Upowszechnienie w ostatnich latach dokonywania płatności elektronicznych w różnych dziedzinach życia oraz dynamiczny rozwój technologii spowodowały również wzrost zagrożeń związanych z dokonywaniem transakcji. Oszuści coraz częściej nie tylko wykorzystują naiwność i niewiedzę klientów banków, ale dzięki rozwojowi technologicznemu tak wyspecjalizowali się w swoich oszustwach, że podejmowane przez nich próby kradzieży pieniędzy z konta płatnika wydają się na tyle wiarygodne, że im się to udaje. Omówimy dzisiaj najczęściej stosowane przez nich metody, które prowadzą niejednokrotnie do nieautoryzowanych transakcji i zubożenia klientów banków. Pokażemy również, jak im przeciwdziałać i jak sobie radzić w momencie, kiedy już do takiego oszustwa dojdzie. Podpowiemy też, jak odzyskać od banku utracone w takim wypadku pieniądze i co zrobić, jeśli bank nie zechce ich oddać. Dzisiejszy artykuł powinien przeczytać każdy, kto ma konto w banku i dokonuje różnych płatności drogą elektroniczną, aby nie dopuścić do stania się ofiarą oszustwa lub też nie zostać posądzonym o niedbalstwo w przypadku, gdyby już do niego jednak doszło.
Z tego artykułu dowiesz się…
- Jakie metody oszustwa bankowego są najczęściej stosowane – poznaj phishing, vishing, spoofing i smishing.
- Czym różni się uwierzytelnienie od autoryzacji i dlaczego ma to kluczowe znaczenie dla odzyskania skradzionych pieniędzy.
- Co zrobić, jeśli padłeś ofiarą oszustwa – jak zgłosić transakcję nieautoryzowaną i odzyskać środki od banku.
- Jakie prawa przysługują ci jako klientowi banku i kiedy warto skierować sprawę do sądu.
- Przykłady korzystnych wyroków sądowych, które potwierdzają, że można skutecznie dochodzić swoich roszczeń.
- W wyniku oszustwa i nieautoryzowanych transakcji bankowych coraz więcej osób traci oszczędności z konta bankowego. Sprzyjają temu rozwój nowych technologii i trudności w złapaniu sprawców.
- Oszuści wykorzystują różne metody, aby ukraść pieniądze z konta. Najpopularniejsze to phishing, vishing, spoofing i smishing. Warto się z nimi zapoznać, aby nie dać się nabrać.
- Wyłudzenie danych kończy się często dokonaniem nieautoryzowanej transakcji, którą oszuści są w stanie uwierzytelnić. Co istotne dla płatnika, nawet same banki często mylą uwierzytelnienie transakcji z jej autoryzacją, a rozróżnienie tych pojęć może mieć fundamentalne znaczenie dla ewentualnego dochodzenia roszczeń osoby, która padła ofiarą oszustwa.
- Po utracie pieniędzy z konta ważna jest szybka reakcja pokrzywdzonego i zgłoszenie tego faktu nie tylko na policję, ale przede wszystkim do banku. Jeśli doszło to transakcji nieautoryzowanej, w wyniku której oszust ukradł pieniądze z konta, bank powinien zwrócić środki, a jeżeli tego nie zrobi, pokrzywdzonemu pozostaje droga sądowa. Korzystne wyroki w takich sprawach już są.
Jakie są metody działania oszustów?
Oszuści próbujący ukraść pieniądze z konta są coraz bardziej pomysłowi i tak już rozwinęli swój proceder, że dzięki wykorzystaniu nowych technologii są w stanie skutecznie podszywać się pod pracowników banków i prezentować potencjalnym ofiarom niemal identyczne strony, które do złudzenia przypominają strony bankowe. Oto jakimi metodami posługują się najczęściej w swoich praktykach.
