Ataki cybernetyczne dotycz\u0105 nie tylko firm, czy instytucji. Ich celem niekoniecznie musz\u0105 by\u0107 tajemnice handlowe lub pa\u0144stwowe. Du\u017co \u0142atwiej internetowym przest\u0119pcom z\u0142apa\u0107 jest mniejsz\u0105 zdobycz. A tym samym -wraz z rozwojem technologii - nasila si\u0119 skala atak\u00f3w indywidualnych, wymierzonych po prostu w pieni\u0105dze, kt\u00f3re posiadamy na naszym rachunku. Warto przywo\u0142ywa\u0107 jednostkowe orzeczenia, kt\u00f3re dotycz\u0105 podobnych sytuacji. Ka\u017cdy, kto korzysta z serwis\u00f3w bankowych, jest bowiem nara\u017cony na takie niebezpiecze\u0144stwo. <\/p>\n\n\n\n
Jaki by\u0142 mechanizm przest\u0119pstwa? Na pierwszy rzut nic nie budzi\u0142o podejrze\u0144.<\/p>\n\n\n\n
W dniu 20 listopada 2018 roku c\u00f3rka powoda a zarazem pracownik powodowej firmy wykonywa\u0142a przelewy bankowe dla kontrahent\u00f3w . Transakcje by\u0142y dodawane do koszyka przelew\u00f3w, kt\u00f3ry umo\u017cliwia\u0142 dokonanie kilku przelew\u00f3w w jednym czasie. Do koszyka zosta\u0142 dodany cykliczny przelew nale\u017cno\u015bci za paliwo do zdefiniowanego odbiorcy \u2013stacja paliw (...) sp. z o.o.. Dyspozycja zosta\u0142a potwierdzona SMS kodem . Zgodnie z SMS Kodem dyspozycja opiewa\u0142a na kwot\u0119 29.764,99 z\u0142otych i mia\u0142a by\u0107 skierowana do odbiorcy Stacji Paliw (...) sp. z o.o. W konsekwencji z rachunku powoda zosta\u0142 wykonany przelew na powy\u017csz\u0105 kwot\u0119 na rachunek bankowy E. M. nr (...).<\/em><\/p><\/blockquote>\n\n\n\n
Wkr\u00f3tce jednak\nokaza\u0142o si\u0119, \u017ce Stacja Paliw \u017cadnych \u015brodk\u00f3w nie otrzyma\u0142a.<\/p>\n\n\n\n
Analiza log\u00f3w bankowych wykaza\u0142a, i w trakcie definiowania nowego przelewu , poprawne dane stacji paliw (...) sp. z o.o. zosta\u0142y pobrane z systemu bankowo\u015bci elektronicznej, natomiast chwil\u0119 po tej operacji , zosta\u0142y podmienione na dane E. M.. Pow\u00f3d nie m\u00f3g\u0142 sam wprowadzi\u0107 tych danych w formatk\u0119 przelewu bowiem system blokowa\u0142 mo\u017cliwo\u015b\u0107 edycji danych dla odbiorcy zdefiniowanego.<\/em><\/p><\/blockquote>\n\n\n\n
Sporna transakcja zosta\u0142a wykonana przez wykorzystanie szkodliwego oprogramowania typu \u201e malware \u201d, kt\u00f3re musia\u0142o funkcjonowa\u0107 na komputerze powoda w dniu 20 listopada 2018 roku. W procesie autoryzacji spornej dyspozycji nie wyst\u0105pi\u0142y naruszenia bezpiecze\u0144stwa systemu bankowego, gdy\u017c atak na rachunek bankowy powoda zosta\u0142 przeprowadzony przy u\u017cyciu komputera poszkodowanego \u2013 powoda.<\/em><\/p><\/blockquote>\n\n\n\n
Bieg\u0142y dok\u0142adniej opisa\u0142 jak takie szkodliwe oprogramowanie funkcjonuje<\/p>\n\n\n\n
