Finanční arbitr: on-line škodu klienta zaplatí banka

Finanční arbitr: on-line škodu klienta zaplatí banka
Banky uzavíraly smlouvy, rozhodovaly podle svého, kroutily hlavou v případě reklamací. Pod tíhou rozhodnutí finančního arbitra musejí ale nyní uznat, že jejich pravda není pravdou tak absolutní. Internetové bankovnictví není 100% bezpečné a banky se nesmějí realitě vyhýbat! O své peníze snad ale nadále přicházet nemůžeme.

Banky mají ve svých smlouvách s klienty o internetovém bankovnictví takové podmínky, že vše, co se děje na klientově počítači, spadá do jeho kompetence. Tím je ošetřeno, že v případě napadení toho počítače a ovládání účtu neoprávněnou osobou nese odpovědnost klient. Banky si tak chtěly zajistit, že jejich internetové bankovnictví vlastně nemusí být ani maximálně bezpečné, protože, co se stane mimo banku, není její starost.
Pokud očekáváte, že služba klientovi znamená také jistotu v případě, "kdy nic nezaviníte" a přesto vám peníze z účtu zmizí, nemohli jste doposud odpovídající produkt nalézt. Banky ale nejsou jediným vykladačem práva a tvůrcem bankovního trhu u nás. Rozhodnutí finančního arbitra v jednom z případů vykradeného účtu kartu dokonale obrací.

Internetové bankovnictví zná většina našich čtenářů. Komunikace je celkem dobře zabezpečena, ale "ukrást" přihlašovací data není nepřekonatelně složité. Požádali jsme o rozhovor Jiřího Nápravníka, který se celou problematikou intenzivně zabývá, aby nám o celé problematice prozradil něco bližšího.

Hrozba útoku se nedá vyloučit

Peníze.CZ: Internetové bankovnictví dnes používá řada lidí a mnozí z nich jsou laici. Co jim hrozí, jak se mohou bránit a postačí to?

Jiří Nápravník: Klient, který si je vědom toho, že jeho počítači a poté bankovnímu účtu hrozí určité nebezpečí, si podle pokynů nainstaluje antivirový program. Často jej správně i aktualizuje. To ale obvykle nestačí . Stejně jako v případě již známých dialerů, které přesměrovávají internetové připojení, nelze vyloučit útok vnějšího světa na vaše bankovní data. Vetřelcem může být i nejapný vtip kolegy nebo zvědavost technicky zdatného synka, kterého zajímá, co tatínek na tom počítači dělá. Cest je zkrátka mnoho. Výsledkem je, že třetí osoba získá heslo a certifikát pro přístup k vašemu kontu.

Takže se účty běžně vykrádají?

Že se tak v praxi občas děje, není nutné nějak obsáhle popisovat. Máme již pravomocná odsouzení, řada případů se šetří, nové se objevují.

Kolik účtů už bylo takto postiženo?

Řádově pár desítek. Někdy si klient "vykrade sám sebe" a snaží se banku podvést. Všichni klienti bank rozhodně nejsou andílci. Na druhou stranu ale pokud někdo skutečně podvede klienta, tak ten nemá u banky zastání a jeho reklamace jsou zamítány. Problém je také hrozba toho, že se může objevit lavina podobných podvodů a banky na to nejsou, jak ukazuje současná praxe, připraveny. Zatím jen nechají odpovědnost na klientovi, který obvykle zvládá svůj počítač uživatelsky. Z hlediska techniky však pro získání přístupových dat postačí jen připravit a propašovat k oběti do počítače dostatečně inteligentní program.

Mají již známé oběti nějaké společné znaky? Kdo jsou?

Jsou to běžní uživatelé napříč profesemi. Spojuje je vlastně to, že užívají počítač a obvykle to nejsou odborníci, což ale není pravidlem. Jmenujme lékaře, obchodní zástupce, architekta, daňovou poradkyni, ale i ředitele počítačové firmy.
Obecně je nejzranitelnější technologie přístupu přes uživatelské jméno a heslo, případně doplněno o digitální certifikát. V těchto případech se nedá vyloučit, že by vykrádání účtů mohlo získat charakter masovosti. Ale i další způsoby zabezpečení mohou díky lidem, ale bez jejich přímého zavinění, selhat. Veškerá hesla a PINy člověk vyzradí například pod nátlakem. Může se tak ale stát i při probouzení se z narkózy a dalších neobvyklých, ale reálných situacích.

Banky se ale možné odpovědnosti zbavily šikovně postavenými smlouvami o internetovém bankovnictví. Jak tedy rozhodl finanční arbitr?

