Kradzież tożsamości jest potocznym określeniem sytuacji, gdy osoba nieuprawniona pozyskuje – najczęściej w wyniku przestępstwa - dane dotyczące konkretnej osoby i wykorzystując różnego rodzaju zdalne kanały komunikacji, przedstawia się jako ta osoba. Przy okazji wykorzystuje dane do tworzenia fałszywych dokumentów (dowodów osobistych, pełnomocnictw itp.)

Zobacz pytanie i odpowiedź eksperta w LEX: Jak długo bank może przechowywać dokumentację kredytową klientów w archiwum? >

Jednym  z głównych celów przestępców „kradnących” tożsamość innych osób jest pozyskanie środków pieniężnych za pomocą bankowości elektronicznej banku, z którym łączy ofiarę umowa rachunku bankowego. Skutki takiego działania i dalsza postawa banków mają duży wpływ na dalsze losy osób, którym skradziono tożsamość. 

Czytaj: Oszuści idą z duchem czasu, a pandemia sprzyja ich kreatywności>>

Obecnie do odbiorców – klientów banków - kierowane są w mediach komunikaty, których schemat można krótko przedstawić tak: przestępca uzyskał duplikat karty SIM i ukradł ofierze środki z konta bankowego.

Powyższy opis jest niezgodny ze stanem prawnym, choć na pierwszy rzut oka wydaje się zgodny ze stanem faktycznym.  Co istotne, ale pomijane w publikacjach, to fakt, że osobom, którym „ukradziono” tożsamość nikt nie kradnie środków finansowych. Pewnie w tym miejscu trudno zgodzić się z takim twierdzeniem, ale jest ono w pełni prawdziwe; za ten dysonans odpowiada wyjątkowa konstrukcja instytucji rachunku bankowego.

 

Modelowy stan faktyczny

W celu należytego opracowanie tego zagadnienia konieczne jest zaprezentowanie modelowego stanu faktycznego.

  1. Przestępca identyfikuje ofiarę (pozyskuje informacje o sytuacji majątkowej, posiadanych aktywach).
  2. Przestępca pozyskuje dane ofiary – w tym dane do logowania do bankowości internetowej, a wiec: imię, nazwisko, nazwę banku prowadzącego rachunek bankowy, a następnie login i hasło. W tym zakresie dopuszcza się najczęściej złamania prawa ( na potrzeby niniejszego artykułu wyłączamy sytuacje skrajne, gdzie ofiara dopuszcza się rażącego niedbalstwa i np. publicznie prezentuje swoje dane np. w Internecie).
  3. Przestępca pozyskuje informacje czy i z  usług jakiego operatora telekomunikacyjnego  korzysta ofiara.
  4. Przestępca pozyskuje wiedzę lub zakłada, że klient może do autoryzacji korzystać z usług telekomunikacyjnych (autoryzacji poprzez wiadomość sms).
  5. Przestępca podrabia dokumenty ofiary (czyli już na tym etapie dokonuje przestępstwa) i stawia się w sklepie operatora komórkowego. Dokonuje kolejnego przestępstwa podszywając się pod ofiarę, dzięki porobionym dokumentom i wyłudza w ten sposób duplikat karty SIM. Podkreślić należy, że przestępcy są bardzo dobrze przygotowani, mają dużą, zebraną wcześniej wiedzę nt ofiary i stosują szereg rozwiązań socjotechnicznych, aby dokonać oszustwa.
  6. Przestępca posiadając już odpowiednie informacje dokonuje logowania do systemu bankowego i wydaje dyspozycje przelewu środków. 

Bazując na pozyskanych o ofierze informacjach, bardzo często robi to w momencie, w którym wie, że ofiara nie zorientuje się od razu o dokonywanym działaniu. Przestępcy bowiem nie wybierają ofiar przypadkowo. Wybierają je bardzo starannie, zwykle obserwując je m.in. w mediach społecznościowych, aby zebrać wiedzę o stanie majątkowym, zwyczajach, trybie życia, itd. - tych elementach, które pozwolą na stosunkowo pewny łup.

Zobacz procedurę w LEX: Niezgodne z prawem dokonanie wypłaty >

Bank okradziony, nie klient

Taka sytuacja sugeruje, iż poszkodowanym jest osoba, z której konta bankowego zostały przelane środki na rzecz przestępcy. Tymczasem komplementarna znajomość prawa karnego, cywilnego oraz bankowego pozwala nam zaprzeczyć temu twierdzeniu i wskazać na bank jako podmiot poszkodowany, ale jednocześnie zobowiązany wobec klienta – ofiary. Do tego zaraz przejdziemy.

