Przeskocz do treści

Zhakowany przelew a odpowiedzialność banku

Ataki cybernetyczne dotyczą nie tylko firm, czy instytucji. Ich celem niekoniecznie muszą być tajemnice handlowe lub państwowe. Dużo łatwiej internetowym przestępcom złapać jest mniejszą zdobycz. A tym samym -wraz z rozwojem technologii - nasila się skala ataków indywidualnych, wymierzonych po prostu w pieniądze, które posiadamy na naszym rachunku. Warto przywoływać jednostkowe orzeczenia, które dotyczą podobnych sytuacji. Każdy, kto korzysta z serwisów bankowych, jest bowiem narażony na takie niebezpieczeństwo.

Jaki był mechanizm przestępstwa? Na pierwszy rzut nic nie budziło podejrzeń.

W dniu 20 listopada 2018 roku córka powoda a zarazem pracownik powodowej firmy wykonywała przelewy bankowe dla kontrahentów . Transakcje były dodawane do koszyka przelewów, który umożliwiał dokonanie kilku przelewów w jednym czasie. Do koszyka został dodany cykliczny przelew należności za paliwo do zdefiniowanego odbiorcy –stacja paliw (...) sp. z o.o.. Dyspozycja została potwierdzona SMS kodem . Zgodnie z SMS Kodem dyspozycja opiewała na kwotę 29.764,99 złotych i miała być skierowana do odbiorcy Stacji Paliw (...) sp. z o.o. W konsekwencji z rachunku powoda został wykonany przelew na powyższą kwotę na rachunek bankowy E. M. nr (...).

Wkrótce jednak okazało się, że Stacja Paliw żadnych środków nie otrzymała.

Analiza logów bankowych wykazała, i w trakcie definiowania nowego przelewu , poprawne dane stacji paliw (...) sp. z o.o. zostały pobrane z systemu bankowości elektronicznej, natomiast chwilę po tej operacji , zostały podmienione na dane E. M.. Powód nie mógł sam wprowadzić tych danych w formatkę przelewu bowiem system blokował możliwość edycji danych dla odbiorcy zdefiniowanego.

Sporna transakcja została wykonana przez wykorzystanie szkodliwego oprogramowania typu „ malware ”, które musiało funkcjonować na komputerze powoda w dniu 20 listopada 2018 roku. W procesie autoryzacji spornej dyspozycji nie wystąpiły naruszenia bezpieczeństwa systemu bankowego, gdyż atak na rachunek bankowy powoda został przeprowadzony przy użyciu komputera poszkodowanego – powoda.

Biegły dokładniej opisał jak takie szkodliwe oprogramowanie funkcjonuje

Tego typu oprogramowania można nazwać typem wirusa komputerowego , który działa w tle , niezauważony przez użytkownika. Program jest ukierunkowany na bankowość elektroniczną określonych banków i działa w taki sposób, że wyszukuje w pamięci komputera ciągi cyfr o długości 26 znaków , co odpowiada długości numeru konta bankowego w formacie (...) , który podaje się w trakcie wykonywania klasycznych przelewów bankowych . Kiedy taki ciąg zostanie wykryty, wirus podstawia w jego miejsce swój numer konta oraz dodatkowo w odpowiednie miejsce w pamięci podstawia dane odbiorcy w postaci imienia i nazwiska. Przy czym można dodatkowo uzależnić aktywację wirusa od wskazania określonej kwoty od której się aktywuje. Pomimo bieżącej aktualizacji ochrony antywirusowej komputera, może dojść do niewykrycia wirusa , bowiem, żeby program antywirusowy był w stanie wykryć danego wirusa , twórca oprogramowania wirusowego musiałby najpierw wprowadzić tzw sygnaturę wirusa do bazy programu antywirusowego (coś na kształt wzoru programu) , który ma zostać finalnie wykryty przez system antywirusowy. W obecnych czasach twórcy programów antywirusowych nie nadążają z uwzględnieniem tego typu wirusów w swoich produktach .

Sąd i instancji zasądził powództwo, co skutkowało złożeniem przez pozwany bank apelacji. Argumentacja apelacji była prosta – to po stronie powoda nastąpiło niedbalstwo i po stronie banku nie może mówić o żadnych zaniechaniach. Tym bardziej, że bank informował swoich klientów o ryzykach związanych z transakcjami internetowymi.

