Z rozwojem nowych technologii wiążą się liczne ułatwienia, również w sposobie zaciągania zobowiązań finansowych w bankach. W miejsce wizyt w oddziałach i placówkach, czekania w kolejkach, konieczności przejścia długotrwałych procedur, proste kredyty i pożyczki są możliwe do zaciągnięcia przez telefon bądź aplikację. Możliwość ta stała się przestrzenią powstania nowych przestępstw, a metody wykorzystywane przez oszustów coraz bardziej utrudniają zorientowanie się, że staliśmy się celem ataku.
Vishing polega na wyłudzeniu danych w trakcie rozmowy telefonicznej. Najczęściej do ataku dochodzi poprzez nawiązanie przez oszusta połączenia telefonicznego z klientem banku, któremu na ekranie telefonu wyświetla się numer infolinii banku, co od początku umożliwia wywołanie błędu u rozmówcy, który jest przekonany, że rozmawia z prawdziwym pracownikiem banku. Dalej rzekomy pracownik nakłania klienta do wzięcia kredytu bądź pożyczki, jednak najczęściej, aby osiągnąć swój cel, stara się u klienta banku wzbudzić poczucie konieczności określonego działania. Przykładowo oszust informuje rozmówcę o zablokowaniu środków na koncie z uwagi na wykrycie podejrzanej transakcji, prawdopodobnie z uwagi na próbę kradzieży tych środków przez któregoś z pracowników banku, który jest zamieszany w jakiś przestępczy proceder. Poprzez wywołanie strachu u klienta banku, czuje się on przymuszony do zapobieżenia kradzieży. Oszust następnie prosi o zainstalowanie na telefonie bądź komputerze oprogramowania umożliwiającego mu dostęp do urządzenia, który jako rzekomy pracownik banku ma pomóc klientowi w zapobieżeniu kradzieży. W ten sposób oszust otrzymuje dostęp do aplikacji bankowej, niejednokrotnie prosi o wpisanie danych dostępu do niej czy podania kodów z karty kodów jednorazowych. Równocześnie tym samym zaciąga na klienta banku pożyczki bądź kredyty i przelewa uzyskane w ten sposób środki na inne konta.
Jak kształtuje się odpowiedzialność za tak zaciągnięte zobowiązania? Oczywiście z jednej strony mamy do czynienia z przestępstwem, jednak niewielu sprawców udaje się rzeczywiście ustalić i ukarać. To, czy klient banku będzie zobowiązany do zwrotu zaciągniętego w ten sposób kredytu bądź pożyczki, zależy od samego jego udziału w umożliwieniu popełnienia przestępstwa na jego szkodę.
Jeśli klient banku udostępnił instrument płatniczy bądź indywidualne dane uwierzytelniające (zwłaszcza takie jak numer PIN, numer CVV czy kod z karty kodów jednorazowych) osobom nieuprawnionym, naruszył obowiązki ciążące na nim z art. 42 ust. 1 pkt 1 ustawy o usługach płatniczych, a najczęściej również postanowień umowy ramowej prowadzenia rachunku zawartej z danym bankiem. Wówczas istnieje wysokie ryzyko uznania, że klient banku doprowadził do nieautoryzowanych transakcji w wyniku rażącego niedbalstwa.
Zgodnie ze stanowiskiem wyrażonym przez Sąd Apelacyjny w Warszawie w wyroku z dnia 19 lipca 2018 r. w sprawie o sygn. akt: I ACa 348/17 „jeśli do nieautoryzowanych transakcji płatnik doprowadził umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia swoich obowiązków (o których mowa w art. 42 ustawy z 2011 r. o usługach płatniczych), wówczas to on, a nie dostawca odpowiada za nieautoryzowane transakcje”.
Jak wskazał Sąd Okręgowy w Gliwicach II Wydział Cywilny Odwoławczy w wyroku z dnia 2022-07-06 w sprawie o sygn. akt: III Ca 264/22 „rażące niedbalstwo (culpa lata) jest kwalifikowaną postacią winy nieumyślnej. Oznacza zatem wyższy jej stopień niż w przypadku zwykłego niedbalstwa, leżący już bardzo blisko winy umyślnej (culpa lata dolo aequiparatur). Wykładnia pojęcia rażącego niedbalstwa powinna uwzględniać kwalifikowaną postać braku zwykłej staranności w przewidywaniu skutków. Konieczne jest zatem stwierdzenie, że podmiot, któremu taką postać winy chce się przypisać, zaniedbał takiej czynności zachowującej chronione dobro przed zajściem zdarzenia powodującego szkodę, której niedopełnienie byłoby czymś absolutnie oczywistym w świetle doświadczenia życiowego dostępnego każdemu przeciętnemu uczestnikowi obrotu prawnego i w sposób wprost dla każdego przewidywalny mogło doprowadzić do powstania szkody. Rażące niedbalstwo zachodzi bowiem tylko wtedy, gdy stopień naganności postępowania drastycznie odbiega od modelu właściwego w danych warunkach zachowania się dłużnika”.
„Rażące niedbalstwo oznacza niezachowanie staranności elementarnej (minimalnej) w odniesieniu do obowiązków ciążących na płatniku. Chodzi o staranność wymaganą nawet od osoby mało rozgarniętej” (K. Osajda (red. serii), J. Dybiński (red. tomu), Ustawa o usługach płatniczych. Komentarz. Wyd. 2, Warszawa 2022). Należy zauważyć, że banki nie posiadają możliwości kontrolowania urządzeń swoich klientów. Banki oferują usługi bankowości internetowej i zapewniają środki bezpieczeństwa, takie jak konieczność zabezpieczenia dostępu do tej usługi numerem PIN bądź loginem i hasłem, konieczność uwierzytelnienia dokonywanych transakcji numerem PIN, jednorazowym kodem przesłanym w wiadomości SMS, czy też kodem z karty kodów jednorazowych. Banki prowadzą na dodatek kampanie informacyjne, aby przestrzec swoich klientów przed atakami ze strony oszustów, kampanie takie prowadzi również Urząd Komisji Nadzoru Finansowego.
Jednakże należyta staranność w bezpiecznym korzystaniu z usług bankowości internetowej spoczywa również, a może przede wszystkim, na kliencie banku. Jeżeli klient sam umożliwi popełnienie przestępstwa na swoją szkodę, nie zachowując podstawowych zasad bezpieczeństwa, banki nie mają żadnych metod, aby temu zapobiec. W rezultacie warto wiedzieć jak uchronić się przed vishingiem, aby nie znaleźć się w sytuacji konieczności zwrotu środków z tytułu pożyczki albo kredytu, które trafiły do osoby trzeciej.
Warto pamiętać, że pracownik żadnego banku w trakcie rozmowy telefonicznej nie poprosi klienta o podanie numeru PIN do karty, czy też kodu CVV do autoryzacji transakcji dokonywanej przy pomocy karty, nie będzie również wymagał zainstalowania na telefonie czy komputerze żadnej dodatkowej aplikacji czy oprogramowania, ani podania kodów z karty kodów jednorazowych. Jeżeli rozmówca oczekuje dokonania takich czynności, usiłuje dopuścić się vishingu. W takiej sytuacji należy nie wykonywać żadnych czynności według instrukcji rozmówcy i jak najszybciej rozłączyć połączenie.
To od nas zależy nasze bezpieczeństwo w korzystaniu z bankowości internetowej czy telefonicznej.
Marta Gontarz-Dobrowolska
Radca Prawny
Kancelaria Prawnicza Maciej Panfil i Partnerzy Sp. k.
Departament Consumer