Jak banki bronią się w sprawach phishingowych? Jak podejść do kwestii rozkładu ciężaru dowodu?
Zjawisko to zbiega się z problemem rosnących obciążeń kredytobiorców hipotecznych, za co odpowiedzialność w zupełnie nieuzasadniony sposób przekierowywana jest w stronę środowiska bankowego.
Nadto, sądy często wręcz bezkrytycznie przyjmują, że sami klienci banków nie zrobili nic, co doprowadziło do autoryzacji transakcji, a całą odpowiedzialność powinien ponosić bank. Tak ukształtowane otoczenie procesowe wymaga od banków dostosowania aktualnie prezentowanych strategii, a przede wszystkim większej aktywności w obszarze inicjatywy dowodowej.
W tym artykule sygnalizujemy, jak w praktyce taka inicjatywa dowodowa mogłaby wyglądać.
Uwagi ogólne
W ostatnich latach można zaobserwować dynamiczny rozwój elektronicznych kanałów dostępu do usług bankowych. Niewątpliwy wpływ na ten rozwój miały działania samych banków, które oferują coraz nowsze możliwości korzystania z proponowanych usług, a także sytuacja epidemiczna w Polsce i na świecie.
Ostatnie lata to dla klientów banków czas zmian i odejścia od tradycyjnej bankowości, w szczególności w zakresie zlecania dokonania przelewów bezpośrednio w placówce bankowej na rzecz kontaktu drogą elektroniczną, np. poprzez dokonywanie przelewów bankowych przy zastosowaniu bankowości elektronicznej lub w aplikacjach mobilnych banków. Zachodzące zmiany z perspektywy samych klientów niewątpliwie postrzegane są jako wygodne, a przede wszystkim jako dostosowane do ich potrzeb.
Postępujący rozwój elektronicznych kanałów dostępu do usług bankowych generuje nowe ryzyka. Ostatnie lata to coraz częstsze przypadki ataków cyberprzestępców skierowane przeciwko klientom banków. Metody działania oszustów ewoluują niemalże w takim samym tempie, jak usługi oferowane przez banki swoim klientom.
Przypadki tzw. phishingu (nieautoryzowanych transakcji) stają się coraz bardziej wysublimowane, a cały proceder sprowadza się de facto do oszustwa, które w skrajnych przypadkach może doprowadzić do utraty oszczędności, bądź też zaciągnięcia zobowiązań pieniężnych na dane osobowe ofiary.
Brak jest definicji legalnej pojęcia phishingu, ale zjawisko to można określić jako metodę oszustwa polegającą na wyłudzeniu poufnych danych użytkownika – na przykład poprzez zainfekowanie komputera szkodliwym oprogramowaniem, podszyciu się pod realną instytucję lub przekonaniu kogoś do wykonania określonych działań.
Jak wskazano powyżej, cyberoszuści potrafią podszyć się pod inną osobę lub instytucję (praktyka wskazuje, że potrafią oni podać się za pracownika infolinii banku lub przedstawiciela biura maklerskiego, w którym klient ma rachunek[1]), rozsyłają wiadomości e-mail na adresy klientów, zawierające zawirusowane załączniki (np. w postaci wezwania do zapłaty, faktury lub informacji o nieudanej płatności w internecie) lub wiadomości rzekomo pochodzące od banków, zawierające link do fałszywej strony, gdzie klienci podają dane do logowania myśląc, że logują się do systemu swojego banku.
W ostatnich miesiącach coraz częściej można spotkać się z metodą działania „na pracownika banku” ‒ oszuści dzwonią do klientów banku i informują ich o rzekomym włamaniu się na konto, następnie pod pozorem anulowania niezleconej transakcji płatniczej namawiają klienta do zainstalowania aplikacji, pozwalającej na zdalne przejęcie dostępu do komputera lub telefonu, a wreszcie wskazują na konieczność zalogowania się do systemu bankowości internetowej. W taki sposób oszuści niemalże na oczach klientów, przy ich akceptacji dokonują nieautoryzowanych transakcji. Co istotne cyberoszuści w swoich metodach wykorzystują nieostrożność samych klientów, a nie luki w systemach informatycznych banków.
