Oszustwo na kupującego. Kobieta straciła 12 200 zł po kliknięciu w link

Spis treści

1. Jak doszło do oszustwa?
2. Błyskawiczna seria transakcji
3. Bank odmówił zwrotu środków
4. Co na to prawo?
5. Precedensy sądowe na korzyść klientów
6. Jak nie dać się oszukać?

Jak doszło do oszustwa?

Historia rozpoczęła się, gdy córka pani Elżbiety wystawiła na sprzedaż zabawki Lego. Krótko po publikacji ogłoszenia odezwał się potencjalny kupujący, który poprosił o podanie numeru telefonu, tłumacząc, że jest to wymagane przez portal w celu realizacji płatności za przedmiot.

Oszust wysłał link, który rzekomo miał służyć do wygenerowania etykiety wysyłkowej. Na telefon pani Elżbiety przyszła wiadomość SMS, którą kobieta uznała za komunikat od przewoźnika. Po kliknięciu w link i wybraniu swojego banku, otworzyła się strona łudząco przypominająca witrynę banku z oknem logowania do rachunku bankowego.

"Wszystko przebiegało jak standardowa procedura logowania" – podkreśla poszkodowana. Po zalogowaniu system poprosił o potwierdzenie tożsamości oraz podanie danych karty płatniczej. Następnie kobieta otrzymała SMS z kodem autoryzacyjnym z banku, który wprowadziła na stronie. To wystarczyło, by oszuści przejęli kontrolę nad jej kontem. Tak doszło do oszustwa internetowego. 

Błyskawiczna seria transakcji

Przestępcy działali niezwykle szybko. W ciągu kilku minut przeprowadzili serię transakcji, wyprowadzając z konta pani Elżbiety łącznie 12 200 zł:

• 4900 zł – płatność za pomocą kodu Blik w punkcie Profee.com
• 1500 zł – wypłata gotówki z bankomatu w Poznaniu
• 5800 zł – dwie płatności kartą po 1900 zł i 3900 zł na Revoluta

Wszystkie operacje zostały zrealizowane błyskawicznie, minuta po minucie. Gdy pani Elżbieta zauważyła podejrzane transakcje, natychmiast zastrzegła kartę i zgłosiła sprawę do banku oraz na policję.

Bank odmówił zwrotu środków

Kobieta złożyła reklamację do PKO Banku Polskiego, argumentując, że przynajmniej dwie transakcje można było zatrzymać – przelewy na Revolut wykonano kilka minut po godz. 18, czyli już po sesjach Elixir. Bank jednak nie uznał reklamacji, twierdząc, że klientka nie zgłosiła utraty karty ani telefonu.

PKO Bank Polski, pytany o tę sprawę przez Bankier.pl, odmówił komentarza dotyczącego indywidualnego przypadku, powołując się na tajemnicę bankową. Zamiast tego przekazał ogólne wskazówki dotyczące bezpieczeństwa dla klientów.

Co na to prawo?

Radczyni prawna Ewelina Czechowicz wyjaśnia, że pani Elżbieta padła ofiarą phishingu – oszustwa polegającego na podszyciu się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji.

– Fakt zarejestrowanego użycia instrumentu płatniczego, czyli użycia go zgodnie z procedurami i przy zastosowaniu ustalonych sposobów autoryzacji, nie oznacza, że transakcja została autoryzowana przez użytkownika – podkreśla radczyni. W jej opinii, bank jest zobowiązany do zwrotu środków w terminie niezwłocznym, nie później niż w ciągu jednego dnia roboczego od uznania reklamacji, zgodnie z art. 46 ust. 2 ustawy o usługach płatniczych.

Precedensy sądowe na korzyść klientów

W podobnych sprawach polskie sądy wielokrotnie przyznawały rację klientom banków:

• Wyrok Sądu Okręgowego w Warszawie z 29 czerwca 2021 r. (sygn. akt XXVII Ca 2130/20) stanowi, że: "Dostawca usług płatniczych ponosi odpowiedzialność za skuteczne zabezpieczenie środków klientów. W razie transakcji phishingowej to na banku spoczywa ciężar dowodu wykazania, że klient naruszył obowiązek dbałości o bezpieczeństwo swojego konta".
• Wyrok Sądu Rejonowego dla Warszawy-Śródmieścia z 3 listopada 2022 r. (sygn. akt VI C 1712/21) uznał, że: "Brak silnej autoryzacji transakcji przez bank oraz mechanizmów ostrzegających klientów o zagrożeniach cybernetycznych stanowi naruszenie przepisów prawa i powoduje odpowiedzialność banku za straty klienta".

Zgodnie z tymi orzeczeniami, bank nie może przerzucać na klienta odpowiedzialności za straty powstałe na skutek przestępstwa phishingowego.

Jak nie dać się oszukać?

Przypadek pani Elżbiety pokazuje, jak wyrafinowane mogą być metody oszustów. Jak uniknąć podobnej sytuacji? PKO Bank Polski radzi:

• Pamiętać, że sprzedający nigdy nie powinien podawać danych swojej karty płatniczej ani logować się do bankowości elektronicznej, aby otrzymać zapłatę za towar.
• Zawsze sprawdzać adres strony internetowej widoczny w przeglądarce oraz właściciela certyfikatu SSL (można to zrobić, klikając kłódkę lub znak graficzny po lewej stronie paska przeglądarki).
• Przed wpisaniem poufnych danych (logowanie do bankowości, dane karty, kody Blik, dane osobowe) zastanowić się, czy ich udostępnianie jest niezbędne i bezpieczne.
• Dokładnie czytać treść SMS-ów przesyłanych przez bank oraz powiadomień z aplikacji bankowej, które informują o inicjacji płatności.
• Zachować chwilę refleksji przed potwierdzeniem transakcji, co może uchronić przed nieostrożnym działaniem.

Dla sprzedających na portalach ogłoszeniowych kluczowe jest również dokładne zrozumienie, jak działa dany portal i jakie są jego standardowe procedury płatności.