia konta (2FA). Samo XTB w lipcowym komentarzu do głośnego włamania na konto podało statystykę: z dodatkowego zabezpieczenia korzystało tylko „nieco ponad 10 proc. klientów”.
Czy to był strzał w kolano, z uwagi na to, że tarcza, w którą celowali przestępcy, nabrała konkretnych rozmiarów? W redakcji mamy zweryfikowane informacje o włamaniach m.in. z 11 lipca, 17 lipca, 18 lipca, a więc już po medialnych doniesieniach o przypadku pana Łukasza, który miał stracić około 150 tys. zł i komentarzu XTB ze wspomnianą statystyką.
Ataki na klientów XTB nie mają skali masowej
XTB zapytane o to, czy po tym oświadczeniu, liczba ataków hakerskich wzrosła w stosunku do tego, co obserwowano przed lipcem 2025 r. nie odpowiada wprost, przytaczając ogólną rosnącą statystyką incydentów związanych z cyberbezpieczeństwem w branży finansowej (wg danych CERT w 2024 r. był to wzrost o 29 proc. rdr).
„Zagrożenie w podobnym stopniu dotyczy większości instytucji, dlatego stanowczo zaprzeczamy informacjom o masowej skali tego zjawiska w XTB” – poinformowała spółka w komentarzu dla Bankier.pl i odpowiedzi także na pytanie, czy seria ataków może być zorganizowaną kampanią mającą uderzyć w wizerunek spółki.
Obserwatorom trudno oszacować skalę, bo XTB nie podaje konkretnych liczb. Wiadomo, że poszkodowani tworzą grupy w social mediach i na komunikatorach, aby wspólnie zastanowić się, co robić dalej. Są też tacy jak pan Marek, o którym za chwilę, który nie jest w żadnej z nich.
„Mamy wspólną grupę, gdzie jest już 16 osób z Polski i kilka osób z Czech, Węgier i Rumunii” – informuje nas pan Wojtek, który miał stracić 25 tys. zł. „Ludzie stracili naprawdę wielkie pieniądze, sporo osób powyżej 100 tys. zł. Nikt sprawy nie odpuści” – kontynuuje i dodaje, że łączne straty są już liczone w milionach złotych, a do grupy, w ktorej jest dołączają kolejne osoby.
„Najkorzystniejsze byłoby zatrzymanie sprawców tych działań, ponieważ poszkodowani mogliby dochodzić swoich roszczeń w procesie karnym. Jednak, biorąc pod uwagę profesjonalny charakter popełnianych przestępstw, wydaje się to mało prawdopodobne. Poszkodowani, którzy uważają, że nie zapewniono im wystarczającej ochrony środków i aktywów mogą również dochodzić odszkodowania od domu maklerskiego" - komentuje sytuację z włamaniami na konto klientów DM XTB adwokat Wojciech Kaczmarczyk, prowadzący kancelarię specjalizującą się w sporach z instytucjami finansowymi.
"W pierwszej kolejności wskazane jest złożenie reklamacji, choć odpowiedź będzie zapewne odmowna. Dobrze sporządzona reklamacja nie tylko umożliwi poznanie argumentacji XTB, ale również będzie podstawą do naliczania w przyszłości odsetek od utraconych środków oraz wykorzystania szerszego spektrum instrumentów prawnych w ewentualnym sporze. Jeśli w ocenie klienta dom maklerski nie chronił jego rachunku w wystarczającym stopniu, kolejnym krokiem jest wytoczenie powództwa lub złożenie wniosku o postępowanie polubowne przed Rzecznikiem Finansowym" - dodaje.
"Wybór uzależnić należy od konkretnej sytuacji oraz oczekiwań poszkodowanego. Niestety, tego typu spory są bardzo skomplikowane przez co wymagają znajomości wielu regulacji i zrozumienia rynku finansowego. Warto więc od samego początku korzystać z pomocy adwokata biegłego w prawie finansowym i posiadającego doświadczenie w sporach z instytucjami finansowymi. Wielokrotnie spotykałem się z sytuacją, gdy mało profesjonalne działania, chociażby w postepowaniu reklamacyjnym, negatywnie wpływały na późniejszy proces sądowy. Warto mieć także na uwadze, że sąd może, stosując przepisy dotyczące rachunku bankowego, przyjąć przedawnienie takich roszczeń w terminie dwóch lat. Radzę więc nie zwlekać” – podsumowuje.
