Ofiarą oszustwa padła spółka z branży gastronomicznej, która na co dzień realizowała dużą liczbę płatności kartowych. Firma obracała milionami złotych rocznie, dlatego pojedyncze nieautoryzowane operacje nie rzucały się od razu w oczy.
Przestępcy przejęli dane jednej z firmowych kart obciążeniowych i przez kilka miesięcy wykorzystywali je do zakupów internetowych. Nie wykonywali spektakularnych transakcji na wysokie kwoty. Zamiast tego regularnie pobierali od kilkudziesięciu do kilkuset euro, najczęściej między 80 a 450 euro. Według informacji przedstawionych przez „Rzeczpospolitą” działania trwały od maja do października 2023 roku. W tym czasie z rachunku firmy zniknęło około 95 tys. zł.
Płatności z Afryki i Azji nie wzbudziły alarmu
Największe zdziwienie budzi kierunek realizowanych transakcji. Dane karty były wykorzystywane między innymi w Kenii, Ugandzie, Nigerii, Kambodży, Uzbekistanie, Estonii, Belgii, Francji i Wielkiej Brytanii. Na co dzień karta służyła do obsługi działalności gospodarczej prowadzonej w Polsce. W takich przypadkach bankowe systemy bezpieczeństwa zwykle analizują historię płatności i wychwytują nietypowe zachowania. Dotyczy to zwłaszcza nagłych zakupów realizowanych tysiące kilometrów od miejsca standardowego użytkowania karty. Mimo że płatności były wykonywane nocą i w państwach niemających związku z działalnością przedsiębiorstwa, kolejne operacje były realizowane bez blokady.
Reklamacja zakończyła się odmową
Po wykryciu nieprawidłowości właściciel firmy zwrócił się do banku o zwrot utraconych środków. Reklamacja nie została jednak uwzględniona. Instytucja finansowa argumentowała, że klient powinien szybciej zauważyć podejrzane operacje. Wskazywano również, że przedsiębiorca miał możliwość samodzielnego ograniczenia ryzyka poprzez zmianę ustawień limitów dla płatności internetowych. Bank utrzymywał ponadto, że transakcje były autoryzowane za pomocą kodów SMS wysyłanych na przypisany numer telefonu.
Prywatny numer telefonu przypisany do karty
Postępowanie sądowe wykazało jednak szereg nieprawidłowości. Jedna z nich dotyczyła numeru telefonu wykorzystywanego do autoryzacji.
Jak ustalono, numer należał do żony jednego z pracowników spółki. Kobieta posiadała własne konto w tym samym banku. Sąd przyjął, że numer został przypisany do karty przez samą instytucję finansową, bez odpowiedniej podstawy. Dodatkowo pojawiły się rozbieżności dotyczące dat wskazywanych przez bank. Instytucja twierdziła, że numer został powiązany z kartą jeszcze przed jej wydaniem, co podważyło wiarygodność części przedstawianych wyjaśnień.
Ostrzeżenie o możliwym wycieku danych
W sprawie pojawił się również wątek potencjalnego przejęcia danych karty. Karta była wykorzystywana między innymi do opłacania noclegów służbowych za pośrednictwem platformy Booking.
Jak informowała na łamach „Rzeczpospolitej” adwokat Ewa Hanusz-Gintowt, reprezentująca przedsiębiorcę, operator Visa przekazał bankowi informację o możliwości wycieku danych związanych z kartą. Mimo otrzymania takiego sygnału bank nie zdecydował się na blokadę instrumentu płatniczego. Ograniczono się jedynie do publikacji komunikatu informacyjnego. Eksperci ds. cyberbezpieczeństwa wskazują, że w podobnych sytuacjach standardową praktyką jest wymiana zagrożonej karty oraz bezpośrednie powiadomienie klienta.
Wyrok ważny dla przedsiębiorców z Pomorza
Po analizie materiału dowodowego sąd uznał roszczenia przedsiębiorcy. Bank został zobowiązany do zwrotu utraconych 95 tys. zł wraz z odsetkami. Łączna kwota należna firmie wzrosła do około 114 tys. zł.
Dodatkowo sąd obciążył instytucję finansową kosztami procesu w podwójnej wysokości.
Sprawa może być istotna również dla przedsiębiorców prowadzących działalność w Gdańsku, Gdyni, Sopocie oraz innych częściach Pomorza. Pokazuje bowiem, że odpowiedzialność za bezpieczeństwo obrotu elektronicznego nie spoczywa wyłącznie na klientach. W sytuacjach, gdy bank dysponuje informacjami o możliwym zagrożeniu lub ignoruje sygnały świadczące o nietypowej aktywności, jego działania mogą zostać poddane szczegółowej ocenie przez sąd.
Komentarze (0)