Odpowiedzialność karna sprawców phishingu
Phishing nie został ujęty w ramach osobnego przestępstwa w Kodeksie Karnym. Przestępstwo phishingu odpowiada ustawowemu przestępstwu z art. 287 Kodeksu karnego (oszustwo komputerowe). Zgodnie z art. 287 § 1 k.k. ten kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku (287 § 2 k.k.). Natomiast w wypadku popełnienia czynu na szkodę osoby najbliższej ściganie następuje na wniosek pokrzywdzonego (287 § 3 k.k.).
Samo zaś podszywanie się pod bank bądź inny podmiot wypełnia znamiona przestępstwa z art. 190a § 2 k.k., zgodnie z którym kto podszywa się pod inną osobę, wykorzystuje jej wizerunek lub inne jej dane osobowe w celu wyrządzenia jej szkody majątkowej lub osobistej podlega karze pozbawienia wolności do lat 3.
Natomiast w sytuacji, gdy którąkolwiek z wyżej wymienionych ingerencji poprzedza przełamanie lub ominięcie szczególnego zabezpieczenia danych informatycznych, sprawca phishingu dopuszcza się również czynu określonego w art. 267 § 1 k.k., który jak wskazuje się w doktrynie, może być uznany za czyn współukarany uprzedni lub element czynu ciągłego. Zgodnie z ww. przepisem, osoba bezprawnie uzyskująca dostęp do informacji dla niej nieprzeznaczonej, otwierająca zamknięte pismo, podłączająca się do sieci telekomunikacyjnej lub przełamująca albo omijająca elektroniczne, magnetyczne, informatyczne czy też inne szczególne jej zabezpieczenia, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Tej samej karze podlega również ten, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego oraz w celu uzyskania informacji, do której nie jest uprawniona, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem (art. 267 § 2-3 k.k.).
Co zrobić w przypadku ataku phishingowego?
W przypadku utraty środków finansowych na skutek phishingu lub usiłowania przeprowadzenia ataku phishingowego, można złożyć do organów ścigania zawiadomienie o popełnieniu przestępstwa. Osoba dotknięta takim atakiem powinna również niezwłocznie powiadomić o tym bank, czy też inną instytucję. Wymaga jednak podkreślenia, że ściganie sprawcy phishingu nie jest takie łatwe, a postępowania karne często kończą się umorzeniem, wobec niemożności wykrycia sprawcy. Jeśli prokuratura umorzy postępowanie, poza przysługującymi na podstawie kodeksu postępowania karnego środkami odwoławczymi, pozostaje jeszcze możliwość dochodzenia swoich roszczeń z tytułu utraty środków pieniężnych wskutek phishingu bezpośrednio od Banku. Ponadto wszelkie próby przeprowadzenia ataku phishingowego można zgłosić również na stronie internetowej zespołu reagowania na incydenty komputerowe CERT Polska - https://incydent.cert.pl/. Od dnia 28 sierpnia 2018 r. zespołowi CERT Polska zostały powierzone bowiem obowiązki CSIRT NASK (Computer Security Incident Response Team) wynikające z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
Odpowiedzialność banku
Ofiary phishingu chronią także przepisy ustawy z dnia 19.08.2011 r. o usługach płatniczych, które przesuwają ryzyko nieautoryzowanych transakcji płatniczych na bank. Zgodnie z art. 40 ust. 1 ww. ustawy, transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych. To na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej (art. 45 ww. ustawy). Bank musi więc albo udowodnić, że autoryzacja miała miejsce albo wykazać, że transakcja nieautoryzowana nastąpiła wskutek rażącego niedbalstwa płatnika lub że płatnik dopuścił się naruszenia obowiązku korzystania z instrumentu płatniczego zgodnie z umową albo obowiązku niezwłocznego zgłaszania nieuprawnionego użycia takiego instrumentu, przy czym również wskutek rażącego niedbalstwa.
