Phishing i oszustwa internetowe - jak pomaga adwokat?

Phishing to metoda oszustwa polegająca na podszywaniu się pod bank, urząd, firmę kurierską czy platformę sprzedażową w celu wyłudzenia loginów, haseł, danych karty płatniczej lub kodów autoryzacyjnych. W Polsce takie działania nie są tylko problemem technicznym - są przestępstwem ściganym z Kodeksu karnego. Adwokat lub radca prawny pomaga w tych sprawach w dwóch zupełnie różnych rolach: jako pełnomocnik pokrzywdzonego, który stracił pieniądze i chce je odzyskać, oraz jako obrońca osoby oskarżonej o udział w oszustwie. W obu wariantach kluczowe są te same elementy: prawidłowa kwalifikacja prawna czynu, zabezpieczenie dowodów cyfrowych oraz znajomość przepisów o odpowiedzialności banku za nieautoryzowane transakcje. Poniżej wyjaśniamy, jak wygląda taka pomoc krok po kroku i na jakich konkretnych przepisach polskiego prawa się opiera.

Phishing w polskim prawie - jakie przepisy obowiązują

Klasyczne oszustwo, w tym phishingowe wyłudzenie pieniędzy przez wprowadzenie w błąd, kwalifikuje się z art. 286 par. 1 Kodeksu karnego, zagrożonego karą pozbawienia wolności od 6 miesięcy do 8 lat. Gdy sprawca działa już bezpośrednio w systemie bankowym - bez zgody właściciela wpływa na automatyczne przetwarzanie danych albo zmienia zapis informatyczny, by uzyskać korzyść majątkową - zastosowanie ma art. 287 KK (oszustwo komputerowe), zagrożony karą do 5 lat pozbawienia wolności. Samo bezprawne uzyskanie dostępu do cudzego konta czy skrzynki (np. przez przełamanie zabezpieczeń) penalizuje art. 267 KK. Wytwarzanie i udostępnianie narzędzi do takich przestępstw (np. złośliwego oprogramowania, fałszywych stron) obejmuje art. 269b KK. Posłużenie się cudzymi danymi osobowymi w celu wyrządzenia szkody majątkowej lub osobistej to z kolei kradzież tożsamości z art. 190a par. 2 KK. Ta mnogość przepisów oznacza, że precyzyjna kwalifikacja czynu - i odróżnienie sprawcy od nieświadomego pośrednika - jest pierwszym zadaniem prawnika.

Rola adwokata po stronie pokrzywdzonego

Jeśli padłeś ofiarą phishingu, adwokat lub radca prawny działa jako Twój pełnomocnik. Pomoże złożyć poprawne zawiadomienie o podejrzeniu popełnienia przestępstwa do prokuratury lub policji, sformułować je tak, by od razu wskazywało właściwą kwalifikację prawną i wnioski dowodowe. Zadba o status pokrzywdzonego w postępowaniu, dzięki czemu będziesz mieć dostęp do akt i możliwość zaskarżania decyzji (np. postanowienia o umorzeniu). Co istotne, pełnomocnik może wystąpić z wnioskiem o naprawienie szkody w trybie art. 46 Kodeksu karnego, czyli o zasądzenie zwrotu utraconej kwoty bezpośrednio w wyroku karnym, bez konieczności osobnego procesu cywilnego. Równolegle adwokat prowadzi działania wobec banku i innych podmiotów, by zabezpieczyć przelew i - jeśli to możliwe - zatrzymać pieniądze, zanim trafią poza zasięg organów.

Odpowiedzialność banku za nieautoryzowaną transakcję

Najważniejsza wiadomość dla ofiar phishingu: za nieautoryzowaną transakcję płatniczą co do zasady odpowiada bank, a nie klient. Zgodnie z ustawą z 19 sierpnia 2011 r. o usługach płatniczych (implementującą unijną dyrektywę PSD2), jeżeli transakcja była nieautoryzowana, dostawca usług płatniczych ma obowiązek niezwłocznie, nie później niż do końca następnego dnia roboczego, zwrócić kwotę i przywrócić stan rachunku sprzed obciążenia. Bank może uchylić się od zwrotu tylko wtedy, gdy wykaże, że klient umyślnie albo wskutek rażącego niedbalstwa naruszył obowiązki dotyczące korzystania z instrumentu płatniczego - i to na banku spoczywa ciężar dowodu. W praktyce banki często odmawiają zwrotu, powołując się na rzekome rażące niedbalstwo klienta (np. podanie kodu BLIK). Adwokat ocenia, czy stanowisko banku jest zasadne, składa reklamację, a w razie odmowy kieruje sprawę do Rzecznika Finansowego lub na drogę sądową.

