Przestępstwa w bankowości elektronicznej - phishing, skimming, oszustwo komputerowe i obrona

Wraz z przeniesieniem bankowości do internetu i aplikacji mobilnych przestępcy przenieśli tam swoje metody działania. Phishing, skimming, nieautoryzowane przelewy z przejętego konta czy posługiwanie się cudzą kartą to dziś codzienność postępowań prokuratorskich. Wbrew temu, co sugerują liczne poradniki, polskie prawo nie zna jednego przepisu o 'przestępstwie bankowości elektronicznej'. Konkretny czyn kwalifikuje się z różnych artykułów Kodeksu karnego, a od trafności tej kwalifikacji zależy zarówno zagrożenie karą, jak i linia obrony. Ten artykuł wyjaśnia, jak polskie przepisy traktują najczęstsze cyberprzestępstwa finansowe, co realnie grozi sprawcy oraz na czym polega praca adwokata - zarówno po stronie oskarżonego, jak i pokrzywdzonego klienta banku. Materiał ma charakter informacyjny i nie zastępuje indywidualnej porady prawnej.

Z jakich przepisów kwalifikuje się przestępstwa w bankowości elektronicznej

Najczęstszą i najpoważniejszą podstawą jest art. 287 Kodeksu karnego - tzw. oszustwo komputerowe. Karze on tego, kto w celu osiągnięcia korzyści majątkowej lub wyrządzenia szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych albo zmienia, usuwa lub wprowadza nowy zapis - czyli np. dokonuje przelewu z przejętego konta. Nielegalne uzyskanie dostępu do konta, skrzynki czy systemu (przełamanie zabezpieczeń, podsłuch transmisji - sniffing) to art. 267 k.k. Podrabianie kart płatniczych i posługiwanie się nimi to art. 310 k.k., który traktuje kartę jak środek płatniczy. Jeżeli sprawca doprowadza ofiarę do niekorzystnego rozporządzenia mieniem podstępem (klasyczny phishing nakłaniający do podania danych lub zatwierdzenia operacji), w grę wchodzi art. 286 k.k. (oszustwo). Tworzenie i udostępnianie złośliwego oprogramowania czy narzędzi służących do tych przestępstw obejmuje art. 269b k.k. To rozróżnienie nie jest formalnością - od niego zależy próg kary i to, co prokurator musi udowodnić.

Oszustwo komputerowe - art. 287 k.k. krok po kroku

Art. 287 k.k. jest centralnym przepisem dla nieautoryzowanych przelewów i manipulacji w systemach bankowych. Typ podstawowy (art. 287 par. 1) zagrożony jest karą pozbawienia wolności od 3 miesięcy do lat 5. W wypadku mniejszej wagi (art. 287 par. 2) sąd może orzec grzywnę, karę ograniczenia wolności albo pozbawienia wolności do roku. Istotne jest, że dla bytu tego przestępstwa nie jest konieczne wprowadzenie człowieka w błąd - wystarczy bezprawny wpływ na automatyczne przetwarzanie danych. Dlatego logowanie się do cudzej bankowości i wykonanie przelewu kwalifikuje się właśnie z art. 287, a nie z 'klasycznego' oszustwa. Jeżeli wartość mienia jest znaczna (powyżej 200 000 zł) lub mienie ma wielką wartość (powyżej 1 000 000 zł), zastosowanie mają surowsze kwalifikacje z art. 294 k.k., podwyższające zagrożenie. Dla obrony kluczowe bywa wykazanie braku zamiaru bezpośredniego osiągnięcia korzyści, błędnej identyfikacji sprawcy albo działania w roli nieświadomego pośrednika.

Phishing i wyłudzanie danych - art. 286 i art. 267 k.k.

Phishing to podszywanie się pod bank, urząd lub firmę kurierską (SMS, e-mail, fałszywa strona logowania) w celu wyłudzenia danych do logowania, danych karty albo nakłonienia do zatwierdzenia transakcji. Gdy ofiara - wprowadzona w błąd - sama wykonuje przelew lub podaje kod autoryzacyjny, sprawca odpowiada z art. 286 k.k. (oszustwo), zagrożonego karą od 6 miesięcy do lat 8. Gdy sprawca przejmuje dostęp do konta bez wiedzy ofiary (np. przechwytuje dane, instaluje złośliwą aplikację), w grę wchodzi art. 267 k.k. - bezprawne uzyskanie dostępu do informacji lub systemu, zagrożone karą do lat 2, a w typie kwalifikowanym surowiej. Często czyny te zbiegają się i prokurator stawia kilka zarzutów. Dla pokrzywdzonego ważna informacja: samo padnięcie ofiarą phishingu nie pozbawia automatycznie prawa do zwrotu środków od banku - o czym dalej.