Phishing
Jest to najbardziej znany i najstarszy z przedstawianych tutaj sposobów wyłudzenia danych, zainfekowania komputera złośliwym oprogramowaniem czy też nakłonienia potencjalnej ofiary do konkretnych działań. Do osiągnięcia celu wykorzystuje błędy użytkownika i nie wymaga posiadania specjalistycznej wiedzy technicznej przez oszusta.
Typowym przykładem phishingu jest podanie użytkownikowi pod wymyślonym przez oszusta pretekstem jakiegoś linku do fałszywej strony banku, która często wygląda jak prawdziwa i nakłonienie go do kliknięcia w ten link.
Nieświadomy zagrożenia użytkownik klika w podany link, następnie wprowadza dane do zalogowania się, a tym samym udostępnia je oszustom. Oszust w tym przypadku wcale nie musi się napracować, aby uzyskać dane do uwierzytelnienia logowania do konta, gdyż to sam użytkownik nieświadomie mu je podaje na tacy.
Warto przy tym zaznaczyć, że w tym wypadku dokładne obejrzenie strony, do której prowadzi link, nic nie daje, gdyż obecna technologia pozwala już oszustom na dokładne skopiowanie strony, która jest praktycznie nie do odróżnienia od prawdziwej. Bardzo często phishingu używają też oszuści przy transakcjach sprzedażowych, kiedy dana osoba na jakiejś platformie internetowej próbuje coś sprzedać. Wtedy zgłasza się do niej potencjalny kupiec, który prosi o jakieś dane, aby dokonać np. płatności blikiem i wtedy przy niezachowaniu czujności również może dojść do wyłudzenia danych metodą phishingu.
Vishing
Ta metoda oszustów to tzw. phishing + voice, czyli połączenie metody popularnego phishingu z głosem w celu wyłudzenia danych. Oszuści wykorzystują do tego rozmowę telefoniczną, w której dzwoniący podszywa się pod osobę zaufania publicznego, np. pracownika banku, który sygnalizuje w przekonujący sposób osobie, do której dzwoni wystąpienie jakiegoś nagłego problemu z jej kontem bankowym i przedstawia sposoby na rozwiązanie problemu. Jeszcze bardziej wiarygodnym sposobem tego rodzaju działania jest następna metoda zwana spoofingiem.
Spoofing
Do spoofingu dochodzi wtedy, gdy osoba dzwoniąca podszywa się pod instytucję zaufania publicznego, np. pracownika bankowego, a na telefonie osoby odbierającej połączenie pojawia się np. numer infolinii banku. Numer ten nie jest oczywiście tym, z którego dzwoni przestępca, ale obecna technologia pozwala już na to, aby osobie odbierającej połączenie wyświetlił się nr inny niż ten, z którego rzeczywiście połączenie jest wykonywane.
To szczególnie niebezpieczna sytuacja, ponieważ takie połączenie wydaje się pochodzić z oficjalnego źródła i może łatwo wprowadzić w błąd. Do tego, jeśli klient banku usłyszy w takiej rozmowie, że np. padł ofiarą ataku hakerskiego i pieniądze uciekają z jego konta, może w przypływie nagłego szoku, dostosować się do wskazówek osoby, która dzwoni.
Wtedy najczęściej dochodzi do wyłudzenia danych, bo sugerowane przez dzwoniącego metody przeciwdziałania problemom, które jak mówił, wystąpiły, wymagają od użytkownika podania danych wrażliwych, takich jak pesel, nr dowodu osobistego, czy też danych do logowania. Zdarza się więc, że taka zwiedziona i zaskoczona osoba, chcąc działać szybko, bo to sugeruje rozmówca, te dane podaje.
Smishing
Ta metoda oszustwa doczekała się nawet definicji zamieszczonej w ustawie o zwalczaniu nadużyć w komunikacji elektronicznej z 2023 roku. Jak podaje art. 3 ust. 1 pkt 2 tejże ustawy, smishing to „wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania”.