Zacząć trzeba od podstawy – czyli tego, co łączy ofiarę z bankiem. To umowa rachunku bankowego jest kluczowa z perspektywy ofiary kradzieży tożsamości. 

Umowa rachunku bankowego

Podmiot, którego dane pozyskał przestępca łączy z bankiem umowa nazwana rachunku bankowego opisana w art. 725 KC i n. Jest to oczywiste, ale niestety z praktyki wynika, że jedynie bardzo wąskie grono specjalistów (poza bankowcami) posiada wiedzę o tym, jak skonstruowana  jest ta umowa.

Potoczne rozumienie jest zupełnie sprzeczne z jej rzeczywistą prawną konstrukcją. Rachunek bankowy rozumiany jest jako miejsce, gdzie znajdują się środki klienta banku. Nic bardziej mylnego.

Pobierz wzór dokumentu w LEX: Informacja o rachunku bankowym/zmianie rachunku bankowego >

Konstrukcja umowy rachunku bankowego, jak jest to ugruntowane w orzecznictwie i judykaturze, wygląda tak:

  1. Klient zawiera z bankiem umowę rachunku bankowego
  2. Klient przekazuje bankowi środki – wpłaca je np. w oddziale banku
  3. W momencie przekazania środków, klient traci ich własność, a ta przechodzi na bank.
  4. Bank staje właścicielem środków. Jeżeli jest ich właścicielem to również ryzyko utraty – przekazania do niewłaściwego adresata - przechodzi na bank.
  5. Klient posiada wobec banku wierzytelność, co do zasady w wysokości środków. Wydając bankowi dyspozycje może zmienić wysokość tej wierzytelności.
  6. Wierzytelność klienta staje się wymagalna z chwilą zgłoszenia przez niego żądania wypłaty zgromadzonych środków lub żądania przeprowadzenia rozliczenia pieniężnego. Klient ma prawo zażądać zwrotu swoich środków w każdym czasie.

Podsumowując powyższe wskazać należy, że bezprawne pozyskanie środków z rachunku bankowego jest bezprawnym pozyskaniem środków banku. Klient banku posiada cały czas wierzytelność w stosunku do banku.

 

E-usługi a RODO [PRZEDSPRZEDAŻ] ebook

Małgorzata Ciechomska

Sprawdź  

Zabezpieczenie środków banku

Logicznym jest więc to, że Bank powinien stosować odpowiednie środki ochrony swoich zasobów.  Banki stosują wiec wzmacniane drzwi do skarbca, system kodów i kontroli dostępu, zatrudniają pracowników ochrony itp. Komplikacje następują w związku z dynamicznym rozwojem technologii i usług IT.  W tym zakresie dotychczasowe środki ochrony są niewystarczające. Banki jednak są spółkami kapitałowymi, chcą i powinny zarabiać. Taki jest ich cel, wiec w ich interesie jest, aby klienci korzystali z ich usług, dokonywali dyspozycji przelewów, mieli ułatwione zadanie przy swoich czynnościach. W związku z tym banki świadczą usługi on-line.

W tym zakresie konieczna jest identyfikacja osób korzystających z  usług on – line. Chodzi o to,  żeby było pewne, że osoba chcąca zrobić dyspozycję na rachunku bankowym np. zmniejszyć swoją wierzytelność była osobą do tego uprawnioną. W tym zakresie Banki muszą zapewnić odpowiednie narzędzia certyfikacji i weryfikacji na odległość. Takimi zabezpieczeniami są dane do logowania i hasła.

Te wszystkie środki mają chronić majątek banku. Jeżeli bank korzysta z instrumentów  nieadekwatnych do ryzyka dokonania błędnej identyfikacji,  to za taki stan rzeczy odpowiada bank, a nie jego klient – posiadacz rachunku Tak samo jak skarbiec posiada odpowiednie zabezpieczenia i procedury tak również bankowość internetowa powinna być zabezpieczona.

Zasadą jest, że w razie sytuacji spornej tj. gdy klient twierdzi, że to nie on wydał dyspozycję pomniejszającą wierzytelność, na banku co do zasady, ciąży ciężar dowodu wykazania, że dana transakcja była autoryzowana przez klienta. 