Skimming i podrabianie kart - art. 310 k.k.

Skimming polega na kopiowaniu danych z paska magnetycznego lub chipa karty (np. nakładką na bankomat czy terminal) i wytwarzaniu na ich podstawie kart podrobionych. Polskie sądy traktują kartę płatniczą jako środek płatniczy w rozumieniu art. 310 k.k., dlatego samo podrobienie lub przerobienie karty (art. 310 par. 1) jest zbrodnią zagrożoną karą pozbawienia wolności na czas nie krótszy od lat 5 albo karą 25 lat pozbawienia wolności. Puszczanie w obieg lub posługiwanie się taką kartą (art. 310 par. 2) zagrożone jest karą od roku do lat 10. W wypadku mniejszej wagi (art. 310 par. 3) zagrożenie jest łagodniejsze - od 3 miesięcy do lat 5. Wysokość zagrożenia czyni obronę przy zarzucie z art. 310 szczególnie wymagającą: adwokat często koncentruje się na wykazaniu wypadku mniejszej wagi, braku świadomości fałszerstwa po stronie posiadacza karty albo na podważeniu autentyczności i prawidłowości zabezpieczenia dowodów cyfrowych.

Jestem ofiarą - kiedy bank musi zwrócić pieniądze

To najważniejsza, a najczęściej pomijana część tematu. Zgodnie z ustawą z dnia 19 sierpnia 2011 r. o usługach płatniczych (art. 46) w przypadku nieautoryzowanej transakcji płatniczej bank co do zasady jest obowiązany niezwłocznie, nie później niż do końca następnego dnia roboczego od zgłoszenia, zwrócić kwotę nieautoryzowanej transakcji i przywrócić obciążony rachunek do stanu sprzed operacji. Odpowiedzialność klienta jest ograniczona - do równowartości 50 euro w złotych - chyba że klient doprowadził do transakcji umyślnie albo wskutek rażącego niedbalstwa (art. 46 ust. 3). To bank musi udowodnić rażące niedbalstwo, a nie klient swoją niewinność. Dlatego po wykryciu nieautoryzowanego przelewu należy: natychmiast zgłosić sprawę bankowi i zażądać zablokowania środków, złożyć reklamację na piśmie, zawiadomić policję lub prokuraturę o przestępstwie oraz zachować całą korespondencję. Gdy bank odmawia zwrotu, powołując się na rażące niedbalstwo, sprawą może zająć się Rzecznik Finansowy, a w ostateczności sąd cywilny.

Mule finansowe - kiedy udostępnienie konta staje się przestępstwem

Coraz częściej zarzuty stawiane są nie organizatorom oszustwa, lecz tzw. słupom (mułom finansowym) - osobom, które za wynagrodzenie udostępniły swoje konto lub założyły rachunek do przyjęcia i dalszego przekazania środków pochodzących z przestępstwa. Takie działanie może być kwalifikowane jako pomocnictwo do oszustwa (art. 18 par. 3 w zw. z art. 286 k.k.) lub jako pranie pieniędzy (art. 299 k.k.), za które grozi kara od 6 miesięcy do lat 8. Linia obrony zależy od stanu świadomości: jeżeli osoba rzeczywiście nie wiedziała i nie godziła się na to, że uczestniczy w obrocie środkami z przestępstwa, kluczowe jest wykazanie braku zamiaru. Dlatego adwokaci ostrzegają: nigdy nie udostępniaj nikomu swojego konta, loginu ani kodów BLIK 'do przelania pieniędzy znajomego' - to typowy scenariusz, w którym nieświadoma osoba staje się oskarżonym.

Rola adwokata - obrona oskarżonego i wsparcie pokrzywdzonego

Po stronie obrony praca adwokata zaczyna się od weryfikacji kwalifikacji prawnej (czy czyn rzeczywiście wypełnia znamiona art. 287, 286 czy 310), analizy dowodów cyfrowych (logi systemowe, adresy IP, dane bilingowe) pod kątem prawidłowości ich pozyskania i zabezpieczenia oraz oceny, czy nie doszło do błędnej identyfikacji sprawcy. Dowód cyfrowy jest podatny na manipulację, dlatego obrona często bada zachowanie łańcucha dowodowego i prawidłowość opinii biegłego informatyka. Adwokat ocenia też możliwość dobrowolnego poddania się karze (art. 387 k.p.k.), naprawienia szkody jako okoliczności łagodzącej oraz - w sprawach o czyny zagrożone łagodniej - warunkowego umorzenia postępowania (art. 66 k.k.). Po stronie pokrzywdzonego adwokat pomaga wyegzekwować zwrot środków od banku, sporządza zawiadomienie o przestępstwie, reprezentuje klienta jako oskarżyciela posiłkowego i dochodzi naprawienia szkody w procesie karnym lub cywilnym.