Z atakami oszustów internetowych może spotkać się niemal każdy. Ich ofiarą może zostać zarówno przeciętny użytkownik sieci, jak i największe przedsiębiorstwo. W wyniku cyberoszustw, które określa się mianem phishingu, można nie tylko utracić dostęp do konta mailowego, lecz także środki zgromadzone na rachunku bankowym. Aplikant adwokacki Dawid Jakubiec z Kancelarii Kupilas&Krupa z Bielska-Białej tłumaczy, jak przebiega phishing i jak dochodzić swoich praw w banku, jeśli już padliśmy ofiarą hakerów.

Informacje te są o tyle istotne, że od 21 lutego od godz. 21:00 obowiązuje w Rzeczypospolitej Polskiej trzeci stopień alarmowy dotyczący zagrożeń w cyberprzestrzeni (w czterostopniowej skali). Kilka dni temu został on przedłużony i obecnie obowiązuje do 15 marca do godz. 23:59.

Okup za odblokowanie danych

Zagrożenie to jest jak najbardziej namacalne, czego dobrym przykładem są ostatnie ataki hakerskie w Polsce, np. na Lotnicze Pogotowie Ratunkowe, gdzie skutkiem takiego ataku był paraliż łączności, awaria skrzynek mailowych oraz strony internetowej. Drugim przykładem z ostatnich kilkunastu dni był atak na Zakład Opieki Zdrowotnej w Pajęcznie, gdzie włamano się do systemu opieki zdrowotnej i zaszyfrowano niemal wszystkie pliki, a cyberprzestępcy żądali okupu za odblokowanie danych.

Obecnie cały świat obserwuje działalność grupy Anonymous, której celem stały się strony internetowe rosyjskiego rządu i Kremla, firm energetycznych czy publiczne stacje telewizyjne w Rosji. W dniu inwazji Rosji na Ukrainę, w czwartek 24 lutego Anonymous oświadczyli na Twitterze, że wypowiadają agresorowi cybernetyczną wojnę. Ich operacje realizowane są na szeroką skalę i dotykają instytucji czy firm, ale obrazują też realne zagrożenie cybernetyczne - zarówno na skalę światową, jak i wobec osób prywatnych. Działania cyberprzestępców są również wycelowane w stronę zwykłych użytkowników, gdzie celem są przechowywane przez nas dane, ale przede wszystkim środki pieniężne zgromadzone przez nas na rachunkach bankowych.

Czym jest phishing?

Jednym z najbardziej popularnych rodzajów ataku hakerskiego jest phishing, czyli przebiegła metoda wyłudzenia informacji istotnych dla każdego użytkownika sieci, takich jak numery kart kredytowych, numery CVV, login i hasło do bankowości elektronicznej, kody uwierzytelniające transakcje w bankowości elektronicznej. Polega ona na podszywaniu się przez oszusta pod inną osobę lub instytucję w celu wyłudzenia danych.

Zwykle dzieje się to poprzez przesłanie potencjalnej ofierze spreparowanej wiadomości e-mail, wyglądającej bardzo podobnie do wiadomości, którą mógłby nam wysłać bank, w którym posiadamy rachunek bankowy. Jak wskazuje Dawid Jakubiec, aplikant adwokacki w Kancelarii Kupilas&Krupa, takie e-maile grzecznie proszą nas o sprawdzenie aktywności na naszym koncie, potwierdzeniu lub zaktualizowaniu jakichś informacji.

- Po kliknięciu w link zawarty w wiadomości e-mail zostajemy przekierowani na fałszywą stronę internetową, która może wyglądać łudząco podobnie do strony banku, w którym posiadamy rachunek bankowy. Zwykle na takiej stronie jesteśmy proszeni o podanie danych, które finalnie mogą prowadzić do kradzieży należących do nas pieniędzy - tłumaczy prawnik.

Nie ulega wątpliwości, że tego typu zachowania oszustów są nielegalne i w przypadku wykrycia sprawców podlegają oni ukaraniu. Jednakże trudność ujawnienia tożsamości sprawców takiego przestępstwa prowadzi w dużej części spraw do umorzenia dochodzenia przez organy ścigania. Problem ten nie jest marginalny. Jak wskazuje Rzecznik Finansowy, nawet 250 tys. osób może paść rocznie ofiarą tego typu przestępstw. Ale osoby oszukane nie pozostają bez wyjścia.

Pomoc w odzyskaniu środków

Tylko w lutym br. zespół cyberbezpieczeństwa przy Komisji Nadzoru Finansowego informował, że oszuści podszywali się pod Bank Millennium, Santander, ING, sugerując poprzez wiadomości e-mail konieczność aktywacji dodatkowych usług, które pomogą zabezpieczyć rachunek bankowy przed utratą pieniędzy. Oczywiście, link znajdujący się w treści e-maila prowadził do fałszywej strony banku, która wykradała loginy i hasła do bankowości elektronicznej.