W tym miejscu warto przywołać wyrok Sądu Okręgowego w Warszawie z dnia 12.05.2018 r., wydanego w sprawie o sygn. akt: I C 566/17, w którym na rzecz powoda od pozwanego banku zasądzone zostało 106.929,77 zł wraz z odsetkami. Powód dochodził zapłaty z tytułu zwrotu nieautoryzowanych przez niego transakcji płatniczych, dokonanych z rachunku prowadzonego przez pozwany bank. Pozwany podniósł, iż powód swoim działaniem umożliwił przestępcom kradzież środków pieniężnych ze swojego rachunku bankowego, zatwierdzając kodem SMS przystąpienie do ubezpieczenia, co skutkowało ujawnieniem przez powoda nieznanym osobom loginu i hasła, które to dane winny być przez powoda szczególnie chronione. Bank podniósł jednocześnie zarzut przyczynienia się powoda w stu procentach do powstania szkody poprzez niezachowanie należytej staranności w ochronie swoich danych, co doprowadziło do ich udostępnienia osobom nieuprawnionym, co z kolei umożliwiło wykonanie przedmiotowych przelewów. W uzasadnieniu orzeczenia sąd podał następujące argumenty przemawiające za przyjętym rozstrzygnięciem: Zdaniem sądu, nieuzasadnione byłoby przyjęcie, zwalniające pozwany bank z odpowiedzialności, iż powód reagując na wyświetlony komunikat umyślnie doprowadził do nieautoryzowanej transakcji płatniczej bądź umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy. Pozwany nie wykazał w toku postępowania, by powód umyślnie czy wskutek rażącego niedbalstwa naruszył któryś z obowiązków, o których mowa w art. 42 ustawy, a w szczególności poprzez udostępnienie instrumentu płatniczego osobom nieuprawnionym, bowiem jego działanie, które doprowadziło do zdefiniowania osoby, na której zostały przelane środki z konta powoda nie było działaniem umyślnym, a niezamierzonym i nieświadomym, co wskazuje na niedbalstwo jednak w żadnym wypadku nie w stopniu rażącym. Z treści art. 42 ust 2 ww. ustawy wynika, iż odpowiedzialność płatnika jest niezależna od jego winy i może być przypisana niezależnie od tego czy dopuścił się naruszenia w wyniku niedbalstwa.
Powyższe potwierdza również wyrok Sądu Najwyższego z dnia 18.01.2018 r., wydany w sprawie o sygn. akt V CSK 141/17, który w podobnym stanie faktycznym uznał, że do utraty pieniędzy przez powódkę doszło wskutek działania nieustalonej osoby trzeciej, która „skorzystała z niewłaściwego zabezpieczenia przez bank świadczenia usługi”. Sąd podkreślił, że w okolicznościach sprawy nie ma w ogóle mowy o naruszeniu przez poszkodowanego obowiązków wynikających z ustawy o usługach płatniczych, a niewątpliwie samo wykazanie przez bank zarejestrowanego użycia instrumentu płatniczego nie wystarcza do udowodnienia, że transakcja została autoryzowana. Aby móc skorzystać z ww. możliwości należy pamiętać o obowiązku użytkownika banku, który nakłada art. 44 ust. 1 ustawy, zgodnie z którym: Użytkownik niezwłocznie powiadamia dostawcę o stwierdzonych nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcjach płatniczych. Spełnienie powyższego obowiązku stanowi konieczny warunek przede wszystkim ograniczenia odpowiedzialności za nieautoryzowane transakcje, jak też pozwala na dochodzenie zwrotu kwot nieautoryzowanych transakcji lub na dochodzenie odszkodowania za nienależyte wykonanie lub niewykonanie zleconej transakcji.
Banki często nie uznają reklamacji argumentując, że klient w sposób zgodny z umową wyraził zgodę na transakcję dokonaną przez oszusta. Nie jest to jednak równoznaczne z tym, że transakcja została autoryzowana przez klienta. Jednak zgodnie z Wyrokiem Sądu Okręgowego w Olsztynie z dnia 21.12.2018 r., wydanym w sprawie o sygn. akt I C 55/18, nie jest autoryzowaną taka transakcja, której dokonano przy użyciu instrumentu płatniczego należącego do płatnika i dokonano uwierzytelnienia, ale proces ten został dokonany bez jego zgody, np. poprzez kradzież przez osobę trzecią niezbędnych danych ku tejże autoryzacji.
