Zvečer kupoval prek spleta, do jutra so mu z računa pobrali osem tisočakov

Banke in policija praktično vsakodnevno opozarjajo na porast spletnih prevar. Goljufi zelo radi posegajo po tako imenovanem “ribarjenju”, s katerim poskušajo pridobiti uporabniška imena in gesla za dostop do spletnih storitev ali celo spletne banke. V najslabšem primeru uporabniki ostanejo brez denarja na bančnem računu.

Neimenovani komitent ene od slovenskih bank je nekega večera aprila lani kupoval izdelek v nemški spletni trgovini Amazon.de. Plačilo je zahtevalo potrditev njegove spletne banke. Prvič mu je bančna aplikacija sporočila, da nakup ni avtoriziran, zato je moral postopek ponoviti. Naslednje jutro sta uporabnik in žena, na računu katere je bil pooblaščen, ugotovila, da je bil ponoči z ženinega računa opravljen prenos 7.900 evrov na njegov račun, nato pa je bilo z njegovega računa opravljeno nakazilo 7.980 evrov na neznani račun v Estoniji.

Oškodovanec je zadevo prijavil policiji in sprožil reklamacijski postopek pri banki. Ta je na banko v Estoniji, ki je prejela nakazilo osmih tisočakov, poslala zahtevo za preklic neodobrene transakcije, a odgovora ni prejela. Oškodovanec je nato od slovenske banke zahteval povrnitev odvzetih sredstev, a je ta zahtevek zavrnila z obrazložitvijo, da “do transakcije ne bi prišlo, če pobudnik ne bi storilcem sporočil vseh potrebnih varnostnih elementov ali jim omogočil dostopa do svojega telefona”.

Banka je namreč trdila, da je bilo plačilo potrjeno “z močno avtentikacijo”, in sicer z vnosom pravilnega enkratnega gesla, ki ga je banka posredovala na pobudnikov mobilni telefon. Pa tudi, da je bila transakcija potrjena na mobilni napravi in z IP naslova, ki ju je pobudnik za potrjevanje transakcij uporabljal že prej.

Oškodovanec se je obrnil na poravnalni svet Združenja bank Slovenije (ZBS), ki pa je v sicer nezavezujočem mnenju stopil na njegovo stran. Kot navaja, je namreč oktobra lani policija končala s forenzično preiskavo, ta pa je pokazala, da je “neznani storilec prek aplikacije za oddaljen dostop neupravičeno vstopil v informacijski sistem pobudnikovega telefona po tem, ko je bila iz spletne trgovine Google Play Store na njegov telefon prenesena na videz verodostojna aplikacija PDF Viewer, ki je vsebovala tudi zlonamerno programsko kodo – tako imenovanega bančnega trojanskega konja Anatsa. S pomočjo tega je neznani storilec pridobil vse potrebne podatke za odklepanje telefona in prijavo v pobudnikovo spletno banko, kar mu je omogočilo izvedbo obravnavane transakcije”.

Slaba polovica vprašanih, ki so sodelovali v javnomnenjski raziskavi ZBS, nikoli ne menja svojih gesel ali PIN številke svoje kartice.

Združenje bank Slovenije (ZBS)

Spletne prevare v porastu

Ali je oškodovanec v zgornjem primeru dobil denar nazaj, ni znano, kot omenjeno, je mnenje poravnalnega sveta nezavezujoče. Primer pa med drugim kaže, kako hitro in brez vedenja uporabnika lahko danes goljufi dostopajo do najbolj občutljivih podatkov o nas in tudi do našega denarja.

Policija pravi, da je vedno več tako imenovanega “phishinga” oziroma ribarjenja, kjer goljufi skušajo pridobiti geslo uporabnikov za dostop do spletnih ali mobilnih bank, kreditnih kartic, e-pošte, pa tudi “smishinga”, ko to počnejo s pomočjo SMS sporočil. Tipično ribarjenje za podatki se začne z elektronskim, SMS ali zasebnim sporočilom, ki naj bi ga poslala banka ali hranilnica, v resnici pa vodi do lažne spletne stranii.

V Sloveniji je bilo leta 2023 od skupnih 4.280 obravnavanih primerov spletnih prevar največ, okoli 1.600 primerov ribarjenja, kažejo podatki nacionalnega odzivnega centra za kibernetsko varnost (SI-CERT).

