Phishingové útoky a odpovědnost bank: Jak se soudy staví k podvodným transakcím?

V posledních letech lze i v České republice zaznamenat významný nárůst kybernetických útoků. Jednou z oblíbených podvodných technik útočníků je tzv. phishing. Při této technice útočníci zasílají obětem falešné zprávy s cílem vylákání citlivých údajů. Velmi často se tato technika používá v platebních podvodech, kdy se útočníci vydávají zpravidla za banku, u které má oběť zřízený účet, a snaží se získat její přístupové údaje do internetového či mobilního bankovnictví i přístup k autorizaci platebních transakcí.
Vzhledem k rostoucí četnosti phishingových útoků není překvapivé, že se těmito případy začínají zabývat i české soudy. V rámci civilních řízení se bude často jednat o spory mezi poskytovateli platebních služeb (zpravidla, i když nejen výlučně, bankami), a jejich podvedenými klienty ohledně odpovědnosti za škodu z provedených transakcí.
V nedávné době soud prvního stupně v takovém případě rozhodl v neprospěch žalující právnické osoby jako majitele účtu ve sporu proti bance, která účet vedla. Pravidla odpovědnosti v těchto případech stanovuje zákon o platebním styku. Zjednodušeně v obdobných situacích platí, že majitel účtu podvodnou transakci nahlásí bance, po které se zpravidla může domáhat náhrady škody z titulu neautorizované platební transakce. Banka nenese odpovědnost za škodu, pokud byla způsobena plátcem úmyslně nebo pokud plátce z hrubé nedbalosti porušil svou povinnost ve vztahu k platebnímu prostředku.
Ve zmíněném rozhodnutí soud dospěl k závěru, že pracovník žalobce jednal hrubě nedbale, když na podvodné internetové stránce na popud podvodníka zadal údaje do přihlášení do internetového bankovnictví a v něm umožnil přihlášení nového autorizačního zařízení. Žalobce naproti tomu argumentoval, že banka nezajistila dostatečné zabezpečení účtu a ověření transakcí. Bude rozhodně zajímavé sledovat, jak se daný spor bude dále vyvíjet. Nadto je třeba zmínit, že pokud majitel účtu tvrdí, že provedená platební transakce je neautorizovaná nebo nesprávně provedená, na poskytovatele platebních služeb ze zákona přechází důkazní břemeno doložit opak. Pravděpodobnou změnu ve věci odpovědnosti za podvodné platební transakce by měla přinést připravovaná třetí evropská směrnice o platebních službách ve spojení s novým nařízením.
Finanční instituce by neměly chystanou regulaci podcenit a měly by implementovat opatření pro minimalizaci rizik. Z výše uvedeného je zřejmé, že řádné zabezpečení i schopnost doložení tohoto zabezpečení a řádného postupu budou na straně finančních institucí klíčové při posuzování obdobných sporů.
Banky i další finanční instituce by tedy měly věnovat kybernetické bezpečnosti zvýšenou pozornost. V této oblasti současně vstoupilo v účinnost evropské nařízení DORA (nařízení o digitální provozní odolnosti finančního sektoru) a do zákona o kybernetické bezpečnosti a souvisejících předpisů by měla být v blízké budoucnosti implementována již účinná evropská směrnice NIS2 (druhá směrnice o bezpečnosti sítí a informací). Tyto předpisy přinášejí pro finanční instituce nové povinnosti s cílem zvýšení kybernetické bezpečnosti finančního sektoru.
Vojtěch Laga,
vedoucí advokát
Jan Jílek,
advokátní koncipient
Eversheds Sutherland, advokátní kancelář, s.r.o.
Oasis Florenc
Pobřežní 394/12
186 00 Praha 8
Tel.: +420 255 706 500
Fax: +420 255 706 550
e-mail: praha@eversheds-sutherland.cz
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz