Vykradli vám účet? Banka pošle k soudu vás

V posledních letech došlo k vykradení několika bankovních účtů zneužitím internetového a telefonního bankovnictví. Podle Jiřího Nápravníka, odborníka v oblasti bezpečnosti informačních systémů, policejní šetření ukázala, že klienti postupovali podle doporučení, která jim daly banky při zřizování příslušné služby, a přesto došlo ke zneužití jejich identity.

"Zvláštní na všech případech byl postoj bank, z jejichž systému byly peníze odcizeny. Banky celou reklamaci vyřešily prohlášením, že transakce byla provedena s použitím identifikačních prvků klienta, a tudíž to údajně provedl klient. I když následná šetření Policie ČR, finančního arbitra a přiznání pachatele prokázala opak, banky svůj postoj nezměnily a trvají na tom, že operace provedl jejich klient, protože byla například podepsána s použitím digitálního certifikátu klienta," vysvětluje Nápravník.

Na otázku položenou mluvčím jednotlivých bankovních domů, kolik případů vykradení účtů zaznamenali v uplynulém a v tomto roce, zněla sborová odpověď: žádný takový případ jsme nezaznamenali. Jediná Citibank (profil, názory) se odlišovala: "Bohužel to je informace, kterou nemůžu ani potvrdit, ani vyvrátit. Vůbec se k ní z hlediska naší politiky vyjadřovat nemůžu. Pokud jde o nedávný phishing, kterým jsme byli postiženi, můžu říct, že žádný z našich klientů neutrpěl žádnou finanční ztrátu," prozradila mluvčí Citibank Markéta Dvořáčková. Více se dočtete ve sloupku.
Statistiky počtu případů vykradených účtů si nevede ani Česká národní banka (ČNB), ani Ministerstvo informatiky či financí, ani finanční arbitr. Zda nám tedy banky uváděly pravdivé údaje, nevíme.

To, co známe, jsou reakce odborníků na minulé případy vykradených účtů a na oblast bezpečnosti a důvěryhodnosti moderních komunikačních kanálů.

Oslovené osoby:

• Michaela Erbenová, členka bankovní rady ČNB,
• Otakar Schlossberger, finanční arbitr,
• Petr Špaček, výkonný ředitel České bankovní asociace (ČBA),
• Vladimír Smejkal, rektor Vysoké školy finančně správní, soudní znalec v oboru počítačové kriminality,
• Jiří Nápravník, konzultant, který pomáhal vyřešit několik případů vykradených bankovních účtů,
• Klára Volná, tisková mluvčí Ministerstva informatiky ČR (MIČR),
• dále jsme se ptali Tomáše Prouzy, náměstka ministra financí a Tomáše Růžka, tiskového mluvčí Ministerstva financí, ale oba oslovení nás odkázali na jiné instituce s tím, že tyto otázky jim nepřísluší.

Otázky a odpovědi:

1) Jak je podle vás možné, že dochází k vykrádání bankovních účtů přes moderní komunikační kanály, když banky vyhlašují, jak jsou jejich aplikace bezpečné? Je takový případ podle vás problém pouze poškozeného klienta?

Banky ani nemohou vyhlašovat nic jiného, než že jejich systém je bezpečný, myslí si Schlossberger a Nápravník. Problém vykradeného účtu nepřipisují pouze klientovi, ale dávají velkou odpovědnost bance. "Banka má na rozdíl od klientů možnost a prostředky včas odhalit nové bezpečnostní riziko. Klient je odkázán na rady své banky. Pokud mu zástupce banky řekne, že jejich internetbanking je bezpečný, protože respektuje mezinárodní standardy, používá SSL a 128bitový šifrovací klíč, non-IT uživateli nezbývá nic jiného než poděkovat za radu," vysvětluje Nápravník.
"Banka je ze zákona (v tomto případě obchodního) povinna ochránit peněžní prostředky majitele účtu či osobu oprávněnou," doplňuje Schlossberger a pokračuje: "Je to věcí banky, neboť ona si tento způsob autentizace vymyslela, tak to musí umět používat. To přeci nemůže zajímat klienta, nedejbůh aby za to ještě odpovídal. Bohužel praxe v ČR je jiná. Je to velmi smutná skutečnost, že banky vůbec něco takového na přelomu 20. a 21. století vůbec připustí."

Zbylí čtyři oslovení považují za nejslabší místo naopak klienty, kteří podle nich dostatečně nechrání svěřené zabezpečovací prvky nebo nedodržují zabezpečovací pravidla. "Všechny bankovní podvody byly spáchány buď zaměstnanci banky, nebo na základě jednání neopatrných klientů," dodává k tomu Smejkal. ČNB, ČBA i MIČR však připouští, že se problém vykradeného účtu týká obou stran. "Smlouvy jsou obvykle koncipovány tak, že banky nezodpovídají za rizika, která nejsou na straně systému banky, to znamená, že například za zneužití certifikátů, PINů, hesel a kódů zodpovídá samotný klient. Z pohledu bank je tento postup logický v tom smyslu, že banka není schopna zajistit správu bezpečnosti na tisících zařízeních klienta. ČNB však považuje za podstatné zajistit kvalitní informovanost klientů o rizicích e-bankingu ze strany bank," vysvětluje Erbenová.

