Jak bezpiecznie korzystać z kart i internetowego konta bankowego

Czy odpowiedzieć na wiadomość e-mailową z banku

@RY1@i02/2012/082/i02.2012.082.18300150f.811.jpg@RY2@

Banki nie wysyłają do swoich klientów wiadomości e-mail z prośbą o podanie danych osobowych, w szczególności haseł do kont bankowych czy kart płatniczych. Treść listu przesłanego do czytelniczki wskazuje, że jego autorem jest prawdopodobnie phisher. Głównym celem działań phishera jest podstępne uzyskanie informacji, które dadzą mu swobodny dostęp do konta bankowego internauty. Phisher nie musi przełamywać żadnych zabezpieczeń, bo dzięki wprowadzeniu internauty w błąd dostaje na tacy jego hasło i inne potrzebne dane.

Każdy, kto dostał podejrzaną wiadomość z banku lub przez roztargnienie odpowie na nią, powinien jak najszybciej skontaktować się ze swoim bankiem i poinformować go o zaistniałej sytuacji. Im szybciej bank się dowie o phisingu, tym łatwiej będzie mu zapewnić ochronę. Następnie trzeba też jak najszybciej zmienić hasła dostępu do wszystkich swoich rachunków. Osoby, które mają konta internetowe, mogą zrobić to, logując się na nie, i nie muszą odwiedzać placówki banku. Warto też potem regularnie sprawdzać wyciągi z karty kredytowej i konta bankowego. Mimo zmiany haseł czasami może być za późno i oszust zdąży uszczuplić oszczędności.

Phising jest w Polsce karany. Każdy, kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat trzech. Gdy udostępnione informacje nie zawierają haseł dostępowych, oszust może odpowiadać za nieuprawnione przetwarzanie danych osobowych.

Podstawa prawna

art. 268b par. 1 ustawy z 6 czerwca 1997 r. - Kodeks karny (Dz.U. z 1997 r. nr 88, poz. 553 z późn. zm.).

Czy mogę ustalić takie samo hasło do wszystkich kart

@RY1@i02/2012/082/i02.2012.082.18300150f.812.jpg@RY2@

Jest to dopuszczalne, ale z drugiej strony nierozważne. W razie zgubienia portfela czy kradzieży hasła dostępowego do jednej karty, osoba, która weszła w jego posiadanie, może mieć od razu pełną wiedzę na temat wszystkich zabezpieczeń. Część osób używa tego samego hasła dla każdego konta, karty kredytowej, serwisu aukcyjnego, skrzynki e-mailowej czy nawet domofonu. Taka wygoda może kosztować, bo dane są gorzej chronione. Oszust wykradnie hasło tam, gdzie nie będzie miał z tym większych problemów. Następnie będzie mógł spróbować użyć go na wszelkie możliwe sposoby. Najlepiej więc tworzyć odmienne hasło dostępowe dla każdej karty płatniczej i w każdym serwisie.

Stopień bezpieczeństwa haseł internetowych zależy od użytej kombinacji liter i cyfr. Należy unikać podawania w nich swoich imion, dat urodzenia, adresów. Ponadto należy je często zmieniać (przynajmniej raz na pół roku) i nie ujawniać osobom postronnym. Przed podaniem hasła upewnijmy się też, że logujemy się do prawdziwej strony banku. Często błędnie wpisana nazwa domeny czy jej rozszerzenie może skierować na stronę łudząco podobną do tej, którą chcemy odwiedzić. W rzeczywistości może okazać się pułapką, którą zastawili na nas przestępcy. Logując się do systemu bankowego, musimy także sprawdzać, czy używamy bezpiecznego połączenia. W adresie musi pojawić się https://, a na pasku stanu przeglądarki symbol kłódki.

W przypadku PIN-ów do kart płatniczych lepiej nie używać prostych lub powtarzających się kombinacji cyfr, typu: 1234, 3344 czy 5656.

Podstawa prawna

Art. 42 ust. 2 ustawy z 19 sierpnia 2011 r. o usługach płatniczych (Dz.U. z 2011 r. nr 199, poz. 1175).

Czy mogę uchronić się przed skimmingiem

@RY1@i02/2012/082/i02.2012.082.18300150f.813.jpg@RY2@

Bezprawne skopiowanie paska magnetycznego karty płatniczej jest wykorzystywane do fałszowania tego rodzaju środków płatniczych (tzw. skimming). Zdobyte w ten sposób dane służą do wyprodukowania kopii, której będzie można używać w bankomatach i sklepach. Klonowanie informacji z karty odbywa się na różne sposoby, np. poprzez instalację specjalnych czytników w bankomatach lub sklepowych terminalach. Dotychczas nie brakowało też przypadków, gdzie nielegalnie umieszczona w bankomacie kamera nagrywała transakcję dokonywaną przez posiadacza karty (w tym, jak wpisywał PIN), a następnie jego pieniądze padały łupem kieszonkowca. Podrabianie (przerabianie) środka płatniczego to bardzo ciężkie przestępstwo, za które grozi kara pozbawienia wolności na czas nie krótszy od lat 5 albo kara 25 lat pozbawienia wolności. Posługiwanie się takim fikcyjnym dokumentem może zostać natomiast potraktowane jako oszustwo.

Najczęściej banki decydują się na zablokowanie karty już w sytuacji podejrzenia przechwycenia danych z karty w bankomacie czy podczas transakcji w internecie. O podejrzeniu popełnienia oszustwa bank może być poinformowany także przez własny system monitorujący transakcje klienta. Systemy, które skrupulatnie zbierają dane o tym, jak dana osoba korzysta ze swojej karty, wychwytują, a następnie analizują wszystkie nietypowe zachowania klienta. Bardzo podejrzane jest na przykład, gdy ktoś, kto nigdy nie robił transakcji za granicą, nagle zaczyna aktywnie wypłacać pieniądze np. w Rosji.

