Tuo savo kailiu įsitikino portalo tv3.lt skaitytoja Dalia (tikras vardas ir pavardė redakcijai žinoma), praradusi 2 tūkst. eurų, buvusių jos „Swedbank“ sąskaitoje.
Bankas kratosi atsakomybės prieš klientą?
Mergina pasakojo praėjusį savaitgalį gavusi į telefoną žinutę iš oficialaus „Swedbank“ numerio. Esą ir anksčiau iš to paties numerio ji ne kartą buvo gavusi banko žinučių apie įvairius pakeitimus, specialius pasiūlymus ir kt. Taigi, nieko blogo nepagalvojusi ir dėl naujausios žinutės.
„Žinutėje rašoma, kad mano duomenys užblokuoti ir norint atblokuoti turiu paspausti nuorodą. Paspaudžiau ir mane nukreipė į „Swedbank“ puslapį su pranešimu apie įspėjimą.
Jame rašoma, kad numatytas pavedimas už 1 tūkst. eurų Oskarui Mickauskui ir du pasirinkimai patvirtinti pavedimą arba atšaukti. Aš, žinoma, supratau, kad hakeriai įsilaužė į mano sąskaitą ir nori pavogti pinigus, bet tuo pačiu pagalvojau, kad bankas mane bando apsaugoti todėl prašo atšaukti pavedimą naudojant „Smart-ID“, – pasakojo Dalia.
Taigi, ji esą atšaukė pavedimą ir tie 1 tūkst. eurų grįžo į sąskaitą, dėl to ji supratusi, kad viskas gerai – sukčiams nepavyko pavogti pinigų.
„Tačiau po kelių minučių iš sąskaitos dingo 2 tūkst. eurų, o padarius atšaukimą pinigai nesugrįžo, buvo nuskaičiuoti. Žinoma, paskambinau į banką, tačiau jie atsakomybės kratosi, nesvarbu, kad duomenys visiškai nėra apsaugoti“, – piktinosi skaitytoja.
Ji taip pat stebėjosi, kad „Smart-ID“ laikoma kaip viena iš saugiausių priemonių naudojantis banko sąskaita, pavedimais, bet, deja, sukčiai lengvai gali nulaužti ir „Smart-ID“.
„Tą patį „Smart-ID“ naudoja tiek bankas, tiek sukčiai. Patys pagalvokite, ar norite rizikuoti savo sunkiai uždirbtais pinigais ir laikyti juos banke, be jokių garantijų, kad viena dieną jie bus nušvilpti per porą minučių, ar norit to išvengti.
Negaliu apsakyti koks pyktis apėmė išgirdus, kad „Swedbank“ nelabai ką gali padaryti, pinigai visiškai nėra apdrausti ir jiems „dzin“ dėl klientų. Parašiau pranešimą ir policijai su visais „screenshotais“, o su banku dar bus atskira kalba. Taip kad, pamoka visam gyvenimui, nepatikėti pinigų bankams, geriau dėti į kojinę“, – nusivylimo neslėpė Dalia.
Atlieka tyrimą, aiškinasi aplinkybes
„Swedbank“ Mažmeninės bankininkystės komunikacijos vadovas Gytis Vercinskas informavo, kad komentuoti konkretaus atvejo dėl kliento duomenų apsaugos negali.
„Tačiau visada gavus kliento pranešimą būna atliekamas vidinis banko tyrimas įvykio aplinkybėms išsiaiškinti. Kalbant apskritai, pastaruoju metu pastebime suaktyvėjusius sukčius, kurie įvairiausiais būdais mėgina išvilioti banko klientų pinigus“, – tikino banko atstovas.
Anot jo, dėl šios priežasties klientų prašoma būti itin budriais. Apie tai daug komunikuojama įvairias kanalais ir per žiniasklaidą. Klientams esą visada pabrėžiami keli svarbūs dalykai.
„Visų pirma, gavus bet kokią nuorodą su prašymu atlikti operaciją, kuriai reikia asmeninių pasijungimo kodų, būtina elgtis atsargiai ir rūpestingai. Tai yra, laikytis naudojimosi elektroninėmis paslaugomis elementarių saugumo taisyklių: įsitikinti, kokią operaciją jūsų prašoma tvirtinti, jokiomis aplinkybėmis netvirtinti operacijų ar prisijungimų prie elektroninių kanalų, kurių patys neinicijavote.
Taip pat jokiomis aplinkybėmis neatskleiskite savo asmens duomenų ir prisijungimui prie elektroninių kanalų naudojamų duomenų kitiems asmenims, įskaitant šeimos narius ar draugus“, – pasakojo G. Vercinskas.
