Nie trzeba być specjalnie uważnym obserwatorem, by zauważyć, że liczba różnego rodzaju cyberataków na banki i ich klientów stale rośnie. Przy tym, jak dowodzą np. analizy Komisji Nadzoru Finansowego, w korzystaniu z usług bankowych w internecie duża część z Was zachowuje się, delikatnie mówiąc, nonszalancko. Zapewne dlatego, że wydaje się Wam, że to bank jako dostawca usług, powinien zadbać o należyte bezpieczeństwo.

Takie podejście powoduje, że coraz większa liczba prób okradzenia Was przez cyberprzestępców może zakończyć się sukcesem. Przy tym banki wychodzą z założenia, że klienci powinni zachować ostrożność przy korzystaniu z konta w sieci. A jeżeli ktoś nieopatrznie zaloguje się na sfałszowanej stronie banku, albo przed autoryzacją transakcji nie sprawdzi dokładnie na jakie konto przelewa pieniądze, to tylko on ponosi odpowiedzialność za ewentualne straty z tego wynikające. Okazuje się jednak, że sądy mają na ten temat nieco inne zdanie, co może mieć duże znaczenie dla rozwoju nowoczesnych usług bankowych.

Kilka dni temu zauważyłem wpis na Facebooku. Znajomy zamieścił jeden z wyroków Sądu Rejonowego dla Łodzi Śródmieścia, opublikowany pod koniec ubiegłego roku. Wyrok wraz z uzasadnieniem możecie znaleźć tutaj. W tym miejscu napiszę krótko, o co chodzi.

Przeczytajcie także: • Płacicie za gry w Google Play? Ten wirus może Was okraść

Otóż powódka – klientka jednego z banków, 22 i 23 maja 2014 roku próbowała zalogować się na swoje konto z komputera w pracy. Niestety, mimo kilku prób nie udało jej się to ze względu na problemy z połączeniem. Po wpisaniu loginu i hasła strona banku zawieszała się, a po chwili pojawiało się żądanie podania hasła z listy haseł jednorazowych. Klientka przyznała, że przynajmniej dwukrotnie wpisała wtedy hasło ze swojej listy. Ale żadnych operacji nie udało się jej przeprowadzić ze względu na brak dostępu do rachunku.

Okazało się jednak, że 22 maja z konta klientki wykonano przelew na kwotę 9,8 tys. zł a dzień później – na kwotę 9,9 tys. zł. Pieniądze trafiły na rachunek w tym samym banku, założony dwa tygodnie wcześniej. Następnie gotówka została wypłacona w jednym z oddziałów banku klientki. Tej udało się wreszcie zalogować na konto 27 maja. Wtedy stwierdziła, że jej oszczędności zniknęły. Tego samego dnia złożyła reklamację w banku, który zablokował dostęp do rachunku oraz powiadomiła o sprawie policję. Bank nie uznał reklamacji klientki i odmówił uznania jej roszczeń a policja sprawę umorzyła ze względu na niewykrycie sprawców.

I na tym pewnie sprawa by się zakończyła, gdyby klientka nie poszła do sądu. A ten stwierdził, że na podstawie ustawy o usługach płatniczych bank powinien większość utraconych przez klientkę pieniędzy zwrócić. Dlaczego?

Przeczytajcie także: • Sofort nie zważa na wytyczne KNF. Nowa metoda płatności już dostępna w TUI

Zgodnie z przepisami ustawy przelew to usługa płatnicza. Na klientce spoczywał obowiązek korzystania z niej zgodnie z umową zawartą z bankiem. Powinna też zgłaszać niezwłocznie wszelkie sytuacje, w których podejrzewa, że ktoś nieuprawniony zyskał dostęp do jej rachunku. Sąd przyznał, że klientka uchybiła tym obowiązkom, wpisując hasła jednorazowe na podrobionej stronie banku. Zrobiła to jednak w sposób niezamierzony i nieświadomy. Nie można więc uznać, że wykonane złodziejskie przelewy były przez nią autoryzowane. Za takie można by uznać tylko te transakcje, które odbyłyby się za zgodą klientki. Fakt zgłoszenia sprawy na policji oznacza, że zgody na te przelewy nie było.

Zdaniem sądu z tego, że transakcja została potwierdzona hasłem jednorazowym nie można wnosić, że została ona autoryzowana przez klienta. Aby się skutecznie obronić bank musiałby wykazać, że klientka świadomie doprowadziła do przekazania haseł jednorazowych przestępcom lub dopuściła do tego wskutek rażącego niedbalstwa. Sąd uznał jednak, że klientce nie można przypisać woli przeprowadzenia oszukańczych transakcji bo doszło do nich bez jej wiedzy. Nie można też przypisać jej rażącego niedbalstwa.

Zdaniem sądu nie ma wątpliwości, że klientka przekazała hasła jednorazowe, czego nie powinna robić. Jednak sytuacja, w której do tego doszło, a więc problemy z logowaniem, uwiarygodniała żądanie podania haseł przez bank. Na korzyść klientki przemawiał też fakt, że do zainfekowania komputera może dojść bardzo łatwo, a bank nie wymagał od niej posiadania niestandardowych zabezpieczeń sprzętu.

Przeczytajcie także: • Uwaga na nowego trojana, który atakuje użytkowników aplikacji bankowych na Androida

W tej sytuacji sąd uznał, że bank powinien zwrócić klientce większość utraconych pieniędzy wraz z odsetkami. Zgodnie z ustawą o usługach płatniczych klientka została zobowiązana do partycypowania w kosztach kradzieży jedynie do równowartości 150 euro w stosunku do każdego z dwóch oszukańczych przelewów.

To oczywiście tylko jeden wyrok. Inny sąd nie musi brać go pod uwagę i może przeprowadzić zupełnie inny wywód, uznając rację banku. W dodatku nie ma dwóch jednakowych sytuacji, a przypadek każdego klienta jest rozpatrywany indywidualnie. Jednak przykład klientki z Łodzi pokazuje, że warto walczyć o swoje. To ważne nie tylko dla ofiar phishingu, przed którym bronić się dość łatwo, ale także dla tych, którzy padli ofiarą podmiany numeru rachunku podczas wykonywania przelewu. A przed tym bronić się już trudniej.

Wydaje mi się także, że wyrok łódzkiego sądu powinien skłonić bankowców do zrewidowania ich poglądu na temat odpowiedzialności klientów za sposób korzystania z usług finansowych w sieci. Dziś w bankach panuje powszechne przekonanie, że jeżeli transakcja została autoryzowana hasłem jednorazowym, to cała odpowiedzialność za nią spoczywa na kliencie. Okazuje się jednak, że niekoniecznie tak jest.

Pytanie, jak ta konkluzja wpłynąć może na rozwój nowoczesnych usług bankowych. Czy wobec rosnących kosztów fraudów banki postawią na bezpieczeństwo, co zaskutkuje zmniejszeniem ergonomii serwisów internetowych i aplikacji mobilnych? A może rozwiązaniem będzie biometria, która przy ogromnej wygodzie korzystania ma szansę dostarczyć poziom bezpieczeństwa nieosiągalny dla tradycyjnych haseł?