Sad II instancji już na wstępie wytknął pozwanemu bankowi działanie niezgodne z przepisami.

W związku z nowelizacją z dnia 10 maja 2018 roku ustawy o usługach płatniczych stanowiącej implementację dyrektywy unijnej PSD 2 -Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010oraz uchylająca dyrektywę 2007/64/WEzwaną dalej PSD 2 bank może dokonać danej transakcji, jednak transakcja ta musi być autoryzowana przez klienta. W razie , gdy transakcja jest nieautoryzowana to wyłączną odpowiedzialność z tytułu jej przeprowadzenia ponosi dostawca usług płatniczych (pozwany bank). W sytuacji wystąpienia nieautoryzowanej transakcji pozwany jest z mocy przepisów zobowiązany do zwrotu pieniędzy objętych daną transakcją. PSD 2 wskazuje, że bezzwłoczny zwrot oznacza zwrot w terminie nie późniejszym niż do końca następnego dnia roboczego , po odnotowaniu danej transakcji lub po otrzymaniu stosownego zgłoszenia. Dyrektywa PSD 2 wyznacza 15 dniowy termin na rozpatrzenie reklamacji , co w konsekwencji oznacza, że klient – powód ma możliwość dysponowania kwotą nieautoryzowanej transakcji w okresie rozpatrywania reklamcji. Zatem ustawa wskazuje wręcz termin w jakim dostawca ma dokonać określonych czynności. Dopiero po wykonaniu powyższych czynności pozwany – bank ma możliwość ustalenia potencjalnej odpowiedzialności klienta – powoda. Marginalnie należałoby stwierdzić iż działania pozwanego od samego początku są zatem nieprawidłowe, bowiem bank- pozwany może odmówić zwrotu pieniędzy tylko w sytuacji kiedy ma podejrzenie co do ewentualnego popełnienia oszustwa przez klienta - powoda i poinformuje o tym niezwłocznie organy ścigania. W niniejszej sprawie nie miało to miejsca.

Za niezasadne sąd uznał także zarzuty, że powód nie dochował wymaganych zabezpieczeń.

Nietrafny jest zarzut pozwanego o tym, że skoro powód był poinformowany o istniejących ryzykach i potencjalnych zagrożeniach to w związku z tym powinien był dochować należytej staranności w ochronie dostępu do swoich rachunków bankowych. Ochrona dostępu do swoich rachunków przede wszystkim powinna polegać na zamontowaniu programu antywirusowego , który to powinien zabezpieczać komputer. Biegły wskazał, iż komputer powoda jest zabezpieczony poprzez aktualny program antywirusowy. Natomiast brak jest w regulaminie pozwanego wymogów co do rodzaju oprogramowania antywirusowego , a w szczególności czy wystarczające jest użycie ogólnodostępnych darmowych zabezpieczeń. Co więcej nie zostało udowodnione przez pozwanego w toku postępowania dowodowego przed sądem pierwszej instancji aby powód nie korzystał z wystarczających zabezpieczeń.

Sprawa była o tyle złożona, że system bankowy wykrył nowy – nieznany wcześniej – rachunek jako adresata przelewu i powiadomił o tym powoda przed autoryzacją przelewów.

Na szczególną uwagę zasługuje fakt, iż przy tzw koszyku przelewów po wprowadzeniu wszystkich przelewów do zdefiniowanych odbiorców powód otrzymuje sms kod który to po wprowadzeniu powoduje swoistego rodzaju autoryzację koszyka przelewów. W niniejszej sprawie system pozwanego wysłał dodatkowego sms z kodem dla powoda z uwagi na pojawienie się rachunku E. M. zamiast (...) sp.z o.o. bowiem była to pierwsza transakcja na ten numer rachunku.

Sąd jednak wyrozumiale podszedł do faktu, że ten dodatkowy sms nie wzbudził podejrzeń powoda.

Jednakże jak słusznie zauważył biegły powód otrzymał od pozwanego wiadomość sms z informacją o dodaniu nowego przelewu bez informacji ani o odbiorcy ani o kwocie, a wysłanie tej informacji miało miejsce jedynie dlatego, że numer rachunku E. M. pojawił się po raz pierwszy w historii rachunku powoda. Powód zatem nie był wcześniej informowany przez pozwanego, że w takiej sytuacji powinien wstrzymać się z dokonaniem przelewu zwłaszcza, że praktyka banków w zakresie potwierdzania transakcji kodem SMS jest powszechna. (…)

Sąd pierwszej instancji słusznie wskazał na brak rażącego niedbalstwa w działaniach powoda , bowiem gdyby w momencie wykonywania spornej transakcji powód miał jasną informację, że transakcja ma być wykonana na inny rachunek odbiorcy niż (...) sp. z o.o. to kodu autoryzacyjnego z wiadomości SMS przesłanej przez pozwanego by nie wprowadził , a tym samym do autoryzacji transakcji w systemie bankowości elektronicznej by nie doszło.

