ANALIZA

Ani prawo bankowe, ani ustawa o elektronicznych instrumentach płatniczych nie uregulowały odpowiedzialności banków związanej z ryzykiem transakcji związanych z użytkowaniem kont internetowych. Przepisy ustawy o elektronicznych instrumentach płatniczych określają jedynie odpowiedzialność banków za nieautoryzowane użycie kart płatniczych. Banki twierdzą, że zabezpieczenia przed włamaniami hakerów są niezawodne. Czy użytkownikom kont internetowych wystarczy bankierskie słowo honoru?

Luka prawna

- Do tej pory nie było potrzeby tworzenia prawnej ochrony transakcji na kontach internetowych - twierdzą eksperci Związku Banków Polskich.

Przypadków kradzieży pieniędzy z kont elektronicznych jest, ich zdaniem, mało w porównaniu z oszukańczymi transakcjami za pomocą kart płatniczych. Dlatego prawo bankowe nic nie mówi o odpowiedzialności za ryzyka związane z wykonywaniem przelewów w internecie.

- Nie ma podstaw, by Polska występowała przed szereg i tworzyła przepisy w tym zakresie, tym bardziej że zabezpieczenia operacji na kontach internetowych w bankach są solidne - wskazuje Jerzy Bańka, dyrektor ds. legislacyjno-prawnych w Związku Banków Polskich.

Przeciwnego zdania jest Robert Kępczyński, starszy konsultant IBM Polska, który twierdzi, że ryzyko utraty środków z internetowych kont już dziś jest znaczne i stale rośnie.

- Większa liczba oszukańczych przelewów doprowadzi w końcu do nagłośnienia sporów pomiędzy bankami internetowymi a ich klientami oraz do skokowego wycofywania się klientów z wykorzystywania tego typu usług. Dopiero wtedy, pod presją sytuacji, ustawodawca ureguluje odpowiedzialność za ryzyko przelewów on-line - przewiduje.

Nieautoryzowane przelewy

Po przelewie wykonanym on-line nie pozostają trwałe ślady materialne.

- Nie ma żadnych danych zarówno po stronie banku, jak i po stronie klienta, które pozwoliłyby odtworzyć przeprowadzoną operację; jedynie zapisy na dyskach bankowych komputerów, które można łatwo zmienić - zauważa Robert Kępczyński.

Taka sytuacja uniemożliwia, jego zdaniem, skuteczne reklamowanie ewentualnych nieautoryzowanych transakcji. Tymczasem ryzyko ich wystąpienia rośnie z każdym miesiącem wraz z nabywaniem przez hakerów i internetowych oszustów wprawy.

- Świadczą o tym coraz większe kwoty, które znikają z elektronicznych kont - zaznacza Robert Kępczyński.

Banki starają się ograniczać ryzyko nieautoryzowanych przelewów on-line, wpisując do umów z klientami zasady bezpiecznego użytkowania internetowego konta. Jednak ich przestrzeganie nie eliminuje ryzyka.

Połowiczne rozwiązania

- Reklamacje się zdarzają - przyznaje Grzegorz Adamski z biura prasowego BZ WBK.

- Zazwyczaj są związane z brakiem znajomości systemu lub zasad, na jakich odbywają się transakcje w internecie, np. w sprawie wycofania zaksięgowanego już przelewu - dodaje.

Z kolei Tomasz Bogusławski z biura relacji z mediami Banku Pekao zaznacza, że bank ten aktywnie działa na rzecz edukowania klientów na temat bezpiecznego korzystania z bankowości elektronicznej.

- Największym ryzykiem, z jakim mogą się spotkać użytkownicy e-banku, jest kradzież tożsamości, czyli podstępne wyłudzenie poufnych danych (loginów i haseł), które otwierają drogę do przeprowadzenia operacji na kontach - uważa Tomasz Bogusławski.

MultiBank w umowach z klientami zastrzega wprost, że nie ponosi odpowiedzialności za skutki wynikłe z ujawnienia osobie trzeciej identyfikatora i hasła, które toruje dostęp do konta.

- Na mocy umowy posiadacz konta elektronicznego nie może podważyć autentyczności dyspozycji złożonej za pomocą prawidłowego identyfikatora i hasła - podkreśla Łukasz Kling z biura prasowego MultiBanku.

- Banki wymagają od użytkowników internetowych kont przestrzegania zasad bezpiecznego prowadzenia operacji i w ten sposób przerzucają na nich odpowiedzialność za ryzyko. Błąd może przecież nieświadomie popełnić nawet użytkownik zachowujący zasady bezpieczeństwa - twierdzi Robert Kępczyński.

Metoda hakerów

W czerwcu ogłoszono alarm dla klientów PKO BP. Hakerzy zaatakowali ich konta przy użyciu mechanizmu, który łączył kilka technik, w tym sposób na wyłudzenie haseł jednorazowych. Atak rozpoczynał się od zachęcenia klientów do aktualizacji programu Flash Player. Plik pobrany jako aktualizacja był trojanem, dzięki któremu hakerzy mogli przekierować swoje ofiary na dowolną stronę www, w tym na stronę imitującą bankowy serwis transakcyjny. Po zalogowaniu się tam użytkowników kont przestępcy otwierali przed nimi kolejną stronę, na której prosili swoje ofiary o podanie pięciu kolejnych haseł jednorazowych. Po uzyskaniu tych informacji mieli już dane do wykonania przelewów.

KRZYSZTOF POLAK

krzysztof.polak@infor.pl

PODSTAWA PRAWNA

• Ustawa z 12 września 2002 r. o elektronicznych instrumentach płatniczych (Dz.U. nr 169, poz. 1385).

• Ustawa z 29 sierpnia 2002 r. Prawo bankowe (Dz.U. nr 72, poz. 665).

OPINIA

Joanna Majer-Skorupa

rzecznik ING Banku Śląskiego

W przypadku nieupoważnionego użycia karty płatniczej banki gwarantują ich użytkownikom ochronę. Wynika to z ustawy o elektronicznych instrumentach płatniczych. Zgodnie z jej przepisami, banki ponoszą odpowiedzialność za nieupoważnione użycie karty po jej zastrzeżeniu powyżej kwoty stanowiącej równowartość 150 euro. Ochrona jest świadczona przez banki, pod warunkiem że użytkownik należycie chronił kartę i PIN oraz niezwłocznie zgłosił fakt jej utraty lub zniszczenia. Użytkownik powinien też wypełnić inne warunki, określone w ustawie i w regulacjach banku. W przypadku prawdopodobieństwa skradzenia karty należy ten fakt niezwłocznie zgłosić na policję i uzyskać od policji dokument potwierdzający zgłoszenie.