Być może pamiętacie niedawną kampanię informacyjną przeprowadzoną przez mBank a mającą na celu zwiększenie bezpieczeństwa korzystania z bankowości elektronicznej. Przez wielu komentatorów mBank został doceniony za to, że zdecydował się zainwestować własne pieniądze w akcję pro publico bono. Spot reklamowy pod tytułem "Nie robisz tego w realu, nie rób tego w sieci", będący elementem tej kampanii, został niedawno nagrodzony statuetką "Złotego Bankiera".

Wkrótce może się jednak okazać, że tego typu akcje będą chlebem powszednim. Banki będą bowiem musiały wziąć na swoje barki większą odpowiedzialność za to, jak ich klienci podchodzą do kwestii bezpieczeństwa. Takie wnioski można wyciągnąć z analizy uzasadnień wyroków, w których sądy przyznają rację klientom domagającym się zwrotu pieniędzy utraconych w wyniku cyberataku.

Przeczytajcie także: • ZBP ostrzega przed nowym cyberatakiem

Tego rodzaju wyroków jest coraz więcej i trudno byłoby je nawet wszystkie zliczyć. O jednym z nich pisałem kilka tygodni temu w tekście, który możecie przeczytać tutaj. Podobne wyroki opisywali również Maciek Samcik na swoim blogu czy Michał Kisiel w Bankierze. Dziś chciałbym jednak zwrócić Waszą uwagę na jeszcze inny wyrok, którego uzasadnienie jest pod pewnym względem znamienne. Możecie je znaleźć tutaj.

Otóż chodzi o przypadek klienta mBanku, który prawdopodobnie dopuścił do zainstalowania na swoim komputerze złośliwego oprogramowania. Dzięki niemu przestępcy poznali dane logowania na jego rachunek bankowy a następnie wygenerowali komunikat, który sugerował konieczność wgrania na telefon programu antywirusowego. Po podaniu przez klienta numeru telefonu, na jego komórkę przyszedł SMS z linkiem, przez który pobrał antywirusa. W rzeczywistości był to prawdopodobnie kolejny trojan, który odpowiadał za przechwycenie SMS-ów z hasłami jednorazowymi wysyłanymi z banku. W rezultacie cyberprzestępcy wykradli z rachunku osobistego oraz karty kredytowej klienta ponad 80 tys. zł.

Z uzasadnienia wyroku można wywnioskować, że mBank bronił się próbując udowodnić, iż klient wykazał się niedbalstwem. Pozwolił bowiem na zainstalowanie złośliwego oprogramowania na komputerze oraz pobrał program antywirusowy z linka otrzymanego SMS-em, czego nie powinien robić.

Przeczytajcie także: • 23 tys. Tyle komputerów liczy największy botnet bankowy w Polsce

Ale sąd kompletnie nie podzielił tego zdania. A najciekawsze jest to, w jaki sposób to uzasadnił. "Gdyby zabezpieczenia transakcji elektronicznych stosowane przez pozwanego (czyli mBank) były właściwe, nie doszłoby do dokonania na rachunku powoda (czyli klienta mBanku) transakcji przez nieuprawnione do tego osoby. Należy dodać, co wiadomo Sądowi z urzędu, że takich przypadków jak powoda było w pozwanym banku znacznie więcej, co świadczy o tym, że zabezpieczenia stosowane przez pozwanego nie były właściwe".

Co ciekawe sąd napisał również, że bank nie może na przykład w regulaminie czy umowie formułować zapisów, które w zaistniałej sytuacji zrzucałyby na klienta całość odpowiedzialności za skutki oszukańczej transakcji. Albo inaczej, klienta takie zapisy nie obowiązują. Sąd napisał: "Postanowienia umów o usługi płatnicze oraz umów o wydanie pieniądza elektronicznego mniej korzystne dla użytkowników i posiadaczy pieniądza elektronicznego niż przepisy ustawy o usługach płatniczych są nieważne. Zamiast nich stosuje się odpowiednie przepisy ustawy".

W tej sytuacji łatwo dojść do wniosku, że bankom inwestycja w edukację klientów będzie się opłacać coraz bardziej. W przeciwnym razie będą ponosić rosnące koszty niefrasobliwości użytkowników rachunków i kart. Pewnie będzie to także kolejny czynnik wpływający na ceny usług bankowych.