Kradzież środków w wyniku phishingu, a pozew przeciwko bankowi
Polskie organy ścigania prowadzą coraz więcej spraw związanych z kradzieżą pieniędzy w wyniku tzw. phishingu. Jakie masz szanse na odzyskanie swoich pieniędzy od banku?
W dobie powszechnej cyfryzacji, tzw. phishing stał się zjawiskiem niemalże powszechnym. Phishing to przestępstwo polegające na pozyskiwaniu poufnych informacji, takich jak hasła, numery kart kredytowych, adresy e-mail, czy inne dane osobowe użytkowników za pośrednictwem fałszywych stron internetowych lub e-maili. Osoby, które padają ofiarą phishingu, narażają się na kradzież swoich pieniędzy lub na wykorzystanie ich danych osobowych w celach przestępczych.
Jeśli klient banku padł ofiarą phishingu, powinien natychmiast powiadomić bank o sytuacji. Bank ma obowiązek podjąć wszelkie możliwe działania w celu zabezpieczenia środków na rachunku i powstrzymania dalszej kradzieży. W przypadku, gdy bank nie podjął odpowiednich działań w celu zabezpieczenia rachunku i doszło do kradzieży środków, klient ma prawo do żądania ich zwrotu bezpośrednio od banku.
W Polsce banki są zobowiązane do stosowania odpowiednich środków technicznych i organizacyjnych, które zapewniają bezpieczeństwo przede wszystkim środków zgromadzonych na rachunkach bankowych klientów, ale także ich danych. Takimi środkami są m.in. systemy weryfikacji tożsamości klientów, monitorowanie transakcji, blokowanie podejrzanych działań czy szkolenie pracowników. Obowiązek banków w tym zakresie wynika przede wszystkim z treści art. 50 ust. 2 ustawy Prawo bankowe (Dz.U.2022.2324 t.j. z dnia 2022.11.15), który to przepis nakazuje bankom dochowywać szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych.
W tym kontekście bardzo czytelnie wypowiedział się Sąd Najwyższy jeszcze w 2003 roku, wskazując, że: „Zapewnienie bezpieczeństwa depozytów jest jednym z najistotniejszych obowiązków banku, a sposób jego wykonywania jest najbardziej wymierną podstawą oceny jego wiarygodności. Dlatego wszelkie próby interpretacji przez banki postanowień zawartych w stosowanych przez nie wzorcach umownych, zmierzające do zaniżania standardów bezpieczeństwa powierzonych bankowi środków pieniężnych, powinny być oceniane jako zachowania sprzeczne z dobrymi obyczajami i celem umowy rachunku bankowego.” (zob. wyrok Sądu Najwyższego z dnia 14 kwietnia 2003 r., sygn. akt I CKN 308/01).
W naszej ocenie polskie banki stosują zbyt słabe zabezpieczenia przed phishingiem, stąd kwoty tracone przez klientów banków są znaczne. Standardy zabezpieczeń stosowane przez polskie banki są bowiem znacząco niższe niż te stosowane w krajach zachodnich. W tym kontekście warto wspomnieć, że próżno szukać w Polsce banku, który posiadałby prawidłowo działające narzędzie do monitorowania płatności realizowanych na rachunku bankowym i „wychwytywania” transakcji podejrzanych. System taki mógłby zaś zapobiec kradzieży pieniędzy w wyniku phishingu, przykładowo blokując przelew kierowany do banku na Seszelach z konta oszczędnościowego emeryta. Nie jest to bowiem transakcja typowa i należałoby ją skierować do dodatkowej weryfikacji. Takie działanie uchroniłoby majątek emeryta.
Stanowisko dotyczące potrzeby wzmocnienia zabezpieczeń bankowych nie raz wyrażał już Rzecznik Finansowy: „Ustawione przez klienta limity, dotyczące na przykład liczby czy wartości przelewów dziennych, są łatwo zmieniane przez oszustów, jeśli tylko są one zbyt niskie, żeby opróżnić ze wszystkich środków konto klienta. W praktyce dają więc one złudne poczucie bezpieczeństwa” – mówi Izabela Dąbrowska-Antoniak. Dlatego zdaniem Rzecznika Finansowego systemy bankowości internetowej i mobilnej powinny być wyposażone w bardziej skuteczne mechanizmy zabezpieczające przed takimi sytuacjami. (…) Zdaniem Rzecznika Finansowego być może należałoby rozważyć wprowadzenie rozwiązań poprawiających bezpieczeństwo nawet kosztem szybkości przeprowadzania transakcji. Byłoby to zgodne z zasadą security first, o której stosowanie przy wdrażaniu nowoczesnych rozwiązań Rzecznik Finansowy nieustannie apeluje.”1.
Jeśli bank nie wdrożył odpowiednich zabezpieczeń lub zaniedbał swoje obowiązki w tym zakresie, w wyniku czego doszło do nieautoryzowanej transakcji i kradzieży pieniędzy (w wyniku phishingu), klient ma prawo do żądania odszkodowania za poniesione szkody.
W takim przypadku podstawą dochodzenia odszkodowania od banku jest art. 46 ust. 1 ust. ustawy o usługach płatniczych (Dz.U.2022.2360 t.j. z dnia 2022.11.18), który w skrócie stanowi, iż: „(…) w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, (…)”.
Największym problemem procesowym w praktyce dochodzenia opisywanych roszczeń od banków jest udowodnienie przed Sądem, że klient banku nie dopuścił się tzw. rażącego niedbalstwa (art. 46 ust 3 w/w ustawy o usługach płatniczych). Chodzi więc o wykazanie, że do nieautoryzowanej transakcji doszło w wyniku dobrze przemyślanego i zakamuflowanego oszustwa (phishingu), a nie w wyniku rażąco nieroztropnego działania klienta banku.
Patrycja Wasiewicz, radca prawny
1 Nieautoryzowane transakcje płatnicze – analiza Rzecznika Finansowego 2019 – artykuł z dnia 18 czerwca 2019.