Nedavno je policija opozorila tudi na vnovičen pojav tako imenovanih lažnih bankirjev, ki sicer napadajo predvsem pravne osebe in samostojne podjetnike. S prevaro jih pripravijo do posredovanja podatkov za vstop v spletno banko, nato jim izpraznijo bančen račun. Letos so zabeležili 17 tovrstnih prijav s skoraj 1,2 milijona evrov skupne škode, lani pa okrog 60 prijav s približno štiri milijone evrov skupne škode.

Uporabnik krije do 50 evrov, ostalo banka

Najboljše orožje proti prevaram je preventiva z namenom preprečiti, da do njih sploh pride. Uporabniki morajo biti pozorni na to, kdo jim pošilja elektronska sporočila, SMS-e ali z njimi komunicira preko drugih kanalov. Nikoli ne smejo z nikomer deliti svojih osebnih in finančnih podatkov, opozarja Zveza potrošnikov Slovenije (ZPS).

Na to redno opozarjajo tudi banke: tako v NLB kot v OTP so nam povedali, da javnost redno obveščajo ter izobražujejo o pomembnosti samozaščite. Tu je zelo aktivno tudi združenje bank ZBS (omenimo samo skupno kampanjo združenja ter bank in hranilnic pazi.se), kjer pa opažajo, da je dela še veliko. “Med drugim kar slaba polovica vprašanih, ki so sodelovali v javnomnenjski raziskavi ZBS, nikoli ne menja svojih gesel ali PIN številke svoje kartice, nekaj vprašanih pa bi sporočilo svoja identifikacijska sredstva ali druge osebne podatke neznanemu klicatelju,” opozarjajo.

Kaj storiti v primeru, da pride do prevare, kdo nam lahko pomaga, ali se lahko za denar preprosto obrišemo pod nosom?

Ključna je hitra prijava

Če ugotovimo, da je bila naša kartica zlorabljena, je treba to čim prej prijaviti banki. Vse banke imajo 24-urne klicne centre, danes tudi spletne banke omogočajo, da zamrznemo ali blokiramo uporabo kartice. Čim prej se odzovemo, manjše je tveganje zlorabe ter velikost finančne izgube.

Seveda pa praviloma zlorabo ugotovimo, ko je transakcija že narejena – torej, ko je določena škoda že nastala. V tem primeru potrošnika ščiti zakon o plačilnih storitvah, ki pravi, da v primeru neodobrene plačilne transakcije (ta je lahko posledica ukradenega ali izgubljenega plačilnega instrumenta ali pa zlorabe) uporabnik krije izgubo do največ 50 evrov. Celotno izgubo pa krije v primeru uporabnikove prevare ali goljufije ter kadar naklepno ali zaradi hude malomarnosti ni izpolnil ene ali več obveznosti v zvezi z uporabo plačilnih instrumentov.

Kot pravijo na zvezi, mora komitent sam pisno zahtevati od banke, da mu povrne preostali znesek. Na zvezi potrošnikov pravijo, da bo že ob prijavi zlorabe komitent stopil v stik z banko in zahteval ter pričakoval povrnitev škode, kar “pa se ne bo nujno zgodilo”. V drugem primeru se najprej pritoži po internem postopku banke. Če se banka ne odzove primerno, se lahko pritoži na poravnalni svet pri Združenju bank Slovenije (ZBS), katerega mnenje sicer ni zavezujoče, ali pa ukrepa po sodni poti.

Če je do neodobrene plačilne transakcije prišlo zaradi ukradenega ali izgubljenega plačilnega instrumenta ali z zlorabo, uporabnik krije izgubo do največ 50 evrov, piše v zakonu o plačilnih storitvah.

Arbitrarni pojem “hude malomarnosti”

Koliko je takih goljufij in škode, ne banke ne cehovska združenja ne Banka Slovenije ne razkrivajo. Iz sporočil policije in tudi naraščajočih prizadevanj bank, da bi ozavestili komitente, pa je mogoče sklepati, da tega ni malo.

Tako v NLB kot v OTP sicer pravijo, da se vsak primer neodobrene transakcije presoja posebej.

Zveza potrošnikov pa opozarja na nejasnost definicije “hude malomarnosti”. Banke naj bi se tako včasih branile povračila škode, sklicujoč se na hudo malomarnost komitenta. Do njih so prišli primeri, v katerih uporabniki škode niso dobili poverjene, kljub temu da po oceni zveze potrošnikov krivda ni bila na njihovi strani ali pa je bila deljena z banko. Eden takih primerov je opisan tudi zgoraj, kjer je poravnalni svet pri ZBS stopil na strani oškodovanca, ni pa jasno, ali mu je banka na koncu denar vendarle povrnila.