Człowiek, który obecnie często korzysta z różnych zakupów przez internet, dokonuje płatności za zakupione towary, czy zamówione usługi, ponosi koszty opłat za przesyłki, często narażony jest na działanie takich oszustów, którzy podszywają się pod różne instytucje, twierdząc np. że w dokonanej ostatnio transakcji wystąpiła jakaś niewielka niedopłata i trzeba ją uregulować. Taki SMS często zawiera link, w który jak zaleca nadawca, trzeba kliknąć, aby tę płatność uzupełnić. Niestety w ten sposób uruchamia się znowu ten sam proces, co opisany już w phishingu wyłudzenia danych.
Wszystkie opisane powyżej metody działania oszustów prowadzą do wyłudzenia poufnych informacji i danych umożliwiających dokonanie przez oszustów transakcji nieautoryzowanej i kradzieży pieniędzy z konta.
Czym jest transakcja nieautoryzowana i dlaczego można dochodzić roszczeń z jej tytułu?
Mimo że nie ma oficjalnej definicji transakcji nieautoryzowanej, to według Europejskiego Urzędu Nadzoru Bankowego za taką należy uznać transakcję dokonaną w wyniki kradzieży, manipulacji, użycia przymusu, a także ewentualnych błędów. Pojęcie transakcji nieautoryzowanej można też wyprowadzić z terminu określanego mianem transakcja autoryzowana, jako jej przeciwieństwo. Skoro więc transakcja autoryzowana to transakcja płatnicza, czyli wpłata, transfer lub wypłata środków pieniężnych za zgodą płatnika po dokonaniu uwierzytelnienia, to w transakcji nieautoryzowanej te dwa elementy nie występują łącznie. Mimo uwierzytelnienia brak jest zgody płatnika na dokonanie transakcji, a trzeba wiedzieć, że transakcja płatnicza, aby mogła zostać uznana za ważną, wymaga autoryzacji. Jeśli występuje samo uwierzytelnienie w postaci wpisania loginu czy hasła, ale brak jest zgody płatnika, to taka transakcja nie ma autoryzacji i to właśnie daje podstawę pokrzywdzonym osobom do odzyskania pieniędzy.
Co ciekawe, bankowcy często sami nie znają różnicy między uwierzytelnieniem a autoryzacją i w procesach sądowych, które są im wytaczane przez osoby pokrzywdzone przez oszustów, tłumaczą, że przecież autoryzacja transakcji miała miejsce, gdyż doszło do uwierzytelnienia transakcji. Jednak uwierzytelnienie i autoryzacja nie są pojęciami tożsamymi. Uwierzytelnienie bowiem jest czynnością techniczną polegającą na podaniu danych umożliwiających weryfikację tożsamości klienta, a autoryzacja jest pojęciem znacznie szerszym obejmującym także świadomą zgodę klienta na dokonanie transakcji po uwierzytelnieniu. Dopiero wtedy, gdy te dwa warunki zostaną łącznie spełnione, transakcja może zostać uznana za autoryzowaną. Oczywiste jest więc, że jeśli wypłaty z konta danej osoby po kradzieży danych lub ich wyłudzeniu dokonuje oszust, to te dwa warunki nie zostają spełnione i mimo uwierzytelnienia taka transakcja nie ma autoryzacji, a więc osobie, która zgłosi do banku, że z jej konta dokonano transakcji nieautoryzowanej, przysługuje zwrot środków.
Co zrobić jeśli doszło do nieautoryzowanej transakcji i straciłeś pieniądze z konta?
W przypadku, gdy doszło to takiej nieautoryzowanej transakcji dokonanej bez twojej zgody przez oszusta, który podstępem zdobył dane konieczne do uwierzytelnienia, natychmiast trzeba o tym fakcie poinformować bank i poprosić o blokadę transakcji, gdyż oszuści mogą próbować zrobić to po raz kolejny. Jeśli mimo zgłoszenia w banku dojdzie ponownie do ucieczki pieniędzy z twojego konta, wówczas odpowiadał będzie za to bank i musi ci pieniądze zwrócić w ciągu doby od ich wypłynięcia. W takich przypadkach banki nie robią raczej problemów ze zwrotem środków. Problemy natomiast są często z odzyskaniem środków, do utraty których doszło jeszcze przed zgłoszeniem tego faktu do banku.
