Jak opisała „Rzeczpospolita”, proceder trwał od maja do października 2023 roku. Cyberprzestępcy przejęli dane jednej z pięciu kart obciążeniowych należących do spółki gastronomicznej. Kartą posługiwali się zarówno pracownicy, jak i prezes przedsiębiorstwa.
Firma osiągała wielomilionowe obroty, a płatności kartowe były realizowane bardzo często. Wykorzystywano je przede wszystkim do zakupu paliwa oraz zaopatrzenia w hurtowniach. Oszuści wykorzystali ten fakt. Nie wykonywali pojedynczych dużych przelewów ani kosztownych zakupów. Zamiast tego realizowali liczne transakcje o wartości od około 80 do 450 euro.
Dodatkowo płatności były wykonywane głównie w godzinach nocnych. W rezultacie nieautoryzowane operacje przez wiele miesięcy pozostawały niezauważone.
Podejrzane transakcje w Kenii, Ugandzie i Kambodży
Szczególnie istotne okazały się miejsca, w których wykorzystywano dane przejętej karty. Według ustaleń opisanych przez „Rzeczpospolitą” płatności realizowano między innymi u sprzedawców z Estonii, Kenii, Ugandy, Uzbekistanu, Francji, Wielkiej Brytanii, Belgii, Nigerii i Kambodży.
Eksperci od bezpieczeństwa finansowego od lat wskazują, że banki wykorzystują zaawansowane systemy monitorowania transakcji, w tym tzw. biometrię behawioralną oraz algorytmy analizujące nietypowe zachowania klientów. Takie rozwiązania mają wykrywać odstępstwa od standardowego sposobu korzystania z kart płatniczych.
W tej sprawie karta należąca do polskiej firmy, używana zwykle do zakupów paliwa i towarów w kraju, nagle zaczęła służyć do realizacji nocnych transakcji w odległych państwach Afryki i Azji. Mimo to systemy bezpieczeństwa nie zablokowały operacji ani nie uruchomiły dodatkowej procedury weryfikacyjnej.
Reklamacja odrzucona przez bank
Po wykryciu strat przedsiębiorca zażądał zwrotu utraconych środków. Łączna wartość nieautoryzowanych transakcji wyniosła około 95 tys. zł.
Bank odmówił jednak uznania reklamacji. Argumentował, że właściciel firmy zbyt późno zauważył nieprawidłowości i powinien na bieżąco kontrolować wyciągi. Wskazywał również, że użytkownik karty mógł samodzielnie ograniczyć ryzyko, ustawiając limit transakcji internetowych na poziomie 0 zł.
Instytucja twierdziła ponadto, że operacje były potwierdzane za pomocą kodów SMS. W toku postępowania pojawiły się jednak poważne wątpliwości dotyczące numeru telefonu przypisanego do karty.
Bezprawne przypisanie numeru telefonu
Sąd ustalił, że karta została wydana w sierpniu 2019 roku. Tymczasem bank przekonywał, że numer telefonu przypisano do niej już w 2017 roku, co samo w sobie budziło wątpliwości.
W trakcie procesu wykazano, że instytucja finansowa samodzielnie powiązała z kartą prywatny numer telefonu należący do żony jednego z pracowników spółki. Kobieta posiadała własne konto w tym samym banku. Co istotne, nie przedstawiono dowodów na to, że przedsiębiorca lub użytkownicy karty zlecili takie powiązanie.
Sąd zwrócił również uwagę na inny problem. Bank realizował część transakcji mimo przekroczenia dziennego limitu wynoszącego 3 tys. zł.
Ostrzeżenie od Visa i brak reakcji banku
Jednym z najważniejszych elementów postępowania okazały się informacje dotyczące możliwego wycieku danych karty. Jak wskazała cytowana przez „Rzeczpospolitą” adwokat Ewa Hanusz-Gintowt reprezentująca przedsiębiorcę, karta była wcześniej wykorzystywana do opłacania noclegów za pośrednictwem platformy Booking.
W maju 2023 roku operator płatniczy Visa miał poinformować bank, że dane tej karty mogły zostać przejęte w wyniku incydentu bezpieczeństwa. Instytucja finansowa opublikowała jedynie komunikat na swojej stronie internetowej. Nie zdecydowała się natomiast na blokadę karty ani bezpośrednie ostrzeżenie klienta.
Specjaliści od cyberbezpieczeństwa od lat podkreślają, że szybka wymiana kart po wykryciu potencjalnego wycieku danych jest jedną z podstawowych metod ograniczania strat finansowych. W tym przypadku taka procedura nie została zastosowana.
Wyrok korzystny dla przedsiębiorcy
Po analizie wszystkich okoliczności sąd przyznał rację przedsiębiorcy. Nakazał bankowi zwrot utraconych środków wraz z odsetkami. Łączna kwota zasądzona na rzecz spółki wyniosła około 114 tys. zł.
Dodatkowo instytucja została obciążona kosztami procesu w podwójnej wysokości. Orzeczenie pokazuje, że banki mają obowiązek nie tylko realizować transakcje klientów, ale również skutecznie reagować na sygnały wskazujące na możliwe oszustwo, zwłaszcza gdy charakter operacji znacząco odbiega od dotychczasowej aktywności posiadacza karty.
Komentarze (0)