Odszkodowanie za atak hakerski na rynku kryptowalut. Czy to możliwe?

Prężny rozwój technologii niesie za sobą tak szanse i możliwości, jak również wiele zagrożeń. Szczególnie ostrożni powinniśmy być, działając online – niestety, wciąż zbyt niska jest świadomość użytkowników sieci i chociaż nieustannie rośnie, przypadki wyłudzeń czy oszustw mają miejsce na co dzień. Wiele jest metod, jakimi hackerzy nieuczciwie zdobywają pieniądze.

Prężny rozwój technologii niesie za sobą tak szanse i możliwości, jak również wiele zagrożeń. Szczególnie ostrożni powinniśmy być, działając online – niestety, wciąż zbyt niska jest świadomość użytkowników sieci i chociaż nieustannie rośnie, przypadki wyłudzeń czy oszustw mają miejsce na co dzień. Wiele jest metod, jakimi hackerzy nieuczciwie zdobywają pieniądze.

Phishing – dla przypomnienia – to metoda oszustwa polegająca na przesłaniu użytkownikowi wiernej kopii strony banku i wykorzystania danych logowania ofiary. Drugim krokiem jest wygenerowanie transakcji o wartości równej środkom gromadzonym na rachunku bankowym na najczęściej konta zagraniczne atakującego, jak również konta giełd i kantorów kryptowalut. W ten sposób użytkownik konta zostaje pozbawiony środków.

Przed wyłudzeniami metodą phishingu przestrzegano już wielokrotnie. [https://bitcoin.pl/wiadomosci/prawo-i-polityka/1651-aml-nowe-przepisy-dla-branzy-kryptowalut] Dla poszkodowanych przez tego typu operacje, duże znaczenie przy dochodzeniu odszkodowań może mieć wyrok Sądu Najwyższego z d. 18.01: http://www.sn.pl/sites/orzecznictwo/orzeczenia3/v%20csk%20141-17-1.pdf

Przyjrzyjmy się następującemu case’owi:

Użytkownik pewnej strony chciał dokonać na niej wpłaty, korzystając z przekierowania na stronę swojego banku. Strona logowania do bankowego konta była graficznie bliźniaczo podobna do strony logowania banku i nie budziła wątpliwości użytkownika. Spór zaistniały między bankiem a klientem dotyczył właśnie takiego ataku hakerskiego na stronę banku i przelewu środków klienta po wyłudzeniu danych.

Użytkownik strony internetowej obsługującej płatności kilkukrotnie próbował się zalogować, aż w końcu dowiedział się z komunikatu, że strona jest w przebudowie. Następna informacja, jaką otrzymał, dotyczyła braku środków na koncie. Po zawiadomieniu banku o sytuacji, użytkownik wszczął postępowanie reklamacyjne, jednak spotkał się z odmową – bank próbował uwolnić się od odpowiedzialności, sugerując rażące niedbalstwo klienta. Organy prokuratury potwierdziły możliwość zaistnienia ataku hakerskiego na stronę banku. Klient wytoczył powództwo przeciwko bankowi. W pierwszej instancji przegrał proces – przyjęto jego niezgodne z zasadami bezpieczeństwa zachowanie.

Dopiero w postępowaniu apelacyjnym przyjęto słuszność roszczeń klienta banku.  W zaistniałej sytuacji to po stronie instytucji finansowej, czyli banku, leżało ryzyko wypłacenia środków nieuprawnionemu oszustowi. Ustalono, że bank powinien zapewnić takie zabezpieczenia, które np. zablokowałyby konto po drugim nieudanym logowaniu.

Pozwany bank złożył skargę kasacyjną, lecz Sąd Najwyższy nie podzielił argumentacji przez niego uzasadnianej. Ustalono brak zachowania klienta banku niezgodnego z umową. W przypadku tego sporu posłużono się Ustawą o usługach płatniczych, której artykuł 45 jest wyjątkiem od art. 6 KC – ciężar udowodnienia, że transakcja była wykonana prawidłowo, spoczywa na banku. Bank nie miał jednak podstaw do tego, żeby wykazać rażące niedbalstwo klienta ani jego zachowania niezgodnego z przepisami o usługach płatniczych, w szczególności umyślnego doprowadzenia do nieautoryzowanej transakcji. Bank musiał zwrócić kwotę klientowi - musiał ponieść odpowiedzialność odszkodowawczą za atak hakerski.

