Operatorzy sieci komórkowych wydają duplikaty kart SIM oszustom, którzy za pomocą różnych metod podszywają się pod swoje ofiary. W ten sposób przestępcy przechwytują numer telefonu, który może być wykorzystywany do autoryzacji operacji na rachunku bankowym. Kto wówczas odpowiada za wyprowadzenie środków z konta ofiary? Czy ofierze można zarzucić rażące niedbalstwo w zakresie zabezpieczenia swoich danych?
Temat oszustw na duplikat karty SIM i przekierowanie połączeń stał się głośny w połowie ub. roku. Doszło wówczas do fali przypadków kradzieży pieniędzy z rachunków bankowych, często poprzedzonych podejrzaną awarią karty SIM w telefonie ofiary. Opiszemy dziś jedną z takich sytuacji skupiając się na problemie odpowiedzialności za poniesione przez ofiarę straty finansowe.
Pan Jan (imię fikcyjne) posiadał rachunek oszczędnościowy i konto osobiste w ING Banku Śląskim. Do autoryzacji operacji bankowych na rachunkach wykorzystywał telefon komórkowy zarejestrowany w sieci T-mobile. Wszystko funkcjonowało sprawnie i bez zastrzeżeń, aż pewnego dnia telefon pana Jana przestał działać. Karta SIM nie mogła zalogować się do sieci operatora, nawet przełożona do innego aparatu. Pan Jan zgłosił sprawę do operatora, który zaproponował wymianę uszkodzonej jego zdaniem karty SIM.
Tymczasem po trzech dniach od usterki karty SIM na numer stacjonarny pana Jana zadzwonił pracownik banku z informacją o „dziwnych” operacjach jego na rachunkach bankowych. Pracownik ten poinformował także pana Jana o zablokowaniu dostępu do bankowości internetowej. Po przeprowadzeniu rozmowy pan Jan udał się osobiście do oddziału banku, gdzie sprawdzono stan jego rachunków. Okazało się wówczas, że mimo deklaracji telefonicznej, system bankowości internetowej wciąż był na jego koncie aktywny.
Po sprawdzeniu historii aktywności na rachunkach pana Jana okazało się, że przestępcy zdążyli wyprowadzić z jego rachunku oszczędnościowego kwotę 266 000 zł. Kolejność działań oszustów utrwalona w rejestrze zdarzeń wyglądała następująco. Najpierw doszło do zmiany hasła w systemie bankowym. Co istotne, do jego zmiany bank nie wymagał znajomości poprzedniego hasła, a jedynie podanie loginu, PESELu i nazwiska panieńskiego matki posiadacza rachunku. Następnie, dysponując dostępem do rachunków bankowych ofiary, przestępcy dokonali w krótkich odstępach czasowych kilkudziesięciu operacji przelewów środków finansowych na różne inne konta. Nie wszystkie operacje przebiegały „gładko”, gdyż system bankowy na jakiś czas zablokował dostęp („klient został zablokowany”), prawdopodobnie z powodu dużej ilości niestandardowych transakcji.
Część środków przelanych na inne konta udało się zablokować zanim się „rozpłynęły”. Jednak przestępcy zdążyli wypłacić spore kwoty z bankomatów znajdujących się w dwóch różnych miastach – co zdążyła ustalić policja. Pan Jan złożył reklamację w banku. Bank jednak nie poczuwa się do odpowiedzialności za zaistniałą sytuację twierdząc, że klient dopuścił się rażącego niedbalstwa w zabezpieczeniu swoich danych i wysnuwając przypuszczenia o zainstalowanym na telefonie ofiary złośliwym oprogramowaniu.
Czy taka postawa banku jest uzasadniona? Czy zabezpieczenia stosowane przez bank do autoryzacji operacji na rachunkach bankowych można uznać za wystarczające, jeśli przestępcy potrafią je obejść wykorzystując do tego duplikat karty SIM swojej ofiary?
By to rozważyć należy się odwołać do przepisów Ustawy o usługach płatniczych z dnia 19 sierpnia 2011 r. (Dz.U. Nr 199, poz. 1175 z późn. zm.):
Art. 45 [Ciężar udowodnienia autoryzacji]
2. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy.
Wśród obowiązków wymienionych w art. 42 znajdują się:
Art. 42 [Obowiązki użytkownika instrumentów płatniczych]
1. Użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany:
1) korzystać z instrumentu płatniczego zgodnie z umową ramową oraz
2) zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.
To właśnie wspomniane w art. 45 ustawy rażące niedbalstwo bank zarzucił panu Janowi. Czy jednak pan Jan swoim postępowaniem naruszył którykolwiek z obowiązków opisanych w art. 42? Do czasu awarii karty SIM korzystał z instrumentu płatniczego zgodnie z umową. O problemie z podejrzanymi operacjami na swoim koncie dowiedział się od pracownika banku – sam przecież nie był w stanie stwierdzić żadnych nieprawidłowości, bo informacje o operacjach nie mogły do niego dotrzeć z powodu zablokowania jego karty SIM z chwilą wyrobienia przez oszustów jej duplikatu. Na jakie więc rażące niedbalstwo powołuje się bank?
Podkreślić należy, że podatność systemów bankowych na tego rodzaju oszustwa stała się już ponad pół roku temu przedmiotem troski Prezesa Urzędu Komunikacji Elektronicznej. Wystąpił on nie tylko do dostawców mobilnych, ale również do banków z wnioskiem o podjęcie działań mających na celu przeciwdziałanie nadużyciom na rynku telekomunikacyjnym i bankowym. A jednak nie uchroniło to pana Jana przed działaniami oszustów, którzy wykorzystali do ataku duplikat jego karty SIM.
Oczywiście, atak nie byłby skuteczny gdyby nie to, że przestępcy wcześniej się do niego odpowiednio przygotowali. Weszli w posiadanie takich wrażliwych danych ofiary, jak np. numer PESEL czy nazwisko panieńskie jego matki. Dziwi jednak łatwość, z jaką oszuści nieznający przecież hasła dostępu do systemu, potrafili obejść bankowe zabezpieczenia i hasło to zresetować. Równie niezrozumiała jest opieszałość w działaniach banku, który potrzebował aż trzech dni by skontaktować się z poszkodowanym, a w międzyczasie mimo ostrzeżeń z powodu niestandardowych operacji płatniczych oszuści mogli bezproblemowo wypłacać pieniądze swojej ofiary.
W ewentualnym sporze sądowym to bank będzie musiał udowodnić, że poszkodowany klient dopuścił się rażącego niedbalstwa w rozumieniu ustawy o usługach płatniczych. Podkreślić należy, że w podobnych, już rozstrzygniętych sporach sądy przywiązują dużą wagę do tej części definicji, która mówi o niedbalstwie „rażącym”. Oznacza to, że nawet w przypadku, gdy poszkodowanemu klientowi banku będzie można zarzucić, iż w jakimś stopniu sam przyczynił się np. do wycieku swoich danych wrażliwych, to nie przekłada się to jeszcze automatycznie na jego winę. Zwłaszcza, gdy system zabezpieczeń bankowych jest tak skonstruowany, że umożliwia całkowite przejęcie kontroli nad bankowością internetową klienta przez osoby trzecie, bez należytej weryfikacji tożsamości klienta i skutecznej kontroli jego operacji finansowych.
Komentarze