Schematy działania oszustów, które trudno zauważyć od razu
Przestępcy posługują się coraz bardziej zaawansowanymi metodami oszustw, w wyniku czego nawet ostrożny użytkownik może nie rozpoznać od razu, że padł ofiarą ataku. Do najczęściej stosowanych mechanizmów należą fałszywe wiadomości e-mail lub SMS oraz spreparowane strony internetowe, za pośrednictwem których sprawcy wyłudzają dane logowania do bankowości elektronicznej. Zdarza się również, że złośliwe oprogramowanie instalowane na urządzeniu klienta umożliwia przechwycenie danych uwierzytelniających lub kodów autoryzacyjnych.
Często spotykaną metodą jest także nakłonienie klienta do zainstalowania oprogramowania do zdalnego dostępu pod pozorem ochrony rachunku lub pomocy technicznej. W takich przypadkach sprawca uzyskuje faktyczną kontrolę nad urządzeniem i może wykonywać operacje finansowe w imieniu użytkownika. Istotne zagrożenie stanowi również telefoniczne podszywanie się pod pracowników banku, organy ścigania lub inne instytucje zaufania publicznego. Sprawcy, wykorzystując presję czasu i wywołując poczucie zagrożenia, skłaniają ofiary do ujawnienia danych wrażliwych albo dokonania przelewów na wskazane rachunki. Wspólną cechą opisanych działań jest to, że poszkodowany najczęściej nie ma świadomości, iż udostępnia dostęp do rachunku osobom nieuprawnionym. Oszustwo ujawnia się zazwyczaj dopiero po dokonaniu nieautoryzowanych transakcji i utracie środków.
Granica między nieuwagą a odpowiedzialnością klienta
Kluczową kwestią w przypadku nieautoryzowanych transakcji jest ustalenie, czy i na ile klient przyczynił się do utraty środków wskutek zaniedbania. Prawo rozróżnia zwykłe niedopatrzenie od rażącego niedbalstwa. Granica bywa cienka, ale ma ogromne znaczenie dla odpowiedzialności finansowej klienta. Zgodnie z ustawą o usługach płatniczych, co do zasady bank ponosi odpowiedzialność za nieautoryzowane transakcje i musi zwrócić klientowi utracone środki (art. 46 ust. 1). Wyjątkowo jednak ciężar strat może spaść na klienta, jeżeli ten doprowadził do transakcji umyślnie albo wskutek rażącego niedbalstwa – wówczas odpowiada on za całą szkodę (art. 46 ust. 3-4).
Potrzebujesz pomocy z podobną sprawą?
Zadzwoń (+48) 605 879 003 lub napisz kontakt@helpum.pl
W większości przypadków ofiar internetowych oszustw trudno jednak mówić o świadomym ignorowaniu bezpieczeństwa. Sądy coraz częściej stają po stronie klientów, uznając że padli oni ofiarą sprytnych metod przestępców, a brak pełnej świadomości zagrożenia nie jest równoznaczny z rażącym niedbalstwem. Warto jednak dodać, że jeśli to sam klient autoryzuje transakcję, nawet będąc w błędzie co do jej charakteru, nie mamy do czynienia z transakcją nieautoryzowaną w rozumieniu prawa. Ofiary oszustwa, które własnoręcznie przelały środki na konto wskazane przez oszusta (wierząc, że to działanie konieczne dla ochrony pieniędzy), formalnie wyraziły zgodę na te operacje – choć została ona zmanipulowana podstępem. W takich sytuacjach bank nie ponosi odpowiedzialności z tytułu nieautoryzowanych transakcji, ponieważ transakcja została autoryzowana przez płatnika. Granica odpowiedzialności przebiega więc wzdłuż rozróżnienia: czy klient faktycznie zlecił/zatwierdził daną operację, czy też odbyła się ona poza jego wolą. W tym drugim przypadku prawo chroni klienta, o ile nie dopuścił się on rażącego zaniedbania.
Co bank uznaje za dowód, a co jest tylko założeniem?
W postępowaniach reklamacyjnych i sądowych dotyczących nieautoryzowanych transakcji zasadnicze znaczenie ma ustalenie, czy bank jest w stanie wykazać winę albo co najmniej istotne zaniedbanie po stronie klienta. Zgodnie z art. 45 ust. 1 ustawy o usługach płatniczych ciężar dowodu w tym zakresie spoczywa na banku. Oznacza to, że to dostawca usług płatniczych powinien udowodnić, iż transakcja została autoryzowana albo wykonana prawidłowo. W orzecznictwie podkreśla się, że sama staranność banku w zabezpieczeniu systemów nie wyłącza jego odpowiedzialności, jeżeli nie wykaże on konkretnego naruszenia obowiązków przez klienta.