Zabezpieczenie dowodów cyfrowych

Skuteczność sprawy zależy od dowodów, a te w świecie cyfrowym łatwo utracić. Dlatego pierwsze godziny po wykryciu oszustwa są najważniejsze. Należy zachować pełną treść podejrzanych wiadomości wraz z nagłówkami e-mail (które zawierają informacje o serwerach pośredniczących), zrzuty ekranu fałszywych stron, numery telefonów i rachunków, na które trafiły pieniądze, oraz potwierdzenia transakcji. Adwokat porządkuje ten materiał i - tam gdzie trzeba - wnioskuje, by organy ścigania zwróciły się do dostawców usług internetowych i operatorów o dane (adresy IP, logi serwerowe). W postępowaniu karnym to prokuratura i policja dysponują narzędziami forensyki cyfrowej i uprawnieniami do żądania danych; rolą pełnomocnika jest dopilnować, by te czynności zostały przeprowadzone i by ich wyniki znalazły się w aktach. Samodzielne 'śledztwo' ofiary nie zastąpi tych uprawnień, ale dobrze udokumentowane zgłoszenie znacząco je ułatwia.

Obrona osoby oskarżonej o udział w oszustwie

Druga rola adwokata to obrona oskarżonego. W sprawach phishingowych częstym scenariuszem jest postawienie zarzutów tzw. słupom - osobom, które udostępniły swój rachunek bankowy do przyjęcia i dalszego przekazania środków pochodzących z oszustwa, często nie zdając sobie sprawy z przestępczego charakteru operacji. Takim osobom grozi zarzut paserstwa (art. 291 KK) lub prania pieniędzy (art. 299 KK). Obrońca analizuje stronę podmiotową czynu - czy oskarżony obejmował świadomością przestępcze pochodzenie środków, czy działał umyślnie, czy może został sam oszukany ofertą 'pracy zdalnej'. Buduje linię obrony opartą na braku zamiaru, kwestionuje wartość dowodów, pilnuje prawidłowości czynności procesowych i - gdy to korzystne - prowadzi negocjacje co do dobrowolnego poddania się karze (art. 387 Kodeksu postępowania karnego). Wczesny kontakt z obrońcą, jeszcze przed pierwszym przesłuchaniem, ma tu kluczowe znaczenie.

Jak chronić się przed phishingiem - środki praktyczne

Najlepszą obroną jest zapobieganie. Po pierwsze, nigdy nie podawaj loginu, hasła ani kodów autoryzacyjnych w odpowiedzi na wiadomość e-mail, SMS czy telefon - bank nigdy o nie nie prosi w ten sposób. Po drugie, włącz uwierzytelnianie dwuskładnikowe i używaj długich, unikalnych haseł, najlepiej w menedżerze haseł. Po trzecie, weryfikuj adres strony przed logowaniem (literówki w domenie to typowy sygnał ostrzegawczy) i nie klikaj w linki z nieoczekiwanych wiadomości - wpisuj adres banku ręcznie. Po czwarte, zwracaj uwagę na presję czasu i groźby blokady konta - to klasyczna manipulacja socjotechniczna. Jeśli mimo wszystko doszło do wyłudzenia, działaj natychmiast: zgłoś transakcję do banku i poproś o jej zablokowanie, zmień hasła, zachowaj dowody i zgłoś sprawę na policję. CSIRT NASK prowadzi też listę ostrzeżeń przed niebezpiecznymi stronami, na którą można zgłaszać podejrzane adresy.

Kiedy i jakiego prawnika wybrać

Do spraw phishingowych warto szukać adwokata lub radcy prawnego z doświadczeniem w prawie karnym i cyberprzestępczości, a po stronie pokrzywdzonego dodatkowo w sporach z bankami. Reputację prawnika zweryfikujesz w rejestrach samorządów zawodowych (Naczelnej Rady Adwokackiej lub Krajowej Izby Radców Prawnych) - obecność w tych rejestrach gwarantuje uprawnienia i ubezpieczenie OC. Na pierwsze spotkanie przynieś komplet zebranych dowodów: korespondencję, potwierdzenia przelewów, reklamację złożoną w banku i ewentualną odpowiedź. Im wcześniej skonsultujesz sprawę, tym większa szansa na odzyskanie środków po stronie ofiary lub na zbudowanie skutecznej obrony po stronie oskarżonego. W sprawach transgranicznych (gdy sprawca lub środki są za granicą) prawnik oceni też możliwości współpracy w ramach europejskich i międzynarodowych instrumentów pomocy prawnej.