Několik posledních let dochází k výraznému nárustů kriminality v podobě phishingových útoků. V této dvoudílné sérii článků se věnujeme vztahu banky a klienta banky, který se stal terčem phishingového útoku a z jeho účtu byly podvodně převedeny peněžní prostředky.
V prvním článku této série jsme se zaměřili na to, kdo vlastní peněžní prostředky vedené na bankovním účtu, jak by měla banka postupovat v rámci reklamace a jaká jsou zákonná pravidla pro určení toho, kdo odpovídá za ztrátu peněžních prostředků při phishingovém útoku.
V tomto článku si představíme, v jakých případech odpovídá za ztrátu peněžních prostředků při phishingovém útoku vždy banka, a blíže se zaměříme především na požadavek tzv. silného ověření.
Odpovědnost banky
V prvním článku jsme vysvětlili, že pokud zde nejsou splněny zákonem stanovené podmínky pro přenesení odpovědnosti za ztrátu na klienta, nese ztrátu z phishingového útoku banka.
Zákon pak upravuje několik případů, kdy ztrátu peněžních prostředků nese klient banky, který byl terčem phishingového útoku. Nejčastějším tímto případem, o který se také opírají banky, je případ, kdy ztráta byla způsoben tím, že klient jednal v rámci phishingového útoku v hrubé nedbalosti.
Zákon však stanoví několik výjimek, dle kterých pokud klient banky nejednal podvodně, ponese ztrátu z neautorizované transakce banka, a to i kdyby její klient jednal v hrubé nedbalosti. Jedná se o případy, kdy:
- ztráta vznikla poté, co klient oznámil bance ztrátu, odcizení nebo zneužití platebního prostředku – může se jednat o případ, kdy si klient uvědomí v průběhu phishingového útoku, že poskytl bezpečnostní údaje útočníkům a předtím, než dojde k podvodnému převodu peněžních prostředků z jeho účtu oznámí klient phishingový útok bance, která však zareaguje pozdě a nezabrání tomuto převodu;
- banka nezajistí, aby její klient měl k dispozici prostředky kdykoli oznámit ztrátu, odcizení, zneužití nebo neoprávněné použití platebního prostředku – může se jednat o případ, kdy bance nebude fungovat nonstop linka pro nahlášení phishingového útoku a její klient proto nemohl tento útok bance oznámit;
- banka nepožadovala tzv. silné ověření.
U prvních dvou bodů nese banka způsobenou ztrátu, neboť pokud by klient mohl phishngový útok nahlásit (bod druhý) nebo pokud by banka po oznámení útoku převody zablokovala (bod první) mohlo být zabráněno.
Druhý bod, podmínky, za kterých nese za ztrátu odpovědnost banka v důsledku porušení povinnosti požadovat tzv. silné ověření, jsou však komplikovanější. V následující části tohoto článku si tak přiblížíme, co znamená zmíněné silné ověření.
Silné ověření
Silné ověření představuje bezpečností pravidla, podle kterých má docházet k autorizaci určitých úkonů za účelem ochrany majitele účtu a zabránění podvodných jednání.
Z tohoto důvodu nesplnění požadavku na silné ověření bankou znamená, že banka ponese ztrátu způsobenou neautorizovanou transakcí provedenou v rámci phishingového útoku.
Dvoufázové ověření
Silné ověření znamená, že určitý úkon musí být klientem banky ověřen alespoň dvěma níže uvedenými způsoby:
- něco, co znám (znalost) – např. heslem, pinem
- něco, co mám (držení ve své moci) – např. mobilní telefon, token
- něco, co jsem (biometrické údaje) – např. otisk prstu, rozpoznání obličeje.
Tyto prvky ověření musí být na sobě vzájemně nezávislé a případné prolomení jednoho prvku nesmí ovlivnit spolehlivost prvků ostatních.
Např. pokud provedení příkazu k převodu peněžitých prostředků z bankovního účtu je ověřeno zasláním potvrzovacího kódů sms zprávou na telefonní číslo klienta, jedná se o naplnění pouze jednoho prvku silného ověření, a to prvku držení (potvrzovací kód potvrzuje, že máte k dispozici mobilní telefon se sim kartou k telefonnímu číslu nastavenému u banky k zasílání potvrzovacích kód), a nemůže zároveň být prvkem znalosti (znalost potvrzovacího kódu). V takovém případě musí být daný příkaz k převodu ověřen ještě jedním z výše uvedených prvků (např. vyžádáním otisku prstu přes mobilní aplikaci)
Kdy je nutné silné ověření?
