Problem ze stratami poniesionymi wskutek phishingu polega na tym, że o stratach dowiadujemy się zazwyczaj dopiero wtedy gdy oszust ulotnił się już z naszymi pieniędzmi. Czy to oznacza, że jesteśmy na z góry przegranej pozycji?
- Phishnig: na pewno wiesz co to jest i jak działają oszuści?
- Phising: jak dochodzić swoich praw przed sądem karnym
- Co ofiara phisingu może uzyskać w sądzie cywilnym
Na szczęście prawo karne i cywilne, choć wciąż niedoskonale, staje po naszej stronie. W wielu przypadkach możemy domagać się zwrotu poniesionych szkód nie tylko ze strony trudnego najczęściej do zidentyfikowania cyberoszusta, ale i firm, które są odpowiedzialne za zapewnienie nam bezpieczeństwa.
Phishnig: na pewno wiesz co to jest i jak działają oszuści?
Adwokat Paulina Iwanowicz, która jest naszym ekspertem w sprawie sposobów na szukanie odpowiedzialności sprawców i pośredników – świadomych bądź, nie – przed sądem karnym i cywilnym, proponuje jednak zacząć od wyjaśnienia samego mechanizmu działania sprawców posługujących się narzędziem cyfrowym określanym mianem phisingu.
adwokat Paulina Iwanowicz
adwokat Paulina Iwanowicz
Materiały prasowe
Jest to zasadne tym bardziej, że według najświeższych badań prawie połowa Polaków nie wie czym jest phishing ani jakie działania należy podjąć w sytuacji, kiedy padło się ofiarą tego przestępczego procederu.
Tak, phishing jest przestępstwem i pomimo, że jego definicji nie znajdziemy w żadnej ustawie, w tym również w kodeksie karnym, nie oznacza to, że sprawca pozostaje bezkarny. Do odpowiedzialności może zostać pociągnięty także bank – wyjaśnia adwokat Paulina Iwanowicz.
Jak wyjaśnia prawniczka, phishing jest rodzajem oszustwa, które polega na podszyciu się pod inną osobę, bądź wiarygodną instytucję czy firmę w celu wyłudzenia poufnych informacji, np. danych logowania.
Jest to forma cyberataku, którego sprawcy wykorzystują przeróżne techniki manipulacji, zmierzające do tego, aby ofiara dobrowolnie przekazała przestępcy swoje dane.
Sprawca najczęściej podaje się za pracownika banku, kontaktując się z klientem z uwagi na rzekomą próbę wyłudzenia jego danych.
Nie trudno jest zaufać rozmówcy, tym bardziej, gdy nawet zachowując ostrożność i dokonując sprawdzenia wyświetlającego się numeru telefonu, okazuje się, że jest on taki sam jak podany na stronie internetowej banku, a także z uwagi na fakt, że rozmowa przeprowadzana jest w tonie troski i chęci pomocy.
Gdy już oszust wzbudzi zaufanie ofiary, przeprowadza ją krok po kroku przez procedurę, która rzekomo ma zabezpieczyć klienta banku przed cyberatakiem, a w rzeczywistości to właśnie rozmówca zmierza do wyłudzenia wrażliwych danych.
Przejmując w ten sposób kontrolę nad kontem bankowym ofiary, oszust często dokonuje nie tylko kradzieży zgromadzonych na nim oszczędności, ale także zaciąga w imieniu ofiary pożyczki, które przelewane są na konta tzw. ,,słupów”.
To klient banku zostanie następnie zobowiązany do jej spłaty, mimo że nigdy tych środków nie otrzymał.
– Niestety, ale najczęściej ofiara orientuje się, że ma do czynienia z oszustem kiedy jest już za późno na zablokowanie konta bowiem zazwyczaj, dopiero gdy pieniądze zaczynają znikać z rachunku. Czy w takiej sytuacji są jakiekolwiek szanse na odzyskanie utraconych środków? Zasadniczo tak - niewykluczone jednak, że będzie to wymagało wystąpienia na drogę sądową – wyjaśnia Paulina Iwanowicz.
