Ako je to s phishingom?

Krajský súd v Trenčíne rozhodol v júni s definitívnou platnosťou o prípade phishingu z roku 2010. V danom prípade sa poškodený klient Všeobecnej úverovej banky domáhal od banky náhrady sumy 3000 eur, o ktorú ho obrali podvodníci.

Okresný súd v Trenčíne v prvostupňovom rozsudku z 8. marca 2012, pod č. k. 21C/1432011-109 opísal prípad takto: „...počítač, z ktorého sa do internet bankingu poškodený prihlasoval, bol infikovaný počítačovým vírusom, ktorý sa v počítači aktivoval a v internetovom prehliadači generoval stránku snažiacu sa napodobniť dizajn stránok internetového bankovníctva VÚB.

Účelom tejto podvodnej stránky bolo ľsťou vylákať citlivé autentifikačné údaje a následne ich poslať neznámemu páchateľovi. Neprimeraným zabezpečením počítača voči škodlivým vírusom boli dobrovoľne zverené bezpečnostné prvky neznámemu podvodníkovi. Ten sa neskôr prihlásil pomocou prihlasovacích údajov do internet bankingu a zadal jednorazovú platbu. Následne kontaktoval žalobcu, predstavil sa ako pracovník banky a informoval ho, že banka zaregistrovala pokus o zrealizovanie podozrivej transakcie a na jej zrušenie je potrebné uviesť údaj - pozíciu GRID karty.

Žalobcom poskytnutý autorizačný prvok - pozíciu GRID karty - použil páchateľ na autorizáciu zadanej platby. Žalobca potvrdil, že v nedeľu mu osoba tvrdiaca, že je zamestnancom banky, oznámila, že na jeho účte prebiehajú prostredníctvom bankomatovej karty podozrivé operácie, a v ten deň mu opätovne telefonovala takáto osoba, opätovne tvrdila, že na jeho účte prebiehajú podozrivé pohyby, a na účel zablokovania kreditnej karty si vyžiadala autentifikačný kód z SMS správy.

Tento údaj poskytol a následne na druhý deň, 06. 12. 2010, uplatnil v banke reklamáciu. Bežný klient banky s priemernými znalosťami práce s počítačom nemusí mať dostatok odborných vedomostí na to, aby rozpoznal, že pracuje s fiktívnou stránkou internetového bankovníctva vygenerovanou vírusom, alebo aby poznal do podrobností pracovné postupy banky. Žalobca neudelil súhlas s vykonávaním sporných bankových operácií, a preto ich nemožno považovať za autorizované platobné operácie, pričom najbližší možný deň 06. 12. 2010 uplatnil osobne v banke reklamáciu k pohybom na účte, ku ktorým neudelil súhlas.

Práve žalovaný potvrdil, že neoprávnené transakcie platobnou kartou boli realizované v čase od 06. 12. 2010 do 15. 12. 2010, teda po uplatnenej reklamácii."
Prvostupňový súd rozhodol v prospech klienta, banka sa proti rozhodnutie odvolala na Krajský súd v Trenčíne, ktorý prvostupňový rozsudok potvrdil. Celý jeho rozsudok si môžete prečítať na http://otvorenesudy.sk/decrees/761/document.

Podstatou rozhodnutia bol spor o aplikáciu § 12 zákona č. 492/2009 Z. z. o platobných službách a o zmene a doplnení niektorých zákonov. Ten upravuje zodpovednosť za straty neautorizovanými platobnými operáciami pri nedbanlivosti (do 100 eur), pri podvodnom konaním, úmyselnom nesplnení jednej alebo viacerých povinností (všetky straty) a po oznámení o strate, odcudzení, zneužití alebo neautorizovanom použití platobného prostriedku (nijaké). Klient banky sa domáhal náhrady sumy zníženej o 100 eur, banka tvrdila, že má znášať celú stratu.

Veľmi podrobnú analýzu prípadu nájdete na stránkach European Information Society Institute (EISI) na http://blog.eisionline.org/2013/09/20/zodpoveda-za-pshishingom-ukradnute-peniaze-banka-alebo-klient/.
Peter Kováč