Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
Zainfekowany komputer prezesa. Wykradli kilkaset tysięcy złotych. Sąd: bank musi zwrócić część pieniędzy
Sprawa z kategorii nieco dziwnych:
W marcu 2016 roku z konta firmy z Olsztyna dokonano dwóch nieautoryzowanych przelewów. Okazało się, że zainfekowany hakerskim oprogramowaniem był komputer prezesa tej spółki. Część pieniędzy udało się odzyskać, ale przelewy na ponad 220 tys. zł zostały zrealizowane; firma próbowała najpierw sprawę zakończyć polubownie, ale ostatecznie wystąpiła do sądu o zwrot części roszczenia, sięgającej 76 tys. zł plus odsetki.
Pierwsza dziwna rzecz: dlaczego w sumie nie całość kwoty tylko 76kpln?
Jednocześnie sąd uznał, że prezes spółki nie dopuścił się zaniedbań, których następstwem były owe nieautoryzowane przelewy, a ochrona pieniędzy przechowywanych w banku przez klientów nie może być obarczona ryzykiem dokonywania transakcji przez osoby nieuprawnione.
Druga dziwna rzecz: może to nie prezes zainfekował sobie komputer tylko np. jego administrator? A może jednak mamy tutaj inny trop:
Uzasadniając to orzeczenie sędzia Krzysztof Chojnowski zwracał uwagę, że obu przelewów nie autoryzował ani prezes (a taki był wymóg), ani żaden inny pracownik spółki, do której należał rachunek bankowy. Sąd jednoznacznie ocenił, że do przelewów doszło wskutek przestępstwa, bez przyczynienia się ze strony prezesa spółki ani innych jej pracowników.
Czyli część przelewów autoryzował prezes, a część nie (stąd rozjazd pomiędzy wykradzionymi kilkuset tysiącami vs 76 tysięcy do zwrotu przez bank). Nota bene powyższy akapit wygląda na scenariusz – zdalny dostęp na komputer (na zalogowaną bankowość elektroniczną) i np. wykonanie pewnych modyfikacji operacji „w locie”.
Wszystko to trochę spekulacje, które być może mogłyby być ucięte gdybyśmy dotarli do uzasadniania tego (prawomocnego) wyroku.
W ramach puenty, jednak pewne ważne przypomnienie dla wszystkich czytelników sekuraka:
Sędzia Chojnowski przypominał, że pieniądze na rachunku są własnością banku, a posiadaczowi rachunku przysługuje wobec banku roszczenie o wypłatę określonej sumy.
…
~ms
Niby twoje pieniądze ale nie twoje
Żadne „niby”. Przekazujesz bankowi pieniądze w zamian za pewne zobowiązanie. Źle brzmi?
No to inaczej: pożyczaj znajomemu samochód. Samochód jest twój, ale koleś jakiś lewy. Czujesz się z tym lepiej?
„pieniądze na rachunku są własnością banku”
Pieniądze na moim rachunku nie są moje? A czyje?
banku
-> „Po wpłacie pieniędzy na rachunek bankowy posiadacza, bank uzyskuje ich własność, natomiast posiadacz rachunku odzyskuje własność pieniędzy z chwilą pobrania ich z konta, a więc przez realizację przysługującego mu roszczenia o zwrot wpłaconej kwoty (art. 725 k.c. w zw. z art. 720 k.c. i art.”
Czyli mogę, żonie powiedzieć, że jestem bez grosza przy duszy :-)
Pieniądze są twoje tylko wtedy, gdy tylko ty je posiadasz. Jak masz je w domu, bądź zakopane w lesie.
Cyfrowy pieniądz = NIE TWÓJ PIENIĄDZ.
Robią na ciebie bruda jak staniesz się problematyczny, sąd orzeka, że bank nie może ci wypłacić tych środków i tracisz do nich prawo.
Skoro pieniadze na rachunku są własnością banku, to dlaczego bank nie może nimi zarządzać bez zgody właściciela rachunku lub sądu? Np. wyksięgować przelewy pochodzącego z oszustwa?
Czyżby kolejny zapis prawny, który nie nadążył za technologią? Prawo zostało w XIX wieku? Czy też może celowe działanie piszących prawo, którzy mylą autoryzacje z uwierzytelnieniem?
To już musi się prawnik wypowiedzieć (albo ktoś kto ma chwilę na dłuższe googlowanie ;)
A czasem może dysponować, np.:
„w razie zagrożenia bankructwem, bank może przejąć pieniądze z twojego rachunku czy lokat. I to całkiem legalnie”
https://www.dziennikprawny.pl/pl/a/masz-pieniadze-na-koncie-czy-lokacie-bank-ma-prawo-przejac-je-na-zawsze-zobacz-kiedy-bank-moze-odebrac-twoje-pieniadze
W nosie i nie tylko mam czy bank upadnie czy nie, ich sprawa. Nie ich kasa. Zwykła kradzież.
Prawidłowa interpretacja Sądu. Dyrektywa PSD2 wymaga silnego uwierzyteniania klienta SCA przy płatnościach, jak np .przelewy. Jeśli klient nie użył SCA (przynajmniej 2 różne składniki: np hasło i token w aplikacji mobilnej), to nie „autoryzował” płatności, więc bank nie powinien zrealizować tych płatności.
Widocznie, niektóre przelewy były z SCA, a inne nie. Samo haslo do bankowości elektronicznej bylo pewnie wprowadzone przez klienta, lub przejete przez malware.
Rachunki firmowe są bardziej rozbudowane i SCA mogą też róznie wyglądać.
PSD2 w Polsce obowiązuje od 14 września 2019 r.