Padła ofiarą cyberataku. Bank musi oddać jej pieniądze, bo to nie jej wina

Polska bankowość jest bardzo nowoczesna i wykorzystuje zaawansowane rozwiązania. Same banki są bezpieczne, ale często lekceważą nieautoryzowane transakcje, czyli takie, których dokonuje osoba nieupoważniona.

Według polskiego prawa za transakcję nieupoważnioną odpowiada bank, chyba że doszło do "rażącego niedbalstwa" ze strony klienta. Banki starają się zrzucać winę na klientów przy każdej okazji, ale nie zawsze mają rację. Nawet jeśli klient poda swoje dane logowania przestępcom, nie można z góry uznać tego za "rażące niedbalstwo", bez analizy okoliczności.

Jeśli ktoś świadomie podaje swoje hasło innym, jest to oczywiście lekkomyślność i naruszenie zasad. Jeśli jednak nabierze się na phishing lub złapie malware, raczej nie można mówić zaniedbaniu. Współczesne cyberataki są pomysłowe i bardzo dobrze przygotowane.

Banki raczej nie analizują takich sytuacji i wrzucają wszystkich do "jednego worka", odmawiając zwrou pieniędzy. Taką sytuację opisywaliśmy na początku roku, gdyż bezpośrednio dotyczyła czytelników dobrychprogramów. Prawnicy byli po stronie czytelników.

Klient może pójść ze sprawą do sądu, ale niewiele osób się na to decyduje. To kosztowna i stresująca sprawa. Jednak jeśli ktoś się zdecyduje na sąd, zwykle wygrywa.

Taka sytuacja spotkała panią D.I. (inicjały podane przez sąd), która padła ofiarą cyberataku i bank (nazwa utajona przez sąd) odmówił jej rekompensaty. Do kradzieży doszło 26 maja 2015 roku. Z jej konta ukradziono ponad 44 tys. zł. Pani D.I. złożyła do banku reklamację, ale tam uznano, że wszystko jest w porządku. Nastąpiło poprawne logowanie w serwisie, sprawa zamknięta.

Pani D.I. postanowiła walczyć o swoje. Pozew trafił do Sądu Rejonowego dla Warszawy-Mokotowa w styczniu 2016 roku. Wyrok zapadł po ponad 3 latach - 3 lipca 2019 roku. Powódka wygrała, ale jakim kosztem?

Uzasadnienie wyroku jest dostępne na Portalu Orzeczeń Warto zwrócić uwagę na tłumaczenie banku - klasycznie przywołany został fakt, że nie doszło do naruszenia zabezpieczeń własnych banku:

Bank [...] stwierdził, że opisane transakcje zostały zlecone po poprawnym zalogowaniu się w serwisie [...] Bank wskazał, że do realizacji tych transakcji doszło „w wyniku zainfekowania stacji roboczej”, z której powódka logowała się do serwisu [...] złośliwym oprogramowaniem oraz że wirus spowodował, że po zalogowaniu powódka otrzymała fałszywy komunikat z prośbą o podanie kodu autoryzacyjnego. W ten sposób osoby nieupoważnione miały zdefiniować nowy szablon płatności [...]. Powódka zaprzecza jednak, by taka sytuacja miała miejsce. Logowała się z komputera z zainstalowanym programem antywirusowym. [...]
Nie można wobec tego mówić w niniejszej sprawie o nieautoryzowanej transakcji w rozumieniu art. 40 u.u.p.

Dalsze dochodzenie wykazało, że to mógł być phishing. Tuż przed kradzieżą na adresy e-mail pracowników powódki przychodziły wiadomości przypominające faktury od kuriera. SMS zaginął i dziś już nie wiadomo, czy pani D.I. go otrzymała, czy może został przechwycony przez szkodliwą aplikację.

Sąd uznał w końcu, że pani D.I. należy się rekompensata wysokości 44183,65 zł. Nie ma podstaw, by uznać tę transakcję za autoryzowaną. Obowiązek udowodnienia, że było inaczej, spoczywa na banku, a tam widocznie zabrakło faktów. Bank miał jedynie zapisy prawidłowo wykonanej transakcji.

Są uznał też, że nie ma 100 proc. dowodów na to, że powódka świadomie podała swoje dane atakującym. Co więcej, jeden ze świadków przypomniał, że do kradzieży doszło w czasie większej fali ataków. Po nich banki nieco zmieniły zabezpieczenia.