Rozstrzygając w konsekwencji kluczowy problem, czy ta felerna transakcja była autoryzowana, sąd II instancji także stanął po stronie powoda.

Zatem z punktu widzenia systemu bankowego sporna transakcja może być uznana za autoryzowaną bowiem została ona potwierdzona kodem przesłanym przez pozwanego w wiadomościach sms. Jednakże skoro autoryzacja tej transakcji została uzyskana poprzez doprowadzenie użytkownika bankowości elektronicznej (powoda) postępem do autoryzacji transakcji, której de facto nie chciał wykonać poprzez podmianę danych faktycznych odbiorcy to taka transakcja jest traktowana jako nieautoryzowana. (…)

Artykuł 45 ustawy [o usługach płatniczych ] zawiera szczególną regułę dotyczącą ciężaru dowodu w przypadku dochodzenia roszczeń z tytułu nieautoryzowanych, nienależycie wykonanych lub niewykonanych transakcji. W przypadku powyższych roszczeń ciężar udowodnienia, że transakcja została autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy tego użytkownika. Zgodnie z art. 6 KC ciężar udowodnienia faktu spoczywa na osobie, która z tego faktu chce wywodzić skutki prawne dla siebie. Oznaczałoby to, że jeśli użytkownik kwestionuje fakt autoryzowania transakcji przez siebie, musiałby to wykazać. Rozwiązania przyjęte w omawianej ustawie przerzucają ciężar udowodnienia na dostawcę. Ciężar udowodnienia, że transakcja była autoryzowana przez użytkownika, ciąży na dostawcy, czyli na profesjonaliście, nawet jeśli to użytkownik występuje z roszczeniem, twierdząc, że nie on autoryzował transakcji. Fakt zarejestrowanego użycia instrumentu płatniczego, czyli - należy przyjąć - użycia instrumentu płatniczego zgodnie z procedurami i przy zastosowaniu ustalonych sposobów autoryzacji, nie oznacza, że transakcja została autoryzowana przez użytkownika. W przypadku zgłoszenia przez użytkownika transakcji, które obciążają jego rachunek płatniczy i które były prawidłowo autoryzowane, czyli zlecone i zrealizowane zgodnie z przewidzianą procedurą, a które użytkownik wskazuje jako przez niego nieautoryzowane, to dostawca musi udowodnić fakt autoryzacji transakcji przez użytkownika. Jednak dostawca musi przywołać inne dowody niż sam fakt prawidłowego skorzystania z procedur autoryzacji przewidzianych umową. Dostawca może przytoczyć dowody wykazujące, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji albo wskutek rażącego niedbalstwa naruszył jeden z obowiązków określonych w art. 42 ustawy o transakcjach płatniczych czyli nie przechowywał informacji w sposób zapewniający bezpieczeństwo. (…)

Z przeprowadzonego postepowania dowodowego przed sądem pierwszej instancji wynika jednoznacznie, że transakcji powoda nie można uznać za autoryzowaną w rozumieniu powyżej cytowanego przepisu. Powód nie wyraził zgody na tę transakcję , o czy świadczy jego natychmiastowa reakcja , po stwierdzeniu, że pieniądze zostały przelane na konto osoby trzeciej tj. zawiadomienie banku oraz policji o popełnieniu przestępstwa. Tym samym powód wypełnił obowiązek wynikający za art. 44 ustawy o usługach płatniczych . Z tych też względów , zdaniem Sądu nieuzasadnione byłoby przyjęcie , zwalniające pozwany bank z odpowiedzialności .

