Niedawno Sąd Okręgowy w Białymstoku oddalił apelację banku, który żądał od klientki spłaty niemal 60 tys. zł w związku z zaciągniętą na jej dane pożyczką. Kobieta padła ofiarą oszustwa internetowego, klikając w fałszywą reklamę inwestycyjną.
Sprawa dotyczyła osoby, która przeglądając popularny serwis społecznościowy, kliknęła w fałszywą reklamę zachęcającą do inwestycji w akcje PKN Orlen. Na podany przez klientkę numer telefonu zadzwoniła konsultantka proponująca „pomoc” w założeniu rachunku inwestycyjnego. W rzeczywistości chodziło jednak o wyłudzenie danych osobowych. Po przejęciu danych kobiety, oszuści zawarli umowę pożyczki na jej nazwisko.
Rzecznik finansowy wsparł kobietę, tłumacząc, że padła ona ofiarą zaplanowanego i intencjonalnego ataku przez cyberprzestępców, którzy wprowadzili klientkę w błąd co do charakteru świadczonych usług, aby w ten sposób pozyskać dostęp do jej bankowości elektronicznej. Transakcje dokonane zostały bez wiedzy, woli i zgody poszkodowanej. Niezwłocznie po pozyskaniu informacji o zawartej na jej dane umowie kredytowej, klientka złożyła reklamację w banku i zawiadomiła o sprawie Policję, która wszczęła pod nadzorem Prokuratury dochodzenie w sprawie podejrzenia popełnienia przestępstwa z art. 286 par. 1 k.k. (oszustwo). W związku z tym prawnicy z biura rzecznika uznali, że można mówić o nieautoryzowanej transakcji płatniczej.
Rzecznik finansowy zauważa wzrost kierowanych do niego spraw dotyczących tzw. kredytów na klik, czyli pożyczek gotówkowych udzielanych w formie elektronicznej, bez udziału pracownika banku oraz bez podpisania tradycyjnej umowy. W dużej mierze to sytuacje, kiedy klienci padli ofiarą oszustwa finansowego. Kredyty były zaciągane bez wiedzy klientów, przez osoby nieuprawnione, które uzyskały dostęp do bankowości elektronicznej w wyniku podstępu.
– Cyberprzestępcy stosują różne mechanizmy i metody socjotechniczne, by wprowadzić w błąd klienta. Nawet osoby ostrożne mogą paść ofiarą profesjonalnej manipulacji. W przypadku tej sprawy klientka chciała zainwestować swoje środki. Jej intencją nie było zaciągnięcie pożyczki, a tym bardziej przekazanie pożyczonej kwoty nieznanej osobie. Cieszymy się, że sądy przychyliły się do naszej argumentacji, stwierdzając nieistnienie umowy kredytowej ze względu na brak oświadczenia woli ze strony klientki – komentuje radca prawny Katarzyna Łakoma, która prowadziła sprawę z ramienia rzecznika finansowego.
Cyberprzestępcy sięgają po różne sposoby, żeby dostać się do portfeli klientów banków. Jeden z najbardziej popularnych scenariuszy przestępstwa polega na tym, że oszustw podszywa się pod pracownik banku i ostrzega klienta, że jego pieniądze są zagrożone.
- Mechanizm jest prosty: dzwoni osoba podająca się za pracownika banku i mówi, że na klienta próbowano zaciągnąć kredyt. Rzekomy pracownik przeprowadza szczegółową weryfikację klienta, informuje go o procedurach bezpieczeństwa – tłumaczy adwokat Katarzyna Holik, Kancelaria DSK.
Wykorzystanie przez przestępców zaawansowanej technologii sprawia, że na telefonie klienta wyświetli się faktyczny numer infolinii banku.
- Takie zjawisko to tzw. spoofing, czyli podszywanie się pod cudzy numer telefonu. A jeśli zweryfikujemy dzwoniący do nas numer jako numer banku, np. wpisując go do przeglądarki internetowej), to nasza czujność zostaje automatycznie uśpiona. Idąc dalej, oszuści często posługują się nawet danymi osób faktycznie zatrudnionych w danym banku. Zaniepokojony klient po wpisaniu imienia i nazwiska do przeglądarki otrzymuje informację, że jest to faktycznie osoba powiązana w jakiś sposób z bankiem. A to sprawia, że jeszcze bardziej ufamy naszemu rozmówcy – mówi mec. Holik.
