Są szanse na odzyskanie pieniędzy skradzionych z rachunku bankowego - pisze Rafał Gutowski, adwokat, MKZ Partnerzy, arbiter w Sądzie Polubownym przy Komisji Nadzoru Finansowego.
Zgodnie z ostatnim raportem CERT Polska, działającego w strukturach NASK, w 2022 r. liczba zgłoszeń phishingu w polskich sieciach wzrosła do 29 578. Dotyczyły one 18 618 adresów URL z 16 086 domenami. Phishing jest jednym z najczęściej spotykanych oszustw internetowych. Angielskie sformułowanie nawiązuje do wędkowania – oszuści internetowi próbują złowić hasła do logowania, dane osobowe i poufne informacje. Robią to, wysyłając fałszywe e-maile, SMS-y lub komunikaty internetowe, które wyglądają tak, jakby pochodziły od rzeczywistych firm lub instytucji, takich jak: banki, sklepy internetowe czy serwisy społecznościowe. Jak podaje CERT, wraz ze wzrostem liczby internetowych ataków rośnie świadomość społeczna tych zagrożeń. Niestety przestępcy są również coraz sprawniejsi technicznie.
W przekazywanych przez oszustów internetowych wiadomościach znajdują się linki, które przekierowują nieświadomego użytkownika np. do fałszywej strony logowania do bankowości internetowej. Jeśli klient banku złapie się na wędkę i poda swoje dane do logowania, hasła czy indywidualne, chronione numery, to przestępcy będą mogli je z łatwością wykorzystać w celu dokonania transakcji z rachunku bankowego. Jednak często te transakcje nie są autoryzowane – i tu pojawia się szansa na odzyskanie skradzionych pieniędzy.
Klient banku, który poda osobie trzeciej hasło do logowania, najczęściej nie może liczyć na odzyskanie skradzionych metodą phishingu środków. Ustawodawca już w ustawie z 19 sierpnia 2011 r. o usługach płatniczych (t.j. Dz.U. z 2024 r. poz. 30 ze zm.; dalej: ustawa) nałożył na użytkowników obowiązek korzystania z instrumentu płatniczego zgodnie z umową ramową oraz zgłaszania niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenia utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.
Pewne nadzieje na odzyskanie straconych pieniędzy pojawiają się w przypadku, gdy transakcja jest nieautoryzowana. Bank czy inny dostawca, zgodnie z ustawą, powinien wtedy niezwłocznie poinformować o niej płatnika. Jest też zobowiązany do zwrotu kwoty nieautoryzowanej transakcji płatniczej nie później niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia tej nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia. Wyjątkiem jest przypadek, gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw.
Należy jednak pamiętać, że właściciel środków – klient banku – odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w ustawie.
W praktyce nie jest łatwo jednoznacznie stwierdzić, czy po stronie płatnika zachodzi niedbalstwo, czy jego kwalifikowana postać („rażące zaniedbanie”), która ma znaczenie przy odpowiedzialności. Aby ocenić ewentualne zaniedbanie lub rażące zaniedbanie po stronie użytkownika usług płatniczych, należy uwzględnić wszystkie okoliczności. O ile jednak pojęcie zaniedbania oznacza niedopełnienie obowiązku dochowania należytej staranności, o tyle pojęcie rażącego zaniedbania powinno się odnosić do postępowania odznaczającego się znaczącym stopniem niedbalstwa. Przykładem jest przechowywanie danych uwierzytelniających stosowanych do autoryzacji transakcji płatniczej w pobliżu instrumentu płatniczego, w formie jawnej i łatwo rozpoznawalnej dla stron trzecich (por. wyrok Sądu Okręgowego w Warszawie z 11 sierpnia 2021 r., sygn. akt XXVII Ca 1352/21).
W tego typu sprawach należy pamiętać, że odpowiedzialność stron nie jest odpowiedzialnością odszkodowawczą. Kwestia wystąpienia i wysokości szkody w ich majątku nie jest w tym przypadku relewantna prawnie. Każda sprawa jest indywidualna, a mechanizmy, którymi posługują się sprawcy, wymagają bardzo często wnikliwego przeanalizowania stanu faktycznego, w tym ustalenia podstawy roszczenia. ©℗