W konsekwencji, na gruncie art. 46 ust. 1 tej ustawy o usługach płatniczych należy przyjąć, że w przedmiotowym przypadku wystąpiła nieautoryzowana transakcja płatnicza uprawniająca płatnika do żądania od jego dostawcy zwrotu kwoty nieautoryzowanej transakcji płatniczej. Dlatego słusznie Sąd Rejonowy doszedł do wniosku, że roszczenie powoda miało oparcie w tym przepisie. Sąd Okręgowy uznał odpowiedzialność pozwanego Banku wobec powoda także na podstawie art. 471 KC w związku z art. 725 KC.

Z lektury orzeczenia można wywnioskować, że gdyby alert z banku był mniej sztampowy, a bardziej alarmujący, to być może wynik oceny staranności powoda byłby odmienny. Bank z pewnością poprawi te mechanizmy, utrudni powodom budowanie podobnej argumentacji na przyszłość. A my musimy wyciągać z tego wszystkiego wnioski dla siebie i wszystkie większe transakcje dokładnie weryfikować – licho nie śpi.

Wyrok Sądu Okręgowego w Olsztynie

Masz podobny problem prawny ?
Skontaktuj się z nami - postaramy się pomóc !

Jak zlecić sprawę lub umówić się na konsultacje - informacje




Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Publikacja komentarza wymaga akceptacji administratora - bez akceptacji komentarz nie będzie widoczny dla innych użytkowników. Dodawanie komentarzy nie wymaga logowania ani podawania jakichkolwiek danych. Aprobowane będą wyłącznie komentarze nawiązujące do tematyki wpisu - uzupełnienia, sprostowania, polemiki, pytania dodatkowe. Odrzucone zostaną wszelkie komentarze naruszające ten wymóg, ale także te stanowiące reklamę, zawierające dane osobowe (nazwisko, adres e-mail), odnośniki, pomówienia lub wulgaryzmy, jak też treści zdublowane lub nic nie wnoszące do dyskusji. Administrator nie jest zobligowany weryfikować komentarzy oczekujących na moderację w żadnym konkretnym terminie, ani też odpowiadać na komentarze. Aprobata komentarza nie oznacza potwierdzenia przez Kancelarię treści objętych komentarzem. Komentarze są publicznie dostępne i mogą być w uzasadnionych przypadkach edytowane lub usuwane przez administratora. Stanowią one wyłącznie wyraz poglądów ich autora, który świadomie i dobrowolnie zdecydował się na zamieszczenie ich w ramach polemiki lub dyskusji na Portalu w celu upublicznienia.
Prawnik z Lublina
radca prawny
ALEKSANDER KUNICKI
`Prawo w praktyce` stanowi część WWW.LUBELSKIEKANCELARIE.PL . Administratorem Portalu jest Lubelskie Kancelarie - Aleksander Kunicki Kancelaria Radcy Prawnego. Wykorzystywanie prezentowanych tu materiałów i treści bez zgody Administratora i autora jest zabronione. Umieszczanie odniesień i zapożyczeń treści jest dozwolone pod warunkiem podania źródła oraz hiperłącza (link bez atrybutu nofollow) do strony źródłowej.

Treści zamieszczane na stronie mają jedynie charakter informacyjny i nie stanowią pomocy (porady) prawnej, nie są również aktualizowane w przypadku zmiany stanu prawnego. Prezentują jedną z dopuszczalnych wersji interpretacji powszechnie obowiązujących przepisów prawa, przedstawioną zazwyczaj w układzie hipotetycznych pytań i odpowiedzi. Wszelkie wątpliwości związane z treścią bloga, w szczególności w związku z samodzielnie prowadzonymi sprawami sądowymi, należy konsultować z adwokatem lub radcą prawnym w ramach odrębnie zlecanej usługi prawnej. Kancelarie i Administrator nie ponoszą odpowiedzialności za jakikolwiek skutek wykorzystania przedmiotowych treści przez inne osoby. Treść pełnej noty prawnej jest dostępna pod tym odnośnikiem.

Blog `Prawo w praktyce` służy informowaniu w przedmiocie specjalizacji, praktyki oraz form usług i pomocy prawnej świadczonych przez prawników powiązanych z www.lubelskiekancelarie.pl.Oferta Kancelarii dotyczy spraw cywilnych (majątkowych, odszkodowań, nieruchomości, umów), spadkowych, rodzinnych, gospodarczych, administracyjnych, karnych. Radca prawny specjalizuje się w obsłudze prawnej firm, prawie kontraktów, konsumenckim oraz procesowym, związanym ze sprawami sądowymi w Lublinie i okolicach.

Powered by WordPress. Enhanced by Google.