Bank zapłaci za cyberatak

opublikowano: 21-07-2015, 22:00

W przypadku większości ataków hakerskich to bank odpowiada za spowodowane nimi szkody. Często nawet wtedy, kiedy odpowiedzialność powinien ponieść klient

Ataki hakerskie na banki zdarzają się coraz częściej. To duże ryzyko szczególnie dla przedsiębiorców, którzy zwykle obracają znacznymi kwotami na swoich kontach. Warto zadać sobie pytanie, jak do ataku nie dopuścić, a przynajmniej, kto ponosi odpowiedzialność, kiedy już z konta znikną pieniądze.

Wina klienta

Jeżeli cyberatak jest wymierzony w infrastrukturę informatyczną banku, kwestia odpowiedzialności jest oczywista — bank ma obowiązek zapewnić bezpieczeństwo, więc bank odpowiada, w sytuacji gdy zostanie ono zachwiane. Wszystko się komplikuje, jeśli atak hakerski skierowano na klienta. A to on najczęściej pada ofiarą takich ataków, ponieważ jest łatwiejszym łupem. Idąc tym tropem, jeśli zawini klient, to odpowiedzialność powinna spoczywać na nim. Jednak nie jest łatwo wyznaczyć tutaj granicę. Generalnie można powiedzieć, że klient nie powinien ponosić odpowiedzialności, o ile zachował się zgodnie z zasadami bezpieczeństwa wymaganymi w danych okolicznościach, a przestępstwo nie wynika z jego rażącego niedbalstwa. Najczęściej sprowadza się to do stosowania zasady ograniczonego zaufania i niepodejmowania działań, które byłyby sprzeczne z umową z bankiem, tj. np. udostępniania osobom trzecim danych dostępowych do bankowości elektronicznej.

— Jednak katalog działań klienta, które mogą być uznane za jego rażące niedbalstwo, nie jest zamknięty, gdyż zmienia się wraz z rozwojem techniki i świadomości społecznej, w szczególności w obszarze bezpieczeństwa i potencjalnych zagrożeń — mówi Adrian Latoszek, prawnik w departamencie Bankowości i Finansów Międzynarodowych warszawskiego biura CMS.

Przykładowo, w początkowym okresie rozwoju e-bankowości istniałyby argumenty, żeby uznać, że udostępnienie danych do logowania, w wyniku zastosowania się do instrukcji mejlowej osoby podszywającej się pod bank, nie stanowiło rażącego niedbalstwa klienta.

— Jednak dzisiaj, w dobie szeroko zakrojonych kampanii informacyjnych i wzrostu świadomości społecznej w tym zakresie, wydaje się, że te same argumenty nie korespondowałyby ze świadomością „przeciętnego” użytkownika bankowości elektronicznej. Z drugiej strony, jeśli klient padnie ofiarą oszustwa, którego obiektywnie nie mógł zweryfikować, np. w wyniku podmiany strony internetowej banku, to istnieją silne przesłanki do stwierdzenia, że zdarzenie nie jest skutkiem jego rażącego niedbalstwa, oczywiście przy założeniu, że dochował wszystkich zasad bezpieczeństwa, które mogą być obiektywnie wymagane w takiej sytuacji — tłumaczy Adrian Latoszek.

I tak zapłaci bank

Niezależnie jednak od tego, kto odpowiada za skutki danego ataku, często banki decydują się na wypłacenie klientom utraconych kwot.

— Stoi za tym rachunek ekonomiczny — potencjalne straty reputacyjne oraz koszty wewnętrzne mogą przewyższać kwotę ewentualnego zwrotu, podobnie jak wejście na drogę sądową w celu wykazania, że odpowiedzialność leży po stronie klienta — zauważa Adrian Latoszek.

Zdaniem Cezarego Piekarskiego, starszego menedżera w dziale zarządzania ryzykiem w Deloitte, podobne sprawy rzadko docierają do etapu sądowego. Trudno jednak liczyć na wypłatę w sytuacji, kiedy wina klienta jest ewidentna.

— Banki przez wiele lat płaciły za wszystko, teraz zaczynają od tego odchodzić. Nie chcą odpowiadać za rażące niedbalstwo klientów. I słusznie. Nabieranie się na niektóre haczyki hakerów można porównać do wypłaty pieniędzy z bankomatu w niebezpiecznej okolicy. Dlaczego bank miałby odpowiadać za podobną niefrasobliwość klienta? — twierdzi Cezary Piekarski.

Zdaniem Łukasza Czujko, adwokata, managing associate w kancelarii prawniczej Deloitte Legal, ze zrozumieniem banków rzadko spotka się zachowanie klienta polegające np. na samodzielnym wykonaniu przelewu na rachunek bankowy, który należał do cyberprzestępców w związku np. z podszyciem się oszusta pod stałego kontrahenta klienta, czy też przekazanie danych do logowania do systemów bankowości elektronicznej osobom trzecim.

— Jednak w sytuacjach wątpliwych, w których wina klienta nie jest jednoznaczna, a mechanizm działań oszukańczych podjętych przez przestępców zaawansowany, banki niejednokrotnie pozytywnie rozpatrują takie reklamacje — przyznaje Łukasz Czujko.