Klienci w kierowanych do banków reklamacjach wskazują, że to nie oni autoryzowali kwestionowane transakcje i żądają zwrotu środków od banku. Banki z kolei rozpoznają zgłoszone reklamacje w sposób negatywny, wskazując, że po stronie banku nie doszło ani do przełamania zabezpieczeń, ani awarii, która mogłaby spowodować realizację nieautoryzowanej transakcji płatniczej oraz, że to samo działanie lub zaniechanie klienta doprowadziło do wykonania kwestionowanej transakcji. Zwykle kolejnym krokiem podejmowanym przez właściciela rachunku bankowego jest wystąpienie z powództwem cywilnym przeciwko bankowi o zwrot utraconych środków z rachunku bankowego.
Rozkład ciężaru dowodowego w sprawach z udziałem konsumentów
Naczelną zasadą postępowania cywilnego wyrażoną w art. 6 Kodeksu cywilnego jest, że każda ze stron zobowiązana jest do przytoczenia argumentów i dowodów w celu udowodnienia swoich twierdzeń. Jednakże w sprawach phishingowych, w sytuacji kiedy powodem jest konsument, następuje zamiana ciężaru dowodu i to dostawca usług, tj. bank ma za zadanie wykazać, że kwestionowana transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczej dostawcy oraz, że nie miała na nią wpływu awaria techniczna, ani innego rodzaju usterka związana z usługą płatniczą świadczona przez dostawcę (art. 45 ust. 1 u.o.u.p.)[2].
Tym samym w toku postępowania z powództwa konsumenta banki powinny dążyć do wykazania, że:
1. należycie wykonały ciążące na nich obowiązki nałożone art. 42 ust. 1 i 2 ustawą o usługach płatniczych[3] (dalej jako u.o.u.p.);
2. kwestionowane przez powoda transakcje zostały prawidłowo autoryzowane, tj. płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między stronami (art. 40 ust. 1. u.o.u.p.);
3. po stronie banku nie doszło do przełamania systemów zabezpieczeń lub też kwestionowana transakcja nie jest wynikiem awarii technicznej, ani innego rodzaju usterki związanej z usługą płatniczą;
4. do kwestionowanej transakcji doszło na skutek umyślnego działania płatnika, albo że to płatnik ‒ wskutek rażącego niedbalstwa ‒ doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie, albo wskutek rażącego niedbalstwa dopuścił się naruszania co najmniej jednego z obowiązków wskazanych w art. 42 u.o.u.p.
Analiza zapadłego w sprawach phishingowych orzecznictwa wskazuje, że sprawy tego rodzaju charakteryzują się znacznym stopniem skomplikowania. Okoliczności faktyczne każdej sprawy są zróżnicowane.
Ciężko jest doszukać się dwóch podobnych do siebie przypadków. Nadto, z uwagi na powyżej przytoczoną zasadę w zakresie rozkładu ciężaru dowodu, bank w celu podjęcia obrony przed skierowanymi do niego roszczeniami nie może poprzestać jedynie na lakonicznym wskazaniu, że w jego systemach odnotowano prawidłowe zapisy transakcji. Obrona banku powinna być aktywna i ściśle skorelowana z rodzajem ataku, jaki jest analizowany w danej sprawie.
Z uwagi na fakt, że samo zjawisko phishingu jest dosyć nowe, na chwilę obecną nie można mówić o ugruntowanej linii orzeczniczej. W aktualnym orzecznictwie można spotkać się z rozstrzygnięciami zapadającymi na korzyść banków, jak i powodów. Pozytywne rozstrzygnięcia dla banków zapadają, gdy udaje im się wykazać, że do kwestionowanych transakcji doszło na skutek rażącego niedbalstwa strony powodowej (art. 46 ust. 3 u.o.u.p.).
