Jeśli przedsiębiorca został obrabowany przez cyberprzestępców, są szanse na odzyskanie pieniędzy na drodze sądowej. Ostatnio zapadła seria korzystnych wyroków dla poszkodowanych.
Bankom coraz trudniej unikać zwrotu klientom środków, które ci utracili w wyniku ataku hakerskiego – taki wniosek płynie z kilku niedawnych wyroków sądów.
Przykładem jest wyrok Sądu Rejonowego dla Łodzi-Śródmieścia (sygn. akt II C 383/15). Pod koniec ubiegłego roku nakazał on jednemu z banków zwrot 19 700 zł na rzecz klientki, która nieopatrznie zalogowała się na fałszywą stronę podstawioną przez hakerów. Ujawniła w efekcie swoje hasła, dzięki czemu cyberprzestępcy mogli dokonać przelewów na swoje konta.
Sąd ocenił, że klientka nie wypełniła podstawowych obowiązków wynikających z umowy i nie powiadomiła niezwłocznie banku o podejrzeniach co do nieuprawnionego dostępu do rachunku. Mimo to jednak orzekł, że ujawniła swoje dane logowania w sposób niezamierzony. Na obronę poszkodowanej przemawiało to, że szybko zgłosiła sprawę na policję oraz że opisywana strona logowania nie działała prawidłowo – zawieszała się i wielokrotnie pytała o jednorazowe hasło ze zdrapki. To było zjawiskiem przypominającym tymczasowe problemy z dostępem do prawdziwej witryny banku.
Orzeczenie to jest szczególnie ciekawe, ponieważ do niedawna zazwyczaj banki łatwo wygrywały podobne sprawy. Tymczasem kradzieże z użyciem spreparowanych stron internetowych zdarzają się coraz częściej. Ich ofiarą padają nie tylko osoby prywatne.
Rosnący problem
Z raportu PwC wynika, że ataki hakerskie to rosnący problem przedsiębiorców. W ubiegłym roku 5 proc. polskich firm straciło w nich łącznie co najmniej milion złotych, a liczba incydentów w porównaniu z 2014 r. wzrosła blisko dwukrotnie.
– Coraz częściej dochodzi do sytuacji, kiedy to klient, a nie bank, staje się ofiarą ataków, jako osoba mniej zabezpieczona – twierdzi Artur Bilski, prawnik z Instytutu Prawa Cywilnego Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. Cyberprzestępcy najczęściej wyłudzają hasła do logowania i kradną pieniądze przy ich użyciu. Przykładem działania internetowych złodziei jest technika zwana phishingiem – to podszywanie się pod bank poprzez np. zainfekowanie komputera przedsiębiorcy bądź przesłanie mu fałszywej wiadomości elektronicznej z linkiem do strony łudząco podobnej do prawdziwej platformy logowania do konta.
Ostatnio wyroków na korzyść klientów poszkodowanych przez hakerów jest więcej. Nie da się ich już lekceważyć, nazywając odosobnionymi przypadkami. Zatem jeśli przedsiębiorca znajdzie się w podobnej sytuacji, powinien rozważyć dochodzenie odszkodowania w sądzie. Udowodnienie, że klient nie wykazał się rażącą niedbałością, nie będzie wprawdzie łatwe, ale jest możliwe.
Temida łagodnieje
Świadczą o tym także dwie sprawy prowadzone przez sądy okręgowe w Łodzi (sygn. akt I C 307/15 oraz sygn. akt I C 1908/14), w których użytkownicy również wygrali z bankiem odszkodowania za kradzieże dokonane przez hakerów (jeden z wyroków jest już prawomocny). W obu przypadkach klienci zostali obrabowani przez zainstalowanie wirusa komputerowego na ich urządzeniach. Działał on w ten sposób, że na oficjalnej witrynie banku wyświetlał komunikat mówiący o konieczności pobrania dodatkowego oprogramowania. Podrobiona strona miała nawet symbol kłódki bezpieczeństwa sugerujący, że działanie klienta jest zabezpieczone przez wewnątrzbankowe szyfrowanie.
Mimo że bank odmówił zapłaty odszkodowania, to sąd także w tych przypadkach ocenił, iż działania klientów nie nosiły znamion rażącego zaniedbania. Ważne było to, że fałszywa strona wyglądała bardzo przekonująco, komunikat o konieczności zainstalowania pojawiał się na oficjalnej stronie banku, firma nie informowała o tego typu atakach, oraz to, iż klienci mieli zainstalowane na swoich komputerach oprogramowanie antywirusowe.
Sąd uznał też, że bank nie wywiązał się ze swoich obowiązków. W szczególności nie zapewnił, by indywidualne zabezpieczenia instrumentu płatniczego nie były dostępne dla osób innych niż użytkownik uprawniony do korzystania z tego instrumentu. „Gdyby bowiem zabezpieczenia transakcji elektronicznych stosowane przez pozwanego były właściwe, nie doszłoby do dokonania na rachunku powódki transakcji przez nieuprawnione do tego osoby” – podkreślił w orzeczeniu Sąd Okręgowy w Łodzi (sygn. akt I C 307/15). Dodał też, że o tym, iż zabezpieczenia stosowane przez pozwanego nie były właściwe, świadczy to, że takich przypadków jak powódki było znacznie więcej.
Bankowcy krytyczni
Wyroki budzą jednak kontrowersje wśród bankowców.
– W momencie gdy klient podaje przestępcom login, hasło i kod ze zdrapki, to wykazuje się tym samym niedochowaniem odpowiedniej staranności, łamiąc postanowienia umowy. W związku z tym trudno jest obarczać odpowiedzialnością bank za poniesione szkody – komentuje dr Przemysław Barbrich, dyrektor zespołu ds. public relations w Związku Banków Polskich.
Aby jednak oszczędzić sobie takich zdarzeń, należy przede wszystkim mieć zainstalowane aktualne zabezpieczenia antywirusowe oraz nigdy nie podawać swoich danych logowania w innym miejscu niż oficjalna strona lub aplikacja bankowa.
Wyrok Sądu Rejonowego dla Łodzi-Śródmieścia z 28 września 2015 r. (sygn. akt II C 383/15)
Wyrok Sądu Okręgowego w Łodzi z 15 stycznia 2016 r. (sygn. akt I C 307/15)
Wyrok Sądu Okręgowego w Łodzi z 27 stycznia 2016 r. (sygn. akt I C 1908/14)
! To bank powinien zapewnić, by indywidualne zabezpieczenia instrumentu płatniczego nie były dostępne dla osób innych niż użytkownik uprawniony do korzystania z tego instrumentu – wynika z wyroku Sądu Okręgowego w Łodzi (sygn. akt I C 307/15).