Liczne są również ataki stanowiące odmianę phishingu, tj. vishing (voice phishing), które polegają na podszywaniu się pod osobę pracującą w instytucji finansowej, aby wyłudzić od potencjalnej ofiary jej wrażliwe dane. Dla uwiarygodnienia całego ataku przestępcy podszywają się np. pod infolinię banku, przez co wyświetlany na naszym telefonie numer telefonu dzwoniącego nie budzi jakichkolwiek zastrzeżeń. O dużej liczbie tego typu ataków informował w ostatnim czasie Bank Spółdzielczy.

Bezpieczeństwo w sieci i świadomość zagrożeń jest niezwykle istotna, ale istnieją również narzędzia, które mogą nam pomóc odzyskać środki nawet w sytuacji, gdy już staliśmy się ofiarą przestępstwa.

Odpowiedzialność banku

Z dniem 20 czerwca 2018 r. weszła w życie ustawa z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw stanowiąca implementację dyrektywy unijnej PSD II. Wyżej wspomniana ustawa wskazuje, że bank może dokonać danej transakcji, jednak transakcja ta musi być przez klienta autoryzowana. Logika podpowiadałaby, że wykonanie transakcji za pomocą naszego konta bankowego jest jednoczesne z jej autoryzowaniem.

Sprawa nie jest taka prosta, bowiem transakcję płatniczą uważa się za autoryzowaną w momencie, gdy płatnik wyraził zgodę na wykonanie danej transakcji. Wykonanie transakcji przez oszusta, który uzyskał nasze dane w wyniku ataku phishingowego, na pewno nie jest zgodą wymaganą przez ustawę. Również sama ustawa o usługach płatniczych wyraźnie precyzuje, że samo użycie instrumentu płatniczego nie przesądza o autoryzowaniu danej transakcji.

W razie, gdy dana transakcja jest nieautoryzowana, wyłączną odpowiedzialność z tytułu jej przeprowadzenia ponosi dostawca usług płatniczych (czyli zwykle bank). Wystąpienie nieautoryzowanej transakcji generuje po stronie dostawcy usług płatniczych obowiązek zwrotu pieniędzy objętych daną transakcją. Z kolei w razie, gdy chodzi o rachunek płatniczy, to zobowiązany jest do przywrócenia stanu rachunku płatniczego do takiego, jak sprzed dokonania kwestionowanej transakcji.

Ustawa nakłada również termin, w jakim dostawca ma dokonać opisywanych wyżej czynności - powinno stać się to niezwłocznie, lecz nie później niż do końca dnia roboczego następującego po dniu stwierdzenia nieautoryzowanej transakcji (zasada D+1). Jedynym wyjątkiem jest sytuacja, w której dostawca ma podejrzenie świadczące o oszustwie własnego klienta i poinformuje o tym niezwłocznie organy ścigania.

Brak możliwość zwrotu środków z winy klienta

Dopiero dokonanie zwrotu pozwala na ustalenie potencjalnej współodpowiedzialności klienta banku. Płatnik nie odpowiada za nieautoryzowaną transakcję w sytuacji, gdy klient umyślnie lub w wyniku rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji. W tej sytuacji to bank powinien pozwać własnego klienta za umyślne dokonanie nieautoryzowanej transakcji. Praktyka wygląda zgoła odmiennie. Banki kompletnie ignorując przepisy ww. ustawy, odmawiają zwrotów twierdząc, że klient dokonał danej transakcji w wyniku rażącego niedbalstwa. W takiej sytuacji to klient zmuszony jest wejść na drogę sądową i pozwać bank.

- Jak wskazuje orzecznictwo sądowe, kradzież środków w wyniku ataku phishingowego czy vishingowego nie jest zwykle formą rażącego niedbalstwa. Oczywiście, w tym kontekście istotne są osobiste uwarunkowania danej osoby. Czy była ona świadoma zagrożeń w cyberprzestrzeni i czy ewentualnie ten fakt został przez nią zignorowany - mówi Dawid Jakubiec, aplikant adwokacki.

Aktualne ustawodawstwo daje nam szereg możliwości, z których możemy skorzystać, nie mniej często droga do wyegzekwowania tych praw może być trudna i prowadzić przez sale sądowe. Jednak efekt tej drogi może okazać się satysfakcjonujący i finalnie doprowadzić do zwrotu skradzionych pieniędzy.

Artykuł powstał przy współpracy z Kancelarią Prawną Kupilas&Krupa z Bielska-Białej

***

Portal bielsko.biala.pl rozpoczyna publikację cyklu artykułów na temat aktualnych problemów prawnych, z jakimi spotyka się każdy z nas w życiu prywatnym czy pracy zawodowej. Opracowania powstały dzięki współpracy z ekspertami z renomowanej kancelarii prawniczej z Bielska-Białej, którzy raz w miesiącu odpowiadać będą na łamach portalu na pytania Czytelników w sprawach dotyczących poruszanych zagadnień. Pytania można zadawać w formie komentarza do artykułu, na naszym profilu w Facebooku i na adres: [email protected], a także na adres i w portalach społecznościowych Kancelarii Prawnej Kupilas&Krupa.