Milion klientów i miliardy złotych zysków
Na około 1,5 mln klientów XTB na całym świecie, w tym ponad 0,5 mln w Polsce, kilkanaście, kilkadziesiąt czy nawet ponad setka przypadków włamań to część promila, ale i tak uderza w wizerunek brokera, który dynamicznie rozszerza swoją bazę klientów, licząc, że część z nich zacznie korzystać z kontraktów na różnice kursów (CFD), na których firma najwięcej zarabia (ponad 70 proc. inwestorów handlujących kontraktami CFD notuje straty).
Spółka jednak nie tylko otwiera Polakom bramy do inwestycji na rynku kapitałowym, ale także edukuje swoich klientów, dostarcza jakościowe analizy i komentarze, poszerza ofertę o nowe rozwiązania (np. akcje ułamkowe, plany inwestycyjne, eWallet do wymiany walut) czy wspiera młodzież, która wygrała w ubiegłym roku drużynową rywalizację na Międzynarodowej Olimpiadzie Ekonomicznej w Grecji.
Nadając tempo brokerskiej rywalizacji o klientów, XTB inwestuje ogromne środki w marketing. Sponsoringi popularnych kanałów na You Tube (np. Kanału Zero), wydarzeń sportowych (np. KSW), duże kampanie bilbordowe, reklamy telewizyjne w „prime time” czy kontrakty z gwiazdami sportu, jak np. Zlatan Ibrahimović, Tyson Fury, a wcześniej m.in. Jose Mourinho, kosztują spółkę krocie, ale zwracają się z nawiązką.
W 2024 roku Grupa XTB przeznaczała już 345 mln zł na działania marketingowe, po wzroście o 30,6 proc. rdr. W kolejnych latach wydatki w tym obszarze mają rosnąć nawet o 80 proc. rocznie. Mimo kosztów marketingu, liczonego w setkach milionów złotych, XTB w ubiegłym roku miało blisko 860 mln złotych czystego zysku. Nieco ponad 790 mln zł zarobiło w 2023 r. Przez trzy ostanie lata było to w sumie ponad 2,4 mld zł.
Wydatki na bezpieczeństwo rosły szybciej niż na marketing
Ile zatem XTB wydaje na bezpieczeństwo? W raportach finansowych nie kategoryzuje takich kosztów, więc nominalnych kwot nie znamy. Spółka poinformowała nas, że budżet działu bezpieczeństwa wzrósł w ubiegłym roku o 48 proc., a więc więcej niż wydatki na marketing.
„To inwestycje związane bezpośrednio z zakupem oprogramowania, usług bezpieczeństwa i zatrudnieniem specjalistów. Ponadto inwestujemy w bezpieczeństwo przez budowanie i rozwijanie kultury dbania o bezpieczeństwo na wszystkich etapach pracy nad oprogramowaniem. Zajmuje się tym specjalnie szkolona grupa inżynierów, którzy pracują na co dzień w zespołach rozwijających każdy produkt w XTB” – komentuje XTB.
Prowadzimy monitoring i audyt naszych systemów zabezpieczeń, dlatego możemy z całą pewnością stwierdzić, że ich integralność nie została naruszona – informuje XTB, nawiązując do ostatnich włamań na konto.
Schemat działania cyberprzestępców opisałem w artykule „Tysiące transakcji i ogromne straty”. W skrócie polegał na przejęciu konta, zmianie jego ustawień dotyczących powiadomień, sprzedaży otwartych pozycji i kupna za pozyskany kapitał mało płynnych spółek z innych giełd i tym sposobem wyprowadzeniu pieniędzy. Wartość przejętego konta szybko topniała, także przez prowizję dla XTB na przewalutowaniu (0,5 proc.) oraz prowizji maklerskiej (0,2 proc. z minimum 10 euro), jeśli obrót przekroczył miesięcznych limit (równowartość 100 tys. euro) bezprowizyjnych transakcji.
„Złodzieje przejmujący konto wykorzystują dane do logowania (login oraz hasło) pochodzące najczęściej z jednego z dwóch źródeł: wykradzione bezpośrednio z komputera użytkownika zainfekowanego złośliwym oprogramowaniem lub z wycieków z różnych serwisów. W obu przypadkach złodzieje sprawdzają, czy dane do logowania pasują do różnych serwisów. Ta druga metoda jest skuteczna, jeśli klienci używają tych samych haseł w wielu serwisach. W obu przypadkach posiadanie zabezpieczenia w postaci 2FA chroni przed nieuprawnionym dostępem do konta” – podkreśla XTB.