Silné ověření musí banky vyžadovat od svého klienta vždy u těchto úkonů:
- přistoupení k platebnímu účtu prostřednictvím internetu - nejčastěji při přístupu do internetového bankovnictví či smartbankingu, nebo
- zadání platebního příkazu k elektronické platební transakci – nejčastěji při zadání příkazu k převodu peněžních prostředků v internetovém bankovnictví či smartbankingu, nebo
- provedení jiný úkon, který je spojen s rizikem podvodného jednání v oblasti platebního styku, zneužitím platebního prostředku nebo informací o platebním účtu - např. při aktivaci aplikace smarbanking v mobilním zařízení, nebo
- požadování informací o platebním účtu prostřednictvím poskytovatele služby informování o platebním účtu.
Ze znění a účelu zákona o platebních styku dle mého vyplývá, že k silnému ověření musí dojít nezávisle na sobě u každého kroku uvedeného výše.
Tzn. že k silnému (dvoukrokovému) ověření by mělo dojít např. jak při přístupu do internetového bankovnictví, tak ještě jednou samostatně při zadání příkazu k platbě v internetovém bankovnictví. K přístupu do internetbankingu se nejčastěji používá ověření na základě prvku hesla zadávaného v rámci přihlašování (prvek znalosti) a na základě potvrzení prostřednictvím sms kódu (viz výše prvek držení).
Mám za to, že ze zákona o platebním styku ani z předpisů EU nevyplývá, že by při následném ověřování provedení příkazu k převodu v internetovém bankovnictví mohl být převzat jeden či dokonce dva prvky ověření provedené v rámci předchozího kroku – tj. přihlášení do internetbankingu. To znamená, že zadáním hesla při přihlášení do internetbankingu není naplněn automaticky jeden z prvků ověření (znalost) také pro ověření následně provedeného příkazu k převodu. Při ověření příkazu k převodu zadaného v rámci internetbankingu by mělo dojít k novému nezávislému dvoufázovému ověření.
Došlo k silnému ověření?
Pro vyřešení otázky, kdo odpovídá za ztrátu způsobenou phishingovým útokem, je s ohledem na výše uvedené důležité, jakým způsobem proběhla autorizace jednotlivých kroků. Pokud by autorizace neproběhla podle pravidel silného ověření, ztrátu způsobenou phishingovým útokem by nesla banka.
Klient banky, který se stal terčem phishingového útoku však nemá možnost zjistit, jak k autorizacím došlo, aby mohl zhodnotit, zdali byly naplněny požadavky silného ověření. I z tohoto důvodu zákon o platebním styku stanoví bance povinnost, aby v případě neautorizované transakce klientovi mimo jiné doložila, jak byla transakce ověřena.
Jak postupovat v případě zamítnutí reklamace?
V případě, že banka zamítne reklamaci svého klienta a odmítne nahradit svému klientovi ztrátu způsobenou phishningovým útokem a klient s tímto rozhodnutím nesouhlasí, má klient další prostředky, kterými se může bránit.
V první řadě banky zpravidla v rámci svých pravidel vyřizování reklamací umožňují svým klientům požádat o přezkum tohoto rozhodnutí v rámci struktury banky. V takovém případě je možné podat bance podnět k opětovnému posouzení reklamace, které provádí zpravidla nový výše postavený pracovník banky.
Pokud i tento podnět bude z pohledu klienta neúspěšný, má klient v podstatě dvě hlavní možnosti. První možností je podat žalobu k civilnímu soudu a domáhat se této náhrady v rámci soudního řízení. Druhou možností je využít kancelář finančního arbitra.
Finanční arbitr
Finanční arbitr je státem zřízený orgán určený k mimosoudnímu řešení sporů mezi spotřebiteli a finančními institucemi.
Finanční arbitr řeší tyto spory na návrh spotřebitele (banka návrh k zahájení řízení podat nemůže). Řízení před finančním arbitrem je bezplatné, a každá strana si nese svoje náklady řízení, to znamená, že za zahájení řízení klient nemusí hradit žádný poplatek a klient v případě neúspěchu nehradí náklady na advokáty banky.
Výhodou řízení u finančního arbitra oproti soudním uřízení je rychlost řízení, kdy má finanční arbitr na vydání rozhodnutí zákonem stanovenou lhůtu 90 dní po obstarání všech podkladů nutných pro rozhodnutí.
Další výhodou je, že řízení u finančního arbitra by mělo být pro klienta spotřebitele jednodušší, neboť finanční arbitr může spotřebiteli pomoct se zahájením řízení (např. s podáním návrhu či jeho doplněním) a finanční arbitr si sám zajišťuje potřebné poklady.
Rozhodnutí finančního arbitra je přezkoumatelné soudem na návrh neúspěšné strany (banky nebo klienta). V případě, že by tedy klient nesouhlasil s rozhodnutím finančního arbitra, má stále možnost se obrátit se svým sporem na civilní soud.