Art. 46 ust. 1 ww. ustawy stanowi, że bank niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej. Obowiązek zwrotu jest wyłączony tylko w jednej sytuacji – gdy bank ma uzasadnione podstawy, aby podejrzewać oszustwo i poinformuje o tym organy powołane do ścigania przestępstw. Jak podkreśla Rzecznik Finansowy w opublikowanej 18.09.2020 r. analizie nieautoryzowanych transakcji płatniczych, zwrot kwoty nieautoryzowanej transakcji powinien nastąpić bezwarunkowo i niezwłocznie. Oznacza to, że bank w pierwszej kolejności powinien zwrócić środki klientowi, a ewentualnie potem dochodzić od niego kwoty nieautoryzowanej transakcji, jeżeli uważa że klient ten dopuścił się rażącego niedopełnienia swoich obowiązków. Zdaniem Rzecznika Finansowego praktyka uchylania się przez banku od obowiązku zwrotu kwot nieautoryzowanych transakcji nie jest uzasadniona, gdyż bank nie posiada prawa do arbitralnego ustalenia odpowiedzialności swoich klientów.
Natomiast w ustawie z dnia 29.08.1997 r. Prawo Bankowe znajduje się tylko jeden ogólny przepis wskazujący na obowiązek banku w zakresie bezpieczeństwa. Zgodnie z art. 50 ust. 2 ww. ustawy, bank dokłada szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. Do zachowania bezpieczeństwa zobowiązuje banki także Komisja Nadzoru Finansowego (dalej jako „KNF”), bowiem jednym z celów sprawowanego przez nią nadzoru jest zapewnienie bezpieczeństwa środków pieniężnych gromadzonych na rachunkach bankowych (art. 133 ust. 1 ww. ustawy). KNF opublikował nawet Rekomendację D dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, w której zwrócono uwagę na zagadnienie phishingu.
Ataki phishingowe bywają przeprowadzane przez zewnętrzne podmioty, zdarza się jednak, że możliwe są one przez działania bądź zaniechania pracowników banku, którzy albo podejmują współpracę z cyberprzestępcami i dokonują udostępniania im danych potrzebnych do przeprowadzenia ataku albo poprzez niezastosowanie się do zasad bezpieczeństwa stają się nośnikiem złośliwego oprogramowania bądź phishingu nastawionego na kradzież danych z banku. Należy pamiętać, że to bank odpowiada za działania i zaniechania swego pracownika, gdyż zwykle działa on w ramach powierzonych mu czynności.
Odpowiedzialność banku, jako osoby prawnej można rozpatrywać również w kontekście ustawy z dnia 28.1.2002 r. o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary. W art. 3 ww. ustawy wskazany został zakres odpowiedzialności podmiotu zbiorowego za czyn zabroniony, którym jest zachowanie m.in. osoby fizycznej działającej w imieniu lub w interesie podmiotu zbiorowego w ramach uprawnienia lub obowiązku do jego reprezentowania, podejmowania w jego imieniu decyzji lub wykonywania kontroli wewnętrznej albo przy przekroczeniu tego uprawnienia lub niedopełnieniu tego obowiązku. Natomiast zgodnie z art. 5 ww. ustawy, podmiot zbiorowy podlega odpowiedzialności, jeśli do popełnienia czynu zabronionego doszło w następstwie co najmniej braku należytej staranności w wyborze osoby lub braku należytego wyboru nad tą osobą oraz jeśli organizacja działalności podmiotu zbiorowego nie zapewniała uniknięcia popełnienia czynu zabronionego, podczas gdy mogło je zapewnić zachowanie należytej staranności, wymaganej w danych okolicznościach, przez organ lub przedstawiciela podmiotu zbiorowego. Naczelną zasadą działania każdej instytucji finansowej (w tym również banków) jest postępowanie zgodnie z przepisami prawnymi oraz wewnętrznymi regulacjami, w tym także zapewnienie zgodności wewnętrznych regulacji z zaleceniami instytucji nadzorujących.
Ponadto bank na podstawie art. 9 ustawy Prawo Bankowe zobowiązany jest stosować się do funkcjonujących w nim systemów zarządzania ryzykiem oraz kontroli wewnętrznej. Duże znaczenie w strukturach banku winien więc pełnić system compliance, w tym również criminal compliance, który może skutecznie ograniczyć ryzyka związane z nieuczciwą konkurencją, dyskryminacją, mobbingiem, korupcją, kradzieżą danych lub mienia, ale również z zagrożeniami cyfrowymi. Wykazanie winy podmiotu zbiorowego w nieprawidłowym zorganizowaniu jego działalności będzie trudniejsze, jeśli podmiot skutecznie wdroży prawidłowo skonstruowany system criminal compliance. Udowodnienie winy w niezapewnieniu należytego nadzoru nad osobami, którym powierzone zostały określone uprawnienia będzie utrudnione, jeżeli podmiot sprawnie egzekwuje wprowadzone procedury i sprawuje nad swoimi reprezentantami odpowiednią kontrolę. System taki potwierdza, że dany podmiot wytworzył odpowiednie ramy organizacyjne, mające na celu zapobieżenie popełnianiu przestępstw w przedsiębiorstwie.
