Banki muszą radzić sobie obecnie z coraz wyższą liczbą spraw, w których doszło do transakcji przestępczych z wykorzystaniem PIN. Przed wejściem w życie ustawy o elektronicznych instrumentach płatniczych sytuacja banków była komfortowa, bowiem zastrzegały one w regulaminie kart, że wszystkie transakcje z użyciem PINu obciążają tylko jej posiadacza. Obecnie sytuacja się zmieniła i bank nie może w tak łatwy sposób wyłączyć swojej odpowiedzialności. Banki mają obecnie trudne zadanie w wyznaczeniu, kiedy doszło do przestępstwa bez wiedzy klienta, a kiedy świadomie lub poprzez niefrasobliwość dopomógł on przestępcom zdobyć własny PIN. Część tych spraw w wyniku sporu pomiędzy klientem a jego bankiem trafia do sądów, które w każdej sytuacji musza rozsądzić czy do zdarzenia doszło w wyniku skimmingu, czy niefrasobliwości klienta.
PIN a ustawa
Ustawa o elektronicznych instrumentach płatniczych , która weszła w życie w październiku 2003 roku opisuje jak klient powinien chronić kartę płatniczą, kod PIN lub inne kody identyfikacyjne. Ustawa wymaga w tym względzie od klienta należytej staranności. Pod pojęciem „należytej staranności” ustawa rozumie staranność ogólnie wymaganą w sytuacjach danego rodzaju. Jak się wydaje czynić zadość zachowaniu należytej staranności będzie przechowywanie karty płatniczej w portfelu, natomiast nie będzie ten warunek spełniony w sytuacji umieszczenia karty w widocznym miejscu w pozostawionym na ulicy samochodzie.
Ustawa wspomina także o kwalifikowanej formie niezachowania staranności, jaką jest przechowywanie karty wraz z kodem PIN. Wspominając o kodzie identyfikacyjnym ustawa ma na myśli kod w formie niezaszyfrowanej. Wydaje się, że przechowywanie karty wraz z zaszyfrowanym kodem lub kodami PIN, mieścić się będzie w normie zachowania należytej staranności.
Naruszeniem należytej staranności jest także udostępnienie karty płatniczej i kodu identyfikacyjnego osobie niepowołanej. Za osobę niepowołana ustawa uznaje każdą osobę poza posiadaczem karty. Naruszeniem zasad należytej staranności będzie, więc jednoczesne przekazanie karty i kodu PIN każdej osobie.
Co na to banki?
Takie są wymagania ustawowe, które świetnie sprawdzają się w sytuacjach jednoznacznych. Co jednak w sytuacji, gdy klient informując o utracie karty, zarzeka się jednoczenie że kodu PIN nikomu nie ujawnił, natomiast przestępcy pobrali z jego konta z bankomatu (oczywiście z użyciem kodu PIN) dużą sumę gotówki? Jak ocenić czy klient mówi prawdę, a co za tym idzie czy obowiązuje go wynikające z ustawy o elektronicznych instrumentach płatniczych ograniczenie odpowiedzialności do kwoty równowartości 150 euro. W sytuacji bowiem gdy klient nie zachował wskazanych standardów bezpieczeństwa musi w całości samodzielnie pokryć powstałą stratę.
Oczywiście bank i klient sięgają w takiej sytuacji do innych dowodów. Jednak często okazuje się, że nie wnoszą one nic do sprawy, bo w bankomacie z którego pobrano pieniądze nie było kamery, albo zapis został już skasowany. Okazuje się wtedy, że ocena dotyczy w takiej sytuacji tylko prawdomówności klienta, bowiem te same dowody mogą wskazywać zarówno na działalność przestępców, jak i na sytuacje, gdy klient sam pobrał z bankomatu pieniądze informując jednoczenie bank o utracie karty.
