Portal prowadzi Kancelaria
Babiaczyk Skrocki i Wspólnicy

Odpowiedzialność banków wobec klientów poszkodowanych cyberprzestępstwami

Nowe Technologie 25.01.2017

Wraz z rozwojem nowych technologii informatycznych, w szczególności w sektorze usług bankowości elektronicznej, obserwuje się wzmożoną aktywność tzw. cyberprzestępców.  

Ich pomysłowość jest coraz większa, w związku z czym – ze względu na rodzaj działań przestępczych spotykanych w bankowości, wyróżnia się w szczególności:

  1. phishing – przestępca rozsyła fałszywe smsy, e-maile, wiadomości za pomocą komunikatorów, podszywając się pod instytucję bankową, aby wyłudzić od określonej osoby dane dostępu jak: dane karty płatniczej, identyfikator logowania, hasło;
  2. vishing polega na podszywaniu się przez przestępcę za pracownika banku i w ten sposób wyłudzaniu danych klienta;
  3. spoofing to z kolei rejestracja stron imitujących oficjalne witryny banku, w wyniku czego przestępca uzyskuje dane dostępowe do konta klienta;
  4. pharming – przekierowanie klienta z oficjalnej strony banku na stronę często wyglądającą identycznie jak strona banku.

Banki chronią swoich klientów przed ww. działaniami w różny sposób. Podstawowym są tzw. narzędzia autoryzacyjne jak np. „sms-kod”, maksymalny dzienny limit transakcji możliwy do dopasowania do indywidualnych potrzeb klienta, stosowanie protokołu odpowiadającego za bezpieczeństwo połączenia („https”) i symbolu „kłódki” na zielonym tle w obrębie okna przeglądarki internetowej, który gwarantuje szyfrowanie sesji specjalnym protokołem SSL/TLS, pozwalającym na bezpieczną komunikacją. Klikając w symbol kłódki, klient ma zawsze możliwość sprawdzenia, czy wyświetlany certyfikat jest ważny i czy został wydany dla jego banku.

Co to jest cyberprzestępstwo?

Brak jest definicji legalnej pojęcia „cyberprzestępstwa”. Ustawodawca unijny rozumie pod tym pojęciem „czyny przestępcze dokonane przy użyciu sieci łączności elektronicznej i systemów informatycznych lub skierowane przeciwko takim sieciom i systemom”. Na gruncie polskiego prawa, cyberprzestępstwa nie są odrębną kategorią czynów karalnych, zaś ich sankcjonowanie przewidują regulacje Kodeksu karnego (m. in. art. 190a § 2 penalizujący podszywanie się po inną osobą, stosowanie fałszywych profili, art. 267 § 1 i 2 – nieuprawnione uzyskanie informacji – hacking oraz podsłuch komputerowy – tzw. sniffing czy art. 269a – rozpowszechnianie złośliwych programów), a także przepisy ustawy o ochronie danych osobowych oraz ustawy o prawie autorskim i prawach pokrewnych.

Odpowiedzialność banków

Co w sytuacji, gdy pewnego dnia zalogujemy się na swoje konto i okaże się ono puste?

Obok zawiadomienia prokuratury czy policji, należy zgłosić reklamację w banku.

W świetle opisanych powyżej, coraz bardziej wyrafinowanych metod cyberprzestępców, banki chronią swoje interesy już na etapie zawierania umowy o prowadzenie rachunku czy też umowy dotyczącej korzystania z systemu bankowości elektronicznej. Klient, podpisując umowę z bankiem, zobowiązuje się zabezpieczyć swój sprzęt elektroniczny przed nieuprawnionym dostępem osób trzecich, a także zachować należytą staranność przy obsłudze rachunku.

Inaczej sytuacja będzie się przedstawiać, jeżeli bank będzie świadomy, że posiadał niewystarczające zabezpieczenia przed cyberprzestępstwami oraz wtedy, gdy ze względu na obawę utraty reputacji w oczach pozostałych klientów, zwyczajnie uzna zgłoszoną przez klienta reklamację za zasadną i zgodzi się wypłacić równowartość środków, które zniknęły z konta.

Nie zawsze jednak banki są tak skore do wypłaty często dużych kwot, które zostały pobrane z konta w wyniku cyberprzestępstwa. Wówczas podstawę ich odpowiedzialności może stanowić art. 46 ustawy o usługach płatniczych, zgodnie z którym, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej bank zobowiązany będzie niezwłocznie zwrócić klientowi kwotę nieautoryzowanej transakcji płatniczej, a w przypadku gdy klient korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Odpowiedzialność banku jest jednak ograniczona, bowiem klient ponosi pełną odpowiedzialność z tytułu nieautoryzowanej transakcji w pełnej wysokości, o ile doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, polegających na przechowywaniu instrumentu płatniczego z niezachowaniem należytej staranności albo udostępniania go osobom nieuprawnionym (art. 46 ust. 3 w zw. z art. 42 ust. 2 ustawy). Ustawa wprowadza jednak znaczące uprzywilejowanie klienta, stanowiąc w art. 45, że ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez klienta lub że została wykonana prawidłowo, spoczywa na banku. Klient musi ponadto pamiętać, że ma 13 miesięcy od dnia obciążenia rachunku płatniczego albo od dnia, w którym transakcja miała być wykonana, na zgłoszenie roszczenia względem banku z tytułu nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcji płatniczych. Po upływie tego terminu możliwość ich dochodzenia wygasa. 

Mateusz Doroszczonek
Konsultant prawny w Kancelarii BSiW