Phishing – odpovídá za ztrátu banka nebo majitel účtu?
Digitalizace světa a rozvoj informačních a telekomunikačních technologií přináší vedle očividných pozitivit také určitá negativa, mezi která patří mimo jiné kybernetická kriminalita a kriminalita v on-line prostředí obecně.
Několik posledních let dochází k výraznému nárustů této kriminality v podobě phishingových útoků. Ve dvou článcích této série se budeme věnovat vztahu banky a klienta banky, který se stal terčem phishingového útoku.
V tomto článku se zaměříme na to, kdo vlastní peněžní prostředky vedené na bankovním účtu, jak by měla banka postupovat v rámci reklamace a jaká jsou zákonná pravidla pro určení toho, kdo odpovídá za ztrátu peněžních prostředků při phishingovém útoku.
Co je to phishing?
Phishing je kybernetický útok kterým se útočníci pokouší získat údaje jako jsou například přístupové údaje k internetovému bankovnictví, kreditní kartě a jiné důvěrné údaje, které by mohli využít především k získání peněžních prostředků od obětí jejich útoku.
Nejčastěji dochází k tomuto útoku prostřednictvím e-mailových zpráv, kdy útočníci využijí určitou známou značku (např. web či aplikaci) a zasílají podvodné e-maily, které se tváří jako důvěryhodné zprávy od dané značky. Podvodná e-mailová zpráva například informuje, že pro využití dané služby je nutné zadat své platební údaje, k tomu pak zpráva obsahuje proklik na webovou stránku, která na první pohled vypadá naprosto stejně jako oficiální webová stránka přihlášení do internetového bankovnictví dané banky, avšak jedná se o falešnou webovou stránku. Při vyplnění přihlašovacích údajů do internetového bankovnictví na této webové stránce se tyto údaje odešlou podvodníkům, kteří je následně využijí k získání peněžních prostředků z daného účtu. K odvodu peněžních prostředků z účtu útočníci často využívají také mobilní aplikace smartbanking, které si aktivují na svých mobilních zařízeních prostřednictvím podvodně získaného přístupu do internetového bankovnictví obětí.
Takto odvedené peněžní prostředky jsou dále přeposílány útočníky tak, že jsou prakticky již nedohledatelné a banka ani policie není schopna tyto peněžní prostředky zajistit a vrátit majiteli účtu, který se stal obětí phishingového útoku. Policie není schopna identifikovat a nalézt pachatele útoku, a proto oběť phishingového útoku nemůže ani očekávat, že se dočká náhrady škody od pachatele.
Oběť phishingového útoku se však může obrátit na svou banku, která vede napadený bankovní účet.
Tak čí to teda jsou peníze?
V první řádě je třeba uvést, že již několikrát bylo Nejvyšším soudem postaveno najisto, že peněžní prostředky vedené na bankovním účtu na základě smlouvy o běžném účtu nebo na základě smlouvy o vkladovém účtu jsou ve vlastnictví banky. Majitel účtu, tedy klient banky, má vůči bance pohledávku, na základě které má nárok na výplatu peněžních prostředků ve výši vedené na tomto účtu.
Pokud tedy budou na základě phishingového útoku z bankovního účtu podvodně odvedeny peněžité prostředky, je to primárně banka, které tímto vzniká škoda, neboť to byly její peněžní prostředky, které byly takto podvodně získány.
Reklamace
Majitel účtu, který se stal obětí phishingového útoku se vedle policie může obrátit také na svou banku, která pro něj daný účet vede.
Až na výjimečné případy musí být každá platební transakce majitelem účtu autorizována, tzn. musí k ní udělit souhlas. Pokud útočník v rámci phishingového útoku provede podvodně platby z účtu, tzn. bez souhlasu majitele účtu, jedná se o tzv. neautorizovanou platební transakci.
Takovouto neautorizovanou transakcí může majitel účtu u své banky reklamovat právě z důvodu, že k této transakci neudělil souhlas. Banka je povinna reklamaci přijmout, vyřídit ji za podmínek stanovených v právních předpisech a ve své smluvní dokumentaci a o výsledku reklamace informovat svého klienta.
Banka musí vyřídit reklamaci do 15 pracovních dní po jejím obdržení. V případě, že bance brání k vyřízení reklamace v této době překážka nezávislá na její vůli, může banka prodloužit tuto dobu až na 35 pracovních dní po obdržení reklamace. O tomto prodloužení musí svého klienta banka informovat a sdělit mu, o jaké překážky se jedná.
Banka musí ve výše uvedené době informovat svého klienta o tom, zda reklamaci uznává za oprávněnou a nahradí svému klientovi ztrátu způsobenou phishingovým útokem, či o tom, že reklamaci neuznává.
Rozhodnutí banky o reklamaci musí být odůvodněné, a zejména v případě neuznání reklamace musí banka odůvodnit, na základě jakých skutečností a z jakých právních důvodů vyhodnotila reklamaci za neoprávněnou.
Banka musí dále doložit podklady prokazující její tvrzení a závěry, a také musí klientovi doložit, jakým způsobem byly podvodně provedené transakce autorizovány. Nakonec by měla banka poučit svého klienta o tom, jak může dále postupovat.