Poškozený v daném sporu, jehož účet a účet bytového družstva, který spravoval, byl vykraden, to sám neudělal. I to se šetřilo a šetřit musí. Zjistilo se, že pachatelem je jakýsi bezdomovec, s největší pravděpodobností bílý kůň. Ovšem, peníze již u sebe neměl. Je možné, že je někomu předal, nebo je prohrál, propil atd.
Banka však v souladu se smlouvou škodu uhradit odmítla. Poškozený se tedy obrátil na finančního arbitra, který měl již zkušenosti s podobnými případy u platebních karet. V případě internetu se jednalo o první rozhodnutí a zkušenosti nebyly ani z Německa či Rakouska. Arbitrovi trvalo rozhodnutí necelý rok a půl, ale nakonec došel k závěru, že banka pochybila . Že systém jakým provozuje internetové bankovnictví není úplně v pořádku, protože klienta na začátku nepoučila, jak řádně provozovat její internetové bankovnictví. Arbitr zejména vytknul bance skutečnost, že nemá fungující reklamační oddělení. Banka se sice odvolala, ale arbitr následně rozhodl obdobně a s konečnou platností, takže banka musí vrátit na klientův účet to, o co přišel. Absurdní na celé věci je, že banka se odmítla podřídit a předala celou věc soudu. Banka, která sama nedokázala zjistit, zda se jednalo v daném případě o korektní transakci nebo podvod, si u soudu stěžuje na rozhodnutí finančního arbitra.

O kolik peněz vlastně šlo?

Na osobním účtu to bylo necelých 40 000 a na účtu družstva něco kolem 250 000 Kč,

Internetbanking tedy není stoprocentně bezpečný. Co na to banky? Předpokládám, že to neslyší rády.

Je to tak trochu úsměvné. Již léta jsem poukazoval na to, že je potřeba stavět vztahy mezi klientem a bankou na vzájemné důvěře. Když jsem tedy před pár lety zjistil potenciální nebezpečí, oslovil jsem příslušné banky, kterých se zjištěný problém týká, sdělily mi, že jsem úplně mimo. Jejich internetová bankovnictví jsou podle evropských norem, ony jsou velké instituce, všechno jim dělaly renomované velké firmy, takže všecko musí být v pořádku.

To vám na popularitě asi nepřidalo.

Časem jsem získal punc někoho, kdo chce pouze očernit jméno bank . Ostatně to tvrdili i jiní odborníci z branže internetové bezpečnosti. Ovšem po rozhodnutí finančního arbitra mám dobrý pocit, že došlo na moje slova. Přístup k zabezpečení ze strany banky má řadu trhlinek. V inkriminované kauze nebyla banka schopná opakovaně doložit IP adresu (identifikace počítače, která se běžně užívá, ale lze poměrně snadno zfalšovat, poznámka redakce), což lze považovat za alespoň základní identifikátor a i jinak neměla žádný zájem na rychlém objasnění případu. Prostě se chovala jako by to nebyl její problém.

Co by tedy podle vás pomohlo do budoucna celému systému?

Pokud klient nebude mít jistotu, že mu nemohou bez jeho viny zmizet úspory, bude jeho důvěra v internetové bankovnictví klesat. Podobně na tom může být i důvěra v elektronický podpis a potažmo e-government. Je třeba vytvořit postupy pro rychlé vyšetřování případů (řádově dny a týdny, nikoliv měsíce a roky) a založit institut pomoci poškozeným klientům. Aby například rodina nepřišla vykradeným účtem o všechny prostředky, měla by banka nabídnout otevření kontokorentního účtu v době nouze zaviněné sporem o vytunelování účtu. Inspiraci pro celou oblast hledejme v oblasti platebních karet, kde fungují díky velkým asociacím účinné mechanizmy, jak se podvodům bránit a jak je rychle vyšetřovat.
Internetbanking je chtě nechtě především službou banky. Jelikož ona spravuje účet, měla by více přistoupit na to, že pokud někdo účet vykrade, je třeba jej společně s klientem vypátrat, nikoliv to nechat jen na klientovi. Bance takový přístup zvedne renomé a kvalita takové služby by se měla stát dalším konkurenčním prvkem. Tomu rozhodnutí finančního arbitra snad také napomohlo.

Měly banky nést odpovědnost za to, že byl účet vykraden cizí osobou z klientského počítače?

