W dobie dynamicznego rozwoju technologicznego coraz więcej ludzi przenosi swoje aktywności do świata online. Zakupy internetowe zyskują na popularności, oferując wygodę i szeroki wybór produktów, a bankowość elektroniczna ułatwia zarządzanie finansami. W związku ze wzmożoną obecnością dużego grona użytkowników (w tym również przedsiębiorców bądź ich pracowników) w środowisku internetowym, stało się ono areną rozwoju przestępstw polegających na wyłudzeniu danych czy pieniędzy. Kto jest podatny na zagrożenia?
Jak cyberprzestępcy szukają ofiar?
Według badań przeprowadzonych przez Europejski Urząd Nadzoru Bankowego, konsumenci tracą średnio 2 252 euro na fraudach internetowych. Zagrożenia te są szczególnie widoczne w naszym kraju, który jest wyjątkowo rozwinięty pod względem dostępu do płatności elektronicznych na tle innych państw europejskich.
Czytaj więcej:
Cyberprzestępcy z uwagi na rosnącą świadomość społeczną dotyczącą sposobów oszustw podchodzą coraz kreatywniej do projektowanych przez siebie mechanizmów fraudów. Pomaga im w tym chociażby sztuczna inteligencja (AI), która nie tylko pozwala na kreowanie przesyłanych do nas wiadomości czy reklam w sposób wiarygodny, ale również często uniemożliwia namierzenie sprawcy.
Cyberoszuści wykorzystują różne techniki i metody, aby zdobyć nieautoryzowany dostęp do informacji, pieniędzy lub innych przydatnych dla nich zasobów. Badania przeprowadzone w Wielkiej Brytanii pokazują, że większość oszustw ma miejsce w sytuacji, gdy ofiary osiągają stan największej wrażliwości emocjonalnej (np. w sytuacjach stresu, zmęczenia lub rozproszenia uwagi). Oszuści stwarzają przytłaczające poczucie pilności, wywierają presję na ofiary i manipulują nimi w trakcie całego procesu oszustwa, aby szybko pozbawić ich wątpliwości i sprowokować do wykonania określonego działania. W taką pułapkę można wpaść niezależnie od wieku. Jakie działania powinny wzbudzić czujność?
Najpopularniejsze metody oszustw
Chociaż możliwości cyberprzestępców są niemal nieograniczone, wyróżnić można kilka najbardziej typowych rodzajów oszustw: m.in. podszywanie się pod pracodawcę, tworzenie fałszywych ofert inwestycyjnych lub podawanie się za pracownika banku albo przedstawiciela organów państwowych (np. prokuratora). W każdym z tych mechanizmów przestępcy tworzą fałszywe wyobrażenie o tym, kto kontaktuje się z ofiarą i wykorzystuje zaufanie do rzekomego nadawcy wiadomości.
PRZYKŁAD:
Popularną metodą oszustwa (i też nietrudną do zrealizowania z uwagi na jakość zabezpieczeń większości mediów społecznościowych) jest przełamanie haseł na mediach społecznościowych i rozsyłanie wiadomości z prośbą o dokonanie przelewu (najczęściej podanie kodu BLIK i zatwierdzenie transakcji). Oszuści wykorzystują często przy tym poprzednie wiadomości wysyłane do znajomych, aby uwiarygodnić prośbę. W celu uśpienia uwagi odbiorcy używają np. podobnych emotikon czy zdrobnień jak potencjalny nadawca wiadomości, przesyłają również znajomym prywatne zdjęcia znalezione w aplikacji.
Skutki dla firm
Pomimo, że cyberprzestępcy “oszukują” konkretną osobę skutki ich działań może odczuć cała firma. Podanie się za członka zarządu lub dział HR w celu uzyskania określonych informacji może stanowić dopiero pierwszy etap bardziej złożonego przestępstwa. Podszycie się w wiadomościach sms lub rozmowach telefonicznych pod konkretną firmę może również prowadzić do naruszenia jej wizerunku i nadszarpnięcia zaufania konsumentów. Zdarza się, że to właśnie od firmy, za którą podali się cyberprzestępcy, pokrzywdzeni domagają się zwrotu pieniędzy. Czy rzeczywiście takie roszczenia są zasadne?