Tego typu oprogramowania mo\u017cna nazwa\u0107 typem wirusa komputerowego , kt\u00f3ry dzia\u0142a w tle , niezauwa\u017cony przez u\u017cytkownika. Program jest ukierunkowany na bankowo\u015b\u0107 elektroniczn\u0105 okre\u015blonych bank\u00f3w i dzia\u0142a w taki spos\u00f3b, \u017ce wyszukuje w pami\u0119ci komputera ci\u0105gi cyfr o d\u0142ugo\u015bci 26 znak\u00f3w , co odpowiada d\u0142ugo\u015bci numeru konta bankowego w formacie (...) , kt\u00f3ry podaje si\u0119 w trakcie wykonywania klasycznych przelew\u00f3w bankowych . Kiedy taki ci\u0105g zostanie wykryty, wirus podstawia w jego miejsce sw\u00f3j numer konta oraz dodatkowo w odpowiednie miejsce w pami\u0119ci podstawia dane odbiorcy w postaci imienia i nazwiska. Przy czym mo\u017cna dodatkowo uzale\u017cni\u0107 aktywacj\u0119 wirusa od wskazania okre\u015blonej kwoty od kt\u00f3rej si\u0119 aktywuje. Pomimo bie\u017c\u0105cej aktualizacji ochrony antywirusowej komputera, mo\u017ce doj\u015b\u0107 do niewykrycia wirusa , bowiem, \u017ceby program antywirusowy by\u0142 w stanie wykry\u0107 danego wirusa , tw\u00f3rca oprogramowania wirusowego musia\u0142by najpierw wprowadzi\u0107 tzw sygnatur\u0119 wirusa do bazy programu antywirusowego (co\u015b na kszta\u0142t wzoru programu) , kt\u00f3ry ma zosta\u0107 finalnie wykryty przez system antywirusowy. W obecnych czasach tw\u00f3rcy program\u00f3w antywirusowych nie nad\u0105\u017caj\u0105 z uwzgl\u0119dnieniem tego typu wirus\u00f3w w swoich produktach .<\/em> <\/p><\/blockquote>\n\n\n\n
S\u0105d i instancji zas\u0105dzi\u0142 pow\u00f3dztwo,\nco skutkowa\u0142o z\u0142o\u017ceniem przez pozwany bank apelacji. Argumentacja\napelacji by\u0142a prosta \u2013 to po stronie powoda nast\u0105pi\u0142o\nniedbalstwo i po stronie banku nie mo\u017ce m\u00f3wi\u0107 o \u017cadnych\nzaniechaniach. Tym bardziej, \u017ce bank informowa\u0142 swoich klient\u00f3w o\nryzykach zwi\u0105zanych z transakcjami internetowymi. \n<\/p>\n\n\n\n
Sad II instancji ju\u017c na wst\u0119pie\nwytkn\u0105\u0142 pozwanemu bankowi dzia\u0142anie niezgodne z przepisami. \n<\/p>\n\n\n\n
W zwi\u0105zku z nowelizacj\u0105 z dnia 10 maja 2018 roku ustawy o us\u0142ugach p\u0142atniczych stanowi\u0105cej implementacj\u0119 dyrektywy unijnej PSD 2 -Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015\/2366z dnia 25 listopada 2015 r. w sprawie us\u0142ug p\u0142atniczych w ramach rynku wewn\u0119trznego, zmieniaj\u0105ca dyrektywy 2002\/65\/WE, 2009\/110\/WE, 2013\/36\/UE i rozporz\u0105dzenie (UE) nr 1093\/2010oraz uchylaj\u0105ca dyrektyw\u0119 2007\/64\/WEzwan\u0105 dalej PSD 2 bank mo\u017ce dokona\u0107 danej transakcji, jednak transakcja ta musi by\u0107 autoryzowana przez klienta. W razie , gdy transakcja jest nieautoryzowana to wy\u0142\u0105czn\u0105 odpowiedzialno\u015b\u0107 z tytu\u0142u jej przeprowadzenia ponosi dostawca us\u0142ug p\u0142atniczych (pozwany bank). W sytuacji wyst\u0105pienia nieautoryzowanej transakcji pozwany jest z mocy przepis\u00f3w zobowi\u0105zany do zwrotu pieni\u0119dzy obj\u0119tych dan\u0105 transakcj\u0105. PSD 2 wskazuje, \u017ce bezzw\u0142oczny zwrot oznacza zwrot w