Postoj bank
Banky se k phishignovým útokům staví zpravidla tak, že za ztrátu peněžních prostředků neodpovídají a banky nechtějí svým klientům odcizené peněžní prostředky vracet, resp. nahrazovat způsobenou ztrátu.
Banky zpravidla argumentují tím, že provedení podvodu umožnil jejich klient, neboť nedodržel pravidla bezpečnosti.
Níže se podíváme na to, zdali takovéto stanovisko bank má svou právní oporu a v jakých případech by měl ztrátu nést klient, a kdy by ji měla nést banka.
Odpovědnost za ztrátu
Kdo odpovídá za ztrátu způsobenou neautorizovanou transakcí upravuje zákon o platebním styku. Základní odpovědnost za správné vedení bankovního účtu a nakládání s prostředky na účtu klienta nese banka.
V případě neautorizované transakce provedené v rámci phishingového útoku má banka povinnost vrátit svému klientovi částku ve výši podvodně provedené platební transakce, včetně případné úplaty a ušlých úroků, pokud není tato odpovědnost přenesena za zákonem stanovených podmínek na klienta banky.
Zákon o platebním styku vymezuje případy, kdy ztrátu z neautorizované transakce namísto banky ponese klient. Dle tohoto zákona ponese ztrátu klient pokud:
- klient způsobil ztrátu svým podvodným jednáním, nebo
- tím, že úmyslně nebo z hrubé nedbalosti porušil svou povinnost používat platební prostředek (např. platební kartu či internetové bankovnictví) v souladu se smlouvou, zejména poruší opatření na ochranu jeho osobních bezpečností prvků, a poruší povinnost oznámit bance ztrátu, odcizení, zneužití nebo neoprávněné použití platebního prostředku.
Právě o výše uvedený druhý bod se opírají banky, když odmítají nahradit ztrátu svým klientům po phishingovém útoku. Banky mají ve své smluvní dokumentaci ustanovení, která stanovují klientům pravidla bezpečnosti a upozorňují je na poskytování svých bezpečnostních prvků, zejména přihlašovacích údajů, a zpravidla i přímo upozorňují na riziko útoků a podvodných e-mailů.
Banky na základě tohoto zákonného ustanovení činí závěr, že ztrátu nese klient, jelikož poskytl při phishingovém útoku útočníkům své přístupové údaje a učinil kroky, kterými umožnil útočníkům převést platební prostředky z jeho účtu, a porušil tak z hrubé nedbalosti pravidla bezpečnosti stanovená ve smluvní dokumentaci uzavřené s bankou.
Hrubá nedbalost
Hrubou nedbalost je možné charakterizovat jako nedbalost nejvyšší intenzity, kdy daná osoba poruší vyžadovanou opatrnost v neobyčejně vysoké míře, bez povšimnutí toho, co musí být zcela jasné každému.
Při vyřizování reklamace neautorizované platby provedené v rámci phishingového útoku se lze setkat s tím, že banka konstatuje, že došlo k porušení smlouvy z hrubé nedbalosti, aniž by byl tento závěr řádně odůvodněn.
Podstata phishingového útoku však vyplývá z toho, že útočnici využívají sofistikované sociální inženýrství a věrné kopie internetových stránek bank, což pro podvedeného klienta banky ztěžuje jeho schopnost rozpoznat, že se jedná o phishingový útok. Klient tak může jednat v rámci phishingového útoku s běžnou opatrností a stát se i tak obětí tohoto útoku.
Nelze proto přijmout universální závěr, že poskytnutí přístupových údajů a jiné kroky učiněné podvedeným klientem v rámci phisingového útoku splňují v každém případě znaky jednání v hrubé nedbalosti.
Povaha phishingového útoku a skutkové okolnosti mohou být takové, že klient nejednal nedbale vůbec nebo jednal pouze v rámci běžné nedbalosti. Stanovit jaké konkrétní jednání klienta lze považovat za běžnou nedbalost a jaké jednání již naplňuje znaky hrubé nedbalosti nemusí být vůbec jednoduché.
Je to však banka, která musí odůvodnit a doložit, jakými konkrétními kroky porušil její klient určitou konkrétní povinnost, a proč naplňuje takové jednání kritéria hrubé nedbalosti, nikoli obyčejné nedbalosti.
Zdali jednání podvedeného klienta banky naplní znaky hrubé nedbalosti bude záležet na konkrétních skutkových okolnostech případu, zejména jakou podobu měl phishingový útok a jaké kroky učinil klient v rámci phishingového útoku.
Pokud se bance podaří odůvodnit a doložit, že její klient jednal v rámci phishingového útoku v hrubé nedbalosti, nese způsobenou ztrátu klient a klient nemá vůči bance nárok na nahrazení této ztráty.
I z tohoto pravidla jsou zde však výjimky, kdy ztrátu ponese stále banka i v případě, že její klient jednal v hrubé nedbalosti. Tyto výjimky si přiblížíme blíže v druhém článku této série, ve kterém také uvedeme, jak je možné postupovat v případě zamítnutí reklamace.