Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Zainfekowany komputer prezesa. Wykradli kilkaset tysięcy złotych. Sąd: bank musi zwrócić część pieniędzy

15 czerwca 2023, 09:54 | W biegu | komentarzy 11
Tagi:

Sprawa z kategorii nieco dziwnych:

W marcu 2016 roku z konta firmy z Olsztyna dokonano dwóch nieautoryzowanych przelewów. Okazało się, że zainfekowany hakerskim oprogramowaniem był komputer prezesa tej spółki. Część pieniędzy udało się odzyskać, ale przelewy na ponad 220 tys. zł zostały zrealizowane; firma próbowała najpierw sprawę zakończyć polubownie, ale ostatecznie wystąpiła do sądu o zwrot części roszczenia, sięgającej 76 tys. zł plus odsetki.

Pierwsza dziwna rzecz: dlaczego w sumie nie całość kwoty tylko 76kpln?

Jednocześnie sąd uznał, że prezes spółki nie dopuścił się zaniedbań, których następstwem były owe nieautoryzowane przelewy, a ochrona pieniędzy przechowywanych w banku przez klientów nie może być obarczona ryzykiem dokonywania transakcji przez osoby nieuprawnione.

Druga dziwna rzecz: może to nie prezes zainfekował sobie komputer tylko np. jego administrator? A może jednak mamy tutaj inny trop:

Uzasadniając to orzeczenie sędzia Krzysztof Chojnowski zwracał uwagę, że obu przelewów nie autoryzował ani prezes (a taki był wymóg), ani żaden inny pracownik spółki, do której należał rachunek bankowy. Sąd jednoznacznie ocenił, że do przelewów doszło wskutek przestępstwa, bez przyczynienia się ze strony prezesa spółki ani innych jej pracowników.

Czyli część przelewów autoryzował prezes, a część nie (stąd rozjazd pomiędzy wykradzionymi kilkuset tysiącami vs 76 tysięcy do zwrotu przez bank). Nota bene powyższy akapit wygląda na scenariusz – zdalny dostęp na komputer (na zalogowaną bankowość elektroniczną) i np. wykonanie pewnych modyfikacji operacji „w locie”.

Wszystko to trochę spekulacje, które być może mogłyby być ucięte gdybyśmy dotarli do uzasadniania tego (prawomocnego) wyroku.

W ramach puenty, jednak pewne ważne przypomnienie dla wszystkich czytelników sekuraka:

Sędzia Chojnowski przypominał, że pieniądze na rachunku są własnością banku, a posiadaczowi rachunku przysługuje wobec banku roszczenie o wypłatę określonej sumy.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. target@root#

    Niby twoje pieniądze ale nie twoje

    Odpowiedz
    • Janek

      Żadne „niby”. Przekazujesz bankowi pieniądze w zamian za pewne zobowiązanie. Źle brzmi?
      No to inaczej: pożyczaj znajomemu samochód. Samochód jest twój, ale koleś jakiś lewy. Czujesz się z tym lepiej?

      Odpowiedz
  2. „pieniądze na rachunku są własnością banku”
    Pieniądze na moim rachunku nie są moje? A czyje?

    Odpowiedz
    • banku

      -> „Po wpłacie pieniędzy na rachunek bankowy posiadacza, bank uzyskuje ich własność, natomiast posiadacz rachunku odzyskuje własność pieniędzy z chwilą pobrania ich z konta, a więc przez realizację przysługującego mu roszczenia o zwrot wpłaconej kwoty (art. 725 k.c. w zw. z art. 720 k.c. i art.”

      Odpowiedz
      • Czyli mogę, żonie powiedzieć, że jestem bez grosza przy duszy :-)

        Odpowiedz
        • Adam 2

          Pieniądze są twoje tylko wtedy, gdy tylko ty je posiadasz. Jak masz je w domu, bądź zakopane w lesie.

          Cyfrowy pieniądz = NIE TWÓJ PIENIĄDZ.

          Robią na ciebie bruda jak staniesz się problematyczny, sąd orzeka, że bank nie może ci wypłacić tych środków i tracisz do nich prawo.

          Odpowiedz
      • nikt ważny

        Skoro pieniadze na rachunku są własnością banku, to dlaczego bank nie może nimi zarządzać bez zgody właściciela rachunku lub sądu? Np. wyksięgować przelewy pochodzącego z oszustwa?

        Czyżby kolejny zapis prawny, który nie nadążył za technologią? Prawo zostało w XIX wieku? Czy też może celowe działanie piszących prawo, którzy mylą autoryzacje z uwierzytelnieniem?

        Odpowiedz
  3. Piotr

    Prawidłowa interpretacja Sądu. Dyrektywa PSD2 wymaga silnego uwierzyteniania klienta SCA przy płatnościach, jak np .przelewy. Jeśli klient nie użył SCA (przynajmniej 2 różne składniki: np hasło i token w aplikacji mobilnej), to nie „autoryzował” płatności, więc bank nie powinien zrealizować tych płatności.
    Widocznie, niektóre przelewy były z SCA, a inne nie. Samo haslo do bankowości elektronicznej bylo pewnie wprowadzone przez klienta, lub przejete przez malware.
    Rachunki firmowe są bardziej rozbudowane i SCA mogą też róznie wyglądać.

    Odpowiedz
    • Michał

      PSD2 w Polsce obowiązuje od 14 września 2019 r.

      Odpowiedz

Odpowiedz