terminie nie p\u00f3\u017aniejszym ni\u017c do ko\u0144ca nast\u0119pnego dnia roboczego , po odnotowaniu danej transakcji lub po otrzymaniu stosownego zg\u0142oszenia. Dyrektywa PSD 2 wyznacza 15 dniowy termin na rozpatrzenie reklamacji , co w konsekwencji oznacza, \u017ce klient \u2013 pow\u00f3d ma mo\u017cliwo\u015b\u0107 dysponowania kwot\u0105 nieautoryzowanej transakcji w okresie rozpatrywania reklamcji. Zatem ustawa wskazuje wr\u0119cz termin w jakim dostawca ma dokona\u0107 okre\u015blonych czynno\u015bci. Dopiero po wykonaniu powy\u017cszych czynno\u015bci pozwany \u2013 bank ma mo\u017cliwo\u015b\u0107 ustalenia potencjalnej odpowiedzialno\u015bci klienta \u2013 powoda. Marginalnie nale\u017ca\u0142oby stwierdzi\u0107 i\u017c dzia\u0142ania pozwanego od samego pocz\u0105tku s\u0105 zatem nieprawid\u0142owe, bowiem bank- pozwany mo\u017ce odm\u00f3wi\u0107 zwrotu pieni\u0119dzy tylko w sytuacji kiedy ma podejrzenie co do ewentualnego pope\u0142nienia oszustwa przez klienta - powoda i poinformuje o tym niezw\u0142ocznie organy \u015bcigania. W niniejszej sprawie nie mia\u0142o to miejsca.<\/em> <\/p><\/blockquote>\n\n\n\n
Za niezasadne s\u0105d uzna\u0142 tak\u017ce zarzuty, \u017ce pow\u00f3d nie dochowa\u0142 wymaganych zabezpiecze\u0144.<\/p>\n\n\n\n
Nietrafny jest zarzut pozwanego o tym, \u017ce skoro pow\u00f3d by\u0142 poinformowany o istniej\u0105cych ryzykach i potencjalnych zagro\u017ceniach to w zwi\u0105zku z tym powinien by\u0142 dochowa\u0107 nale\u017cytej staranno\u015bci w ochronie dost\u0119pu do swoich rachunk\u00f3w bankowych. Ochrona dost\u0119pu do swoich rachunk\u00f3w przede wszystkim powinna polega\u0107 na zamontowaniu programu antywirusowego , kt\u00f3ry to powinien zabezpiecza\u0107 komputer. Bieg\u0142y wskaza\u0142, i\u017c komputer powoda jest zabezpieczony poprzez aktualny program antywirusowy. Natomiast brak jest w regulaminie pozwanego wymog\u00f3w co do rodzaju oprogramowania antywirusowego , a w szczeg\u00f3lno\u015bci czy wystarczaj\u0105ce jest u\u017cycie og\u00f3lnodost\u0119pnych darmowych zabezpiecze\u0144. Co wi\u0119cej nie zosta\u0142o udowodnione przez pozwanego w toku post\u0119powania dowodowego przed s\u0105dem pierwszej instancji aby pow\u00f3d nie korzysta\u0142 z wystarczaj\u0105cych zabezpiecze\u0144. <\/em> <\/p><\/blockquote>\n\n\n\n
Sprawa by\u0142a o tyle z\u0142o\u017cona, \u017ce\nsystem bankowy wykry\u0142 nowy \u2013 nieznany wcze\u015bniej \u2013 rachunek jako\nadresata przelewu i powiadomi\u0142 o tym powoda przed autoryzacj\u0105\nprzelew\u00f3w. \n<\/p>\n\n\n\n
Na szczeg\u00f3ln\u0105 uwag\u0119 zas\u0142uguje fakt, i\u017c przy tzw koszyku przelew\u00f3w po wprowadzeniu wszystkich przelew\u00f3w do zdefiniowanych odbiorc\u00f3w pow\u00f3d otrzymuje sms kod kt\u00f3ry to po wprowadzeniu powoduje swoistego rodzaju autoryzacj\u0119 koszyka przelew\u00f3w. W niniejszej sprawie system pozwanego wys\u0142a\u0142 dodatkowego sms z kodem dla powoda z uwagi na pojawienie si\u0119 rachunku E. M. zamiast (...) sp.z o.o. bowiem by\u0142a to pierwsza transakcja na ten numer rachunku. <\/em><\/p><\/blockquote>\n\n\n\n