Podsumowując, aby móc dochodzić od banku zwrotu utraconych środków, ofiara phishingu powinna niezwłocznie powiadomić bank o stwierdzonych nieautoryzowanych transakcjach płatniczych, zastrzec kartę, zgłosić organom ścigania podejrzenie popełnienia przestępstwa oszustwa oraz złożyć w banku reklamację w związku z dokonaniem nieautoryzowanych transakcji płatniczych.
Odpowiedzialność karna pośredników
Sprawca ataku, uzyskując dostęp do zgromadzonych na koncie środków, nie przelewa ich bezpośrednio na swoje konto, lecz kieruje do jednego lub też większej liczby pośredników. Osoby nazywane tzw. „słupami” mają najczęściej konta w banku, na który nakierowany jest atak, co umożliwia błyskawiczne dokonanie przelewu na ich konta bankowe, a następnie pieniądze te są wypłacane z bankomatu, najczęściej poza granicami kraju. Działania te niewątpliwie służą udaremnieniu lub też utrudnieniu stwierdzenia pochodzenia przekazywanych środków, wyczerpują więc znamiona strony przedmiotowej przestępstwa tzw. „prania brudnych pieniędzy” określonego w art. 299 § 1 k.k. Zgodnie z tym przepisem, kto środki płatnicze, instrumenty finansowe, papiery wartościowe, wartości dewizowe, prawa majątkowe lub inne mienie ruchome lub nieruchomości, pochodzące z korzyści związanych z popełnieniem czynu zabronionego, przyjmuje, posiada, używa, przekazuje lub wywozi za granicę, ukrywa, dokonuje ich transferu lub konwersji, pomaga do przenoszenia ich własności lub posiadania albo podejmuje inne czynności, które mogą udaremnić lub znacznie utrudnić stwierdzenie ich przestępnego pochodzenia lub miejsca umieszczenia, ich wykrycie, zajęcie albo orzeczenie przepadku, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. Jest to przestępstwo powszechne, umyślne. W doktrynie wskazuje się, że jego sprawca ma więc świadomość, iż źródłem pochodzenia przyjmowanych przez niego środków jest przestępstwo, choć nie musi wiedzieć, jaki konkretnie czyn. Ten element strony podmiotowej może w praktyce przysporzyć pewnych trudności, albowiem sprawcy takich ataków, poszukując kandydatów na pośredników, nie afiszują się z prawdziwym charakterem swojej działalności. To, czy pośrednik wiedział, że przyjmowane przez niego pieniądze pochodzą z nielegalnych źródeł (zamiar bezpośredni), lub też, czy podejrzewał, jaki jest faktycznie charakter tego procederu, a mimo to godził się brać w nim udział (zamiar ewentualny), musi zostać ocenione ad casum, na podstawie całokształtu okoliczności.
Czyn z art. 299 § 1 k.k. jest przestępstwem formalnym. Dla jego bytu nie jest koniecznym, aby podejmowane przez sprawcę czynności faktycznie udaremniły lub utrudniły wykrycie nielegalnych wartości majątkowych lub sposób postępowania z nimi. Wystarczy jedynie, aby podejmował on określone działania. Obok typu podstawowego ustawodawca przewidział również dwa typy kwalifikowane względem art. 299 § 1 k.k. Wyższa sankcja grozi bowiem sprawcy, który dopuszcza się czynu, działając w porozumieniu z innymi osobami (co najmniej dwiema), lub też osiąga znaczną korzyść majątkową (art. 299 § 5 i 6 k.k.).
[1] J. Worona, 2.1.3.3. Phishing [w:] Cyberprzestrzeń a prawo międzynarodowe. Status quo i perspektywy, Warszawa 2020.
[2] CERT Polska, Raport 2012. Analiza incydentów naruszających bezpieczeństwo teleinformatyczne, Warszawa 2013, s. 40.