2) Jak by v případě podezření na vykradení účtu přes internet či telefon banking měly podle vás postupovat banky?

Postup, který bychom si asi všichni představovali jako správný, shrnul Schlossberger takto: "Nemohu poučovat banky, ale kdybych o tom v dané bance rozhodoval, jistě bych nejdříve odškodnil svého (zdůrazňuji svého – totiž z něj žiji, on mi přináší zisk a můj chléb) klienta, pak bych šetřil, proč k tomu došlo, zda jsem nepostupoval jako banka v rozporu například se zákonem o platebním styku, obchodním zákoníkem a podobně a zda byla naplněna skutková podstata trestného činu. Pokud by se v průběhu šetření ukázalo, že klient mne napálil, pak bych jako banka dal klienta k soudu za trestný čin podvodu (případně za jiné spáchání některé ze skutkových podstat trestného činu). Jak jsem naznačil výše, banky se bohužel a k újmě našich klientů chovají obráceně – mají za to, že klient je asi podvodník. Přitom daný klient je často jejich bezproblémovým klientem po řadu let. Nepřijde mi takovéto chování etické a také ke slušnosti to má hodně daleko."

Kompletní odpovědi všech dotázaných najdete v příloze.

Vykradou vám účet a banka vás zažaluje

Kromě odborníků na problematiku bezpečnosti přímého bankovnictví jsme kontaktovali tři občany, kterým byl jejich účet vykraden. Všechny případy se staly v Komerční bance (profil, názory), všechny již před dvěma nebo třemi roky, ale k jejich vyřešení buď ještě vůbec nedošlo, nebo teprve nedávno.

"Po návštěvě banky (nebo několika urgencích – v případě jiného klienta, pozn. redakce) mi bylo sděleno, že jsem si peníze převedl sám, protože byl použit můj certifikát a moje heslo. Kam peníze byly odeslány, jsem se nedozvěděl, protože se jedná o bankovní tajemství. Proto jsem kontaktoval Policii ČR a podal trestní oznámení na neznámého pachatele. Zkontaktoval jsem také počítačového experta, který během 10 minut zjistil, jakým kanálem moje peníze odtekly a kde se konkrétně nachází. Kriminální služba poté zjistila, kdo se do mého počítače naboural, a že to bylo běžným programem, který používají správci sítě," vysvětluje jeden postižený. Tento klient měl štěstí, pachatel se totiž sám přiznal a peníze vrátil.

Druhý poškozený už takové štěstí neměl, trvalo 4 měsíce urgování, než si s ním pracovnice banky sjednaly schůzku: "Celý rozhovor jsem chtěl na diktafon, což striktně odmítly, načež jsem požadoval zápis z jednání. To odmítly rovněž. Upozornil jsem je, že v tom případě přijely zbytečně. Poté vedoucí naší expozitury KB s nimi dohodla, že se zápis udělá, ale byl takového charakteru, že nic neřešil." Ač k vykradení došlo v září 2003, o peníze se s bankou tahá doteď. Podle Komerční banky došlo ke zneužití bezpečnostních prvků klienta a klienta a finančního arbitra zažalovala banka u soudu. A to i přes rozhodnutí finančního arbitra ve prospěch klienta (rozhodnutí finančního arbitra je pro banku závazné) a přesto, že  případ začala šetřit policie. "Případ dosud není soudně uzavřen a  nemůžeme se tedy vyjadřovat k jeho okolnostem," dodává tisková mluvčí KB Marie Petrovová.

Ani s posledním námi osloveným poškozeným nezacházela KB jako se svým klientem. Dotyčná osoba byla navíc zaměstnankyně banky, a tak by se nabízel vstřícný přístup zaměstnavatele. "Nejprve mě přeřadili na jinou pozici, a až byl případ vyřešen, dostala jsem 6 dní před odchodem do důchodu výpověď pro nadbytečnost," vysvětluje okradená pochopení zaměstnavatele. K vrácení peněz opět banku donutilo až rozhodnutí finančního arbitra a šetření policie.

Jak chráníte svůj účet při používání přímého bankovnictví proti zneužití? Používáte nejrozšířenější zabezpečení heslem a číslem? Nebo máte například klientský certifikát, autentizační kalkulátor a další? Znáte někoho, komu vykradli účet? Bylo to jeho chybou? Podělte se s námi