Niedawno opisaliśmy przypadki kradzieży polegającej na podmianie danych rachunków bankowych zdefiniowanych w systemie. Kolejny bank po naszej publikacji zamierza wprowadzić dodatkowe zabezpieczenia. Ale stoi na stanowisku, że reklamacja klienta jest niezasadna.
W lipcu opisaliśmy przypadek klientki Banku Spółdzielczego we Wschowie, której złodzieje włamali się na konto i podmienili dane odbiorców zdefiniowanych w systemie. Klientka nie wie, skąd złodzieje pozyskali dane do logowania na rachunek (bank stosuje pełny login i całe hasło). Oszuści zalogowali się do systemu bankowości internetowej i podmienili numery rachunków na liście odbiorców zdefiniowanych. W miejsce oryginałów wpisano numery podstawionych kont.
Było to możliwe, bo bank nie wymaga autoryzacji przy zatwierdzaniu zmian na liście odbiorców zdefiniowanych (można to zrobić bez kodu SMS czy zdrapki). Ponieważ zmieniły się tylko numery rachunków, bez danych adresowych i nazw odbiorców, klientka dalej realizowała przelewy do odbiorców zdefiniowanych. Nie zauważyła nic podejrzanego, bo uznała, że skoro zdefiniowała raz kontrahentów, to nie musi każdorazowo sprawdzać ich numerów rachunków. Dalej realizowała przelewy, ale pieniądze zaczęły płynąć na konta oszustów. Bank odmówił uznania reklamacji, argumentując, że klientka sama autoryzowała transakcje. O sprawie szczegółowo pisaliśmy TUTAJ.
Reklamacja klienta jest niezasadna
Wówczas bank nie skomentował sprawy. Stanowisko trafiło na naszą redakcyjną skrzynkę wczoraj. Poniżej publikujemy jego treść w całości:
„W związku z zaistniałym incydentem opisanym w artykule, Bank wystąpił o weryfikację problemu do dostawcy usługi CUI-Asseco Poland SA, który jednoznacznie stwierdził, iżnie odnotował prób naruszenia systemu bezpieczeństwa w aplikacji. Z uzyskanych informacji wynika zatem, że dokonane zmiany skutkujące utratą środków wykonane były przez osobę, która poprawnie wykorzystała login i hasło. W związku z powyższym złożona przez Klienta reklamacja była niezasadna, ponieważ Bank nie ponosi odpowiedzialności za operacje wykonane w wyniku nieuprawnionego użycia przez osoby trzecie środków identyfikacji elektronicznej, które zostały przekazane Klientowi i nie zostały przez niego w należyty sposób zabezpieczone przed dostępem osób trzecich, w wyniku czego mogła nastąpić realizacja przelewów z rachunku przez osoby nieuprawnione.
Należy również zwrócić uwagę na fakt, że zmiana danych odbiorcy jest zupełnie inną dyspozycją niż zlecenie przelewu. O ile do dyspozycji złożenia przelewu mają zastosowanie przepisy ustawy o usługach płatniczych (z wszelkimi tego konsekwencjami), o tyle możliwość zdefiniowania odbiorcy stałego jest jedynie opcją ułatwiającą użytkownikowi usługi bankowości internetowej realizowanie zleceń płatniczych. Nie stanowi natomiast elementu zlecenia płatniczego ani nie zwalnia Klienta Banku z leżącego w jego własnym interesie obowiązku weryfikacji wszelkich danych, w tym i numeru rachunku bankowego, przed jego zaakceptowaniem do realizacji.
Asseco Poland wprowadzi zmiany do systemu
Pragniemy zapewnić, że Bank dokłada wszelkich starań, aby wszystkie dostarczane usługi, w tym i Bankowość Internetowa, były świadczone na bardzo wysokim poziomie, również bezpieczeństwa. Aktualnie trwają prace w Asseco Poland SA, po zleceniu BS Wschowa, mające na celu wyeliminowanie możliwości wprowadzenia jakichkolwiek zmian odbiorcy stałego bez wcześniejszego zatwierdzenia kodem z listy haseł jednorazowych bądź SMS-Kodem.„
Warto przypomnieć, że włamanie na konto klientki Banku we Wschowie, nie jest incydentalnym przypadkiem. Wcześniej tę samą metodę ataku zastosowali hakerzy włamujący się na konta klientów PKO Banku Polskiego. Ten bank również nie wymagał kodu SMS przy zmianie danych odbiorców zdefiniowanych. Dopiero po naszych publikacjach zmienił procedury. Z danych prokuratury, do których dotarliśmy wynika, ze poszkodowanych w ten sposób było kilka osób. Podane w piśmie z prokuratury numery rachunków sugerują, że ofiarami podobnych kradzieży mogli paść także klienci Banku Spółdzielczego w Więcborku i Banku Spółdzielczego w Białej Rawskiej.
Klienci PKO Banku Polskiego też stracili pieniądze
Odzyskanie skradzionych pieniędzy nie będzie łatwe. Oba banki – PKO BP i Bank Spółdzielczy we Wschowie – obciążają odpowiedzialnością klientów. Ich zdaniem to oni nie dochowali zasad bezpiecznego korzystania z bankowości internetowej. Banki uzasadniają ponadto, że zmiana danych odbiorcy zdefiniowanego, to nie przelew i nie podlega to przepisom ustawy o usługach płatniczych.
„O ile do dyspozycji przelewu znajdują zastosowanie przepisy ustawy o usługach płatniczych z wszelkimi tego konsekwencjami, o tyle należy podkreślić, że możliwość zdefiniowania odbiorcy jest jedynie narzędziem ułatwiającym użytkownikowi serwisu internetowego iPKO realizowanie zleceń płatniczych. Nie stanowi natomiast elementu zlecenia płatniczego ani nie zwalnia użytkownika z leżącego w jego własnym interesie obowiązku weryfikacji numeru rachunku bankowego, na który według jego zamiaru mają trafić środki.” – poinformowało nas biuro prasowe PKO Banku Polskiego.
Większość banków wymaga od klientów zatwierdzania zmian dokonywanych sekcji „odbiorcy zdefiniowani” kodem SMS – wynika z ankiety przeprowadzonej przez serwis PRNews.pl. Jednak nie wszystkie. Można to sobie sprawdzić, próbując zmodyfikować szablony. Klienci tych banków, które nie wymagają autoryzacji powinni zachować szczególną ostrożność przy korzystaniu z listy. Jak pokazują powyższe przypadki, w razie problemów, banki odrzucą reklamacje.