I o to często trzeba walczyć w sądzie, ale wcześniej jeszcze przed złożeniem pozwu do sądu warto złożyć do banku reklamację, gdyż w ewentualnym późniejszym procesie fakt podejmowania przez klienta próby polubownego załatwienia sprawy może być dobrze postrzegany przez sąd. Bank czasem też odmawia zwrotu środków, podejrzewając, że to sam płatnik dokonał oszustwa. Nie ma w takim wypadku innej drogi, jak dochodzenie swoich roszczeń w sądzie. Podstawą prawną do zgłoszenia takich roszczeń będzie art. 46 ust. 1 ustawy o usługach płatniczych. Co ważne, przy skierowaniu sprawy do sądu czas działa na korzyść osoby pokrzywdzonej, bo w przypadku wygrania sprawy będą jej się należały także odsetki za opóźnienie, które wynoszą 11,25% w skali roku.
O fakcie kradzieży pieniędzy z konta należy poinformować też policję, chociaż niewielkie szanse są na to, że dopadnie ona oszusta. Fakt ten jednak może przydać się w zainicjowanym przez pokrzywdzonego postępowaniu sądowym.
Niezależnie od wszczęcia sprawy sądowej przeciwko bankowi fakt dokonania przez oszustów transakcji nieautoryzowanej łącznie z opisem metody zastosowanej przez nich do wyłudzenia danych powinno zgłosić się do CERT.PL, który tworzy bazę danych takich oszustw i próbuje im przeciwdziałać w przyszłości, np. rozsyłając do operatorów sieci telefonii komórkowej informacje w celu blokowania podejrzanych nr telefonów.
Na co uważać podczas postępowania sądowego?
Jeżeli bank dobrowolnie nie zwrócić płatnikowi środków, które w wyniku transakcji nieautoryzowanej wypłynęły z jego konta, wówczas prawdopodobnie podczas ewentualnego procesu będzie próbował podważyć zarzuty płatnika i udowodnić, że doprowadził on do takiej transakcji umyślnie lub doszło do niej w wyniku niedbalstwa samego płatnika. W takich przypadkach bowiem bank nie będzie za taką szkodę odpowiadał. Zarzucając płatnikowi niedbalstwo, będzie więc próbował udowodnić, że płatnik naruszył co najmniej jeden z obowiązków, o których mowa w art. 42 ustawy o usługach płatniczych z 2011 roku. Takimi przykładami rażącego niedbalstwa może być brak niezwłocznego zgłoszenia o transakcji nieautoryzowanej do banku, czy też świadomego udostępniania np. pinu do karty kredytowej, czy debetowej osobom trzecim.
Kluczowe w procesie mogą być zeznania osoby pokrzywdzonej przez oszusta. Z tego względu najważniejsze w takim przypadku jest dobre wcześniejsze przygotowanie przez prawnika do takiego przesłuchania. Powinien on przygotować osobie pokrzywdzonej zestaw pytań, które mogą zostać jej zadane na rozprawie, aby miała czas się z nimi oswoić. Wiadomo bowiem, że chodzi tu przede wszystkim o ograniczenie jej stresu, gdyż tylko to umożliwi jej wypowiedzenie się przed sądem w sposób wiarygodny i obrazujący jak najadekwatniej to, co ją spotkało. Nie bez znaczenia jest więc wybranie dobrego prawnika, który ma doświadczenie w takich sprawach i zadba także o to, aby odpowiednio płatnika do rozprawy, na której przyjdzie mu składać zeznania przygotować.
