Bank musi udowodnić fakt autoryzowania transakcji przez klienta, niedopełnienia obowiązków, czy też dopuszczenia się rażącego niedbalstwa w przypadku ataku hakerów. W przeciwnym razie, odpowiedzialność za skradzione pieniądze spada na instytucję.

Ilość cyberataków na bankowość internetową nieustannie rośnie. Instytucje finansowe wkładają coraz więcej wysiłku w ochronę powierzanych im pieniędzy, nadal jednak nie są w stanie całkowicie wyeliminować wyłudzeń danych oraz cyberkradzieży. Środki, które nielegalnie wypłynęły z kont klientów banków, często powinny zostać zwrócone przez usługodawcę, nie wszyscy jednak zdają sobie z tego sprawę.

Cyberprzestępcy korzystają z coraz bardziej wysublimowanych metod dokonywania nieautoryzowanych transakcji z nieswoich kont. Jedną z nich jest rozsyłanie wirusów i szkodliwego oprogramowanie. Aby zainfekować sprzęt wystarczy zaakceptować licencję niepozornego, darmowego programu lub kliknąć w niezaufany link. Jego nieumyślne zainstalowanie umożliwia przechwytywanie danych przez niepowołane osoby.

Popularny jest również phishing, czyli kradzieże dokonywane przez fałszywe strony www. Do klientów bankowości internetowej drogą mailową rozsyłane są linki, pod którymi kryją się fałszywe witryny, nie różniące się właściwie niczym od oryginalnej. Dzięki temu haker przechwytuje pełen zestaw informacji, które pozwalają mu na dokonanie nieautoryzowanego przelewu. Bardziej niebezpieczną dla użytkownika oraz trudniejszą do wykrycia formą phishingu jest pharming. W tym przypadku, klient jest przekierowany na fałszywą stronę banku nawet po wpisaniu prawidłowego adresu www.

Tego rodzaju pułapek zastawianych przez cyberprzestępców jest coraz więcej, a ich liczba najprawdopodobniej będzie stale rosła wraz z rozwojem nowych technologii. Warto jednak wiedzieć, że odpowiedzialność za tego rodzaju przestępstwa nie zawsze spoczywa jedynie na barkach ofiary, lecz jest wynikiem niedostatecznych zabezpieczeń lub zbyt późno pojawiających się ostrzeżeń. Banki zaś, zgodnie z artykułem 50. prawa bankowego, są zobowiązane do „dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych”.

Instytucje finansowe bardzo często próbują uniknąć finansowej odpowiedzialności i niesłusznie odrzucają prośby o zwrot utraconych w wyniku cyberprzestępstw pieniędzy swoich klientów. Ci mogą jednak dochodzić swoich praw drogą sądową.

„Aby sąd orzekł w tego rodzaju sprawach na korzyść banku, ten będzie musiał udowodnić, że klient dopuścił się rażącego niedbalstwa. Zatem, jeżeli ofiara cyberataku przekazała osobom trzecim swoje dane logowania, rozsyłała je nieszyfrowanymi wiadomościami lub pozostawiła je w miejscu publicznym na zewnętrznym nośniku, nie będzie mogła liczyć na zwrot utraconej kwoty. Rażącym zaniedbaniem nie zawsze będzie jednak sytuacja, w której klient padnie ofiarą wyłudzenia danych za pomocą phishingu oraz pharmingu. Dodatkowo, jeżeli klient zorientuje się, że coś jest nie tak, zaniecha dalszych prób logowania, poinformuje bank lub złoży reklamację, to można uznać, że nie miał on zamiaru autoryzacji transakcji płatniczej, która została przeprowadzona” – mówi Katarzyna Kosicka-Polak, partner, radca prawny z kancelarii prawnej MKZ Partnerzy.

Należy również pamiętać, że to banki muszą udowodnić fakt autoryzowania transakcji przez klienta, niedopełnienia obowiązków, czy też dopuszczenia się rażącego niedbalstwa.

„Bank, widząc, że z konta klienta, który zazwyczaj wykonuje operacje na niewielkie kwoty, nagle wypływa dużo większa suma, powinien dodatkowo potwierdzić transakcję drogą telefoniczną przed jej ostateczną realizacją. Ten proces jest jednak nadal bardzo rzadki. Dodatkowo banki nadal nie chcą zwracać klientom skradzionych im środków. Nasza kancelaria prowadzi obecnie wiele tego rodzaju spraw. Kwoty, które odzyskujemy sytuują się w przedziale od 1 000 zł do 100 000,00 zł. Niedawno, po kilku miesiącach negocjacji, udało nam się odzyskać ponad 80 000, 00 zł na drodze przedsądowej – dodaje mecenas Katarzyna Kosicka-Polak.

W tym kontekście warto również pamiętać, że zgodnie z art. 46 ustawy o usługach płatniczych w przypadku wystąpienia nieautoryzowanej transakcji płatniczej bank jest zobowiązany niezwłocznie zwrócić kwotę na konto, z którego została dokonana.