W praktyce banki powołują się najczęściej na logi systemowe, poprawność użytych danych uwierzytelniających, historię powiadomień bezpieczeństwa oraz wewnętrzne ustalenia wykluczające błąd systemu. Nie stanowi to jednak samoistnego dowodu autoryzacji transakcji. Zgodnie z art. 40 ust. 1 ustawy o usługach płatniczych transakcja jest autoryzowana wyłącznie wtedy, gdy płatnik wyraził na nią zgodę w sposób uzgodniony z bankiem. Jeżeli zatem klient nie wyraził świadomej zgody, transakcję należy uznać za nieautoryzowaną, nawet gdy sprawca posłużył się prawidłowymi danymi logowania lub kodem autoryzacyjnym. Aby uchylić się od odpowiedzialności, bank powinien wykazać, że klient umyślnie albo wskutek rażącego niedbalstwa naruszył swoje obowiązki, a naruszenie to pozostawało w związku przyczynowym z utratą środków. W braku takiego dowodu bank jest zobowiązany do niezwłocznego zwrotu kwoty nieautoryzowanej transakcji, nie później niż do końca następnego dnia roboczego, stosownie do art. 45 ust. 1 i 1c ustawy.
Istotne znaczenie ma również terminowe zgłoszenie nieautoryzowanej transakcji. Zgodnie z art. 44 ust. 2 ustawy klient powinien zawiadomić bank bez zbędnej zwłoki, nie później niż w terminie 13 miesięcy od dnia obciążenia rachunku. Zwłoka w zgłoszeniu może pogorszyć sytuację dowodową klienta, a w określonych przypadkach prowadzić do utraty roszczenia o zwrot środków. Z tego względu po ujawnieniu podejrzanych operacji należy niezwłocznie złożyć reklamację oraz zawiadomić organy ścigania.
Jak ograniczyć ryzyko podobnej sytuacji w przyszłości?
Pomimo szerokiej ochrony przewidzianej w obowiązujących przepisach, zasadnicze znaczenie ma podejmowanie działań zapobiegawczych, które ograniczają ryzyko przejęcia rachunku bankowego. Klient powinien przede wszystkim przestrzegać obowiązków bezpieczeństwa wynikających z art. 42 ustawy o usługach płatniczych, w szczególności nie udostępniać osobom trzecim danych uwierzytelniających, takich jak login, hasło, PIN czy kody autoryzacyjne. Żądanie przekazania takich danych, zwłaszcza telefonicznie lub za pośrednictwem wiadomości elektronicznej, należy co do zasady traktować jako próbę oszustwa.
Niezbędne jest również zachowanie szczególnej ostrożności wobec wiadomości zawierających linki lub informacje o rzekomym zagrożeniu dla rachunku. W przypadku kontaktu telefonicznego z osobą podającą się za przedstawiciela banku lub innej instytucji należy samodzielnie zweryfikować tożsamość rozmówcy, korzystając z oficjalnych kanałów kontaktu. Klient nie powinien także wykonywać dyspozycji finansowych przekazywanych telefonicznie przez niezweryfikowane osoby.
Istotnym elementem ochrony pozostaje odpowiednie zabezpieczenie urządzeń wykorzystywanych do bankowości elektronicznej, w tym aktualizowanie oprogramowania, korzystanie z zabezpieczeń antywirusowych oraz unikanie niezaufanych sieci i aplikacji. Wskazane jest również włączenie dodatkowych zabezpieczeń oferowanych przez bank, takich jak powiadomienia o operacjach, limity transakcyjne czy wieloskładnikowe metody uwierzytelniania.
W razie podejrzenia przejęcia danych lub wystąpienia nieprawidłowości klient powinien działać niezwłocznie, w szczególności skontaktować się z bankiem i zażądać blokady dostępu do rachunku. Szybka reakcja może ograniczyć rozmiar szkody oraz mieć istotne znaczenie dowodowe. Choć przepisy prawa zapewniają konsumentom daleko idącą ochronę, każda sprawa wymaga indywidualnej oceny. Zakres odpowiedzialności banku oraz możliwość dochodzenia roszczeń zależą bowiem od okoliczności konkretnego przypadku, w tym od zachowania klienta i terminowości podjętych działań.
Źródła:
- Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (tj. Dz.U. 2023 poz. 168), Prawo bankowe, raporty i komunikaty UOKiK, opracowania Rzecznika Finansowego, orzecznictwo sądów (m.in. wyrok SA w Warszawie z 24.05.2018, sygn. VI ACa 217/17; wyroki SO w Łodzi z 2016 r. nakazujące bankom zwrot środków; wyroki w innych sprawach, np. SR Warszawa z 2015 r.; wyrok SR w sprawie I C 184/23 oddalający powództwo klientki).
