Bankowość elektroniczna: uważaj jak przelewasz

Jak w banku
Reklama bankowa zachęca: „Potrzebujesz gotówki? Sięgnij po najlepsze dla ciebie rozwiązanie”. Sięgnęli złodzieje.
Kradzieże z kont obsługiwanych internetowo to od pewnego czasu nowa i bardzo intratna forma zarabiania przez przestępców.
Mirosław Gryń/Polityka

Kradzieże z kont obsługiwanych internetowo to od pewnego czasu nowa i bardzo intratna forma zarabiania przez przestępców.

W zetknięciu z wysoko zaawansowanym technologicznie hakerem tzw. zwykły klient nie ma wielu szans.
Mirosław Gryń/Polityka

W zetknięciu z wysoko zaawansowanym technologicznie hakerem tzw. zwykły klient nie ma wielu szans.

5 czerwca współwłaściciel niewielkiej firmy z Krakowa włączył laptopa i zajrzał na firmowe konto w Citibanku. Zaskoczony zobaczył, że w ciągu ostatnich godzin z konta dokonano siedmiu przelewów na rzecz spółki Dialcom24. W sumie wyprowadzono ok. 60 tys. zł. Od razu powiadomił bank, Dialcom24 i zgłosił kradzież policji.

9 czerwca o godz. 8 rano dziennikarka z Warszawy dostała esemesa z Citibanku o zmianie salda na jej koncie oszczędnościowym. Zajrzała i zobaczyła, że z jej konta zniknęło 86 tys. zł oszczędności. Ktoś dokonał dziewięciu przelewów na konto Dialcom24. Zawiadomiła bank, Dialcom24 i zgłosiła kradzież policji.

24 czerwca biznesmen ze Zgierza zauważył, że z konta firmy w Citibanku dokonano 11 przelewów, każdy na identyczną kwotę 998 zł i 54 gr. Uszczuplono też konto walutowe na ok. 1100 euro. Odbiorcą i tu był Dialcom24. Biznesmen zawiadomił bank, Dialcom24 i policję.

To tylko trzy przypadki z dłuższej listy bliźniaczych napadów na konta klientów Citibanku dokonanych w ostatnim czasie.

Okradzionych klientów Citibanku łączył jeden szczegół: korzystali kiedyś (jak wielu Polaków) z usług Dialcom24, obsługującej aplikację przelewy24. Pieniądze ze wszystkich tych okradzionych kont trafiły właśnie na rachunek Dialcom24, również prowadzony w Citibanku.

Ta poznańska firma jest pośrednikiem transferującym pieniądze między różnymi podmiotami. Klientami takich „integratorów płatności” (są nimi także m.in. popularne PayU, e-Card czy Polcard), bo tak się je w żargonie bankowym nazywa, są np. sklepy internetowe. Zasady działania integratorów są proste: sklep i integrator zawierają ze sobą umowę i integrują (stąd nazwa) swoje witryny i systemy tak, że po dokonaniu zakupu klient może szybko i łatwo dokończyć transakcję. Z witryny sklepu przechodzi na stronę wybranego integratora, stamtąd do swojego banku i po zalogowaniu się na swoje konto widzi już wypełniony przelew (z numerem rachunku odbiorcy i kwotą do zapłaty włącznie). Integratory z podpisaną z bankiem dodatkowo umową na współpracę (ich lista jest zwykle na stronie banku) wymagają dla lepszego bezpieczeństwa transakcji dodatkowego zautoryzowania transakcji poprzez jednorazowy kod. Po tym wszystkim klient jest automatycznie wylogowywany ze swojego konta i znów jest na stronie sklepu, gdzie czeka na niego potwierdzenie dokonania wpłaty.

Jaka z tego korzyść? Otóż klient wpłaca należność za zakupy na konto integratora, a ten (mając konta w wielu bankach) przesyła sprzedawcy pieniądze ze swojego konta prowadzonego w tym samym banku, z którego korzysta sklep. Wszystko po to, by prawie natychmiast pieniądze trafiły do sprzedawcy, bez czekania na realizację przelewu do sesji transakcji międzybankowych Eliksir. Ma to usprawnić i przyspieszyć internetowe zakupy.