\nS\u0105d\njednak wyrozumiale podszed\u0142 do faktu, \u017ce ten dodatkowy sms nie\nwzbudzi\u0142 podejrze\u0144 powoda. \n<\/p>\n\n\n\n
Jednak\u017ce jak s\u0142usznie zauwa\u017cy\u0142 bieg\u0142y pow\u00f3d otrzyma\u0142 od pozwanego wiadomo\u015b\u0107 sms z informacj\u0105 o dodaniu nowego przelewu bez informacji ani o odbiorcy ani o kwocie, a wys\u0142anie tej informacji mia\u0142o miejsce jedynie dlatego, \u017ce numer rachunku E. M. pojawi\u0142 si\u0119 po raz pierwszy w historii rachunku powoda. Pow\u00f3d zatem nie by\u0142 wcze\u015bniej informowany przez pozwanego, \u017ce w takiej sytuacji powinien wstrzyma\u0107 si\u0119 z dokonaniem przelewu zw\u0142aszcza, \u017ce praktyka bank\u00f3w w zakresie potwierdzania transakcji kodem SMS jest powszechna. (\u2026)<\/em><\/p><\/blockquote>\n\n\n\n
S\u0105d pierwszej instancji s\u0142usznie wskaza\u0142 na brak ra\u017c\u0105cego niedbalstwa w dzia\u0142aniach powoda , bowiem gdyby w momencie wykonywania spornej transakcji pow\u00f3d mia\u0142 jasn\u0105 informacj\u0119, \u017ce transakcja ma by\u0107 wykonana na inny rachunek odbiorcy ni\u017c (...) sp. z o.o. to kodu autoryzacyjnego z wiadomo\u015bci SMS przes\u0142anej przez pozwanego by nie wprowadzi\u0142 , a tym samym do autoryzacji transakcji w systemie bankowo\u015bci elektronicznej by nie dosz\u0142o. <\/em> <\/p><\/blockquote>\n\n\n\n
\nRozstrzygaj\u0105c\nw konsekwencji kluczowy problem, czy ta felerna transakcja by\u0142a\nautoryzowana, s\u0105d II instancji tak\u017ce stan\u0105\u0142 po stronie powoda. \n<\/p>\n\n\n\n
Zatem z punktu widzenia systemu bankowego sporna transakcja mo\u017ce by\u0107 uznana za autoryzowan\u0105 bowiem zosta\u0142a ona potwierdzona kodem przes\u0142anym przez pozwanego w wiadomo\u015bciach sms. Jednak\u017ce skoro autoryzacja tej transakcji zosta\u0142a uzyskana poprzez doprowadzenie u\u017cytkownika bankowo\u015bci elektronicznej (powoda) post\u0119pem do autoryzacji transakcji, kt\u00f3rej de facto nie chcia\u0142 wykona\u0107 poprzez podmian\u0119 danych faktycznych odbiorcy to taka transakcja jest traktowana jako nieautoryzowana. <\/em>(\u2026)<\/p><\/blockquote>\n\n\n\n
Artyku\u0142 45 ustawy [o us\u0142ugach p\u0142atniczych ] zawiera szczeg\u00f3ln\u0105 regu\u0142\u0119 dotycz\u0105c\u0105 ci\u0119\u017caru dowodu w przypadku dochodzenia roszcze\u0144 z tytu\u0142u nieautoryzowanych, nienale\u017cycie wykonanych lub niewykonanych transakcji. W przypadku powy\u017cszych roszcze\u0144 ci\u0119\u017car udowodnienia, \u017ce transakcja zosta\u0142a autoryzowana przez u\u017cytkownika lub \u017ce zosta\u0142a wykonana prawid\u0142owo, spoczywa na dostawcy tego u\u017cytkownika. Zgodnie z art. 6 KC ci\u0119\u017car udowodnienia faktu spoczywa na osobie, kt\u00f3ra