Najczęściej spotykane dowody w sprawach tzw. phishingowych
Jednym z dowodów przeprowadzanych w toku postępowań dotyczących spraw phishigowych jest dowód z opinii biegłego sądowego z zakresu informatyki, teleinformatyki i technik komputerowych, którego zadaniem (jako osoby posiadającej wiadomości specjalne) jest zbadanie urządzenia, z którego korzystał powód (np. komputera) i wyjaśnienie, czy podczas dokonywania spornej transakcji na urządzeniu zainstalowany był i działał program antywirusowy, posiadający zaktualizowaną bazę wirusów, a także czy urządzenie z którego korzystał klient w dacie spornej transakcji miało lub nie miało zainstalowanego szkodliwego oprogramowania wykradającego dane z urządzenia klienta (np. oprogramowania malware).
Biegły jest również w stanie ustalić czy np. klient banku podejmował próby zalogowania się na prawdziwej stronie internetowej banku czy też na „podstawionej”. Jest to o tyle istotne, że często oszuści potrafią przekierować klienta na fałszywą stronę banku, która wygląda łudząco podobnie do strony banku, z którego usług korzysta.
Taki stan faktyczny analizowany był przez Sąd Okręgowy w Radomiu[4], gdzie SO ustalił, że powód nie zabezpieczył komputera przed szkodliwym oprogramowaniem, co skutkowało zawirusowaniem stacji komputera oprogramowaniem typu koń trojański, który spowodował zmianę numeru rachunku bankowego na inny. Sąd rozpoznający sprawę uznał, że to wyłącznie po stronie powoda istniała przyczyna, przez którą bank zrealizował przelew na inny rachunek bankowy niż rachunek wskazany w pierwotnej dyspozycji złożonej przez powoda[5].
W innej sprawie Sąd Okręgowy w Łodzi[6] analizował stan faktyczny, w którym powód podejmował próby zalogowania się do rachunku bankowego poprzez wykorzystanie linku przesłanego drogą e-mail od niezweryfikowanego nadawcy na własną skrzynkę e-mail. Następnie powód na fałszywej stronie banku podał dane niezbędne do zalogowania się do rachunku bankowego, takie jak login i hasło, co więcej powód na fałszywej stronie internetowej banku wpisywał również kody SMS przesłane przez bank na jego numer telefonu.
W przywołanej sprawie sąd pierwszej instancji nie dopuścił dowodu z opinii biegłego sądowego, ale sąd odwoławczy w uzasadnieniu swojego wyroku wskazał, że dowód taki był konieczny.
Dowód z opinii biegłego sądowego wydaje się również zasadny w sprawach, gdzie klienci banku co prawda nie dokonywali transakcji przy użyciu zawirusowanego urządzenia, ale np. po namowie rzekomego pracownika banku lub policjanta instalują na swoim urządzeniu program mający służyć np. do kontaktu z bankiem lub do anulowania niechcianej transakcji, a w rzeczywistości instalują program umożliwiający udzielnie zdalnego dostępu do swojego urządzenia osobie trzeciej (tj. aplikację z założenia służąca np. do wykonywania zdalnej pomocy przez informatyków). Następnie klient po namowach oszusta loguje się do bankowości internetowej, a wtedy osoba trzecia uzyskuje pełny dostęp do rachunku bankowego i dokonuje z niego transakcji płatniczych. W takiej sprawie rola biegłego sądowego będzie sprowadzać się do wyjaśnienia, w jaki sposób działa zainstalowany program, w tym jak szeroki dostęp do urządzenia dawał osobie trzeciej.