Jak informuje broker, jedną z inwestycji w bezpieczeństwo są usługi firm z sektora Cyber Threat Intelligence (CTI). Przeszukują one tak zwany “darknet” pod kątem informacji na temat oferowanych przez złodziei zestawów danych do logowania do różnych serwisów. Dział Bezpieczeństwa XTB monitoruje informacje przesyłane przez CTI i sprawdza, czy zagrożone są konta klientów XTB, czytamy w odpowiedzi na nasze pytania.
„Dane w wyciekach pochodzą z wielu źródeł: wycieków serwisów internetowych (dlatego tak ważne jest korzystanie z unikalnego hasła), są też pozyskiwane przez złośliwe oprogramowanie (wirusy, wtyczki do przeglądarek), którymi zainfekowane są komputery klientów. Mając takie informacje, ostrzegamy klientów o potencjalnym zagrożeniu i powiadamiamy ich o konieczności zmiany hasła” – informuje XTB.
Obsługa klienta do poprawy?
Takie ostrzeżenie dostał w lipcu pan Marcin. Jej treść brzmiała: „zostaliśmy poinformowani, że dane niektórych naszych klientów zapisane w pamięci podręcznej przeglądarki internetowej mogły zostać publicznie ujawnione w Internecie. Pragniemy podkreślić, że nasze systemy bezpieczeństwa nie zostały naruszone, a sytuacja ta jest najprawdopodobniej wynikiem infekcji złośliwego oprogramowania na Twoim komputerze osobistym lub urządzeniu mobilnym”. Dalsza treść dotyczyła możliwych do podjęcia dalszych kroków, w tym włączenia 2FA.
Niestety Pan Marcin nie zdążył się zapoznać z wiadomością przysłaną po godz. 17.10. Bowiem przyszła, gdy na jego koncie dokonano już pierwszych nieautoryzowanych transakcji. Gdy zalogował się przed godz. 19.00, widział migające komunikaty o zamykanych transakcjach. Po połączeniu się z konsultantem na infolinii złożył dyspozycję blokady rachunku, czym przerwał dalsze działania intruza.
W rozmowie z redakcją podkreśla, że nie jest zadowolony z obsługi klienta, ponieważ najpierw zaoferowano mu złożenie reklamacji, kiedy priorytetem powinno być jak najszybsze zabezpieczenie konta przed dalszymi stratami. Narzeka także na sposób zmiany hasła. "Przeciętny Kowalski jak ja nie zmieni sobie hasła w aplikacji tak prosto, ponieważ nie ma takiej funkcji. Nawet pracownik XTB, który spędził ze mną 10 minut na infolinii, był bardzo tym zaskoczony" - opowiada.
„Jeżeli XTB wiedziało o takich rzeczach, o włamaniach na konta klientów nie rozumiem dlaczego z automatu nie włączyli logowania dwuetapowego (2FA, przyp. red.), jako obligatoryjnego?” – zastanawia się także pan Marcin.
Poza brakiem 2FA, który łączy wszystkich poszkodowanych, z którymi rozmawiałem, jest jeszcze co najmniej jedna ich wspólna cecha: nie wiedzieli, że jest możliwość włączenia takiego zabezpieczenia. Do tej pory weryfikacja dwuskładnikowa nie była obowiązkowa w XTB (z wyjątkiem kont z usługą eWallet). Już jest, gdyż firma wprowadziła ją 25 lipca, po głośnych włamaniach na rachunki klientów.
XTB przeprowadziło w lipcu bieżącego roku kampanię mailową, informującą o 2FA, ale jak opisują niektórzy klienci brokera, nie czytają regularnie wiadomości e-mailowych, są zajęci codziennymi obowiązkami, pracą, a w skrajnych przypadkach wiadomość po prostu trafiła do spamu i we właściwym czasie nie została odczytana przez adresata. Nie wszyscy też czytają branżowe media i portale społecznościowe jak X czy Facebook, gdzie temat był szeroko opisywany i komentowany z zaleceniem jak najszybszego włączenia ochrony.