Kto ponosi odpowiedzialność finansową?
Ofiary cyberprzestępstw w celu odzyskania pieniędzy z wykonanej transakcji zgłaszają się dostawców usług płatniczych, co umożliwiają im obowiązujące przepisy Dyrektywy PSD II. Zgodnie z nimi dostawca usług płatniczych (najczęściej: bank) ma obowiązek zwrotu kwoty odpowiadającej transakcji nieautoryzowanej. Z transakcją nieautoryzowaną mamy do czynienia wtedy, gdy użytkowników nie wyraził zgody na daną transakcję.
Zgodnie ze Stanowiskiem Prezesa UOKiK – użytkownik dokonując zgłoszenia nieautoryzowanej transakcji składa jednocześnie oświadczenie o tym, że nie wyraził na nią zgody, a po stronie dostawcy powstaje obowiązek zwrotu kwoty nieautoryzowanej transakcji. Tym samym, to do dostawcy należy przedstawienie dowodu przeciwnego – iż klient autoryzował transakcję płatniczą, czyli wyraził zgodę na tę transakcję w sposób uzgodniony przez strony. Taką interpretację potwierdził ostatnio Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 11 lipca 2024 r., (pkt 63 i 70, sygn. C-409/22).
Istnieją jednak sytuacje, w których to użytkownik poniesie straty związane z nieautoryzowaną transakcją. Stanie się tak jeśli jego działanie miało cechy rażącego niedbalstwa (czego przykładem jest np. trzymanie zapisanego na kartce kodu PIN w portfelu). Wystąpienie rażącego niedbalstwa po stronie klienta musi udowodnić dostawca.
28 czerwca 2023 r. Komisja Europejska zaprezentowała nowy pakiet legislacyjny (Dyrektywa PSD III oraz Rozporządzenie PSR), którego celem jest zwiększenie ochrony użytkowników na rynku usług płatniczych. Regulacje te rozszerzą obowiązki dostawców usług płatniczych, m.in w zakresie tzw. spoofingu (podszywania się przestępców pod pracowników banków), zobowiążą ich do stosowania zaawansowanych środków bezpieczeństwa, w tym dodatkowej weryfikacji tożsamości przy transakcjach o wysokim ryzyku. Nowe przepisy będą również wymagać od dostawców usług płatniczych weryfikacji, czy dane odbiorcy przelewu są zgodne z informacjami zapisanymi w systemie bankowym. Zgodnie z przewidywaniami, nowe przepisy wejdą w życie w 2026 roku, po ich przyjęciu przez Parlament Europejski i Radę Unii Europejskiej.
Powyższa regulacja nie zwalnia oczywiście z odpowiedzialności cyberprzestępców, ale ma zwiększyć szansę na szybkie wyrównanie szkody finansowej poniesionej przez ich ofiary.
Odpowiedzialność karna
Tzw. oszustwa internetowe mogą wyczerpywać znamiona różnych przestępstw m.in. określonych w art. 286 i 287 kodeksu karnego (k.k.). W obu tych przypadkach są one ścigane z urzędu. Oznacza to, że ukaranie sprawców nie jest uzależnione od woli pokrzywdzonego. Wystarczy, że prokurator dowie się o przestępstwie np. z zawiadomienia banku. Zablokowanie podejrzanej transakcji nie wyklucza odpowiedzialności karnej cyberprzestępców. W dalszym ciągu mogą oni odpowiedzieć za usiłowanie (czyli próbę) popełnienia przestępstwa. Chociaż skuteczność ścigania sprawców może budzić wątpliwości, nie warto rezygnować z zawiadamiania organów ścigania. Warto jednak wybrać odpowiednią jednostkę specjalizującą się w walce z cyberprzestępczością np. zespół dw. z cyberprzestępczością wybranej Komendy Wojewódzkiej Policji. Nawet gdy sprawcy nie zostaną wykryci w krótkim czasie po popełnieniu przestępstwa, możliwe jest ich późniejsze ujawnienie np. w ramach międzynarodowej współpracy policyjnej. Zawiadomienie organów ścigania może być również konieczne dla skorzystania z odpowiednich ubezpieczeń lub wykazania należytej staranności członków zarządu.
