Czy bank odpowiada za włamanie na konto?
Zasadnicze pytanie, jakie zadają sobie osoby, które stały się ofiarą cyberataku, brzmi „Kto za to odpowiada?”. Odpowiedź nie zawsze będzie prosta, ponieważ wiele zależy od tego, czy użytkownik swoim działaniem przyczynił się do powstania szkody.
Odpowiedzialność banku a prawo bankowe
Obowiązki banku względem klientów normuje Ustawa prawo bankowe1. Zgodnie z art. 50 ust. 2, bank dokłada szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywania środków pieniężnych.
W praktyce mechanizmy, które odzwierciedlają tę należytą staranności, to m.in.:
- konieczność podwójnej weryfikacji użytkownika przy logowaniu do bankowości elektronicznej;
- wymóg autoryzacji transakcji (np. poprzez kod SMS lub zatwierdzenie w aplikacji mobilnej);
- certyfikat bezpieczeństwa SSL (ang. secure socet layer) dla witryny internetowej.
Standardem są też okresowe testy penetracyjne przeprowadzane przez tzw. etycznych hakerów. Mają one na celu sprawdzenie integralności i szczelności stosowanych zabezpieczeń.
Opinia Eksperta

W roku 2021 opisywałem na stronie raport firmy profesjonalnie zajmującej się zagadnieniem bezpieczeństwa. Organizacja wzięła pod lupę strony banków działających w Polsce. Okazało się, że w kwestii e-bezpieczeństwa instytucje mają jeszcze sporo do nadrobienia.
Wówczas znikomy procent bankowych domen posiadał wysoki wynik bezpieczeństwa dla nagłówków HTTP (HTTP Security Headers). Jest to o tyle zaskakujące, że to podatność znajdująca się na liście OWASP Top 10, która jest pewnego rodzaju wyznacznikiem standardów cyberbezpieczeństwa. W praktyce lista przeoczeń była znacznie dłuższa.
Dobre wiadomości? Omawiany raport został przygotowany w oparciu o dane z roku 2020. Obecnie mamy już rok 2022, a w świecie e-bankowości i nowych technologii 2 lata to cała wieczność. Z ciekawością zapoznam się (i podzielę się wnioskami!) z nowszych opracowań, jak tylko będą one dostępne.
W razie włamania na konto to bank będzie musiał przede wszystkim wykazać, że podjął wszystkie niezbędne działania, aby zabezpieczyć środki swoich klientów przed dostępem osób trzecich.
Włamanie na konto a ustawa o usługach płatniczych
Art. 144 Ustawy o usługach płatniczych2 wprowadza odpowiedzialność banku za niewykonanie lub nienależyte wykonanie transakcji płatniczej. W przypadku błędu bank ma obowiązek zwrócić kwotę transakcji albo przywrócić stan rachunku do punktu, jaki istniałby, gdyby płatność nie została wykonana.
Żądanie odszkodowania od banku jest tym bardziej zasadne, że dochodzenie naprawienia szkody bezpośrednio od osoby, która dopuściła się kradzieży, rzadko kiedy będzie skuteczne. Posiadacz rachunku musiałby na własną rękę ustalić sprawcę szkody.
Co o włamaniu na konto bankowe mówią sądy?
Prawo bankowe przewiduje możliwość złożenia reklamacji na wykonaną transakcję. Nawet w sytuacji, gdy nie zostanie ona uwzględniona, klient może wystąpić na drogę sądową i domagać się od banku odszkodowania za niedochowanie należytej staranności przy zarządzaniu środkami pieniężnymi.
Sądownictwo wypracowało jednolitą linię orzeczniczą, która skutecznie chroni klientów banku. Judykatura3 stanęła na stanowisku, że za kradzież pieniędzy z konta odpowiada bank, który jako instytucja zaufania publicznego powinien podjąć wystarczające środki ochronne.
Dotyczy to nie tylko ewidentnych błędów takich jak np. luki w zabezpieczeniach informatycznych, ale także sytuacji, kiedy konsument korzystał z telefonu lub komputera zainfekowanego złośliwym oprogramowaniem. Co ciekawe, sądy uznają odpowiedzialność banku nawet wtedy, gdy klient wpadł w pułapkę phishingu (fałszywa strona do złudzenia przypominająca witrynę banku).
Jedynymi wyjątkami są wina umyślna i rażące niedbalstwo. Jeżeli więc celowo podałeś innej osobie dane dostępu do konta, bank nie będzie odpowiadał za stratę.
Odpowiedzialność karna za włamanie na konto bankowe
Włamanie na konto w banku rodzi nie tylko odpowiedzialność cywilną, ale również karną. Jeżeli wiesz, że stałeś się ofiarą cyberataku, niezwłocznie zawiadom policję, która po zbadaniu okoliczności sprawy będzie mogła wszcząć postępowanie przygotowawcze.
Odpowiedzialność karna za włamanie na konto wypełnia znamiona przestępstwa kradzieży z włamaniem, o których mowa w art. 279 kodeksu karnego4. Mowa tu o przełamaniu zabezpieczeń cyfrowych w celu dokonania zaboru pieniędzy.
Przepisy nie różnicują, o jakie zabezpieczenia chodzi, dlatego doktryna zrównała kradzież pieniędzy z:
- konta;
- systemu teleinformatycznego banku;
- bankomatu.
Dane dostępowe do konta (tj. login, hasło i PIN do karty) stanowią klucz zabezpieczający przed nieautoryzowanym dokonaniem transakcji. Dlatego ich przejęcie bez zgody i wiedzy użytkownika i posłużenie się nimi zostanie przez organy ścigania potraktowana jako kradzież z włamaniem bez względu na wartość zgromadzonych na koncie lub karcie środków.
Jako ciekawostkę można wskazać, że sądownictwo5 tak samo traktuje transakcje niewymagające użycia PIN-u. W tym przypadku jednak poprzez posłużenie się kartą złodziej pozyskuje nie pieniądze, ale bezpośrednio towar lub usługę.
Za dopuszczenie się przestępstwa kradzieży z włamaniem grozi kara pozbawienia wolności od 1 roku do 10 lat.
Czy możesz zapobiec włamaniu na konto w banku?
Podczas kradzieży pieniędzy z rachunku bankowego hakerzy najczęściej wykorzystują nieuwagę, pośpiech lub brak wiedzy użytkowników. Zwykle dużo łatwiej jest sprowokować kliknięcie linku prowadzący do fałszywej strony banku niż przełamać zabezpieczenia informatyczne dużej instytucji. Co możesz zrobić, aby bezpiecznie korzystać z bankowości elektronicznej?
Przede wszystkim unikaj logowania się do publicznych sieci Wi-Fi, które znajdziesz np. w galeriach handlowych, kinach i restauracjach. Najczęściej są one bardzo słabo zabezpieczone, a informacje przesyłane tym kanałem łatwo mogą stać się łupem cyfrowych przestępców. Z bankowości elektronicznej korzystaj tylko poprzez sprawdzoną sieć. W ten sposób ograniczasz ryzyko włamania na konto.
Kiedy logujesz się do swojego banku, wykorzystuj tylko swoje urządzenia (komputer, smartfon, tablet). Nigdy nie wiesz, jakie oprogramowanie, w tym także to złośliwe, jest zainstalowane na cudzym sprzęcie. Inna osoba może nawet nie zdawać sobie sprawy z tego, że dane przechowywane w pamięci przeglądarki są niezabezpieczone lub śledzone.