Osobnym tematem pozostaje skuteczność wcześniejszych działań XTB w zakresie uświadomienia klientów o nowej możliwości zabezpieczenia ich środków. Dodatkowa metoda weryfikacji użytkownika (2FA) została włączona w sierpniu 2024 r. Chociaż XTB przekonuje, że prowadziło szeroką komunikację na ten temat, łącznie z wysyłanymi mailami do swoich klientów, to żaden z poszkodowanych, z którymi rozmawiałem wiadomości z treścią: „Dwuetapowa weryfikacja logowania (2FA) już dostępna w XTB. Sprawdź jak dodatkowo zabezpieczyć swoje konto”, nie widział.
Taki bezpośredni komunikat w 2024 r. dostała część klientów XTB. Jaka? Na to pytanie spółka nie udzieliła precyzyjnej odpowiedzi, kiedy spytałem ją o to, ile z 280 tys. rachunków zarejestrowanych w KDPW w sierpniu 2024 r. zostało w ten sposób obsłużonych. XTB owszem informowało bezpośrednio w 2024 r. o 2FA, ale w ramach wiadomości o zmianach w regulaminie, a informacja była w załączniku do niej, którego z reguły z nikt nie czyta (niestety).
Kolejne wdrożenia związane z cyberbezpieczeństwem
„Możliwość włączenia uwierzytelnienia dwuskładnikowego jest dostępna w XTB od sierpnia 2024 roku. Od tego czasu regularnie informowaliśmy wszystkich naszych klientów o tej funkcjonalności, w taki sam sposób jak komunikujemy o kluczowych wdrożeniach nowych produktów. Informację o 2FA były dystrybuowane wieloma różnymi kanałami, m.in. poprzez masowe mailingi, wiadomości push oraz pop-up w aplikacji mobilnej w okienku “Polecane” w zakładce “Odkryj”. Od początku roku stale prowadzimy działania edukacyjne skierowane do klientów, w których rekomendowaliśmy klientom włączenie 2FA, informowaliśmy ich o różnych formach zagrożeń i sposobach ochrony. Informacje te przekazujemy m.in. w mailingach, a także naszych kanałach social media czy na stronie https://edukacja.xtb.com/bezpieczenstwo-w-sieci” – odpowiedziało XTB na kilka pytań w tym obszarze.
„W planach produktowych na ten rok znalazło się wiele inicjatyw dotyczących bezpieczeństwa, które wymagały nie tylko zmian w systemach IT, ale także podpisania kontraktów z nowymi dostawcami (np. usługi wysyłki SMS). W efekcie, w lipcu znacząco ułatwiliśmy proces włączania 2FA (bez wylogowania z aplikacji), dodaliśmy również drugi składnik uwierzytelniania czyli TOTP, a obecnie rozpoczęliśmy proces obligatoryjnego włączania 2FA użytkownikom” – dodała spółka.
„W najbliższym czasie, planujemy kolejne wdrożenia związane z cyberbezpieczeństwem wśród których jest włączanie 2FA każdemu nowemu użytkownikowi, wysyłanie notyfikacji o logowaniu z nowych urządzeń, uproszczenie procesu zmiany hasła czy możliwość samodzielnego zablokowania konta inwestycyjnego bezpośrednio w aplikacji mobilnej” – zapowiada XTB w komentarzu dla Bankier.pl
W lipcu wpis pana Łukasza, który opowiedział swój przypadek w serwisie Wykop, skoncentrował uwagę na XTB, które podjęło konkretne działania (maile do klientów o włączeniu 2FA) i informowało o kolejnych (obligatoryjne 2FA). Tylko, że włamanie, które rozpoczęło cały temat w mediach, miało przecież miejsce w maju bieżącego roku. Z kolei do redakcji Bankier.pl zgłosiło się dwóch klientów, których kradzież według tego samego schematu dotknęła w marcu tego roku.
Stoję i patrzę, jak mnie okradają
Jeden z tych przypadków zdecydowaliśmy się opisać, ale nie ze względu na skalę strat, wynoszącą około 150 tys. zł, ale sposób obsługi klienta, na którą, jak wspomniano wcześniej dalej w lipcu także narzekał pan Marcin, i ktora według zdania naszego rozmówcy, przyczyniła się do znacznego powiększenia strat.
