Okradziona “na zdalny pulpit” nie musi spłacać 174 000 PLN. Zapadł wyrok.
Złodzieje dostali się na konto bankowe kobiety bo — podszywając się pod pracowników banku — przekonali ją, że powinna zainstalować aplikację QuickSupport, która pozwala na zdalną kontrolę komputerem. W imieniu ofiary wzięli pożyczkę i wyprowadzili pieniądze przelewami. Takich ofiar w Polsce są setki. Czy muszą spłacać pożyczkę? I ma znaczenie, że ich nieostrożność przyczyniła się do wyłudzeń?
Od zdalnego pulpitu do umowy pożyczki
Przyjrzyjmy się konkretnej ofierze. Jej sprawa skończyła się wyrokiem wydanym w kwietniu br. przez Sąd Okręgowy w Olsztynie (sygn. akt. I C 536/21).
Pewna Pani – nazwijmy ją Malwina – padła ofiarą oszustwa na zdalny pulpit. Klasyka: otrzymała telefon z oficjalnego numeru banku (przestępcy wykorzystali technikę spoofingu). Poniżej nagranie jednej z takich rozmów z bankowymi oszustami.
Wróćmy jednak do Malwiny. Dzwoniąca “pracownica banku” znała dane osobowe Malwiny i dopytywała, czy Malwina robiła ostatnio zakupy w internecie korzystając z karty. Malwina odpowiedziała twierdząco, a w odpowiedzi na to rzekoma pracownica banku poinformowała ją, że doszło do oszustwa i podsunęła “środki zaradcze”. Malwina została przełączona do rzekomego działu bezpieczeństwa banku i tam rozmawiała z kolejną kobietą, która poleciła m.in. zainstalować na telefonie aplikację QuickSupport. Zaufanie Malwiny wzbudziło m.in. to, że pracownica banku znała część numeru jej karty płatniczej. Finału historii się domyślacie: oszuści otrzymali dostęp do konta Malwiny i ją okradli, a dodatkowo zaciągnęli na nią pożyczkę.
Malwina zaczęła podejrzewać, że coś jest nie tak się dopiero gdy dostała SMS-y z banku o wykonanych przelewach. W tym czasie jeszcze wciąż rozmawiała z oszustką, która zapewniała, iż jest to standardowa procedura. Chwyciła jednak za telefon swojego syna i z niego zadzwoniła na numer banku (nie przerywając połączenia z oszustami). Prawdziwi pracownicy banku polecili rozłączyć się i odinstalować aplikację.
Ale okazało się, że oszuści zdążyli już zawrzeć w imieniu Malwiny umowę pożyczki na kwotę 99,75 tys. zł, której całkowita kwota do zapłaty wynosiła 174265,16 zł. Następnie wyprowadzili pieniądze z konta dokonując przelewu zagranicznego na kwotę 4.600 zł oraz 8 transakcji przy użyciu karty na łączną kwotę 34000 zł, przy czym dzięki szybkiej reakcji udało się anulować przelew zagraniczny i jedną transakcję kartową na kwotę 5 tys. zł.
Sprawa trafiła do sądu w Olsztynie gdyż Malwina wystąpiła z pozwem przeciwko bankowi żądając… unieważnienia umowy pożyczki. To jest istotne, że nie kwestionowała ona przelewów z konta, ale właśnie umowę pożyczki.
Pożyczka to nie przelew
W Niebezpieczniku już nie raz pisaliśmy, że sytuacja prawna ofiar włamań na konta e-bankowości będzie różna w zależności od tego, czy pieniądze ukradziono przelewem czy też wykorzystano dostęp do konta w celu wzięcia pożyczki i wyprowadzenia środków.
- Jeśli wykonano przelew z konta, kluczowe dla ustalenia odpowiedzialności będzie stwierdzenie, czy doszło ze strony klienta do tzw. rażącego niedbalstwa. Z zasady za pieniądze odpowiada bank, a klient odpowiada tylko wówczas jeśli zrobił coś naprawdę rażąconieodpowiedzialnego.
- Jeśli wzięto pożyczkę na ofiarę to “rażące niedbalstwo” z ustawy o płatnościach nie ma znaczenia. Nawet jeśli konto ofiary wykorzystano do wyprowadzenia pieniędzy to umowa pożyczki czy kredytu nie została świadomie przez ofiarę zawarta i w świetle kodeksu cywilnego będzie nieważna. Nie można dochodzić pieniędzy z nieważnej umowy od osoby, która jej przecież nie zawarła.