Co w takiej sytuacji można zrobić?
Mecenas Holik rekomenduje rozłączenie się i samodzielne zadzwonienie na infolinię banku w celu ustalenia, czy rzeczywiście to bank do nas dzwonił.
- Ten krok jest jednak zwykle pomijany przez ofiary oszustów z jednego prostego powodu - ze strachu, że w tym czasie pieniądze z naszego konta znikną, zwłaszcza w sytuacji, w której rzekomy pracownik banku cały czas powtarza, że “nie ma czasu do stracenia” – wskazuje.
W kolejnych krokach fałszywy pracownik banku sprawnie prowadzi klienta banku do tego, żeby umożliwił mu zdalny dostęp do swojego pulpitu i szybko wyprowadza pieniądze z konta.
Jedną z metod oszustw jest też zaciąganie w bankowości elektronicznej kredytów na tzw. “klik”. Część banków daje możliwość zaciągnięcia szybkiego kredytu do jakiejś sumy bez konieczności przechodzenia weryfikacji lub badania zdolności kredytowej. Po zaakceptowaniu warunków umowy kredytowej, pieniądze szybko pojawiają się na koncie klienta, skąd oszuści błyskawicznie je wyprowadzają.
Czytaj też w LEX: Catfishing – jako przejaw przestępstwa kradzieży tożsamości >
W przypadku wystąpienia nieautoryzowanej transakcji płatniczej bank ma obowiązek zwrócić kwotę nieautoryzowanej transakcji na rachunek płatnika.
- Ciężar udowodnienia, że transakcja była autoryzowana spoczywa na banku, a nie na kliencie. Co istotne, samo wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej. Nie wystarczy zatem, że bank stwierdzi, że transakcja została potwierdzona prawidłowym kodem PIN lub kodem autoryzacyjnym SMS. Należy odróżnić przy tym pojęcie “autoryzacji” od “uwierzytelnienia”. Uwierzytelnienie ma charakter techniczny, zaś autoryzacja oznacza po prostu zgodę na dokonanie transakcji. Jeżeli natomiast transakcji dokonano w wyniku czynu zabronionego - trudno mówić o jakiejkolwiek autoryzacji – tłumaczy mec. Holik.
Płatnik, czyli klient banku odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, tylko jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków określonych w ustawie i na to ostatnie najczęściej powołują się banki.
Czytaj też w LEX: Rola podmiotów rynku finansowego w ograniczaniu niektórych skutków kradzieży tożsamości >
Jak tłumaczy dr Michał Długosz, prawnik, wykładowca Uniwersytetu WSB Merito, prawo stoi po stronie osoby pokrzywdzonej i to bank musi udowodnić, że klient zawarł umowę.
Najlepszym rozwiązaniem jest jednak zastrzeżenie numeru PESEL, co utrudni działania oszustom. Zastrzeżony PESEL blokuje możliwość wzięcia na daną osobę kredytu lub pożyczki.
- Jeśli chcesz go czasowo odblokować, to ten moment „pauzy” daje ci czas na zastanowienie. I to jest kluczowe — bo jeśli coś zaczyna cię uwierać, jeśli czujesz, że coś jest nie tak, to właśnie ta chwila refleksji często ratuje przed katastrofą – radzi Michał Długosz.
Nic nie chroni lepiej niż brak automatycznego zaufania.
- Jeżeli bank udzielił oszustom kredytu lub pożyczki na zastrzeżony PESEL, to odpowiedzialność spada wyłącznie na bank. Nie ma tu żadnej dyskusji. Bank ma obowiązek sprawdzić status PESEL w państwowym rejestrze - mówi dr Długosz.
Czytaj też w LEX: Jak zastrzeżenie numeru PESEL wpłynie na obowiązki administratora danych? >