Okradzeni klienci złożyli w banku reklamację, domagając się zwrotu pieniędzy z operacji, których nie przeprowadzili. Przedsiębiorca ze Zgierza zdziwił się jednak, gdy bank poinformował go, że konto Dialcom24 od kilku lat figurowało na utworzonej przez niego samego liście zaufanych odbiorców – przelewy z własnego konta na rzecz odbiorców z listy nie wymagają dodatkowych autoryzacji, żadnych jednorazowych kodów. Również pozostali twierdzą, że nie mieli pojęcia, że na ich zaufanej liście znajduje się akurat Dialcom24.

Wszyscy dostali od banku pisma kończące się identyczną konkluzją: „Z przykrością informujemy, iż nie możemy pozytywnie rozpatrzeć Pani/Pana reklamacji”. Bank doszedł do wniosku, że w komputerach klientów doszło do „zainstalowania złośliwego oprogramowania”, wskutek czego „przestępcy przejęli kontrolę nad komputerem klienta”, który nie zadbał o ochronę „nazwy użytkownika oraz hasła bankowości internetowej”. Dlatego „bank uznaje, że klient autoryzował transakcję”.

Dyrektywa w sprawie usług płatniczych Parlamentu Europejskiego z 2007 r. (2007/64/WE) przewiduje – i tak jest u nas stosowana – w zasadzie pełną i bezwzględną odpowiedzialność banku tylko za nieautoryzowane płatności dokonane skradzioną kartą już po zgłoszeniu bankowi kradzieży. Zaś przed zgłoszeniem klient ponosi odpowiedzialność do wysokości 150 euro.

W praktyce ustalanie, kto ponosi odpowiedzialność za kradzież pieniędzy z konta, nie jest już takie proste. – Użytkownik bankowości elektronicznej będzie odpowiadał za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeśli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków – tłumaczy bankowe zasady Piotr Balcerzak, członek Prezydium Rady Bankowości Elektronicznej Związku Banków Polskich. Takim obowiązkiem jest choćby korzystanie z karty czy konta internetowego zgodnie z umową ramową. A umowa mówi m.in. o obowiązku przestrzegania zasad bezpieczeństwa. Czyli np. posiadania aktualnego oprogramowania antywirusowego. Normalnie nikt z banku nie pyta nas, czy je mamy, ale takie pytanie zadają w banku w pierwszej kolejności po zgłoszeniu kradzieży i reklamacji. Wystarczy, że klient go nie ma albo dawno nie skanował komputera w poszukiwaniu wirusów, a bank może uznać, że nie dopełnił umowy, i reklamację odrzucić.

Pytany, gdzie zatem przebiega granica między tym, za co banki biorą odpowiedzialność, a za co już nie, Piotr Balcerzak odpowiada: banki ostrzegają, monitorują transakcje zlecane przez klientów, mogą blokować podejrzane transakcje, ale ta ochrona nie może ingerować w sprzęt informatyczny klienta, z którego są zlecane transakcje płatnicze. – To klient decyduje, jakim sprzętem się posługuje i np. jakie serwisy internetowe odwiedza – mówi. – Otwierając wiadomość mailową z niewiadomego źródła, zawierającą treść, która ma nas wprowadzić w stan niepokoju, bo dostaliśmy wezwanie do zapłaty, fakturę za przedmiot, którego nie kupiliśmy, klienci często otwierają załączony plik (rzekomo zawierający szczegóły transakcji) lub link i w ten sposób infekują swoje komputery złośliwym oprogramowaniem, które może pobrać loginy i hasła do bankowości internetowej lub podmienić dane transakcji „w locie” – tłumaczy.

Czytaj także

Aktualności, komentarze

W nowej POLITYCE

Zobacz pełny spis treści »

Poleć stronę

Zamknij
Facebook Twitter Google+ Wykop Poleć Skomentuj

Ta strona do poprawnego działania wymaga włączenia mechanizmu "ciasteczek" w przeglądarce.

Powrót na stronę główną