Jis atkreipė dėmesį, kad vietiniai mokėjimo pavedimai iš banko yra išsiunčiami automatiškai, nes jie nėra vykdomi rankiniu būdu. Mokėjimo operacija gali būti įvykdyta kaip momentinis mokėjimas, tai yra, per kelias sekundes suma įskaitoma į gavėjo sąskaitą, esančią net kitoje įstaigoje ir gavėjas įgauna galimybę ja disponuoti iš karto.
Tarptautiniai mokėjimo pavedimai esą vykdomi per kitas mokėjimo sistemas, tačiau ir jų atveju mokėtojas negali duoti bankui privalomo nurodymo atšaukti mokėjimo nurodymo po to, kai jį gauna mokėtojo mokėjimo paslaugų teikėjas.
„Vienintelė galimybė bandyti atgauti pavedimo sumą, kai jis jau išsiųstas iš banko – tai pavedimo atšaukimo paslauga. Tačiau bankas negali suteikti jokių garantijų, kad pavyks atšaukti šį pavedimą. Jei pavedimas jau išsiųstas iš banko, jo atšaukti neturi galimybių, o tik prašyti gavėjo mokėjimo paslaugų teikėjo susisiekti su gavėju ir prašyti grąžinti pavedimo sumą“, – aiškino „Swedbank“ atstovas.
Jo teigimu, dėl šių priežasčių sukčiavimo atvejais dažnai nebepavyksta pavedimų atšaukti. Tokiais atvejais gyventojai patiria nuostolių dėl neatsargumo, kai gavę SMS žinutę, gyventojai net nesuabejoja gautos informacijos tikrumu ir nepaiso saugaus naudojimosi elektroninėmis paslaugomis rekomendacijų.
„Nors tuo metu nesinaudoja nei banko programėle, nei skambina į banką. Paspaustoje nuorodoje suveda visus prašomus asmens duomenis, įskaitant savo asmens kodą ir tik tuomet atsidarius „Smart-ID“ programėlei, joje daugiau nei vieną kartą suveda tik jam žinomus „Smart-ID“ kodus ir neskaito ekrane pateiktos informacijos apie tai, ką prašoma patvirtinti“, – komentavo G. Vercinskas.
Kaip apsaugoti klientus nuo vagysčių
Komercinius bankus prižiūrinčio Lietuvos banko Mokėjimų rinkos priežiūros skyriaus vyriausioji teisininkė Lina Chlebauskaitė taip pat atsakė į portalo tv3.lt klausimus, susijusius su šia istorija.
Gal galėtumėte paaiškinti, kaip įmanomas toks apgaulės būdas?
Jeigu asmens telefonas gautas SMS žinutes grupuoja pagal siuntėjo pavadinimą, o ne telefono numerį, sukčių atsiųsta SMS žinutė, kurioje siuntėju klaidinančiai nurodomas bankas, telefone sugruopajama kartu su banko siųstomis SMS žinutėmis.
Tokiose SMS žinutėse pateikiamos nuorodos į suklastotą interneto banko svetainę, kurioje asmuo suveda savo prisijungimo prie interneto banko duomenis ir tokiu būdu jie tampa žinomi sukčiams.
Gautus duomenis sukčiai panaudoja patys jungdamiesi į tikrąją interneto banko svetainę. Kadangi asmuo, nors to ir nesuprasdamas, papildomai patvirtina sukčių tikroje interneto banko svetainėje atliekamus veiksmus jo turimomis asmeninėmis atpažinties priemonėmis (pvz., „Smart-ID“) ir tik jam vienam žinomais PIN kodais, bankui suprasti, kad šiuos veiksmus interneto banko svetainėje atlieka ne pats asmuo, praktiškai neįmanoma.
Negi bankai niekada netikrina, koks (kam, pagal kokią paskirtį) mokėjimas suformuojama po apgaulinga nuoroda?
Mokėjimo nurodymai formuojami tikrojoje interneto banko svetainėje ir to, ką asmuo mato suklastotoje interneto banko svetainėje, į kurią patenkama per sukčių tokiam asmeniui pateiktą nuorodą, bankai nemato.
Panaudodami iš asmens išviliotus prisijungimo duomenis, sukčiai prie tikrosios interneto banko svetainės jungiasi tokiu pat būdu, kokiu jungtųsi ir pats asmuo.
Bankai tokiu atveju mato, kad prie interneto banko jungiamasi ir jame mokėjimo nurodymai formuojami bei tvirtinami įprasta tvarka, t. y. naudojant tas pačias atpažinties priemones, kurias pats asmuo kasdienybėje naudoja atlikdamas panašius veiksmus interneto banke. Kodėl iš viso net su „Smart-ID“ technologija neįmanoma apsaugoti vartotojų nuo pinigų praradimo?