Phising: jak dochodzić swoich praw przed sądem karnym
Jak wyjaśnia prawniczka, pomimo że w kodeksie karnym nie znajdziemy przepisu poświęconemu phishingowi, to zachowanie sprawcy realizuje znamiona oszustwa komputerowego, a więc przestępstwa spenalizowanego w art. 287 k.k.
Zgodnie z brzmieniem §1 tego przepisu ,,Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”.
Jeżeli jednak sprawca podszywa się pod ofiarę i wykorzystuje jej wizerunek - jest to wówczas przestępstwo z art. 190a § 2 k.k., który przewiduje, że
,,Kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek, inne jej dane osobowe lub inne dane, za pomocą których jest ona publicznie identyfikowana, przez co wyrządza jej szkodę majątkową lub osobistą, podlega karze pozbawienia wolności od 6 miesięcy do lat 8”.
– Osoba, która już wie, że stała się ofiarą czynu zabronionego, powinna niezwłocznie zgłosić ten fakt organom ścigania. Trzeba jednak zaznaczyć, że wykrywalność sprawców tego typu przestępstw jest niezwykle utrudniona, dlatego w praktyce często dochodzi do umorzenia postępowania karnego już na jego początkowym etapie – doradz adwokat Paulina Iwanowicz.
Co ofiara phisingu może uzyskać w sądzie cywilnym
Szanse na ,ujęcie przestępcy są niewielkie, czy oznacza to, że poszkodowany nie ma możliwości odzyskania utraconych pieniędzy?
Jak podkreśla adwokat, na szczęście przepisy prawa przewidują odpowiedzialność dostawców usług płatniczych za tzw. nieautoryzowaną transakcję. Takim dostawcą jest oczywiście bank, który na żądanie klienta powinien dokonać natychmiastowego zwrotu wybranych z rachunku środków, chyba że udowodni oszustwo ze strony klienta albo jego rażące niedbalstwo.
– Należy pamiętać, że bank powinien dokładać szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, bo taki obowiązek wynika z art. 50 ust. 2 Prawo bankowe – wskazuje Paulina Iwanowicz.
– W sytuacji zatem, gdy doszło do kradzieży oszczędności zgromadzonych na rachunku bankowym, a bank odrzucił reklamację i nie przywrócił poprzedniego stanu rachunku, poszkodowany może wystąpić na drogę cywilną, pozywając bank o zapłatę – dodaje prawniczka.
Dodatkowo zwraca uwagę na fakt, iż ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych nakłada pewne obowiązki także na użytkowników uprawnionych do korzystania z instrumentu płatniczego.
Są to m.in. obowiązek korzystania z instrumentu płatniczego zgodnie z umową ramową – w szczególności obowiązek przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym – oraz niezwłocznie zgłoszenie dostawcy lub podmiotowi wskazanemu przez dostawcę utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu (art. 42 ust. 1 i 2 ustawy o usługach płatniczych).
– W procesie zainicjowanym przez poszkodowanego klienta banku kluczowym będzie więc nie tylko wykazanie, że doszło do nieautoryzowanych transakcji (a więc takich, które nie zostały dokonane za jego wyraźną zgodą), ale także, że klient banku spełnił nałożone na niego obowiązki w aspekcie dochowania należytej staranności, o których mowa powyżej – wyjaśnia Paulina Iwanowicz.
Jeżeli zatem powód (poszkodowany) wykaże, że dochował wymaganej od niego staranności, a pomimo tego doszło do utraty środków z konta wskutek popełnienia przestępstwa przez nieustaloną osobę trzecią, która skorzystała z niewłaściwego zabezpieczenia przez bank, istnieją spore szanse na odzyskanie skradzionych pieniędzy – zwróci je bank, który przegra przed sądem sprawę.