Są już wyroki korzystne dla pokrzywdzonych przez oszustów płatników
Potwierdzeniem na to, że warto iść do sądu w sytuacji, gdy doszło do utraty środków przez płatnika, a bank nie zechciał ich zwrócić, są już wydane przez sądy krajowe wyroki uznające roszczenia konsumentów i odrzucające zarzuty niedbalstwa podnoszone przez banki. Oto niektóre z nich:
- Sąd Apelacyjny w Warszawie w dniu 24 maja 2018 roku w sprawie o sygn. akt VI ACa 217/17 stwierdził, że trudno jest przypisać powodowi rażące niedbalstwo w sytuacji, gdy jego dane zostały podstępnie wyłudzone, a okoliczności tego mogły spowodować u niego fałszywe przekonanie, iż postępuje on prawidłowo.
- Sąd Rejonowy w Grudziądzu w dniu 28 lipca 2023 roku w sprawie o sygn. akt I C 859/22 orzekł, że doszło do spoofingu, gdyż powódka odebrała połączenie telefoniczne z oficjalnego nr infolinii banku i miała przekonanie, że rozmawia z jego pracownikiem, który poinformował ją, że na jej rachunku bankowym odnotowano próbę kradzieży środków. Oszust wyłudził dane do jej konta, a następnie zawarł w jej imieniu umowę o limit na koncie osobistym, która to w zaistniałych okolicznościach została przez sąd uznana za nieważną.
To tylko wybrane przykłady pokazujące jednak, że sądy już orzekają w takich sprawach i nie ma co się obawiać wchodzenia na drogę sądową, aby dochodzić swoich roszczeń w przypadku, gdy doszło do transakcji nieautoryzowanej.
Zresztą samą kwestię autoryzacji, którą często banki mylą z uwierzytelnieniem rozstrzygnął już Sąd Najwyższy w wyroku z dnia 15 września 2023 w sprawie II CSKP 1013/22, w której orzekł, że „Wykazanie uwierzytelnienia transakcji płatniczej nie jest równoznaczne z wykazaniem jej autoryzacji”. Każdy więc, kto nie wyraził zgody na jej dokonanie, a do niej doszło, może skutecznie dochodzić swoich roszczeń w sądzie, jeśli bank sam nie zechce środków zwrócić.
Podsumowanie
Nieautoryzowane transakcje, do których dochodzi w przypadku, gdy płatnik nie wyraził na nie zgody i w wyniku których traci on środki pieniężne, są coraz częstsze. Oszuści, stosując różne metody i nowoczesną technologię wyłudzają dane umożliwiające im logowanie się do konta osoby, która padła ich ofiarą i kradzież środków. I chociaż ten proceder nie jest skutecznie ograniczany przez organy ścigania ze względu na wiele trudności, jakie napotykają, to mimo tego ofiara oszustwa może odzyskać swoje środki, jeśli bank nie udowodni jej rażącego niedbalstwa, w wyniku którego mogło dojść do utraty danych.
Pierwszym krokiem powinno być powiadomienie banku o zaistniałej sytuacji, a jeśli ten nie będzie chciał oddać ukradzionych przez oszustów środków, może dochodzić swoich praw w sądzie. I chociaż sądy podchodzą do tego typu spraw w sposób indywidualny, są już wyroki potwierdzające to, że warto na postępowanie sądowe się zdecydować. Kluczowe jednak będzie znalezienie dobrego prawnika.
Główne wnioski
- Oszustwa bankowe są coraz bardziej zaawansowane – warto znać ich metody, aby się przed nimi bronić.
- Nieautoryzowana transakcja to taka, na którą nie wyraziłeś zgody – bank powinien zwrócić skradzione środki.
- W przypadku utraty pieniędzy liczy się szybka reakcja – zgłoś sprawę do banku, policji i CERT.PL.
- Jeśli bank odmawia zwrotu pieniędzy, masz prawo dochodzić swoich roszczeń w sądzie – są już korzystne wyroki dla poszkodowanych.
- Znajomość swoich praw oraz skorzystanie z pomocy doświadczonego prawnika może znacznie zwiększyć szanse na odzyskanie środków.
