Jedna wiadomość i konto wyczyszczone

Czasem wystarczy jedna wiadomość. Jedno kliknięcie. Jedna chwila nieuwagi.

Dla pani Joanny skończyło się to utratą niemal 75 tys. zł i wielomiesięczną walką z bankiem. Historia zaczęła się od SMS-a o rzekomym wyłączeniu prądu. Zakończyła dopiero w sądzie — wygraną klientki w dwóch instancjach.

Dziś jej sprawa jest jednocześnie przestrogą i ważnym sygnałem dla wszystkich klientów banków.

Phishing to jedna z najpopularniejszych metod wyłudzania danych w internecie. Mechanizm jest prosty: przestępcy podszywają się pod znane instytucje — banki, firmy kurierskie czy dostawców energii — i nakłaniają ofiary do podania wrażliwych informacji.

Najczęściej robią to za pomocą wiadomości e-mail, SMS-ów lub komunikatorów.

W wiadomości pojawia się pilna informacja i link prowadzący do strony internetowej. Strona wygląda niemal identycznie jak prawdziwy serwis danej instytucji. Różnica polega na tym, że w rzeczywistości jest narzędziem przestępców do przechwytywania loginów, haseł czy danych kart płatniczych.

To właśnie w taki sposób rozpoczęła się historia pani Joanny.

Był maj 2022 r., kiedy na telefon kobiety przyszedł SMS informujący o planowanym wyłączeniu prądu. W wiadomości znajdował się link prowadzący do strony, która — jak się wydawało — była powiązana z jej bankiem.

— Otrzymałam SMS z informacją o planowanym wyłączeniu prądu wraz z linkiem do strony internetowej łudząco przypominającej stronę banku Credit Agricole, którego byłam klientką — wspomina pani Joanna.

Strona wyglądała wiarygodnie. Logo, kolorystyka, układ — wszystko sprawiało wrażenie autentycznego serwisu bankowości elektronicznej.

W rzeczywistości była to jednak perfekcyjnie przygotowana pułapka.

— Złodziej wykorzystał fałszywą stronę banku stworzoną na potrzeby phishingu. Nieświadomie wpisałam tam dane do logowania — mówi kobieta.

Kilka minut później pojawiła się kolejna wiadomość. Tym razem SMS informował o aktywacji aplikacji mobilnej banku na nowym urządzeniu. Jeśli klient nie dokonywał takiej operacji, powinien skontaktować się z bankiem.

To wzbudziło niepokój.

Pani Joanna sprawdziła swoje rachunki za prąd — okazało się, że są opłacone. Zadzwoniła więc pod numer wskazany w wiadomości.

Po wysłuchaniu nagrania ostrzegającego przed oszustwami telefonicznymi nabrała jeszcze większych wątpliwości. Przerwała połączenie.

Chwilę później zalogowała się do bankowości internetowej, aby sprawdzić konto. Nic nie wskazywało na to, że dzieje się coś niepokojącego.

Podobnie było kilka godzin później, kiedy ponownie sprawdziła stan rachunku.

Dopiero następnego dnia rano odkryła, że z konta zniknęło prawie 75 tys. zł.

Z rachunku pani Joanny zniknęło dokładnie 74 689 zł.

Pieniądze zostały wyprowadzone w ekspresowym tempie:
21 przelewów na różne rachunki bankowe oraz jedna wypłata BLIK.

Kobieta natychmiast zgłosiła sprawę bankowi i policji. Liczyła, że sytuacja zostanie szybko wyjaśniona, a pieniądze odzyskane.

Zamiast tego rozpoczęła się długa walka.

Pani Joanna złożyła reklamację w banku, wskazując, że doszło do nieautoryzowanych transakcji i domagając się zwrotu środków.

Bank jednak ją odrzucił. I to dwukrotnie.

Instytucja uznała, że klientka dopuściła się rażącego niedbalstwa.

W praktyce w takich sprawach oznacza to sytuację, w której klient świadomie udostępnia dane logowania lub ignoruje oczywiste sygnały ostrzegawcze.

Zdaniem banku przejawem takiego niedbalstwa było kliknięcie w link prowadzący do fałszywej strony oraz przepisanie kodów autoryzacyjnych z SMS-ów.

Pani Joanna nie zgodziła się z taką interpretacją.

— Wtedy zdecydowałam razem z kancelarią pójść do sądu — wspomina.

Sąd pierwszej instancji przyznał rację klientce.

Bank jednak złożył apelację.

Sprawa trafiła więc do drugiej instancji, która również stanęła po stronie pani Joanny.

Ostatecznie kobieta odzyskała 75 tys. zł oraz ponad 28 tys. zł odsetek ustawowych.

Jak wyjaśnia adwokat Michał Żmijewski z kancelarii Lubasz i Wspólnicy, reprezentującej panią Joannę, w tej sprawie kluczowe było uznanie transakcji za nieautoryzowane.

Zgodnie z ustawą o usługach płatniczych bank powinien w takiej sytuacji niezwłocznie zwrócić środki klientowi, chyba że udowodni, iż klient działał umyślnie lub dopuścił się rażącego niedbalstwa.

— To bank, a nie klient, musi udowodnić taką okoliczność — podkreśla prawnik.

Sąd uznał, że choć zachowanie klientki można uznać za niestaranność, nie spełnia ono kryterium rażącego niedbalstwa.

Istotne było także to, że oszustwo zostało przygotowane w sposób profesjonalny i opierało się na manipulacji emocjami ofiary.

Sąd zwrócił uwagę również na zachowanie samego banku.

Z konta klientki w krótkim czasie wykonano serię nietypowych operacji — szybkie przelewy ekspresowe i wypłatę BLIK.

Co więcej, były one poprzedzone instalacją aplikacji bankowej na nowym urządzeniu i zmianą sposobu autoryzacji płatności.

Takie zdarzenia powinny wzbudzić szczególną czujność systemów bezpieczeństwa banku.

Zdaniem sądu reakcja instytucji była w tej sytuacji niewystarczająca.

Stanowisko w sprawie nieautoryzowanych transakcji przedstawił także prezes Urzędu Ochrony Konkurencji i Konsumentów.

Zgodnie z interpretacją urzędu obowiązek zwrotu pieniędzy powstaje już w momencie zgłoszenia przez klienta, że transakcja była nieautoryzowana.

Bank powinien dokonać zwrotu najpóźniej do końca następnego dnia roboczego.

Dopiero później instytucja finansowa może dochodzić swoich roszczeń, jeśli uzna, że klient faktycznie dopuścił się rażącego niedbalstwa.

Jeśli strony się nie zgadzają — ostateczną decyzję podejmuje sąd.

Dziś pani Joanna mówi o swojej historii przede wszystkim jako o przestrodze dla innych.

Jej zdaniem najważniejsze jest jedno: nie poddawać się po pierwszej odmowie banku.

— Nie można się przestraszyć pierwszych pism. Trzeba spokojnie przeczytać umowę i działać dalej — mówi.

Podkreśla też, że banki powinny brać większą odpowiedzialność za bezpieczeństwo swoich klientów.

— Nie można zostawiać klienta samego. To instytucja, której powierzamy swoje pieniądze — dodaje.

Redakcja zwróciła się do banku Credit Agricole z prośbą o komentarz w sprawie.

Jak poinformowała Agnieszka Gorzkowicz, menedżer ds. komunikacji korporacyjnej i zastępczyni rzecznika prasowego banku, instytucja wykonała wyrok sądu w całości.

Wszystkie utracone środki zostały pani Joannie zwrócone.