z tego faktu chce wywodzi\u0107 skutki prawne dla siebie. Oznacza\u0142oby to, \u017ce je\u015bli u\u017cytkownik kwestionuje fakt autoryzowania transakcji przez siebie, musia\u0142by to wykaza\u0107. Rozwi\u0105zania przyj\u0119te w omawianej ustawie przerzucaj\u0105 ci\u0119\u017car udowodnienia na dostawc\u0119. Ci\u0119\u017car udowodnienia, \u017ce transakcja by\u0142a autoryzowana przez u\u017cytkownika, ci\u0105\u017cy na dostawcy, czyli na profesjonali\u015bcie, nawet je\u015bli to u\u017cytkownik wyst\u0119puje z roszczeniem, twierdz\u0105c, \u017ce nie on autoryzowa\u0142 transakcji. Fakt zarejestrowanego u\u017cycia instrumentu p\u0142atniczego, czyli - nale\u017cy przyj\u0105\u0107 - u\u017cycia instrumentu p\u0142atniczego zgodnie z procedurami i przy zastosowaniu ustalonych sposob\u00f3w autoryzacji, nie oznacza, \u017ce transakcja zosta\u0142a autoryzowana przez u\u017cytkownika. W przypadku zg\u0142oszenia przez u\u017cytkownika transakcji, kt\u00f3re obci\u0105\u017caj\u0105 jego rachunek p\u0142atniczy i kt\u00f3re by\u0142y prawid\u0142owo autoryzowane, czyli zlecone i zrealizowane zgodnie z przewidzian\u0105 procedur\u0105, a kt\u00f3re u\u017cytkownik wskazuje jako przez niego nieautoryzowane, to dostawca musi udowodni\u0107 fakt autoryzacji transakcji przez u\u017cytkownika. Jednak dostawca musi przywo\u0142a\u0107 inne dowody ni\u017c sam fakt prawid\u0142owego skorzystania z procedur autoryzacji przewidzianych umow\u0105. Dostawca mo\u017ce przytoczy\u0107 dowody wykazuj\u0105ce, \u017ce p\u0142atnik umy\u015blnie doprowadzi\u0142 do nieautoryzowanej transakcji albo wskutek ra\u017c\u0105cego niedbalstwa naruszy\u0142 jeden z obowi\u0105zk\u00f3w okre\u015blonych w art. 42 ustawy o transakcjach p\u0142atniczych czyli nie przechowywa\u0142 informacji w spos\u00f3b zapewniaj\u0105cy bezpiecze\u0144stwo. <\/em>(\u2026)<\/p><\/blockquote>\n\n\n\n
Z przeprowadzonego postepowania dowodowego przed s\u0105dem pierwszej instancji wynika jednoznacznie, \u017ce transakcji powoda nie mo\u017cna uzna\u0107 za autoryzowan\u0105 w rozumieniu powy\u017cej cytowanego przepisu. Pow\u00f3d nie wyrazi\u0142 zgody na t\u0119 transakcj\u0119 , o czy \u015bwiadczy jego natychmiastowa reakcja , po stwierdzeniu, \u017ce pieni\u0105dze zosta\u0142y przelane na konto osoby trzeciej tj. zawiadomienie banku oraz policji o pope\u0142nieniu przest\u0119pstwa. Tym samym pow\u00f3d wype\u0142ni\u0142 obowi\u0105zek wynikaj\u0105cy za art. 44 ustawy o us\u0142ugach p\u0142atniczych . Z tych te\u017c wzgl\u0119d\u00f3w , zdaniem S\u0105du nieuzasadnione by\u0142oby przyj\u0119cie , zwalniaj\u0105ce pozwany bank z odpowiedzialno\u015bci .<\/em><\/p><\/blockquote>\n\n\n\n