Wiele będzie zależało od treści umowy zawieranej z klientami banku – obowiązuje zasada swobody umów (ograniczenia wynikają z przepisów konsumenckich i AML). Stosowanie wyłączeń odpowiedzialności wobec konsumenta może być ewentualnie ograniczone wykazem niedozwolonych postanowień umownych na stronie Prezesa UOKiK. Powoływanie się na klauzule wyłączające odpowiedzialność nie powinny mieć zastosowania (rebus sic stantibus) – zaburzałyby pewność obrotu, a problematyka ataków cybernetycznych jest często podnoszona w mediach, więc nie jest okolicznością, której strona nie mogła przewidzieć.

Gdyby nie przepisy chroniące słabszą stronę kontraktu, jaką jest klient, to jemu pozostawałoby wykazanie nienależycie wykonanego zobowiązania przez bank. Musi istnieć związek przyczynowo – skutkowy pomiędzy zdarzeniem, a zaniechaniem podmiotu zobowiązanego. Dłużnik zwolni się od odpowiedzialności za te okoliczności, za które nie ponosi odpowiedzialności (471 KC). Bank mógłby więc próbować powoływać się na okoliczność, że nie jest odpowiedzialny za atak hakerski oraz wskazać, ze stosuje adekwatne zabezpieczenia. Ostatecznie to biegli ocenialiby te zabezpieczenia. Wskazywanie okoliczności dokonanego ataku hakerskiego (phishingu) na stronę banku jako okoliczności wyłączającej odpowiedzialność za utratę środków klientów dawałoby pole do nadużyć.  

Na kliencie banku także ciążą zobowiązania dotyczące stosowania środków ostrożności np. przed ujawnieniem numeru PIN, czy ochrony hasła. Banki stosują też ostrzeżenia, informując o potencjalnych zagrożeniach, nie dopuszczają do korzystania z kont mobilnych na urządzeniach wykorzystujących systemy o wątpliwej odporności przed wirusami.

Przywołany wyrok SN pozwala więc odetchnąć z ulgą klientom banków – potwierdza, że to na banku ciąży obowiązek stosowania zabezpieczeń strony internetowej służącej do dokonywania płatności przed atakami hakerskimi. Banki, dysponując odpowiednim kapitałem, muszą znać się na narzędziach zapewniających bezpieczeństwo w cyberprzestrzeni przeznaczonej dla swoich klientów.

Analogiczna historia mogła dotyczyć kantoru lub giełdy kryptowalut:

Strona logowania łudząco przypominająca tę oryginalną, nieudane logowania i brak środków na kontach. Użytkownicy kantorów i giełd mają nieco utrudnione zadanie przy ewentualnym dochodzeniu roszczeń. Relację między bankiem a klientem regulują przepisy o usługach płatniczych, a także art. 725 - 733 KC – umowa rachunku bankowego. Jeśli spór dotyczy kryptowalut, nadal nie mamy jasności, czym dokładnie kryptowaluty mogą być przy dochodzeniu roszczeń, a przepisy dotyczące AML i KYC niekoniecznie będą przydatne. Do tej pory kryptowaluty nie są ani prawnym środkiem płatniczym, ani instrumentem finansowym. Trudno mówić o mieniu, a teoria prawa podmiotowego jest sporna.

Klient banku ma pewne udogodnienia wynikające z przepisów o usługach płatniczych, np. przerzucenie ciężaru dowodu dotyczącego nieprawidłowego zachowania klienta na bank.

Użytkownik giełdy lub kantoru nie będzie miał takiej możliwości – będzie sam musiał udowodnić, że to nie jego zachowanie doprowadziło do niekorzystnego rozporządzenia.

Kierując się sposobem myślenia Sądu Najwyższego, można by przypuszczać, że próba przerzucania odpowiedzialności odszkodowawczej przez giełdy i kantory kryptowalut ze względu na atak hakerski będzie niemożliwa. Być może należyte wykonanie zobowiązania w ich przypadku będzie polegało na zapewnieniu zabezpieczeń przed takimi atakami.

Dobrym rozwiązaniem i zabezpieczeniem jest objęcie działalności np. kantoru czy giełdy kryptowalut ubezpieczeniem. Jako pierwszy (i jedyny) w Polsce takie kroki podjął kantor BitCan.pl, który zabezpiecza aktywa klientów w funduszu gwarancyjnym – Crypto Security Fund. Przeczytać o szczegółach takiego zabezpieczenia można tutaj. (https://bitcan.pl/blog/bitcan-zabezpiecza-aktywa-klientow-w-funduszu-gwarancyjnym-crypto-security-fund/). Takie działania są bardzo pożądane – szczególnie biorąc pod uwagę, że rynek kryptowalutowy zna już przypadki, w których po ataku hackerskim kantor czy giełda znikała.

Autor: