Jeden z największych banków prawdopodobnie będzie musiał zwrócić klientowi około 100 tys. zł, utraconych w wyniku cyberataku — na podstawie wyroku Sądu Okręgowego w Warszawie z 12 maja 2018 r. (Sygn. akt I C 566/17). O sprawie poinformował niedawno portal Niebezpiecznik.pl. Wyrok nie jest jeszcze prawomocny.
Firmy smakowitym kąskiem
Kolejne tego typu przypadki pokazują, że cyberataki na banki to realne ryzyko. Zdarzają się one coraz częściej. Narażeni są na nie również mali przedsiębiorcy, którzy stanowią szczególnie kuszące źródło ataku — mają słabsze zabezpieczenia niż duże firmy, a więcej gotówki na koncie niż osoby fizyczne.
W przywołanej we wstępie sprawie sąd uznał, że poszkodowanego nie można obciążyć odpowiedzialnością za utratę pieniędzy, bo nie wykazał się rażącym niedbalstwem. Atak miał miejsce w czerwcu 2015 r. Hakerzy za pośrednictwem e-maila przesłali ofierze złośliwy załącznik, dzięki czemu przejęli dane do logowania i byli w stanie wyświetlać fałszywe komunikaty, kiedy poszkodowany logował się na swoje konto. Taki komunikat pojawił się, gdy ofiara chciała zrobić przelew. Informował, że z uwagi na rosnącą liczbę nieuczciwych transakcji wszystkie mają podlegać dodatkowemu ubezpieczeniu. Poszkodowany dwa razy próbował ominąć tę informację, ale za trzecim razem postąpił zgodnie z instrukcją. W rzeczywistości, przepisując wiadomość SMS, nie potwierdził chęci ubezpieczenia transakcji, tylko zmienił dane przelewu zaufanego. Następnego dnia nastąpiły cztery transakcje, a z jego konta zniknęło prawie 107 tys. zł. Przelewy nie wymagały autoryzacji.
Chociaż poszkodowany w otrzymanej od hakerów wiadomości SMS mógł przeczytać, że nie chodzi o polisę, tylko o zmianę danych przelewu zaufanego, sąd uznał, że „brak uważnej lektury SMS-ów nie jest rażącym niedbalstwem” i dlatego przeoczenie treści wiadomości nie zwalnia banku z odpowiedzialności.
Klient po ochroną
To tylko jeden z przykładów, kiedy sąd staje po stronie klienta banku, który stracił pieniądze przez hakerów. Zdaniem ekspertów, tego typu wyroków jest coraz więcej.
— Po 2015 r. w podobnych sprawach sądy kierują się tym, że w relacjach bank — klient to ten drugi jest stroną słabszą i wymaga ochrony. To bank powinien wykazać, że po stronie klienta doszło do rażącego niedbalstwa w zakresie udostępnienia danych do rachunku bankowego albo że wyraził on zgodę na dokonanie danej transakcji — mówi Aleksandra Księżyk, radca prawny w Russell Bedford.
Zdarza się też, że sprawy kończą się jeszcze na etapie przedsądowym.
— Często, szczególnie w przypadku niskich kwot, banki zwracają pieniądze na rachunek klienta bez konieczności dochodzenia przez niego racji przed sądem — mówi Cyprian Gutkowski, kierownik projektu w Fundacji Bezpieczna Cyberprzestrzeń.
Spotkało to jednego z czytelników „PB”, który rok temu zwrócił się do nas z prośbą o pomoc po wykradzeniu przez hakerów z jego prywatnego konta 50 tys. zł. Bank początkowo nie chciał zwrócić pieniędzy, ale po odwołaniu klienta zdecydował się je przelać. Zdaniem Aleksandry Księżyk, jeżeli wspomniane orzeczenie Sądu Okręgowego stanie się prawomocne, będzie wsparciem dla innych klientów banków w sporach dotyczących wyprowadzenia pieniędzy przez hakerów z ich rachunków. Nie jest to jednak takie proste. Poszkodowany, który stracił 107 tys. zł, o zwrot pieniędzy walczy już trzy lata. Do tej pory uzyskał tylko nieprawomocny wyrok, procedura sądowa może trwać jeszcze kilka lat. Widać też, że banki obawiają się tego typu zagrożeń.
Zaraz po nagłośnieniu sprawy z wyrokiem Sądu Okręgowego co najmniej dwie instytucje umieściły ostrzeżenia na swoich stronach. Getin Bank przestrzega przed próbami przejmowania dostępów do bankowości, a mBank — przed fałszywymi wiadomościami od oszustów.
Rażące niedbalstwo
Co do zasady, to bank ponosi odpowiedzialność w przypadku utraty przez klienta pieniędzy w efekcie cyberataku i nieautoryzowanych transakcji. Wynika to zarówno z przepisów Kodeksu cywilnego, dotyczących umowy rachunku bankowego, jak i Ustawy o usługach płatniczych.
— Wyjątek od bezwzględnej zasady odpowiedzialności banku został określony w art. 46 ust. 3 wspomnianej ustawy, gdzie wskazano, że płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie — albo w wyniku rażącego niedbalstwa — mówi Patryk Ogórek z kancelarii GP Togatus.
Przykłady rażącego niedbalstwa to m.in. świadome udostępnienie numeru identyfikacyjnego i hasła czy też jednorazowego hasła SMS-owego bądź przechowywanie tych danych w sposób umożliwiający swobodny dostęp do konta osobom niepowołanym.
— Również brak oprogramowania antywirusowego, podanie jednorazowego kodu SMS-owego, mimo braku takiej konieczności dla danego typu transakcji, i niepoinformowanie konsultanta banku o istotnych szczegółach cyberataku może zostać uznane za przejaw rażącego niedbalstwa — mówi Mariusz Minkiewicz, adwokat w zespole postępowań spornych kancelarii CMS.
Podkreśla, że w przypadku sporu z klientem co do odpowiedzialności za kwestionowaną przez klienta transakcję, to na banku ciąży dowód wykazania, że była ona autoryzowana albo że miało miejsce ewentualne rażące niedbalstwo ze strony klienta.
— W praktyce jest to niezwykle trudne i choć wszystko zależy od okoliczności indywidualnej sprawy, sytuacja procesowa klientów jest zazwyczaj lepsza niż banku — twierdzi Mariusz Minkiewicz.
Aleksandra Księżyk zauważa, że przedsiębiorcy mogą mieć nieco trudniej.
— W ich przypadku większe znaczenie może mieć to, czy używany w firmie sprzęt miał legalne oprogramowanie, czy na bieżąco aktualizowane były antywirusy i należycie dbano o funkcjonowanie systemu informatycznego. Istotne jest też, czy pracownicy byli przeszkoleni z obsługi systemu i czy wdrożone zostały zasady bezpiecznego korzystania z systemu informatycznego w firmie — mówi Aleksandra Księżyk.
Jarosław Mackiewicz, ekspert ds. audytów w firmie DAGMA Bezpieczeństwo IT, przypomina, że aby zminimalizować ryzyko cyberataku na konto bankowe, trzeba trzymać się podstawowych zasad, czyli np. tworzyć odpowiednio silne hasła do rachunków, regularnie je zmieniać i stosować choćby najprostsze zabezpieczenie antywirusowe.