Phishing i kradzież środków z konta – odpowiedzialność karna i odzyskanie pieniędzy

Phishing to wyłudzanie poufnych danych (loginów, haseł, kodów, danych kart) przez podszywanie się pod bank, urząd, kuriera czy znajomego, najczęściej w wiadomości e-mail, SMS lub przez fałszywą stronę. Sam phishing jest zwykle etapem prowadzącym do dalszego celu: nieuprawnionego przelewu i kradzieży środków z konta bankowego. W polskim prawie nie istnieje jeden przepis o nazwie „phishing” – te zachowania kwalifikuje się z kilku artykułów Kodeksu karnego, w zależności od tego, co dokładnie zrobił sprawca. Z drugiej strony osoba pokrzywdzona, której zniknęły pieniądze z konta, ma konkretne uprawnienia wobec banku, wynikające z ustawy o usługach płatniczych. Ten artykuł wyjaśnia obie perspektywy: jak kwalifikowana i karana jest taka działalność, jak wygląda obrona osoby oskarżonej (w tym tzw. słupa, którego konto posłużyło do przelewu) oraz jak ofiara może odzyskać środki.

Jak polskie prawo kwalifikuje phishing i kradzież z konta

Kluczowym przepisem jest art. 287 § 1 Kodeksu karnego – oszustwo komputerowe. Karze podlega ten, kto w celu osiągnięcia korzyści majątkowej lub wyrządzenia szkody, bez upoważnienia wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych albo zmienia, usuwa lub wprowadza nowy zapis danych – czyli np. wykonuje przelew z cudzego konta przy użyciu wyłudzonych danych. Grozi za to kara pozbawienia wolności od 3 miesięcy do lat 5. Często stosuje się też art. 286 § 1 KK (oszustwo klasyczne), gdy sprawca wprowadza ofiarę w błąd i doprowadza ją do niekorzystnego rozporządzenia mieniem – zagrożenie od 6 miesięcy do 8 lat. Samo bezprawne uzyskanie dostępu do danych lub przełamanie zabezpieczeń to art. 267 KK. Przy mieniu znacznej wartości stosuje się surowszą kwalifikację z art. 294 KK.

Dodatkowe przestępstwa: fałszowanie stron, malware, pranie pieniędzy

Phishing rzadko bywa jednym czynem. Utworzenie fałszywej strony banku albo wysyłanie wiadomości podszywających się pod instytucję może wyczerpywać znamiona fałszerstwa (art. 270 KK) lub przestępstw przeciwko ochronie informacji. Posługiwanie się złośliwym oprogramowaniem, urządzeniami lub programami przeznaczonymi do popełniania tych przestępstw oraz hasłami i kodami dostępu jest karalne na podstawie art. 269b KK. Jeśli sprawca następnie przyjmuje, przekazuje lub wyprowadza skradzione środki, by ukryć ich pochodzenie, dochodzi przestępstwo prania pieniędzy z art. 299 KK, zagrożone karą od 6 miesięcy do 8 lat pozbawienia wolności. W praktyce prokuratura często łączy kilka kwalifikacji, a przy działaniu w grupie stosuje art. 258 KK (udział w zorganizowanej grupie przestępczej).

Odpowiedzialność tzw. słupa – udostępnienie konta

Bardzo częstym wątkiem w sprawach o kradzież środków z kont jest odpowiedzialność osoby, która udostępniła swój rachunek bankowy do przyjęcia i dalszego przekazania skradzionych pieniędzy (tzw. słup, money mule). Taka osoba może odpowiadać za pomocnictwo do oszustwa komputerowego (art. 18 § 3 KK w zw. z art. 287 KK) lub za pranie pieniędzy z art. 299 KK – nawet jeśli twierdzi, że nie wiedziała, skąd środki pochodzą. Linią obrony bywa wykazanie braku świadomości i zamiaru: czy oskarżony godził się na to, że pomaga w przestępstwie. Sądy badają okoliczności: wysokość „prowizji” za przelew, anonimowość kontaktu, nietypowość operacji. Osobom, które padły ofiarą rekrutacji na „pracę zdalną” polegającą na przelewaniu pieniędzy, warto jak najszybciej skonsultować się z obrońcą, bo ich sytuacja procesowa różni się od pozycji organizatora oszustwa.