Analizując doświadczenia banków w tym zakresie możemy wyodrębnić typy sytuacji związanych z ujawnieniem kodu PIN. Pierwszy to typowy przypadek skimmingu, który jest dość łatwy do udowodniania. Drugi to przypadek ujawniania kodu PIN przez samego klienta świadomie albo przez niefrasobliwość, lub wykorzystanie tego kodu przez samego klienta w celu przestępczym. Ostatni trzeci przypadek to te sytuacje, które mieszczą się pomiędzy skimmingiem a niefrasobliwością, a które z racji swojej natury są trudne a czasem wręcz niemożliwe do udowodnienia. Chciałbym krótko omówić wskazane wyżej trzy typy zdarzeń
Typowy skimming
Skimming polega na kopiowaniu zawartości paska magnetycznego karty płatniczej bez zgody jej właściciela. Później tak skopiowany pasek jest nanoszony na inną kartę płatniczą, którą przestępcy dokonują zakupów. Oczywiście wszystkie zakupy są dokonywane na rachunek pierwszej skopiowanej karty i obciążają jej właściciela. Odmianą tego przestępstwa jest skimming bankomatowy. W jego przypadku podczas wizyty posiadacza karty przy bankomacie przestępcy sczytują zawartość paska magnetycznego oraz próbują na różne sposoby (przy użyciu kamery video lub specjalnej nakładki na klawiaturę) zdobyć kod PIN karty. Jeśli im się to uda, to skopiowaną kartą pobierają pieniądze w innym bankomacie, także na koszt swojej ofiary.
Tym co charakteryzuje skimming jest powtarzalność tego procederu oraz jego zastosowanie wobec większej liczby klientów. Jeśli przestępcy zainstalują urządzanie do sczytywania kartowych pasków to jest prawie pewne, że poszkodowanymi będzie więcej niż jedna osoba. Czasami problemem w takiej sytuacji jest brak przepływu informacji pomiędzy różnymi bankami, które nie informują się o przypadkach skimmingu wobec swoich klientów.
Skimming wymaga sporych nakładów finansowych oraz jest ryzykowny, dlatego przestępcy starają się sczytać jak najwięcej pasków magnetycznych za jednym razem. To pozwala na bardzo łatwe udowodnienie, że danego dnia w danym bankomacie lub w punkcie handlowym doszło do przestępstwa. Dotychczasowe doświadczanie pokazuje, że przypadku udowodnionych przykładów skimmingu, banki przejmują na siebie odpowiedzialność za te zdarzenia. Strata klienta w takiej sytuacji ogranicza się do równowartości kwoty 150 euro.
Niefrasobliwość
Drugi skrajny przypadek to celowe ujawnienie kodu PIN przez klienta lub ujawnienie do którego doszło na skutek jego niefrasobliwości. Są to przypadki w których klient samodzielnie pobiera z karty pieniądze a później próbuje upozorować dokonanie tego przez przestępców. Ujawnienie takich przypadków następuje najczęściej, w sytuacji gdy w bankomacie w którym dokonano wypłaty była zainstalowana kamera. Podobnie dzieje się, gdy z wykorzystaniem kodu PIN dokonano transakcji w sklepie, natomiast sprzedawca rozpoznał posiadacza karty jak osobę dokonującą transakcji.
Z kolei do kategorii niefrasobliwości należałoby zaliczyć, wspominany już przez ustawę przypadek przechowywania kody PIN wraz z kartą. Nie chodzi tu tylko o przypadek, gdy kartka z zapisanym PINem jest przechowywana bezpośrednio obok karty. Tak samo należy sklasyfikować sytuację, gdy niezakodowany PIN jest przechowywany razem z kartą w tej samej torbie lub torebce. Np. niektóre osoby zapisują sobie kod PIN na jednej ze stron dowodu osobistego (starego wzoru).
Wydaje się, że w razie dokonania przestępstwa z wykorzystaniem kodu PIN to na kliencie leży ciężar dowodu, faktu prawidłowej jego ochrony. Trzeba bowiem zdawać sobie sprawę z tego, że klient jest jedyną osobą, która rzeczywiście zna kod PIN. Wbrew obiegowym opiniom kodu PIN nie zna bank wydający kartę. Po wygenerowaniu samego kodu i wydrukowaniu go na specjalnym zabezpieczonym formularzu, który otrzymuje klient, jest on przechowywany w systemie komputerowym banku w formie specjalnego klucza. Klucz ten pozwala na stwierdzenie czy wprowadzony w bankomacie PIN jest prawidłowy, nie pozwala natomiast na zwrotne odtworzenie kodu. Z tego powodu klient w razie zapomnienia kodu PIN, musi uzyskać zupełnie nową kartę z nowym kodem.
