Czym jest phishing i co zrobić, gdy padło się jego ofiarą?

Najnowsze badania statystyczne dowodzą, że prawie połowa Polaków nie wie, czym jest phishing ani jakie działania należy podjąć w sytuacji, kiedy padło się ofiarą tego przestępczego procederu. Tak – phishing jest przestępstwem i, pomimo że jego definicji nie znajdziemy w żadnej ustawie, w tym również w Kodeksie karnym – nie oznacza to jednak, że sprawca pozostaje bezkarny. Do odpowiedzialności może zostać pociągnięty także bank.

Phishing jest rodzajem oszustwa, które polega na podszyciu się pod inną osobę, bądź wiarygodną instytucję czy firmę w celu wyłudzenia poufnych informacji (np. danych logowania). Jest to forma cyberataku, którego sprawcy wykorzystują przeróżne techniki manipulacji, zmierzające do tego, aby ofiara dobrowolnie przekazała przestępcy swoje dane.

Sprawca najczęściej podaje się za pracownika banku, kontaktując się z klientem z uwagi na rzekomą próbę wyłudzenia jego danych. Nie trudno jest zaufać rozmówcy, tym bardziej, gdy nawet zachowując ostrożność i dokonując sprawdzenia wyświetlającego się numeru telefonu, okazuje się, że jest on taki sam jak podany na stronie internetowej banku, a także z uwagi na fakt, że rozmowa przeprowadzana jest w tonie troski i chęci pomocy.

Gdy już oszust wzbudzi zaufanie ofiary, przeprowadza ją krok po kroku przez procedurę, która rzekomo ma zabezpieczyć klienta banku przed cyberatakiem, a w rzeczywistości to właśnie rozmówca zmierza do wyłudzenia wrażliwych danych.

Przejmując w ten sposób kontrolę nad kontem bankowym ofiary, oszust często dokonuje nie tylko kradzieży zgromadzonych na nim oszczędności, ale także zaciąga w imieniu ofiary pożyczki, które przelewane są na konta tzw. „słupów”. To klient banku zostanie następnie zobowiązany do jej spłaty, mimo że nigdy tych środków nie otrzymał.

Niestety, ale najczęściej ofiara orientuje się, że ma do czynienia z oszustem, kiedy jest już za późno na zablokowanie konta bowiem zazwyczaj, dopiero gdy pieniądze zaczynają znikać z rachunku. Czy w takiej sytuacji są jakiekolwiek szanse na odzyskanie utraconych środków? Zasadniczo tak – niewykluczone jednak, że będzie to wymagało wystąpienia na drogę sądową.

Miejsce na Twoją reklamę

Droga karna

Pomimo że w Kodeksie karnym nie znajdziemy przepisu poświęconemu „phishingowi”, to zachowanie sprawcy realizuje znamiona oszustwa komputerowego, a więc przestępstwa spenalizowanego w art. 287 k.k. Zgodnie z brzmieniem §1 tego przepisu „Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”.

Jeżeli sprawca podszywa się pod ofiarę i wykorzystuje jej wizerunek – jest to wówczas przestępstwo z art. 190a § 2 k.k., który przewiduje, że „Kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek, inne jej dane osobowe lub inne dane, za pomocą których jest ona publicznie identyfikowana, przez co wyrządza jej szkodę majątkową lub osobistą, podlega karze pozbawienia wolności od 6 miesięcy do lat 8”.

Osoba, która już wie, że stała się ofiarą czynu zabronionego, powinna niezwłocznie zgłosić ten fakt organom ścigania. Trzeba jednak zaznaczyć, że wykrywalność sprawców tego typu przestępstw jest niezwykle utrudniona, dlatego w praktyce często dochodzi do umorzenia postępowania karnego już na jego początkowym etapie.

Droga cywilna

Szanse na „schwytanie” przestępcy są niewielkie – czy oznacza to, że poszkodowany nie ma możliwości odzyskania utraconych pieniędzy? Na szczęście przepisy prawa przewidują odpowiedzialność dostawców usług płatniczych za tzw. nieautoryzowaną transakcję. Takim dostawcą jest oczywiście bank, który na żądanie klienta powinien dokonać natychmiastowego zwrotu wybranych z rachunku środków, chyba że udowodni oszustwo ze strony klienta albo jego rażące niedbalstwo.

Należy pamiętać, że bank powinien dokładać szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych – taki obowiązek wynika z art. 50 ust. 2 Prawo bankowe. W sytuacji zatem, gdy doszło do kradzieży oszczędności zgromadzonych na rachunku bankowym, a bank odrzucił reklamację i nie przywrócił poprzedniego stanu rachunku, poszkodowany może wystąpić na drogę cywilną, pozywając bank o zapłatę.

Trzeba pamiętać, że ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych nakłada obowiązki także na użytkowników uprawnionych do korzystania z instrumentu płatniczego. Są to m.in. obowiązek korzystania z instrumentu płatniczego zgodnie z umową ramową (w szczególności obowiązek przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym) oraz niezwłocznie zgłoszenie dostawcy lub podmiotowi wskazanemu przez dostawcę utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu (art. 42 ust. 1 i 2 ustawy o usługach płatniczych).

W procesie zainicjowanym przez poszkodowanego klienta banku kluczowym będzie więc nie tylko wykazanie, że doszło do nieautoryzowanych transakcji (a więc takich, które nie zostały dokonane za jego wyraźną zgodą), ale także, że klient banku spełnił nałożone na niego obowiązki w aspekcie dochowania należytej staranności, o których mowa powyżej.

Jeżeli zatem powód wykaże, że dochował wymaganej od niego staranności, a pomimo tego doszło do utraty środków z konta wskutek popełnienia przestępstwa przez nieustaloną osobę trzecią, która skorzystała z niewłaściwego zabezpieczenia przez bank, istnieją spore szanse na odzyskanie skradzionych pieniędzy.