Bezpieczne hasło
Kiedy tylko możesz, korzystaj z zabezpieczeń biometrycznych takich jak odcisk palca lub rysy twarzy. Są one coraz doskonalsze i trudniej je złamać niż typowe zabezpieczenie złożone z liter i cyfr. Jeżeli ustawiasz hasło, zwróć uwagę, aby:
- miało minimum 10–12 znaków;
- wykorzystać małe i wielkie litery, cyfry oraz znaki specjalne (np. $, % lub &);
- nie było oczywiste i kojarzyło się z okolicznościami, które są znane tylko Tobie.
Nawet najsilniejsze hasło musi być regularnie zmieniane. Stosując przez lata te same zabezpieczenia, zwiększasz ryzyko włamania na konto bankowe. Staraj się zmieniać hasło przynajmniej raz w miesiącu i nigdy nie stosuj tych samych kombinacji znaków do banku oraz popularnych serwisów społecznościowych i sklepów internetowych.
Dobrym pomysłem jest również częste sprawdzanie dysku twardego za pomocą programów antywirusowych. Dbaj o ich aktualizację. Staraj się raczej korzystać z płatnych aplikacji, które mają regularnie uzupełniane bazy danych oraz działają na podstanie nowych technologii wykrywania zagrożeń takich jak np. zaawansowana heurystyka.
Chcesz poznać więcej sposobów na zwiększenie swojego bezpieczeństwa w sieci? Zajrzyj na: https://rankingkont.pl/cyberbezpieczenstwo-jak-bezpiecznie-korzystac-z-bankowosci-elektronicznej/. W artykule znajdziesz 13 zasad bezpieczeństwa. Sprawdź, czy stosujesz je wszystkie!
Jeżeli stałeś się ofiarą włamania na konto, reaguj natychmiast. Przede wszystkim powiadom bank o zdarzeniu i zgłoś kradzież na komendzie policji. Im szybciej zareagujesz, tym większa szansa, że uda Ci się odzyskać skradzione pieniądze i ująć sprawcę. Nigdy nie rezygnuj jednak ze stosowania doraźnych sposobów na zwiększenie bezpieczeństwa. Nie bez powodu mawia się, że lepiej zapobiegać, niż leczyć.

Źródła
- https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU19971400939/U/D19970939Lj.pdf
- https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20111991175/U/D20111175Lj.pdf
- m.in. wyrok SN z dnia 17 stycznia 2018 r., sygn. V CSK 141/17 i wyrok SO w Łodzi z dnia 8 lutego 2016 r., sygn. I C 1908/14
- https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU19970880553/U/D19970553Lj.pdf
- wyrok SN z dnia 22 marca 2017 r., sygn. III KK 349/16