Klient XTB, 55-letni pan Marek ze Śląska zgłosił się na infolinię brokera 7 marca, informując, że ma w portfelu spółki, których nigdy nie kupował, a wartość portfela spadła o kilkadziesiąt tysięcy złotych. Klient został zweryfikowany i konsultant miał podgląd na jego rachunek. Pan Marek zgłaszał, że to nie on odpowiada za obecny skład portfela spółek. Rozpoczyna się dyskusja na temat aktywności na koncie i hasła, z której wynika, że klient nie przekazywał nikomu danych do logowania. „Nie przekazywałem żadnych zleceń”, powtarza pan Marek, na nagraniu, które odsłuchałem.
Tak jak w przypadku opisanym przez pana Marcina, pierwszą propozycją konsultanta jest złożenie reklamacji, choć ewidentnie widać, że prawdopodobnie mamy do czynienia z krytycznym naruszeniem bezpieczeństwa. „Widzę, to co widzę” – mówi konsultant XTB i kieruje klienta do tzw. pokoju inwestora, gdzie można złożyć reklamację. „Nie wiem co teraz mam zrobić” – informuje pan Marek, po czym konsultant zachęca ponownie do złożenia reklamacji i po raz pierwszy aby „zmienić hasło, w razie czego”. Rozmowa trwa już ponad 5 minut.
Kilkadziesiąt sekund później, klient zauważa wyskakujące powiadomienia na platformie transakcyjnej. „Pozycja zamknięta”, „pozycja została zmodyfikowana”, „buy, sell”, informuje pan Marek. „Ja to widzę, to się wyświetla” – z przerażaniem mówi do słuchawki telefonu okradany klient. „Czy pan zamyka teraz pozycje?” – pyta konsultant. „Absolutnie nie!” – krzyczy już wyraźnie poirytowany klient, „Stoję i patrzę na to”, dodaje.
Odpowiedzią jest zachęta do jak najszybszej zmiany hasła. „Jeśli to nie pan zamyka, to ja widzę, że ktoś jest na rachunku u Pana”. Pojawiają się kolejne zachęty do zmiany hasła i złożenia reklamacji. Pan Marek wspomina, o tym by zablokować działania włamywacza, który cały czas dokonuje transakcji.
Konsultant pyta czy Pan Marek zmienił hasło, chociaż z przebiegu rozmowy nie wynika, że podjął próbę. „Nie wiem jak to zrobić” – informuje klient. „Dziwna rzecz się dzieje, zniknęły Panu środki z konta, wiele pozycji zostało zamkniętych” – mówi po tym konsultant i z powrotem wraca z „zachętą” do zmiany hasła. Przypomnienie pana Marka, że nie wie jak to zrobić, sprawia, że konsultant zaczyna instruować go w kolejnych krokach do tego celu. Dochodzi 11 min rozmowy.
Pan Marek napotyka trudności, ponieważ nie widzi wskazywanej przez konsultanta opcji, ten więc wysyła link do zresetowania hasła. Z rozmowy wynika, że wiadomość z linkiem dotarła na adres mailowy, ale próba skorzytania z niego napotyka trudności w postaci wyświetlanych po jego kliknięciu komunikatów w języku angielskim, których klient nie rozumiał, o czym informuje. W międzyczasie znów mówi, aby zablokować to konto, bo jest "przeszło 100 tys. zł w plecy".
Następnie jeszcze raz konsultant prowadzi klienta do zmiany hasła, startując od strony xtb.pl, a sam w międzyczasie informuje, że zablokuje mu rachunek. Trwa już 15 min połączenia. Całość próby powstrzymania złodzieja trwa kilkanaście minut, straty w tym czasie rosną o około 80 tys. zł, jak opisał Pan Marek w złożonej później pisemnej reklamacji. Konsultant ostatecznie informuje: „Zablokowałem Panu rachunek, żeby nie mogli w razie czego wypłacić pieniędzy lub handlować dalej”. Nagrana rozmowa trwa już w tym momencie ponad 17 min i 50 sek. W tym czasie Pan Marek zmienił też hasło.
Dalsza część sytuacji wygląda tak, że konsultant informuje, że klient może złożyć reklamację na całą sytuację, ale on sam już więcej w tej spawie nie może pomóc, bo „skończyły się jego godziny pracy”. Musi się rozłączyć i instruuje klienta, żeby jeszcze raz dzwonił na infolinię w sprawie reklamacji.