W konsekwencji, na gruncie art. 46 ust. 1 tej ustawy o us\u0142ugach p\u0142atniczych nale\u017cy przyj\u0105\u0107, \u017ce w przedmiotowym przypadku wyst\u0105pi\u0142a nieautoryzowana transakcja p\u0142atnicza uprawniaj\u0105ca p\u0142atnika do \u017c\u0105dania od jego dostawcy zwrotu kwoty nieautoryzowanej transakcji p\u0142atniczej. Dlatego s\u0142usznie S\u0105d Rejonowy doszed\u0142 do wniosku, \u017ce roszczenie powoda mia\u0142o oparcie w tym przepisie. S\u0105d Okr\u0119gowy uzna\u0142 odpowiedzialno\u015b\u0107 pozwanego Banku wobec powoda tak\u017ce na podstawie art. 471 KC w zwi\u0105zku z art. 725 KC.<\/em><\/p><\/blockquote>\n\n\n\n
Z lektury\norzeczenia mo\u017cna wywnioskowa\u0107, \u017ce gdyby alert z banku by\u0142 mniej\nsztampowy, a bardziej alarmuj\u0105cy, to by\u0107 mo\u017ce wynik oceny\nstaranno\u015bci powoda by\u0142by odmienny. Bank z pewno\u015bci\u0105 poprawi te\nmechanizmy, utrudni powodom budowanie podobnej argumentacji na\nprzysz\u0142o\u015b\u0107. A my musimy wyci\u0105ga\u0107 z tego wszystkiego wnioski dla\nsiebie i wszystkie wi\u0119ksze transakcje dok\u0142adnie weryfikowa\u0107 \u2013\nlicho nie \u015bpi.<\/p>\n\n\n\n
Wyrok S\u0105du Okr\u0119gowego w Olsztynie<\/p>\n","protected":false},"excerpt":{"rendered":"
Ataki cybernetyczne dotycz\u0105 nie tylko firm, czy instytucji. Ich celem niekoniecznie musz\u0105 by\u0107 tajemnice handlowe lub pa\u0144stwowe. Du\u017co \u0142atwiej internetowym przest\u0119pcom z\u0142apa\u0107 jest mniejsz\u0105 zdobycz. A tym samym -wraz z rozwojem technologii - nasila si\u0119 skala atak\u00f3w indywidualnych, wymierzonych po prostu w pieni\u0105dze, kt\u00f3re posiadamy na naszym rachunku. Warto przywo\u0142ywa\u0107 jednostkowe orzeczenia, kt\u00f3re dotycz\u0105 podobnych Czytaj dalej... \"Zhakowany przelew a odpowiedzialno\u015b\u0107 banku\"<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[5],"tags":[267,37,275,79,277],"aioseo_notices":[],"_links":{"self":[{"href":"http:\/\/www.lubelskiekancelarie.pl\/prawo-w-praktyce\/wp-json\/wp\/v2\/posts\/2491"}],"collection":[{"href":"http:\/\/www.lubelskiekancelarie.pl\/prawo-w-praktyce\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.lubelskiekancelarie.pl\/prawo-w-praktyce\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.lubelskiekancelarie.pl\/prawo-w-praktyce\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.lubelskiekancelarie.pl\/prawo-w-praktyce\/wp-json\/wp\/v2\/comments?post=2491"}],"version-history":[{"count":9,"href":"http:\/\/www.lubelskiekancelarie.pl\/prawo-w-praktyce\/wp-json\/wp\/v2\/posts\/2491\/revisions"}],"predecessor-version":[{"id":2502,"href":"http:\/\/www.lubelskiekancelarie.pl\/prawo-w-praktyce\/wp-json\/wp\/v2\/posts\/2491\/revisions\/2502"}],"wp:attachment":[{"href":"http:\/\/www.lubelskiekancelarie.pl\/prawo-w-praktyce\/wp-json\/wp\/v2\/media?parent=2491"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.lubelskiekancelarie.pl\/prawo-w-praktyce\/wp-json\/wp\/v2\/categories?post=2491"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.lubelskiekancelarie.pl\/prawo-w-praktyce\/wp-json\/wp\/v2\/tags?post=2491"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}