Tokio pobūdžio sukčiavimai įvyksta ne dėl atpažinties priemonių (pvz., „Smart-ID“) arba interneto banko nesaugumo, o dėl to, kad sukčiams kitais būdais pavyksta išvilioti iš asmenų ne tik prisijungimo prie interneto banko duomenis, bet ir padaryti taip, kad asmuo savo turimomis atpažinties priemonėmis duotų tuos patvirtinimus, kurie reikalingi mokėjimo operacijoms atlikti.
Pavyzdžiui, netikroje interneto banko svetainėje asmens prašoma atnaujinti savo duomenis ir patvirtinti tokį atnaujinimą „Smart-ID“ PIN2 kodu, tuo tarpu tikroje interneto banko svetainėje sukčiai jau būna suformavę mokėjimo nurodymus, todėl į savo telefoną asmuo gauna prašymą patvirtinti sukčių suformuotų mokėjimo nurodymų vykdymą.
Dažnu atveju asmuo dėl neatsargumo arba skubėjimo neatkreipia dėmesio į tai, kad telefone rodomame pranešime yra nurodyta, jog prašoma patvirtinti konkrečios mokėjimo operacijos atlikimą.
Kas tokiu atveju turi kompensuoti nuostolius banko klientui?
Atsakomybė už sukčiavimo ir (arba) kitais neteisėtais veiksmais padarytus nuostolius, visų pirma, tenka tokius veiksmus atlikusiam asmeniui. Tačiau teisės aktai nustato mokėjimo paslaugomis besinaudojantiems asmenims tam tikrų papildomų garantijų.
Jeigu asmens banko sąskaitoje įvykdoma mokėjimo operacija, kuriai asmuo nedavė sutikimo, ir tokia mokėjimo operacija atlikta ne dėl paties asmens didelio neatsargumo, tyčios arba sukčiavimo, šio asmens mokėjimo paslaugų teikėjas turėtų grąžinti jam tokios mokėjimo operacijos sumą.
Tuo atveju, jeigu sukčių suklaidintas asmuo, objektyviai vertinant, galėjo (turėjo) suprasti, kad prisijungimo duomenis atiduoda sukčiams ir (arba) patvirtina jo banko sąskaitoje atliekamas mokėjimo operacijas (pvz., „Smart-ID“ pranešime dėl patvirtinimo jam buvo aiškiai nurodyta, kad PIN2 kodu jis tvirtina konkrečią mokėjimo operaciją), tačiau ignoravo tokius ženklus ir davė savo patvirtinimą, tokie asmens veiksmai galėtų būti laikomi jo dideliu neatsargumu, dėl kurio visi nuostoliai, susiję su sukčių atlikta mokėjimo operacija, galėtų tekti pačiam asmeniui.
Kiekviena tokia situacija vertinama individualiai, atsižvelgiant į susiklosčiusios situacijos aplinkybių visumą. Esant vartotojų ir bankų nesutarimams (ginčams) dėl to, kam konkrečiu atveju tenka nuostoliai dėl sukčių atliktos mokėjimo operacijos, vartotojai turi teisę kreiptis į Lietuvos banką su prašymu išnagrinėti tokį ginčą.
Kas yra daroma, kad šiame konkrečiame ir kituose komerciniuose bankuose pinigus laikantys gyventojai taip nenukentėtų?
Bankai turi pareigą užtikrinti, kad mokėjimo paslaugoms teikti naudojamos sistemos, įrenginiai ir įranga būtų saugios, reaguoti į plintančias sukčiavimo schemas ir ieškoti papildomų saugumo priemonių, tačiau jie negali sukontroliuoti, kur ir kaip asmuo naudoja jam išduotas atpažinties priemones, personalizuotus slaptažodžius ir (arba) kitus saugumo kodus.
Todėl tokiose situacijose yra itin svarbus paties asmens budrumas ir atsargumas, kuris dažnu atveju ir lemia tai, ar sukčiams pavyksta išvilioti iš asmens duomenis ir panaudoti juos neteisėtiems tikslams. Bankų ir įvairių institucijų interneto svetainėse, taip pat žiniasklaidos priemonėse yra skelbiama nemažai informacijos apie vyraujančias sukčiavimo schemas ir joms būdingus požymius bei pateikiama rekomendacijų, kaip nuo jų apsisaugoti.
Atitinkamos teisėsaugos institucijos imasi veiksmų užkardyti tokio pobūdžio sukčiavimus. Visgi tobulėjant technologijoms, tobulėja ir įvairios sukčiavimo schemos, todėl apsisaugoti nuo jų galima tik bendromis pastangomis, stiprinant mūsų visų budrumą, tarpusavyje dalinantis aktualia informacija, informuojant kompetentingas institucijas apie pastebėtus trečiųjų asmenų veiksmus, galinčius turėti sukčiavimo ar kitos nusikalstamos veikos požymių, ir pan.