Oddalone powództwo przeciwko Bankowi w sprawie phishingowej
W głośnej sprawie z czerwca 2020 roku dotyczącej transakcji będącej wynikiem działań phishingowych Sąd pierwszej instancji w całości oddalił powództwo wniesione przeciwko naszemu Klientowi – Bankowi, a jednocześnie uwzględnił w całości roszczenie wobec Operatora sieci komórkowej, przyznając mu pełną odpowiedzialność za skutki zdarzenia. Rozstrzygnięcie potwierdza zasadnicze rozróżnienie odpowiedzialności instytucji finansowej i podmiotu telekomunikacyjnego w sytuacji nieautoryzowanego dostępu do konta bankowego.
Sprawę prowadziły Katarzyna Petruczenko i Marcelina Głowa.
USTALENIA FAKTYCZNE
W czerwcu 2020 r. Operator telefonii komórkowej wydał duplikat karty SIM przypisanej do numeru telefonu zgłoszonego przez Powoda jako kanał odbioru wiadomości SMS i kodów autoryzujących w pozwanym Banku. Osoba nieuprawniona mając dostęp do duplikatu karty SIM, zmieniła hasło do bankowości elektronicznej Powoda, a następnie po otrzymaniu kodu autoryzacyjnego wysłanego przez Bank na ten numer telefonu – zleciła i prawidłowo autoryzowała sporną transakcję.
W toku postępowania Powód domagał się solidarnej zapłaty od Banku i od Operatora kwoty wynikającej z ww. transakcji. Sąd pierwszej instancji podzielił argumentację przygotowaną przez zespół naszych prawników uznając, że Bank działał zgodnie z obowiązującymi procedurami uwierzytelniania użytkownika i autoryzacji transakcji (w tym także wysyłanie kodów SMS na numer telefonu wskazany przez użytkownika).
Kluczowym elementem inicjującym łańcuch przyczynowy prowadzący do utraty środków przez Powoda okazało się niewłaściwe działanie Operatora telefonii komórkowej. To wydanie duplikatu karty SIM bezpośrednio umożliwiło osobie nieuprawnionej dostęp do mechanizmów autoryzacji transakcji w pozwanym Banku, a następnie skuteczne zlecenie i autoryzowanie transakcji. W rezultacie powództwo wobec Operatora telefonii komórkowej zostało uwzględnione w całości.
IMPLIKACJE PRAWNE I PRAKTYCZNE
Orzeczenie stanowi istotny precedens wyznaczający granice odpowiedzialności instytucji finansowych i operatorów telekomunikacyjnych w sprawach phishingowych związanych z SIM-swapem.
Wyrok akcentuje brak podstaw prawnych do przypisania odpowiedzialności po stronie banku za transakcje płatnicze, gdy bank działa zgodnie z procedurami zabezpieczeń, a do transakcji dochodzi wskutek zewnętrznych i niezależnych od banku błędów po stronie operatorów telefonii komórkowej. Konkluzja Sądu pierwszej instancji może stanowić punkt odniesienia dla przyszłych sporów na tym tle, jak również skłaniać do legislacyjnych oraz sektorowych zmian w procedurach bezpieczeństwa.
Wyrok podkreśla znaczenie rzetelnych procedur weryfikacyjnych po stronie operatorów telekomunikacyjnych – błędy w procesie wydawania duplikatów karty SIM mogą prowadzić do odpowiedzialności cywilnej względem poszkodowanych uczestników obrotu bankowego. W praktyce orzeczenie wskazuje na konieczność wzmożonej współpracy pomiędzy sektorem bankowym i telekomunikacyjnym w zakresie procedur bezpieczeństwa, a w szczególności wdrażania dodatkowych mechanizmów detekcji i komunikacji incydentów.
Autorka: Marcelina Głowa