Klient musi więc dowieść, że do ujawniania kodu doszło nie z jego winy lub niedbalstwa. Klienci w takich sytuacjach najczęściej oskarżają o ujawnienie kodu bank. Doświadczenia policyjne pokazują jednak, że takim „słabym ogniwem” na który często klienci nie zwracają uwagi są: rodzina, domownicy lub inne osoby mające dostęp do dokumentów klienta w jego domu. Są to osoby cieszące się bardzo dużym zaufaniem, niestety jak pokazują smutne doświadczenia, czasami jest to zaufanie nieuzasadnione. Klienci dobrze chronią PIN gdy opuszczają swoje mieszkanie, w domu jednak najczęściej przechowują PIN w formie niezabezpieczonej, nie biorąc nawet pod uwagę, że może w ten sposób zostać ujawniony.
Skimming jednorazowy lub podejrzenie
Niestety zdarzają się także sytuacje, w przypadku których dowiedzenie, że padło się ofiarą przestępców jest praktycznie niemożliwe. Tak jest np. w przypadku czegoś co można by nazwać „skimmingiem jednorazowym”. Do takich sytuacji dochodzi, gdy przestępcy po sczytaniu jednej karty (w bankomacie lub punkcie handlowym) zostają spłoszeni i nie skanują kolejnych kart. W takim wypadku, klient nie ma możliwości dowiedzenia, że doszło do skimmingu, Ne ma bowiem innych poszkodowanych.
Podobna sytuacja ma miejsce przy podejrzeniu kodu PIN klienta. Takie podejrzenie może nastąpić albo z winy klienta, który nie zasłonił ręką urządzania do wpisywania PINu, lub też z winy operatora urządzenia do którego PIN jest wprowadzany. W wielu sklepach PIN-pady są bowiem umieszczone w taki sposób, że zasłonięcie ich i ukrycie wprowadzanego kodu jest praktycznie niemożliwe.
Są to pewne sytuacje sporne których racja klienta jest niezmiernie trudna do obrony. Większość z tego rodzaju spraw, w wyniku braku porozumienia banku z klientem, trafia do sądów. To sąd ostatecznie weryfikuje przedstawione przez strony dowody oraz wersje wydarzeń i podejmuje wiążące decyzje. Bank w większości przypadków może dowieść, że w jego systemach kod PIN jest prawidłowo zabezpieczony. Klient nie ma natomiast możliwości przeprowadzenia całościowego dowodu potwierdzającego, że do ujawniania PINu nie doszło z jego winy.
Jak skutecznie chronić PIN?
Z wskazanych wyżej powodów ochrona kodu PIN, który jest kluczem do naszych pieniędzy, powinna być priorytetem każdego użytkownika karty płatniczej. Jak już wcześniej wspomniałem, nigdy i nigdzie, nawet w domu nie powinniśmy przechowywać PINu w formie niezaszyfrowanej.
Należy także zachować szczególną ostrożność podczas wprowadzania kodu zarówno na sklepowych PIN-padach jak i w bankomatach. Zauważenie jakiegokolwiek podejrzanego elementu dołączonego do bankomatu powinno skutkować rezygnacją z wypłaty. Z tego właśnie względu warto korzystać z tych samych bankomatów, wtedy łatwiej jest nam zauważyć zmiany w ich wyglądzie. Powinniśmy także obserwować otoczenie bankomatu, czy nie dzieje się tam nic podejrzanego. Warto także zasłonić ręką klawiaturę bankomatu, gdy wprowadzamy kod PIN. Zasadą jest, że jeśli osoba wybierająca pieniądze sama nie widzi wprowadzanego przez siebie kodu (bo dokładanie zasłania klawiaturę ręką) to przestępcy także nie będę w stanie go podejrzeć.
Bezwzględnie należy także na bieżąco przeglądać przesyłane z banku wyciągi z kart, tak by szybko wykryć wszelkie ewentualne podejrzane transakcje oraz natychmiast po tym fakcie zastrzec kartę. Zapobiegnie to dalszym stratom finansowym oraz umożliwi bankowi i Policji rozpoczęcie czynności wyjaśniających.
