Sąd Okręgowy w Warszawie wydał wyrok w sprawie pomiędzy jednym z największych polskich banków, a mężczyzną, któremu na skutek cyberataku wyprowadzono z konta 107 tys. zł. Według nieprawomocnego orzeczenia bank musi zwrócić klientowi niemal całą utraconą kwoty - informuje Niebezpiecznik.
Nie było rażącego niedbalstwa
Według sądu poszkodowany nie wykazał się "rażącym niedbalstwem", więc nie można obciążyć go odpowiedzialnością za utratę pieniędzy. Po pierwsze, ofiara nie udostępniła nikomu numeru użytkownika i hasła. Po drugie bank, zdaniem sądu, niedostatecznie ostrzegał przed możliwością utraty środków w wyniku ataku. Stosowny komunikat znajdował się bowiem w zakładce aktualności, którą trzeba było rozwinąć, by do niej dotrzeć. Tymczasem, jak ustalił sąd, ofiar było więcej.
Okno z irytującym komunikatem
Cyberprzestępcy zadziałali tu w sposób, który często opisujemy. W 2015 roku za pośrednictwem wiadomości e-mail przesłali ofierze złośliwy załącznik. Dzięki niemu byli w stanie wyświetlać fałszywe okno, nakładkę, kiedy tylko ofiara logowała się do banku.
W ten sposób najpierw przejęli dane do logowania ofiary, następnie wyświetlili fałszywy komunikat. Mężczyzna był przekonany, że to bank z uwagi na zagrożenie cyberatakiem żąda dodatkowego ubezpieczenia transakcji. Próbował ominąć komunikat, jednak w końcu postąpił zgodnie z widoczną na ekranie instrukcją.
Kilka przelewów wyczyściło konto
Poszkodowany myślał, że przepisując wiadomość SMS potwierdza chęć ubezpieczenia transakcji. W rzeczywistości umożliwił kradzież poprzez zmianę danych przelewu zaufanego. Doszło do niej następnego dnia po infekcji - w czterech transakcjach wyprowadzono ponad 100 tys. zł. Autoryzacja przelewów nie była już konieczna.
SMS z potwierdzeniem
Poszkodowany w otrzymanej wiadomości SMS mógł przeczytać, że nie chodzi wcale o ubezpieczenie, ale o zmianę danych przelewu zaufanego. Zdaniem sądu "brak uważnej lektury SMS-ów nie jest rażącym niedbalstwem” i dlatego też nawet przeoczenie treści wiadomości nie zwalnia banku z odpowiedzialności.
Warto dmuchać na zimne
Powyższa historia udowadnia, że kwestię bezpieczeństwa w sieci warto traktować bardzo poważnie. Poszkodowany o zwrot środków walczy już trzy lata, a jak na razie uzyskał dopiero nieprawomocny wyrok. Procedura sądowa zająć jeszcze kilka lat.
O tym, że przestępcy są w stanie wyczyścić konto pisaliśmy już wielokrotnie. W jednej z ostatnich tego typu sytuacji poszkodowany stracił 400 tys. zł. Pieniądze ostatecznie udało się odzyskać, ale tylko dzięki czujności banków, które nauczone doświadczeniem wprowadziły dodatkowe procedury. Wyprowadzone z konta środki udało się zatrzymać w ostatniej chwili, tuż przed wyprowadzeniem na giełdę bitcoin. Jeśli to by się nie udało możliwe, że jedyną możliwością odzyskania środków byłby długotrwały proces.
Czytaj też: Banki miały się konsolidować. Zwrot w sprawie polskiego giganta
Warto podkreślić też, że poszkodowany odpowiada za nieautoryzowane płatności do kwoty ok. 210 zł (50 euro). Niezależnie od tego jaką kwotę utracimy bank może zwrócić nam należność pomniejszoną o tę kwotę.
***