"Ja niestety tutaj muszę się rozłączyć, ponieważ jest to po godzinie mojej pracy. Jeżeli jest pan zainteresowany, może pan ponownie zadzwonić na infolinię i usłyszeć od konsultanta, jak składa się reklamację" - konsultant XTB do klienta, który właśnie stracił około 150 tys. zł.
Klient łączy się z nowym konsultantem, przechodzi weryfikację, opowiada całą sytuację. Nowy konsultant orientuje się co się stało, mówi jak przekazać XTB tzw. "logi" z platformy klienta (okazuje się, że pochodzą ze Szwecji), podaje, że konto ma zablokowane do czasu weryfikacji reklamacji. Zgłoszona reklamacja zostaje po paru dniach odrzucona przez XTB.
XTB przeprasza za zakończoną rozmowę
Broker w odpowiedzi na nią powołuje się na regulamin według którego klient ponosi całkowitą odpowiedzialność za wszystkie zlecenia transakcyjne złożone za pomocą rachunku, które zostały złożone przy użyciu loginu i hasła klienta.
"Nie zgadzam się z Waszą opinią i składam odwołanie w sprawie mojej reklamacji. Uważam że dużo winy jest po Waszej stronie. Tak jak pisałem wcześniej, zaraz jak zauważyłem ruchy na moim koncie dzwoniłem do Was. Gdyby wtedy pracownik od razu zareagował i zablokował moje konto to nie byłoby tak dużej straty. Od początku całego zdarzenia do momentu zablokowania konta minęło ponad 10 minut, przez ten czas moje straty znacznie się zwiększyły o około 80 000 (złotych, przyp. red.). Gdyby była natychmiastowa reakcja to sytuacja wyglądała by znacznie lepiej” – odpisał brokerowi Pan Marek.
XTB odrzuciło odwołanie, informując, że rozmowy klienta z konsultantem zostały przesłuchane kilkukrotnie, ale na ich podstawie nie znaleziono podstaw do uznania reklamacji. Włamanie na konto, w wyniku którego nastąpiło wyprowadzenie środków z rachunku, Pan Marek zgłosił na policję. Według jego relacji przekazała ona sprawę do prokuratury. O incydencie klient poinformował także KNF.
„Hasło zmieniam co tydzień. Zaraz sobie zrobiłem uwierzytelnianie (2FA, przyp. red.)” – tłumaczy pan Marek. „Nie spodziewałem się, że mnie odchudzą o 150 tys. złotych” – wzdycha, opowiadając, że nie jest aktywnym inwestorem. Kupuje spółki na długi termin. „Akcje Rainbow Tours kupowałem po około 40 złotych, dzisiaj tam jest po około 130 zł, ale i tak bym nie sprzedał, bo rekomendacja z Pekao jest na 210 zł. No to może bym rozważył 180 zł” – opowiada, zdradzając, że śledzi rynkowe doniesienia.
Mówi, że ma na to czas, bo obecnie jest rencistą, ale jak dodaje „tej renty jest tyle co kot napłakał”. Polega jednak na zgromadzonym kapitale. „30 lat miałem swój interes. Zarabiało się konkretne pieniądze” – mówi z satysfakcją.
Orlen trzymał w portfelu od trzech lat. Kilka tysięcy akcji. Wszystko sprzedane przez złodzieja w marcu przy cenie 63 zł za akcję. Dzisiaj kosztują około 83 zł, 30 proc. więcej. Jak tłumaczy, do tych 150 tys. zł strat na rachunku w XTB można by doliczyć utracone korzyści, które szacuje na kolejne kilkadziesiąt tysięcy złotych. Nie załamuje się. „150 tysięcy, to bym sobie auto kupił i jeszcze by mi dużo zostało” – sprowadza stratę do przyziemnych rzeczy.
Wobec XTB pojawia się natomiast szereg pytań o szkolenia konsultantów na wypadek zgłoszeń klientów dotyczących potencjalnych włamań na konto, procedury, które należy zastosować przy podejrzeniu cyberataku, czy już konkretnie, dlaczego tak długo trwało zablokowanie konta w przypadku zgłoszenia pana Marka.