Pobierz wzór dokumentu w LEX: Upoważnienie do obciążenia rachunku bankowego >

Bank ma zweryfikować wykonawcę przelewu

W świetle zasad ogólnych prawa zobowiązań dłużnik, czyli w omawianych tu przypadkach – bank powinien we własnym interesie upewnić się, czy osoba zgłaszająca się po odbiór świadczenia, w tym przypadku żądająca wypłaty środków,  jest osobą uprawnioną. Podkreślić jednak należy, że ewentualnie nieprawidłowa identyfikacja osoby uprawnionej do odbioru świadczenia obciąża, co do zasady dłużnika (a więc bank). Dłużnik, spełniający świadczenie do rąk osoby, którą nieprawidłowo uznał za osobę uprawnioną, działa na własne ryzyko i będzie w związku z tym zmuszony niejako po raz drugi spełnić świadczenie do rąk rzeczywiście uprawnionego.

W związku z tym, że banki są spółkami komercyjnymi,  biorą przede wszystkim pod uwagę rachunek ekonomiczny, w tym ponoszone koszty, aby osiągnąć zysk  na odpowiednim poziomie. Być może w oparciu o te kwestie banki dokonały wyboru jednego z ogniw autoryzacji  usługi świadczone przez przedsiębiorców telekomunikacyjnych bez zawarcia stosownych umów czy też uprzedzając o tym. LEX Banki: Poznaj autorskie opracowania kluczowych zagadnień z dziedziny prawa bankowego >

W praktyce klienci banków, którym skradziono tożsamość i na których rachunkach bankowych za pośrednictwem wyłudzonych informacji zostały dokonane operacje, spotykają się z odmową realizacji ich wierzytelności. W przestrzeni medialnej jako głównego odpowiedzialnego wobec klientów, którym banki odmawiają realizacje wierzytelności wskazuje się przedsiębiorców telekomunikacyjnych. To jest bardzo wygodna narracja dla banków. Z powyższego opracowania wynika,  że błędnie – raz, że wierzytelność po identyfikacji faktu, że nie została autoryzowana w sposób poprawny powinna wrócić co do zasady do początkowej wartości (jeżeli jest inaczej to bank powinien to udowodnić), a dwa, że przedsiębiorca telekomunikacyjny nie może odpowiadać za straty banku, do którego ochrony nie był zobowiązany i z którym nie ma żadnej relacji prawnej w tym przedmiocie. Banki odmawiając wypłaty wymagalnej wierzytelności klientom narażają ich na prowadzenia kosztowych i długotrwałych postępowań sądowych dodatkowo wprowadzając w błąd co do podmiotu odpowiedzialnego.

Autorom publikacji wskazującym na brak jakiejkolwiek odpowiedzialności banków, poza najistotniejsza kwestią czyli konstrukcją umowy rachunku bankowego, umykają dodatkowo następujące  kwestie tj. 

  • Karty SIM są instrumentem umożliwiającym świadczenie usług telekomunikacyjnych. Same w sobie nie stanowią dla klientów środka do weryfikacji transakcji bankowych.
  • Utracenie, zgubienie, zniszczenie Karty SIM dla klientów jest sytuacją kłopotliwą także, albo przede wszystkim  z punktu widzenia celu umowy o świadczenie usług telekomunikacyjnych. Może skutkować nie tylko fałszywą weryfikacją transakcji bankowych, ale także naliczeniem dużych opłat z tytułu usług telekomunikacyjnych.  
  • Przedsiębiorca Telekomunikacyjny jest także ofiarą przestępstwa. Przestępcy posługując się sfałszowanymi dokumentami i podając nieprawdziwe dane, wyłudzają nowa kartę SIM, która jest własnością operatora. Taka karta może być użyta także do innych celów m.in. generowania sztucznego ruchu telekomunikacyjnego.

Podsumowując, w naszej ocenie przepisy są jasne i w sposób czytelny wskazują konkretny schemat działań w razie kradzieży tożsamości i użycia tych danych do dokonania nieautoryzowanych transakcji bankowych.  Jednakże wytworzony szum medialny zaciemnia obraz i często prowadzi do niepotrzebnych procesów oraz zbytecznego krzywdzenia podmiotów, które nie powinny odczuwać skutków działania przestępców i niewłaściwego podejścia niektórych banków do bezpieczeństwa.

 

Joanna Karolina Nawrot – radca prawny kierujący obsługą prawną przedsiębiorcy telekomunikacyjnego T-Mobile Polska S.A.

 


Marcin Maruszczak – partner kancelarii YLS zajmujący się sporami sądowymi, w tym dotyczącymi rynku telekomunikacyjnego i finansowego