Oszuści podszywają się pod coraz więcej banków, są aktywni na Olx, Allegro i Vinted, udają PGNIG, oferując inwestycje, rozsyłają wiadomości z informacją o zwrocie podatku. Wprowadzenie danych do logowania i autoryzowanie przez SMS kończy się często utratą oszczędności, a zdarza się także, że przestępcy biorą kredyt na swoją ofiarę.
Czytaj też: Ofiary oszustw na "bitcoina" tracą oszczędności życia>>
Wygląda to zwykle tak, że oszuści tworzą fałszywą witrynę podszywającą się pod bank i przechwytują wprowadzane na niej dane do logowania. Przestępcy podszywają się pod firmy oferujące pożyczki i przy minimalnych wymogach formalnych, pożyczkobiorca może otrzymać do kilkuset tysięcy złotych. Przed wypłatą pożyczki musi jedynie dokonać opłaty ubezpieczeniowej, po której oszuści znikają.
Powszechne ostatnio oszustwa na portalach sprzedażowych wyglądają w ten sposób, że sprawca pod pretekstem zamówienia dostawy lub zlecenia przelewu bankowego próbuje uzyskać dostęp do konta bankowego sprzedawcy towaru. Sprawcy takich przestępstw zazwyczaj wykorzystują linki do fałszywych stron internetowych banku lub firm kurierskich, które umożliwiają uzyskać dostęp do konta za pośrednictwem aplikacji mobilnej banku. Każde kliknięcie w link przesłany przez przestępcę może spowodować zainfekowanie urządzenia i utratę środków.
Trudne znalezienie oszustów
Odzyskanie pieniędzy od oszustów jest bardzo trudne, gdyż wykorzystują oni tzw. słupy, czyli osoby, które uzyskują za przekazanie dostępu do konta symboliczne wynagrodzenie. Często są to osoby bezdomne, uzależnione od narkotyków lub alkoholu w trudnej życiowej sytuacji.
- Cyberprzestępcy zazwyczaj korzystają z kont bankowych założonych przez podstawione osoby. Podstawione osoby często nie zdają sobie sprawy, że udostępniając dostęp do rachunku bankowego popełniają przestępstwo tzw. prania brudnych pieniędzy pochodzących z przestępczego działania innych osób - tłumaczy adwokat Aleksander Nobis.
Środki, które trafią na taki rachunek, są wypłacane są przez rzeczywistych sprawców, którzy popełniają przestępstwo oszustwa oraz prania brudnych pieniędzy, gdy korzystają z takiego konta.
- Cyberprzestępcy korzystają zazwyczaj z internetu mobilnego na podstawie zarejestrowanych na inne osoby kart SIM lub rachunków bankowych utworzonych na dane innej osoby. Ustalenie osoby, do której należy karta lub rachunek bankowy nie jest skomplikowane, ale dotarcie do osoby korzystającej z karty/konta jest znacznie utrudnione – mówi mec. Nobis.
Ściganie cyberprzestępców przeważnie jest nieskuteczne. W strukturach polskiej Policji funkcjonują wprawdzie wydziały do walki z cyberprzestępczością, ale bardzo rzadko udaje się ustalić sprawcę przestępstwa popełnionego przy użyciu sieci Internet.
Jak tłumaczy Aleksander Nobis, w ramach czynności prowadzonych przez Policję ustalany jest m.in. numer IP użyty do przestępstwa. Na podstawie tych informacji ustalana jest sieć do której numer IP przynależy i osoba z niego korzystająca. Wiąże się to z szeregiem czynności procesowych, w tym zwolnieniem z tajemnicy telekomunikacyjnej. Działania są czasochłonne, a nie zawsze dają spodziewany efekt. Sprawcy zazwyczaj nie korzystają ze stacjonarnego łącza internetowego, a posługują się Internetem mobilnym.
Kiedy bank musi zwrócić pieniądze
Poszkodowany nie jest jednak bez szans i w niektórych przypadkach może odzyskać pieniądze. Mianowicie w określonych przypadkach można żądać zwrotu pieniędzy od banku, z którego poszkodowany lub sprawca przestępstwa wykonał przelewu środków.
- Zgodnie z ustawą o usługach płatniczych polski ustawodawca wyszedł z generalną zasadą przeniesienia odpowiedzialności z tytułu przeprowadzenia nieautoryzowanej transakcji na dostawcę usług płatniczych. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego (użycia instrumentu płatniczego zgodnie z procedurami i przy zastosowaniu sposobów autoryzacji), nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana – mówi mec. Aleksander Nobis.
Ustawa ta nie zawiera definicji legalnej pojęcia nieautoryzowanej transakcji płatniczej, ale zgodnie z jej art. 40 ust. 1 za transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych.
Rzecznik Finansowy już w 2019 r. wyciągnął z tego wniosek, że z nieautoryzowaną transakcją płatniczą mamy do czynienia w sytuacji, gdy płatnik nie wyraził na nią zgody. Udzielenie zgody przez płatnika w uzgodniony między stronami sposób jest jedyną przesłanką autoryzacji danej transakcji płatniczej. Dopiero w takim wypadku można mówić o prawidłowo dokonanej transakcji płatniczej. Jeżeli zgoda na transakcję płatniczą nie została udzielona przez podmiot do tego uprawniony (np. przez posiadacza rachunku), a dostawca wykonuje transakcję, to w ocenie Rzecznika Finansowego nie zyskuje on uprawnienia ani do obciążenia rachunku płatniczego płatnika, ani do żądania od płatnika zwrotu kwoty, którą przekazał dostawcy usług płatniczych odbiorcy.
W okolicznościach powiązanych z atakiem phishingowym lub jakimkolwiek innym działaniem przestępczym trudno mówić o skutecznym wyrażeniu zgody na dokonanie transakcji płatniczej, zatem taką transakcje płatniczą należy uznać za nieautoryzowaną, z wszelkimi skutkami z tego wynikającymi, czyli m.in. obowiązkiem zwrotu pieniędzy.
Wedle stanowiska Rzecznika Finansowego dostawca nie ma obowiązku zwrotu środków jedynie w sytuacji udokumentowanego podejrzenia oszustwa lub niedochowania przez klienta terminu zgłoszenia nieautoryzowanej transakcji (13 miesięcy), ale nie oznacza to jeszcze tego, że łatwo jest wytłumaczyć bankowi, żeby dokonał zwrotu pieniędzy.
- Banki nie zgadzają się z taką prokonsumencką interpretacją przepisów i rzadko zwracają środki dobrowolnie – mówi Aleksander Nobis.