Jego zdaniem, trzeba przede wszystkim pamiętać, że bank nie jest zobowiązany do sprawdzania wszystkich danych dotyczących operacji wykonywanych przez klientów. — Klientów często oszukuje się w taki sposób, że w efekcie przekazują pieniądze na rachunek niewłaściwego adresata. Potem są zaskoczeni, że bank nie miał obowiązku tego weryfikować — mówi Łukasz Czujko.

Klient też ma obowiązki

Generalnie kwestia odpowiedzialności w przypadku cyberataków nie jest nigdzie uregulowana.

— Nie ma w Polsce precyzyjnej regulacji określającej granice podziału odpowiedzialności pomiędzy bankiem a klientem w odniesieniu do bezpieczeństwa transakcji w internecie — przyznaje Łukasz Czujko.

Pewne ułatwienie w zakresie ustalenia tej granicy dają rekomendacje Komisji Nadzoru Finansowego w szczególności „Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach”, opublikowana w styczniu 2013 r. i wdrożona w bankach z końcem 2014 r. Zgodnie z nią banki mają obowiązki związane z zagwarantowaniem odpowiedniego poziomu zabezpieczeń swoich systemów IT oraz zobowiązane są do podejmowania określonych środków technicznych i organizacyjnych, które mają zapewnić bezpieczeństwo klientów korzystających z elektronicznych kanałów dostępu do usług bankowych.

— Banki stosują zabezpieczenia, które w pewnym stopniu ochronią również klientów nawet w przypadku nieostrożnych zachowań. Nie zabezpieczą ich jednak całkowicie, dlatego też część obowiązków związanych z odpowiednim zabezpieczeniem się na wypadek ataków hakerskich leży po stronie klientów — mówi Cezary Piekarski.

— Każdy musi odrobić swoją pracę domową. Klienci banków zdecydowanie bardziej powinni zadbać o bezpieczeństwo swoich komputerów. Nie jest to trudne. Zazwyczaj stała aktualizacja systemów i aplikacji oraz stosowanie antywirusa, wsparte przez rozsądne zachowanie się w sieci, tj. nieklikanie we wszystko, co się pojawi w przeglądarce lub w wiadomości e-mail, eliminuje z grupy największego ryzyka — wtóruje mu Mirosław Maj, prezes Fundacji Bezpieczna Cyberprzestrzeń.

Łukasz Czujko zwraca też uwagę, że zasadniczo zabezpieczenie takie z perspektywy klienta polega też na korzystaniu z instrumentów płatniczych zgodnie z umową z bankiem oraz przestrzeganiu podstawowych zasad bezpieczeństwa, m.in. korzystaniu z legalnego oprogramowania czy choćby sprawdzaniu, czy połączenie z witryną internetową banku jest szyfrowane, tj. zaczyna się od „https”, a nie „http”. Banki zresztą coraz częściej instruują klientów, jak bezpiecznie wykonywać operacje za pośrednictwem bankowości elektronicznej oraz jak zabezpieczyć się przed cyberprzestępstwami. Przykładem takich działań są informacje zamieszczone na stronie Związku Banków Polskich (ZBP) w dziale Dla klientów, w zakładce Bezpieczny bank. Podobne pojawiają się też systematycznie na stronach internetowych poszczególnych banków.

— Wszelkie działania klientów, które łamią ustalone zasady, mogą wskazywać na odpowiedzialność klienta i zwalniać bank z odpowiedzialności w tym zakresie — przestrzega Łukasz Czujko.

Zasady bezpiecznego korzystania z e-bankowości

Komputer:

trzeba mieć zainstalowany program antywirusowy, na bieżąco aktualizować komputer, instalować legalne oprogramowanie, unikać programów niewiadomego pochodzenia warto aktualizować system operacyjny o istotne aplikacje, np. przeglądarki internetowe

Logowanie:

warto unikać logowania się do bankowości internetowej i dokonywania płatności z komputerów znajdujących się w miejscach publicznych w sytuacji nietypowych komunikatów przy logowaniu typu prośby o podanie danych osobowych albo dodatkowe pola z pytaniem o hasła autoryzacji trzeba zgłosić problem do banku nie należy używać wyszukiwarek internetowych do znalezienia strony logowania banku nie należy udostępniać osobom trzecim identyfikatora ani hasła dostępu

Korzystanie z poczty elektronicznej:

nie należy odpowiadać na e-maile, w których nadawca prosi o podanie informacji o karcie, loginu i hasła do bankowości elektronicznej oraz numer telefonu, ani na wiadomości, które zapraszają do odwiedzenia strony internetowej w celu weryfikacji danych — banki nigdy nie wysyłają takich e-maili!

Źródło: ZBP

 

JUŻ PISALIŚMY: „PB” z 1.07.2015 r.

Trzy tygodnie temu pisaliśmy o tym, że banki to coraz częstszy cel ataków hakerów, a żadnego systemu informatycznego w 100 proc. zabezpieczyć się nie da.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Sylwia Wedziuk

Polecane