Źródła:
https://www.beuc.eu/blog/payment-fraud-has-become-an-industry/
https://media.product.which.co.uk/prod/files/file/gm-c66f3d70-3928-4dee-bb8b-481405be2b5e-the-psychology-of-scams-understanding-why-consumers-fall-for-app-scams.pdf
https://finanse.uokik.gov.pl/produkcja/wp-content/uploads/Stanowisko-Prezesa-UOKiK-w-sprawie-transakcji-nieautoryzowanych.pdf
W cyklu „Prawo karne w biznesie” opublikowaliśmy ostatnio:
31 maja – „Szpiegostwo gospodarcze. Jak się przed nim bronić?”,
14 czerwca – „Nie ma biznesu bez ryzyka – jak je prawidłowo ocenić?”,
12 lipca – „Czy dyrektor szpitala poniesie odpowiedzialność karną?”,
19 lipca – „Czy za uśmiercenie rośliny lub zwierzęcia można pójść do więzienia?”,
2 sierpnia – „Audyt śledczy po zgłoszeniu sygnalisty”,
23 sierpnia – „Jak ograniczyć wyciek danych w firmie?”
Zdaniem autorek
Kamila Białasik, Prawnik, WKB Lawyers
Anna Zbierska, Adwokat, WKB Lawyers
Trudności związane z wykrywaniem sprawców przestępstw sprawiają, że w rzeczywistości ryzyko finansowe związane z ich występowaniem obecnie rozkłada się między użytkowników a dostawców usług płatniczych. Straty mogą ponieść również firmy, pod które podszywają się oszuści.
Dlatego też edukacja klientów w zakresie bezpieczeństwa finansowego może być skutecznym narzędziem prewencyjnym i przynieść długofalowe korzyści. Im więcej osób zostanie uświadomionych o typach oszustw i krokach, które należy podjąć w razie padnięcia ofiarą manipulacji, tym mniejsze będzie ryzyko powtórzenia się oszustwa.
Choć przepisy prawa póki co nie wymagają podejmowania tego typu działań przez podmioty inne niż dostawcy usług płatniczych - przedsiębiorcy (w ramach realizacji zasady Społecznej Odpowiedzialności Biznesu) oraz inne organy powinny wspierać banki i organy ścigania w walce z fraudami poprzez np. informowanie tych podmiotów o nowych rodzajach oszustw w celu umożliwienia wprowadzenia nowych zabezpieczeń, dotarcia z ostrzeżeniem do potencjalnych pokrzywdzonych
Przedsiębiorcy mają kluczowy interes w edukowaniu swoich użytkowników na temat zagrożeń związanych z cyberprzestępczością. Podnoszenie świadomości o takich niebezpieczeństwach, jak phishing, oszustwa internetowe czy kradzież tożsamości, może znacząco zmniejszyć ryzyko ataków. Kiedy cyberprzestępcy podszywają się pod przedsiębiorcę bądź w jakikolwiek sposób wykorzystują jego wizerunek czy udostępniane klientom funkcjonalności, może to prowadzić do naruszenia renomy firmy. Utrata zaufania konsumentów oraz szkody reputacyjne mogą mieć długofalowe, negatywne skutki dla działalności przedsiębiorstwa. Dlatego inwestowanie w programy edukacyjne i kampanie informacyjne nie tylko chroni użytkowników, ale również pomaga firmie w utrzymaniu i wzmocnieniu swojej pozycji na rynku, zabezpieczając się przed potencjalnymi zagrożeniami.
Ofiarami oszustw mogą być nie tylko użytkownicy, ale również pracownicy przedsiębiorcy bądź organu. Przeciwdziałanie cyberatakom polegającym na podszywaniu się pod pracodawcę w celu wyłudzenia danych wymaga kompleksowego podejścia, które obejmuje zarówno technologie, jak i edukację pracowników. Współcześnie to jedna z najważniejszych „inwestycji” w każdej firmie, niezależna od rodzaju prowadzonej działalności.