Innymi dowodami, które mogą być pomocne w sprawach phishingowych, są dowody z dokumentów, w tym pisemne reklamacje klientów oraz nagrania z rozmów telefonicznych, podczas których klienci zgłaszają zaistnienie kwestionowanej transakcji. Dowody te są istotne przede wszystkim z uwagi na fakt, że do postępowań sądowych dochodzi po upływie czasu (czasami nawet po kilku latach od spornych transakcji), kiedy to ciężko jest odtworzyć chronologię zdarzeń, w tym sekwencję czynności podejmowanych przez klientów banków, które doprowadziły do wykonania następnie kwestionowanych transakcji. Przytoczone dowody zawierają opis stanu faktycznego, a wręcz bezpośrednią relację klientów po zaistnieniu kwestionowanych transakcji, tym samym nawet po długim czasie od zaistnienia spornych transakcji mogą stanowić podstawę do odtworzenia stanu faktycznego.
Dowody te są szczególnie ważne dla skutecznego zanegowania przeważającej w pozwach narracji, celowo pomijającej fakty mogące wskazywać na rażące niedbalstwo klienta w zabezpieczeniu instrumentu płatniczego. Wprowadzenie tego rodzaju dokumentacji do procesu sądowego pozwala na skuteczne wykazanie odmienności wersji zdarzenia zaprezentowanej przez powoda bezpośrednio w banku po zaistnieniu transakcji z wersją prezentowaną w toku postępowania sądowego[7].
W każdym z postępowań dotyczącym sprawy phishingowej istotnym dowodem jest dowód z przesłuchania strony powodowej. Dowód ten pozwala przede wszystkim na ustalenie, jakie czynności wykonywał klient banku, w tym czy i w jaki sposób dokonał zabezpieczenia urządzenia z którego np. logował się do bankowości internetowej, czy umożliwił dostęp do urządzenia osobom trzecim oraz czy i jakie dane udostępniał osobom trzecim. Dowód ten jest istotny z tego względu, że to jedynie powód posiada wiedzę dotyczącą np. sposobu przechowywania komputera służącego do logowania się do bankowości internetowej, w tym co do faktu, ile osób miało do niego dostęp oraz jakie oprogramowanie antywirusowe miało być zainstalowane na urządzeniu, a także jakie komunikaty miały mu się wyświetlać np. podczas próby zalogowania na rachunek[8].
Dowód ten również umożliwia ustalenie czy klient banku korzystając z instrumentu płatniczego chronił indywidualne zabezpieczenia instrumentu płatniczego (login i hasło) przed dostępem osób trzecich, w tym również czy użytkownik chronił dodatkowe zabezpieczenia wprowadzane przez bank, np. przesyłane drogą SMS kody autoryzacyjne.
Wydaje się również, że tylko ten dowód pozwoli na zbadanie czy klient banku przed sporną transakcją przestrzegał postanowień umownych i regulaminu, np. poprzez zainstalowanie na użytkowanym urządzeniu i aktualizowanie programu antywirusowego.
A także czy zapoznawał się z komunikatami publikowanymi przez bank i wiadomościami zawierającymi ostrzeżenia w zakresie bezpiecznego korzystania z bankowości internetowej.
Na takie okoliczności zwrócił uwagę Sąd Apelacyjny w Warszawie[9], który po zapoznaniu się z treścią zeznań powoda wskazał, że: „powodowi można przypisać co najmniej nieumyślne doprowadzenie do autoryzowania transakcji płatniczych, albowiem posługiwał się on komputerem, co do którego nie miał pewności o wyposażeniu w aktualne oprogramowanie antywirusowe, antyspamowe i zaporę firewall. Powód nadto przechowywał ten komputer w pracy, a więc w miejscu, gdzie teoretycznie dostęp do niego miała nieograniczona liczba osób o tożsamości niemożliwej do zidentyfikowania„.
Właśnie to zachowanie powoda w ocenie SA stanowiło naruszenie obowiązków nałożonych na niego w regulaminie korzystania z bankowości elektronicznej, który określał użytkownikom wymagania dotyczące oprogramowania, jakie powinno być zainstalowane na urządzeniu służącym do korzystania z bankowości elektronicznej.
