Koniec wymówek banków. Mają natychmiast oddawać pieniądze ofiarom oszustw

Ofiary phishingu od lat słyszały od banków ten sam argument: pieniądze przepadły, ponieważ klient sam dał się oszukać. Teraz w Belgii doszło do wydarzenia, które może znacząco wpłynąć na sposób rozpatrywania podobnych spraw w całej Europie. Sąd w Antwerpii wydał orzeczenie nakazujące natychmiastowy zwrot utraconych środków osobom poszkodowanym przez cyberprzestępców.

Prawnicy już mówią o precedensie, który może stać się punktem odniesienia dla kolejnych sporów między klientami a instytucjami finansowymi.

Seniorzy stracili 50 tys. euro po telefonie od oszusta

Sprawa dotyczy starszego małżeństwa, które padło ofiarą wyrafinowanego oszustwa. Cyberprzestępca podszył się pod pracownika banku i przekonał swoich rozmówców do przelania oszczędności na wskazane konto. W rezultacie z ich rachunku zniknęło 50 tys. euro. Przez lata podobne przypadki kończyły się zazwyczaj odmową wypłaty rekompensaty. Banki utrzymywały, że klient ponosi odpowiedzialność za przekazanie pieniędzy oszustowi lub ujawnienie poufnych danych. Tym razem sąd spojrzał na sprawę inaczej.

Najpierw zwrot pieniędzy, później dochodzenie

Sędzia rozpatrujący sprawę uznał, że bank powinien niezwłocznie zwrócić utracone środki. Dopiero później instytucja finansowa może próbować wykazać, że klient dopuścił się rażącego zaniedbania. To odwrócenie dotychczasowej praktyki. W wielu przypadkach ciężar walki o odzyskanie pieniędzy spoczywał na poszkodowanych, którzy przez miesiące lub lata musieli udowadniać swoją niewinność.

Według belgijskich prawników nowa interpretacja przepisów stawia ochronę konsumenta na pierwszym miejscu. Bank nie może automatycznie zakładać winy klienta tylko dlatego, że oszust skutecznie go zmanipulował.

Czym właściwie jest „rażące zaniedbanie”?

Właśnie ten termin od lat stanowił najważniejszą linię obrony sektora bankowego. Instytucje finansowe argumentowały, że przekazanie kodów autoryzacyjnych lub wykonanie przelewu na polecenie przestępcy jest wystarczającym dowodem na brak ostrożności.

Prawnik Geert Lenssens, komentując wyrok dla belgijskich mediów, zwrócił uwagę na istotną różnicę między pomyłką a rażącym błędem. Jego zdaniem osoba oszukana przez profesjonalnie przygotowany atak socjotechniczny nie musi automatycznie ponosić pełnej odpowiedzialności za utratę środków.

Takie stanowisko może okazać się szczególnie ważne w czasach, gdy oszuści coraz częściej wykorzystują dane wykradzione z wycieków, sztuczną inteligencję oraz techniki pozwalające wiarygodnie podszywać się pod pracowników banków.

Europa coraz wyraźniej staje po stronie klientów

Orzeczenie z Antwerpii nie pojawiło się w próżni. W marcu tego roku ważny głos w sprawie zabrał rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej Athanasios Rantos. W swojej opinii wskazał, że banki powinny zwracać środki ofiarom nieautoryzowanych transakcji bez zbędnej zwłoki. Dopiero później mogą dochodzić swoich racji i próbować wykazać, że klient działał umyślnie lub dopuścił się wyjątkowo poważnego niedbalstwa.

Dla organizacji konsumenckich jest to sygnał, że europejskie instytucje coraz uważniej przyglądają się praktykom stosowanym przez sektor finansowy.

Banki przez lata odrzucały reklamacje

Rosnąca liczba ataków phishingowych sprawiła, że kwestia odpowiedzialności za skradzione środki stała się jednym z najgorętszych tematów w bankowości cyfrowej. W wielu krajach Europy poszkodowani regularnie spotykali się z odmowami wypłaty odszkodowań. Głośnym przykładem była sprawa holenderskiego neobanku Bunq. W 2024 roku część klientów straciła oszczędności po rozmowach z oszustami podszywającymi się pod pracowników instytucji. Bank początkowo odmawiał rekompensat.

Szczególne kontrowersje wywołały słowa założyciela i prezesa Bunq, Alego Niknama. Porównał on sytuację ofiar do osoby przekazującej nieznajomemu kluczyki do samochodu na ulicy. Wypowiedź spotkała się z ostrą krytyką i została później uznana przez holenderskiego ministra finansów za całkowicie niestosowną.

Początek zmian dla całej branży?

Belgijski wyrok nie tworzy jeszcze automatycznie nowych przepisów dla całej Unii Europejskiej. Może jednak zachęcić kolejnych klientów do dochodzenia swoich praw oraz wpłynąć na sposób interpretowania obowiązujących regulacji przez sądy.

Dla sektora finansowego oznacza to możliwość nadejścia nowej rzeczywistości, w której odmowa zwrotu pieniędzy nie będzie już domyślną reakcją na zgłoszenie phishingu. Coraz większe znaczenie może mieć obowiązek szybkiej ochrony klienta i przejęcie przez bank większej części ryzyka związanego z nowoczesną cyberprzestępczością.