Dom maklerski XTB zamierza kontaktować się z klientami, którzy złożyli reklamacje związane z utratą środków w wyniku działań cyberprzestępców. Cel to zrekompensowanie im całości utraconych pieniędzy.
- Budowanie relacji opartej na zaufaniu jest dla nas najważniejsze, dlatego podjęliśmy decyzję o rekompensacie środków wszystkim naszym klientom, którzy padli ofiarą cyberprzestępców. Odbieramy to jako cenną lekcję zarówno dla nas, inwestorów indywidualnych, jak i całej społeczności. Wierzymy, że temat cyberbezpieczeństwa nie będzie pojawiał się w przestrzeni informacyjnej tylko w przypadku sensacyjnych materiałów, a przerodzi się w długoterminową kampanię edukacyjną - mówi Omar Arnaout, prezes XTB.
Informacje o włamaniach na konta w XTB pojawiły się w lipcu. Według danych XTB ataki cyberprzestępców dotyczyły zaledwie 0,017 proc. klientów. Żaden z nich nie miał aktywnej funkcji uwierzytelniania dwuskładnikowego (2FA).
Po tych wydarzeniach XTB zdecydowało się do końca sierpnia 2025 r. obligatoryjnie uruchomić uwierzytelnianie dwuskładniowe u wszystkich dotychczasowych klientów. U nowych będzie zaś domyślnie włączane od samego początku. Będzie ono obejmowało logowanie oraz zmiany rachunków do wypłat pieniędzy, ale nie zatwierdzanie samych transakcji.
Spółka szacuje, że całościowa kwota rekompensat nie będzie miała „materialnego” wpływu na wyniki finansowe.
Tylu klientów miało XTB na koniec czerwca 2025 r.
7 lipca notowana spółki mocno spadły po opublikowaniu na popularnym portalu wykop.pl wpisu jednego z klientów XTB.
Twierdził on, że został okradziony na platformie przez hakera, który przez dziury w zabezpieczeniach włamał się na jego konto i dokonywał transakcji na niepłynnych instrumentach. Zanim klient się zorientował, wartość jego rachunku stopniała o 75 proc., w głównej mierze przez działania hakera, ale swoje - jak twierdzi inwestor - w formie prowizji i spreadów za przewalutowanie zgarnął też broker.
„To wszystko wydarzyło się błyskawicznie, bez żadnych alertów czy blokad konta" - pisał rozżalony inwestor. Utrzymywał on, że skontaktowała się z nim grupa około 20 osób z Czech, którzy mieli te same doświadczenia.
W 2024 r. na platformie wprowadzono uwierzytelnienie dwuskładnikowe (2FA) i od tego czasu klienci byli zachęcani m.in. kampaniami mejlingowymi i wiadomościami push do skorzystania z tej funkcji.
Klient, który twierdził, że został okradziony, utrzymywał, że nie dostał żadnej informacji dotyczącej 2FA. Z tej formy zabezpieczenia do czasu pierwszych sygnałów o kradzieżach korzystało zaledwie około 10 proc. użytkowników brokera.