Mój redakcyjny kolega Wojciech Boczoń, specjalizujący się w relacjach banków z klientami, mówi, że w ich przypadku reakcją jest natychmiastowa blokada rachunku po zgłoszeniu tego rodzaju krytycznego incydentu. Oczywiście XTB to nie bank, ale tam także priorytetowe jest bezpieczeństwo środków. Czy blokada rachunku po blisko 20 min od zawiadomienia o nieautoryzowanych transakcjach to reakcja natychmiastowa? Zasadne wydaje się też pytanie o płacenie konsultantom za nadgodziny.
XTB o sytuacji Pana Marka
„Wszyscy pracownicy zespołu Customer Support są przeszkoleni w zakresie postępowania w przypadku podejrzenia nieautoryzowanego dostępu do konta. Szkolenia te są prowadzone w oparciu o coraz to nowe scenariusze, w miarę jak mechanizmy działania cyberprzestępców ulegają zmianie, co czasami dzieje się dosłownie w perspektywie kilku tygodni. Kiedy pracownik infolinii podejrzewa, że ktoś nieuprawniony ma dostęp do konta klienta, stosuje procedury, które zakładają priorytetowe potraktowanie zgłoszenia, szybką próbę zabezpieczenia rachunku oraz poinformowanie o możliwej eskalacji czy to w formie reklamacji czy też zgłoszenia sprawy na policję.
W przytoczonym przypadku pracownik podjął działania mające na celu zabezpieczenie dostępu do konta, czyli m.in przekazał link do zmiany hasła oraz dodatkowo ze swojej strony prowadził działania zmierzające do zablokowania rachunku. Czas reakcji to nie tylko próba wspólnego rozwiązania sytuacji z klientem, ale także wsparcie techniczne.
Należy pamiętać, że tego typu sytuacje są dynamiczne, a gdy klient jest na linii, pracownicy często działają równolegle w kilku obszarach, co może nie być do końca widoczne z perspektywy klienta. Samo zablokowanie konta inwestycyjnego nie zawsze jest możliwe natychmiast, ponieważ wymaga przeprowadzenia weryfikacji klienta (czy na pewno dzwoni osoba, która jest właścicielem konta) oraz oceny aktualnej sytuacji. Należy pamiętać, że blokada konta jest tymczasowa, zazwyczaj na czas konkretnej rozmowy z konsultantem i aż do momentu skutecznej zmiany hasła na nowe, unikalne i bezpieczniejsze.
Procedura reklamacji i blokada rachunku to dwa niezależne procesy i nie jest prawdą, że konto musi być zablokowane aż do ustawowego czasu rozpatrzenia reklamacji czyli przez 30 dni. Natomiast prawdą jest, że pracownicy infolinii nie mogą w żaden sposób rekomendować czy sugerować klientowi dalszego postępowania w sprawie aktualnie otwartych na jego rachunku pozycji. Jeśli chodzi natomiast o sposób zakończenia rozmowy z klientem w tym konkretnym przypadku, to zgadzamy się, że nie był on prawidłowy. Bardzo przepraszamy za zaistniałą sytuację.”
„Wydaje się, że procedury XTB zawiodły”
O ocenę sytuacji pana Marka poprosiłem adwokata Wojciecha Kaczmarczyka, prowadzącego kancelarię specjalizującą się w sporach z instytucjami finansowymi. To prawnik, który reprezentował powódkę przeciwko bankowi, gdzie zapadł w zeszłym roku bezprecedensowy prawomocny wyrok w sprawie cyberoszustwa. Sąd wtedy stanął po stronie poszkodowanej. Kaczmarczyk to także pracownik Uniwersytetu Ekonomicznego w Katowicach i autor artykułów naukowych.
Adwokat o sytuacji Pana Marka
Działalność licencjonowanego domu maklerskiego podlega bardzo złożonym regulacjom. Jest to podmiot profesjonalny, który ma obowiązek chronić środki i aktywa swoich klientów. Po pierwsze do zdeponowanych środków stosuje się istotną część przepisów dotyczących rachunku bankowego, podlegają więc one daleko idącej ochronie.
Po drugie, dom maklerski ma obowiązek wdrożenia rozwiązań organizacyjnych ograniczających do minimum ryzyko utraty środków klienta. Potencjalna odpowiedzialność domu maklerskiego nie ogranicza się więc jedynie do obsłużenia telefonicznego zgłoszenia klienta. Niemniej, oceniając przytoczony przebieg rozmowy z infolinią, wydaje się, że procedury XTB zawiodły. Niewątpliwie natychmiastowa blokada rachunku klienta ograniczyłaby ryzyko dalszej utraty środków.