Kot so zapisali pri ZPS, je vrhovno sodišče v enem od postopkov pojem hude malomarnosti razložilo kot ravnanje, ki ne upošteva niti tistega, kar bi v dani situaciji upošteval vsakdo, torej ne samo skrben, ampak tudi manj skrben uporabnik. Denimo, v eni sodbi je v konkretnem primeru sodišče izreklo, da zgolj vpisovanja podatkov na lažno spletno stran ni mogoče šteti za hudo malomarnost. V drugi sodbi je višje sodišče reklo, da je toženka ravnala hudo malomarno, ker je bančno kartico in PIN v domačem stanovanju hranila skupaj. Ta kratica ji je bila nato odtujena, kar pa je gospa ugotovila šele po več opravljenih transakcijah. Denarja ni dobila nazaj.

Po mnenju zveze potrošnikov je definicija hude malomarnosti trenutno preveč odprta za interpretacijo s strani ponudnikov plačilnih storitev. Želijo, da banke prevzamejo več odgovornosti in finančnih posledic. “S tem, da uporabnikovo vedenje označijo za hudo malomarno, se banke enostavno razbremenijo krivde. Upoštevati je treba vse okoliščine in predvsem tudi to, ali je banka storila vse, da bi zlorabo preprečila,” menijo.

Poleg tega menijo, da bi odgovornost morali nositi vsi – ne le uporabniki in banke, pač pa tudi ostali udeleženi akterji, torej denimo telekomunikacijski operaterji, ponudniki spletnih storitev in spletni iskalniki, trgovci ter družbena omrežja. S tem se strinjajo tudi na združenju bank.

“Preverjamo skrbno in preventivno ravnanje bank”

Na Banki Slovenije pravijo, da od ponudnikov plačilnih storitev pričakujejo skrbno in preventivno ravnanje, kar v skladu s svojimi pristojnostmi tudi preverjajo. Zakon o plačilnih storitvah je namreč, kot pravijo, skladno z evropsko direktivo določil, da je odgovornost za povrnitev denarnih sredstev v primeru realizacije neodobrenih plačilnih transakcij (torej prevare ali goljufije pri plačilih) primarno na ponudnikih plačilnih storitev (bankah, hranilnicah in nebančnih ponudnikih).

Skrbno in preventivno ravnanje pa svetujejo tudi potrošnikom, saj “je to najučinkovitejši način preprečevanja prevar”, pravijo v centralni banki in ponavljajo, da se za reševanje morebitnih individualnih sporov pa potrošniki lahko obrnejo na poravnalni svet Združenja bank Slovenije ali na sodišče.

Otoška banka nudi garancijo vračila

V tujini nekatere banke, na primer angleška TSB, nudijo garancijo vračil v primeru spletne prevare. TSB tako poplača škodo tudi uporabnikom, ki so nasedli zlikovcem in jim posredovali svoje geslo ali nakazali denar. Kot pravijo na zvezi potrošnikov, banka s tem kaže, da se zaveda, da lahko komitenti s spletno prevaro izgubijo življenjske prihranke, posledično pa tudi zaupanje v banke in plačilne sisteme.

Ko je banka leta 2019 uvedla ta sistem, je panoga povrnila škodo v zgolj petini primerov prevar, na spletni strani navaja banka. Ta pa je nato po navedbah direktorja med letoma 2019 in 2024 škodo povrnila 97 odstotkom oškodovancem. Prvotni strah, da se bodo zaradi garancije uporabniki vedli bolj tvegano, se po navedbah banke ni potrdil.

TSB pa je lani opozorila, da bi morali razširiti prevzemanje odgovornosti; kot so navedli, se skoraj vsak primer goljufije začne na družbenih omrežjih ali prek telefonskih podjetij, zato “je čas, da se ti sektorji pridružijo naši zavezi k zaščiti strank pred goljufijami”.

Pri nas banke, ki bi prišla nasproti potrošniku, ni. Nekatere, denimo OTP, Delavska hranilnica, pa nudijo (plačljivo) zavarovanje za primer kraje, izgube ali zlorabe bančne kartice.