Domnívám se, že banky by měly být povinny vyšetřovat všechny reklamace nejenom internetového, ale i GSM, telefonního a dalších komunikací mezi bankou a klienty. Tak by měly postupovat mimo jiné i pro svůj klid a jistotu zda peníze převedl klient, nebo někdo jiný. To se dnes neděje, ale takový přístup je důležitý mimo jiné i proto, že jsme v laboratorních podmínkách otestovali, že je možné zneužít i internetové bankovnictví s čipovou kartou a v takovém případě se neoprávněná transakce provádí na klientském počítači.

Měly by podle vás banky vypracovat lepší mechanismy dokazování a odhalování podvodů? Nebo je podle vás dostačující, že smlouva prostě nechává vše na bedrech klientů? A klíčová otázka, jak je možné, že se banky a finanční arbitr neshodnou v takto zásadním problému?

Srovnávat se vyplatí

Srovnávat se vyplatí

Kalkulátor.cz je srovnávač, který lidem šetří peníze ve světě energií, pojištění, telekomunikací a financí. My počítáme, vy šetříte.

Sdílejte článek, než ho smažem

Líbil se vám článek?

-4
AnoNe
Vstoupit do diskuze
V diskuzi je celkem 33 komentářů

Diskuze

Příspěvek s nejvíce kladnými hlasy

8. 6. 2005 23:55, jezevec

To byste se divil, jak je to jednoduché.
Ještě vloni ČSOB vyžadovala pro update certifikátu půjčit čipovou kartu na dva dny, včetně prozrazení PINu.
Letos už se dá certifikát obnovit po internetu uživatelsky - ale POUZE před vypršením platnosti stávajícího certifikátu. Na jeho expirující platnost vás ale nikdo neupozorní, takže mnoho lidí zjistí neplatnost certifikátu až když je pozdě a stejně kluše na pobočku. Tam už sice kartu nemusí nechat dva dny, stačí jí strčit do čehosi a zadat PIN na terminálu - ale obnovu certifikátu dělá člověk, kterému na půl hodiny svěříte kartu i s čipem a vložíte platný PIN. Představa jak by takto šla karta nebo její komunikace naklonovat včetně zabezpečení není tak složitá.

Zobrazit celé vlákno

+19
+-
Reagovat na příspěvek

Příspěvek s nejvíce zápornými hlasy

9. 6. 2005 13:03, Roman

Ještě bych chtěl panu Jirkovi říct.
Myslím, že nejsem sám, kdo potřebuje občas obsluhovat účet z cizího PC.
Já bych to považoval za normální a ve své smlouvě nemám žádnou zmínku na toto téma. Pokud banky neumí garantovat kvalitu své služby ať ji laskavě neposkytují.

Zobrazit celé vlákno

-15
+-
Reagovat na příspěvek
Vstoupit do diskuze
V diskuzi je celkem (33 komentářů) příspěvků.

A tohle už jste četli?

Peněžní fond: lepší než termíňák a běžný účet?

3. 6. 2005 | Dana Chytilová

Peněžní fond: lepší než termíňák a běžný účet?

Máte menší částku peněz, kterou chcete zhodnotit? Vložte ji do fondu peněžního trhu. Získáte tak daleko výhodnější alternativu termínovaného vkladu. Při splnění určitých podmínek ale... celý článek

Banky se bojí konkurence a informovaných klientů

3. 6. 2005 | Jiří Šedivý

Banky se bojí konkurence a informovaných klientů

Aktivity Ministerstva financí směřující k posílení pozic klientů označily některé banky okamžitě za snahu o další regulaci trhu. Je snad informovaný a zorientovaný klient tržně nežádoucí?... celý článek

Kdo získal titul Internetová banka roku?

25. 5. 2005 | Petr Vykoukal | 1 komentář

Kdo získal titul Internetová banka roku?

Chcete vědět, která banka si odnese titul "Internetová banka roku"? Kdo zvítězil v hlasování čtenářů? A kdo nabízí klientům nejlevnější účet? Dozvíte se i ve kterých oblastech byly... celý článek

Internetová banka roku: jak a s čím kdo bojoval

25. 5. 2005 | Petr Vykoukal

Internetová banka roku: jak a s čím kdo bojoval

V prvním dnešním článku jste se dozvěděli, která banka se stala vítězem naší soutěže Internetová banka roku. Tento vám přináší shrnutí, s jakými aplikacemi jednotlivé banky soupeřily... celý článek

Internetová banka roku startuje!

4. 4. 2005 | Petr Vykoukal

Internetová banka roku startuje!

Z pohledu lidského života je internetové bankovnictví dítětem čekajícím na zápis do základní školy. Moderní technologie se ale zákonitostmi lidského života neřídí, a tak už má český... celý článek

Partners Financial Services