Odpowiedzialność za bezpieczeństwo środków ciąży na domu maklerskim już od chwili ich zdeponowania. Jego obowiązkiem jest zapewniać bezpieczeństwo środków przez cały czas, a nie tylko gdy dostanie informację o ich zagrożeniu. Klient może więc formułować żądania odszkodowania zarówno co do środków utraconych po zgłoszeniu, jak i środków, które stracił jeszcze przed nim. Niestety takie spory z instytucjami finansowymi prawie zawsze znajdują swój finał w sądzie.
Ocena szans na pozytywny wyrok zawsze wymaga dokładnej analizy sprawy. Niewątpliwie w przypadku środków utraconych po zgłoszeniu rokowania będą lepsze, ale gwarancji ich odzyskania nie da żaden uczciwy adwokat. Działania domu maklerskiego i jego klienta będą oceniane przez Sąd przy zastosowaniu odmiennych reguł. Dom maklerski powinien działać w sposób profesjonalny, ze szczególną starannością. W przypadku klienta wystarczające będzie natomiast, by nie doszło z jego strony do zawinienia lub rażącego niedbalstwa.
Kluczowe jest więc to, czy dane do logowania pozyskano w sposób całkowicie niezależny od klienta (np. wyciek danych z instytucji). W przeciwnym wypadku istotne jest w jaki sposób się to stało. Przykładowo, gdyby klient sam przekazał wszystkie niezbędne dane, to raczej wyłączy to odpowiedzialność domu maklerskiego. Natomiast gdyby dane pozyskano z jego urządzenia w sposób profesjonalny, któremu nie był w stanie zapobiec, to nadal możliwe jest przypisanie odpowiedzialności instytucji finansowej. W opisywanym przypadku Sąd z pewnością oceni również brak obowiązkowego uwierzytelnienia dwuskładnikowego, zwłaszcza, że takie rozwiązanie było dostępne. Są to skomplikowane spory, zazwyczaj wymagające opinii biegłego
Osobiście nie przywiązywałbym nadmiernej wagi do treści regulaminu, na który powołuje się XTB. W języku prawnym operujemy pojęciem przepisów semiperatywnych. Są to przepisy, które mogą być zmienione w drodze umowy (w tym regulaminu) wyłącznie na korzyść słabszej strony, tj. klienta. Właśnie taki charakter mają przepisy zapewniające ochronę środków i aktywów zdeponowanych w domu maklerskim. Zakres tej odpowiedzialności może być więc zmieniony regulaminem wyłącznie na korzyść klienta. Wszelkie postanowienia ograniczające tę ochronę nie wywołują realnych skutków prawnych.
Sprawa włamań na konta klientów XTB na pewno wymaga wyjaśnienia przyczyn i wyciągnięcia wniosków. Dotyczy to zarówno klientów (np. świadomość zasad bezpieczeństwa w Internecie), jak i DM XTB (np. komunikacja dot. bezpieczeństwa, obsługa klienta w przypadku incydentów bezpieczeństwa). Edukacji nigdy za dużo i nie chodzi tylko o zorientowanie na rynku ropy naftowej, linii trendu kursu Orlenu czy zmian w polityce monetarnej tego, czy innego banku centralnego. Jak pokazuje obecna sytuacja, świadomość dotycząca zasad bezpieczeństwa własnych aktywów i aktywów swoich klientów może być czasami więcej warta niż nawet duża zyskowna transakcja czy udana kampania marketingowa.
Priorytetem powinno być znalezienie winnych przejęcia przez złodziei kontroli nad kontami brokerskimi (w USA się udaje). Skoro nie był to wyciek z systemów XTB, to uwaga automatycznie kieruje się w stronę klientów. Jednak wielu z nich przekonuje, że dbało o bezpieczne korzystanie z platformy, używało oryginalnych haseł, korzystało z antywirusów i było świadomych potencjalnie niebezpiecznych zachowań w Internecie. Z drugiej strony inni przyznają, że ich hasło mogło zostać wykradzione, ale do włamania prawdopodobnie by nie doszło, gdyby wiedzieli o dodatkowych opcjach zabezpieczeń. Sprawa nie jest prosta i choć łączy ją ten sam schemat działania, to na każdy przypadek trzeba spojrzeć indywidualnie.
Michał Kubicki