Przed skimmingiem można się uchronić, zachowując szczególną ostrożność. Zanim dokonamy transakcji w bankomacie, należy sprawdzić, czy czytnik kart nie wygląda podejrzanie, czy klawiatura bankomatu jest równa lub lekko obniżona w stosunku do poziomu obudowy. Warto też zwrócić uwagę na to, czy do bankomatu nie są przymocowane podejrzane urządzenia. Poza tym warto jak najczęściej sprawdzać, czy saldo rachunku odpowiada przeprowadzonym operacjom oraz czy na bieżąco przychodzą wyciągi z kart i kont.

Podstawa prawna

Art. 310 par. 1 ustawy z 6 czerwca 1997 r. - Kodeks karny (Dz.U. z 1997 r. nr 88, poz. 553 z późn. zm.).

Czy złodziej może odpowiadać tylko za wykroczenie

@RY1@i02/2012/082/i02.2012.082.18300150f.814.jpg@RY2@

Kradzież kart wydanych przez bank ma w zasadzie taki sam przebieg, jak kradzież innego mienia. Z uwagi jednak na znaczenie karty bankomatowej, czyn taki nie może być kwalifikowany jako klasyczna kradzież z art. 278 k.k., gdzie do przestępstwa dochodzi w chwili, gdy wartość przedmiotu kradzieży przekracza 250 zł. Kradzież kart bankomatowych bez względu na wartość szkody musi być zakwalifikowana z art. 278 par. 5 k.k. Zgodnie z tym przepisem za taki czyn sprawcy grozi od 3 miesięcy do 5 lat pozbawienia wolności.

Jak podkreślił Sąd Apelacyjny we Wrocławiu w wyroku z 28 grudnia 2011 r., sygn. akt II AKa 385/2011, tylko kradzież karty bankomatowej (a więc karty uprawniającej jedynie do podjęcia pieniędzy z automatu bankowego) wypełnia znamiona występku z art. 278 par. 5 kodeksu karnego. Natomiast kradzież karty uprawniającej do zapłaty za towar lub usługę, czyli tzw. karty płatniczej w ścisłym tego słowa znaczeniu, oraz karty uprawniającej do wypłaty gotówki lub zapłaty z wykorzystaniem kredytu bankowego, czyli tzw. karty kredytowej, w zależność od wartości przedmiotu zaboru może wypełniać znamiona kradzieży w typie podstawowym z art. 278 par. 1 k.k. (gdy wartość przedmiotu zaboru przekracza 250 zł) lub wykroczenia z art. 119 par. 1 kodeksu wykroczeń (jeżeli wartość przedmiotu zaboru nie przekracza 250 zł). W wypadku kradzieży karty spełniającej funkcję płatniczą wartość przedmiotu zaboru stanowi całość dostępnego na jej podstawie pieniądza bankowego znajdującego się w chwili zaboru na rachunku jej posiadacza.

Podstawa prawna

Wyrok Sądu Apelacyjnego we Wrocławiu z 28 grudnia 2011 r., sygn. akt II AKa 385/2011.

Czy muszę obawiać się transakcji skradzioną kartą

@RY1@i02/2012/082/i02.2012.082.18300150f.815.jpg@RY2@

Zdarzają się sytuacje, w których zachowanie nawet najwyższej ostrożności nie jest w stanie zapobiec utracie karty płatniczej. Chodzi tutaj zarówno o skutki działań przestępczych (kradzież, rozbój), jak i przypadki losowe (powódź, wypadek samochodowy). Użytkownik karty wydanej przez bank ma obowiązek zgłosić mu niezwłocznie jej utratę, kradzież, przywłaszczenie czy nieuprawnione użycie przez inną osobę. Jeżeli złodziej dokona operacji przywłaszczoną kartą, to jej prawowity posiadacz będzie najczęściej odpowiadał za dokonane transakcje tylko w ograniczonym zakresie. Posiadacza obciążają tylko operacje dokonane z użyciem utraconej karty płatniczej do czasu jej zastrzeżenia.

Przepisy ograniczają taką odpowiedzialność do kwoty stanowiącej równowartość 150 euro (bank może zgodzić się w umowie na obniżenie tej kwoty lub przyjąć na siebie całą odpowiedzialność). Osoby posługujące się plastikowym pieniądzem muszą pamiętać, że będą odpowiadać za wszystkie straty powstałe w wyniku nieuprawnionych operacji, gdyby do kradzieży lub utraty karty doszło w wyniku ich świadomego i celowego działania lub zaniedbania. Będą one odpowiadały także za straty powstałe w wyniku nieprzestrzegania procedur bezpieczeństwa (m.in. związanych z obowiązkiem niezwłocznego zastrzeżenia karty po jej utracie, złamania zakazu trzymania karty i PIN-u w portfelu czy zgłoszenia bankowi nieprawidłowości w przesłanym zestawieniu transakcji). Posiadacza nie obciążają operacje dokonane z użyciem utraconej karty płatniczej, jeżeli ich dokonanie nastąpiło wskutek zaniedbań banku lub sklepu, w którym dokonywał płatności.

Podstawa prawna

Art. 46 ustawy z 19 sierpnia 2011 r. o usługach płatniczych (Dz.U. z 2011 r. nr 199, poz. 1175).

Damian Michalczuk

dgp@infor.pl