W erze powszechnej cyfryzacji i rosnącej liczby cyberzagrożeń, bezpieczeństwo finansowe klientów banków powinno być priorytetem. Banki dysponują zaawansowanymi systemami detekcji oszustw, analizą zachowań użytkowników, a także obowiązkami wynikającymi z prawa krajowego i unijnego (m.in. PSD2, Rekomendacja D KNF). Czy jednak te zabezpieczenia faktycznie działają? Czy klienci mogą czuć się bezpieczni? Jeden z najnowszych ocenianych przez nas przypadków pokazuje, że odpowiedź na te pytania nie jest jednoznaczna.
Przypadek phishingu na OLX – jak łatwo stracić oszczędności życia
Do naszej kancelarii zgłosił się klient, który padł ofiarą klasycznego ataku phishingowego. Oszuści podszyli się pod kupującego na OLX i przesłali mu fałszywy link rzekomo umożliwiający odebranie płatności. Strona imitowała panel logowania banku. Klient – niestety – wprowadził dane logowania, a następnie zatwierdził autoryzację logowania za pomocą kodu SMS.
W ciągu kilku minut:
- Oszuści dodali nowe urządzenie do autoryzacji – smartfon Xiaomi Redmi, zlokalizowany na terytorium Rosji
- Dokonali serii przelewów wewnętrznych i z konta kredytowego, w tym przelewu środków na konto w Revolut.
- Ukradli kilka tysięcy złotych.
Czy bank zareagował?
Mimo ewidentnych oznak oszustwa – takich jak:
- nowa lokalizacja logowania (zagraniczne IP),
- zmiana autoryzowanego urządzenia,
- przelewy na zewnętrzne portfele elektroniczne (np. Revolut),
- niestandardowy wzorzec zachowania klienta,
system bankowy nie zareagował w żaden sposób. Transakcje zostały zatwierdzone i zrealizowane, a klient dowiedział się o wszystkim dopiero po fakcie.
Co więcej, po złożeniu reklamacji bank przeprowadził własną „wewnętrzną analizę”, po czym... odmówił zwrotu środków. Nie przekazał przy tym żadnych logów technicznych – ani danych IP, ani szczegółów dodania urządzenia, ani parametrów transakcji.
Obowiązki banków a rzeczywistość
Zgodnie z przepisami i regulacjami:
- Dyrektywa PSD2 i ustawa o usługach płatniczych: "Bank ma obowiązek zapewnić silne uwierzytelnienie klienta oraz systemy wykrywające nieautoryzowane, oszukańcze lub nietypowe działania."
- Rozporządzenie Dora: "ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011"
- RODO – art. 15: "Klient ma prawo dostępu do swoich danych osobowych, w tym do logów i informacji o działaniach na jego koncie."
Wnioski z przeprowadzone przez nasz zespół analizy: czy banki rzeczywiście chronią klientów?
Niestety, w praktyce coraz częściej obserwujemy, że:
- banki przerzucają odpowiedzialność na klienta, powołując się na rzekome „autoryzowanie” działań, nawet jeśli były one wynikiem manipulacji socjotechnicznej (phishingu),
- nie stosują skutecznych procedur detekcji anomalii, nawet gdy transakcje noszą znamiona przestępstwa,
- odmawiają przekazania kluczowych danych, co uniemożliwia klientowi realną obronę swoich praw.
Tymczasem – zgodnie z orzecznictwem sądów oraz stanowiskami instytucji nadzorczych – autoryzacja dokonana pod wpływem oszustwa nie może być traktowana jako świadoma zgoda klienta. Banki mają nie tylko środki techniczne, ale i prawny obowiązek działania w interesie klienta i przeciwdziałania cyberprzestępczości.
W dobie gwałtownego rozwoju sztucznej inteligencji i analityki behawioralnej, banki dysponują narzędziami, które pozwalają na niemal natychmiastowe wykrycie anomalii – takich jak logowanie z nietypowego miejsca, zmiana urządzenia, czy transakcje wykraczające poza typowy profil klienta. W świecie, w którym algorytmy potrafią rozpoznać twarz, przewidzieć spadek akcji czy zasugerować reklamę na podstawie jednego kliknięcia – brak detekcji oczywistego ataku phishingowego to poważne zaniedbanie. To nie technologia zawiodła – to instytucja, która nie wdrożyła jej właściwie lub świadomie ją ignoruje, by przerzucać odpowiedzialność na klienta. W erze AI takie podejście jest nie tylko archaiczne, ale również nieakceptowalne z punktu widzenia bezpieczeństwa finansowego i interesu publicznego.
W dobie gwałtownego rozwoju sztucznej inteligencji i analityki behawioralnej, banki dysponują narzędziami, które pozwalają na niemal natychmiastowe wykrycie anomalii – takich jak logowanie z nietypowego miejsca, zmiana urządzenia, czy transakcje wykraczające poza typowy profil klienta. W świecie, w którym algorytmy potrafią rozpoznać twarz, przewidzieć spadek akcji czy zasugerować reklamę na podstawie jednego kliknięcia – brak detekcji oczywistego ataku phishingowego to poważne zaniedbanie. To nie technologia zawiodła – to instytucja, która nie wdrożyła jej właściwie lub świadomie ją ignoruje, by przerzucać odpowiedzialność na klienta. W erze AI takie podejście jest nie tylko archaiczne, ale również nieakceptowalne z punktu widzenia bezpieczeństwa finansowego i interesu publicznego.
Co dalej?
Jeśli padłeś ofiarą cyberprzestępstwa, nie daj się zbyć lakoniczną odpowiedzią banku. Masz prawo:
✅ domagać się pełnego dostępu do danych logowania i transakcji,
✅ zwrotu środków, jeśli transakcje były nieautoryzowane,
✅ złożenia zawiadomienia do prokuratury i uzyskania pomocy prawnej.
✅ złożenia pozwu do sądu w postępowaniu cywilnym.
✅ zwrotu środków, jeśli transakcje były nieautoryzowane,
✅ złożenia zawiadomienia do prokuratury i uzyskania pomocy prawnej.
✅ złożenia pozwu do sądu w postępowaniu cywilnym.
Współczesna bankowość to nie tylko cyfrowa wygoda, ale również pole walki o bezpieczeństwo. I to nie klient powinien być na tej wojnie sam.
(autor: mgr inż. Waldemar Chodasiewicz)
(autor: mgr inż. Waldemar Chodasiewicz)
Kwiecień 2025