Obrona w sprawie o phishing – na czym polega

Obrona koncentruje się przede wszystkim na stronie podmiotowej i dowodowej. Przestępstwa z art. 286 i 287 KK są umyślne i kierunkowe – wymagają działania w celu osiągnięcia korzyści majątkowej. Brak takiego zamiaru lub błąd co do okoliczności wyłącza odpowiedzialność. Druga oś to dowody cyfrowe: adres IP nie identyfikuje jednoznacznie konkretnej osoby, logowanie mogło nastąpić z zainfekowanego urządzenia, a samo posiadanie środków na koncie nie dowodzi sprawstwa. Obrońca weryfikuje legalność pozyskania dowodów (billingi, dane od dostawców, zabezpieczenie nośników), opinie biegłych z informatyki śledczej oraz ciągłość łańcucha dowodowego. Praktyczne kroki dla osoby z zarzutem: nie składać pochopnych wyjaśnień bez konsultacji, zachować całą korespondencję i dane o swoim urządzeniu oraz ustanowić obrońcę na jak najwcześniejszym etapie postępowania.

Jak ofiara może odzyskać pieniądze – odpowiedzialność banku

Z perspektywy poszkodowanego kluczowa jest ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych. Co do zasady, w przypadku nieautoryzowanej transakcji płatniczej (przelewu, na który klient nie wyraził zgody) bank ma obowiązek niezwłocznie, nie później niż do końca następnego dnia roboczego po zgłoszeniu lub stwierdzeniu transakcji, zwrócić kwotę nieautoryzowanej transakcji i przywrócić rachunek do stanu sprzed obciążenia (art. 46 ustawy). Bank może odmówić zwrotu tylko wtedy, gdy wykaże, że płatnik umyślnie albo wskutek rażącego niedbalstwa naruszył obowiązki dotyczące ochrony danych uwierzytelniających. Praktyczne kroki ofiary: natychmiast zgłosić transakcję bankowi i zastrzec dostęp, złożyć reklamację na piśmie, zawiadomić policję lub prokuraturę o przestępstwie, a w razie odmowy zwrotu skierować sprawę do Rzecznika Finansowego, a następnie do sądu cywilnego.

Kiedy bank odmawia zwrotu i co wtedy

Banki coraz częściej odmawiają zwrotu, powołując się na rażące niedbalstwo klienta – na przykład podanie pełnych danych logowania na fałszywej stronie albo zatwierdzenie operacji w aplikacji. Spór sprowadza się wtedy do oceny, czy zachowanie klienta rzeczywiście było rażąco niedbałe. Orzecznictwo nie traktuje każdej pomyłki ofiary phishingu jako rażącego niedbalstwa; znaczenie ma to, jak przekonujące było oszustwo, czy bank stosował silne uwierzytelnianie i czy reagował na sygnały nietypowej transakcji. Ciężar dowodu, że transakcja była autoryzowana lub że klient dopuścił się rażącego niedbalstwa, spoczywa na banku. Dlatego warto żądać uzasadnienia odmowy na piśmie, gromadzić dowody (zrzuty ekranu, treść SMS-ów i e-maili, historię reklamacji) i korzystać z bezpłatnej interwencji Rzecznika Finansowego przed wejściem na drogę sądową.

Phishing a RODO – obowiązki firm i kancelarii

Gdy wskutek phishingu dojdzie do naruszenia ochrony danych osobowych (np. wyciek danych klientów), administrator danych ma obowiązki wynikające z RODO. Naruszenie należy bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia, zgłosić do Prezesa Urzędu Ochrony Danych Osobowych (art. 33 RODO), a jeśli naruszenie wiąże się z wysokim ryzykiem dla praw i wolności osób – również zawiadomić te osoby (art. 34 RODO). Brak odpowiednich zabezpieczeń lub niedopełnienie obowiązków zgłoszeniowych może skutkować administracyjną karą pieniężną nakładaną przez PUODO. Warto podkreślić, że w polskim porządku prawnym stosuje się RODO oraz ustawę o ochronie danych osobowych – nie obowiązują tu amerykańskie regulacje typu CCPA. Kancelarie i firmy obsługujące dane wrażliwe powinny wdrożyć uwierzytelnianie wieloskładnikowe, szkolenia pracowników i procedurę reagowania na incydenty.