W cytowanym orzeczeniu, Sąd zwrócił uwagę, że bank na swojej stronie internetowej publikował komunikaty skierowane do klientów informujące o sposobach weryfikacji, czy logowane odbywa się w sposób bezpieczny za pośrednictwem oryginalnej strony internetowej pozwanego banku. Brak zapoznania się przez powoda z komunikatami zamieszczanymi przez bank na stronie internetowej został oceniony przez sąd, jako zaniedbanie zasad bezpieczeństwa i ułatwienie dla hakerów.
Podsumowanie
Jak powyżej wskazano postępowania dotyczące zagadnień związanych z phishingiem są zjawiskiem stosunkowo nowym, a samo orzecznictwo w ich zakresie dopiero się kształtuje. Niemniej jednak wydaje się, że z uwagi na coraz częstsze incydenty sprawy te będą w najbliższym czasie stanowić przedmiot coraz częstszego zainteresowania sądów.
Banki w postępowaniach dotyczących spraw phishingowych nie mogą być bierne, powinny prowadzić szeroką inicjatywą dowodową w celu wykazania rzeczywistych okoliczności i przyczyn wykonania kwestionowanych transakcji.
Artykuł niniejszy jest wyłącznie wyrazem prywatnych poglądów jego Autorów
[1] Artykuł z 13 lutego 2022 r. pt. „Dzwonię z banku. Poproszę login i hasło”. Czym jest spoofing telefoniczny i jak się przed nim bronić?”, artykuł opublikowany na stronie www.serwis.gazetaprawna.pl; komunikat pt. Zainstalowała aplikację do zdalnego pulpitu, padła ofiarą oszustów z 11 maja 2022 r., opublikowany na stronie www.lubelska.policja.gov.pl,, komunikat pt. Aplikacja Any Desk – kolejna metoda oszustów z 27 maja 2022 r., opublikowany na stronie www.mazowiecka.policja.gov.pl, komunikat Związku Banków Polskich z 30 listopada 2021 r. pt. Zagrożenia związane z instalacją zdalnego pulpitu dostępny na stroniewww.zbp.pl, a także komunikat z 5 listopada 2020 r. pt. Rzecznik Finansowy ostrzega przed oszustwami z użyciem zdalnego pulpitu dostępny na stronie www.rf.gov.pl;
[2] wyrok Sądu Najwyższego z dnia 18 stycznia 2018 r., sygn. akt V CSK 141/17, Lex nr 2481983;
[3] Ustawa z 19 sierpnia 2011 r. o usługach płatniczych, Dz. U. 2021 r. poz. 1907,1814,2140;
[4] Wyrok Sądu Okręgowego w Radomiu z 17 października 2019 r., sygn. akt I C 1476/17; dostępny na stronie www.saos.org.pl
[5] Istotny jest zatem fakt, iż ustaleń dokonanych przez biegłego informatyka (…) sporządzonej na potrzeby postępowania karnego po zabezpieczeniu komputera, z którego dokonywano przedmiotowego przelewu, a także potwierdzonej ustaleniami biegłego A. K. (…) wynika, iż komputer powoda zawierał złośliwe oprogramowanie typu trojan o nazwie (…). Program powyższy najprawdopodobniej przyczynił się do modyfikacji przy wykonywaniu przelewu przez stronę powodową i zmienił rachunek bankowy dokonywanego przelewu. Należy, zatem stwierdzić, iż to wyłącznie po stronie powoda istniała przyczyna, dla której bank zrealizował przelew na inne konto niż pierwotnie było zamiarem powoda.
[6] Wyrok Sądu Okręgowego w Łodzi z 28 marca 2018 r., sygn. akt III Ca 51/18; LEX nr 2538475
[7] Wyrok Sądu Okręgowego w Łodzi z 27 marca 2018 r., sygn akt II Ca 51/18, LEX nr 2538475;
[8] Wyrok Sądu Okręgowego w Białymstoku z 24 sierpnia 2017 r., sygn akt II Ca 426/17; LEX nr 2362112;
[9] Wyrok Sądu Apelacyjnego w Warszawie z 30 sierpnia 2018 r., sygn akt VI ACa 509/17; LEX nr 2617885;