Spór sądowy Malwiny dotyczył umowy pożyczki, a zatem jej ewentualny brak dbałości przy posługiwaniu się kontem internetowym nie powinien mieć kluczowego znaczenia. Bank mimo wszystko argumentował, że “nie doszło do jakiegokolwiek złamania zabezpieczeń systemów bankowych“, a Malwina była sama sobie winna. Co ważne, bank nie kwestionował tego, że to nie Malwina wzięła pożyczkę. Jego przedstawiciele przyznali przed sądem, że “bank regularnie informuje swoich klientów o kwestiach bezpieczeństwa oraz m. in. o atakach phishingowych lub vishingowych” i takie ataki po prostu się zdarzają. Tylko czy to miało jakieś znaczenie dla uznania umowy pożyczki za ważną?
Sąd: W konsekwencji powyższej konstatacji…
Sąd też nie kwestionował tego, że doszło do oszustwa i tłumaczenia Malwiny uznał za wiarygodne. To jednak oznaczało, że…
W konsekwencji powyższej konstatacji (piękne stwierdzenie – przyp. red.) należy przyjąć, że środki, jakie wpłynęły na konto powódki w wykonaniu nieważnej umowy pożyczki nie podlegały ochronie w trybie art. 46 ust. 1 ustawy o usługach płatniczych. (…) Skoro więc środki pieniężne, które wpłynęły na konto powódki pochodziły z nieważnej umowy pożyczki, nie zostały przez nią zdeponowane, powódka nie nabyła roszczenia o zwrot sumy pieniężnej, która była przedmiotem transferu zagranicznego oraz przelewów dokonanych przy użyciu karty. Sprawcy oszustwa działali bowiem z góry powziętym zamiarem, by zawrzeć pożyczkę a następnie wyprowadzić pochodzące z niej środki na konto zagraniczne lub, by dokonać transakcji przy użyciu karty. Tym samym nie tyle uszczuplili środki pieniężne wniesione przez powódkę na konto bankowe, ile wykorzystali jej konto jako konto „techniczne”, by przeprowadzić przestępne działanie wyłudzenia środków pieniężnych od banku.
TL;DR: Według sądu oszuści okradli bank, a nie Malwinę i to bank, nie Malwina, ma problem. Nie ma podstaw by to Malwina zwracała pieniądze, bo ona ich z konta nie wybrała, a umowa pożyczki nie może być uznana za ważną, jeśli nie została zawarta przez Malwinę.
Niejeden taki wyrok
Taki wyrok nie jest dla nas zaskoczeniem w świetle innych, które już wcześniej opisywaliśmy (i w świetle jeszcze innych, których nie opisywaliśmy, ale które znamy). Kolejnym przykładem może być wyrok Sądu Rejonowego w Sosnowcu opisany na LinkedIn przez radcę prawnego Jakuba Sikorskiego. Z tego o czym pisze radca wynika, że również w tym przypadku bank próbował argumentacji z rażącym niedbalstwem, ale w czasem to po prostu nie ma to znaczenia.
Te wyroki powinny być wyraźnym sygnałem ostrzegawczym dla banków. W takich sytuacjach sąd będzie patrzył na to, czy umowa pożyczki była ważna, a nie na to, czy systemy bezpieczeństwa banku zostały naruszone czy nie. Bo w tych oszustwach w istocie, bezpieczeństwo systemu banku nie jest naruszane. Ofiara okrada się sama, manipulowana przez atakującego który — to istotne — korzysta z dokładnie tego samego numeru telefonu banku. Fakt, numer telefonu nie wchodzi w “system bezpieczeństwa banku”, usługa realizowana jest przez operatora telekomunikacyjnego… no ale to jednak w głowach klientów, numer banku.
Warto się orientować nie tylko w tym jakie są aktualne metody oszustów. Warto też znać konsekwencje prawne.. bo nie każdy będzie przygotowany na to, że np. prokuratura może zacząć ścigać ofiarę, a nie tylko przestępcę. Do takich kuriozów może dochodzić właśnie wówczas, gdy oszuści używają konta ofiary jako “technicznego” (jak ładne to określił olsztyński sąd). Warto też orientować się w szczegółach odpowiedzialności za przelewy. To zagadnienie jest też obecnie w obszarze zainteresowań UOKiK.
Póki co, jeśli znacie ofiarę ataku “na pracownika banku” to podeślijcie jej ten artykuł. Niewykluczone, że i ona może sobie “unieważnić” pożyczkę.