V posledních letech se v České republice stále častěji setkáváme s online finančními podvody, jako jsou phishing a vishing – metody sociálního inženýrství, kterými se útočníci pokoušejí manipulací získat přístup k citlivým údajům klientů bank. Přestože finanční instituce podnikají kroky k ochraně svých klientů, dochází k nepřebernému množství případů, kdy se klienti stávají obětí těchto podvodů, často s vážnými finančními následky. Anonymita internetu navíc útočníkům umožňuje vyhnout se odhalení, což vyvolává otázku, kdo nese odpovědnost za vzniklou finanční ztrátu – je to banka, podvedený klient nebo jiný subjekt? Tento článek přibližuje právní rámec odpovědnosti v těchto případech a současnou praxi řešení takových incidentů.
Jak fungují phishing a vishing a na co útočníci cílí
Phishing a vishing jsou techniky podvodů, které staví na sociálním inženýrství. Útočník se vydává za důvěryhodný subjekt – může jít o banku, poštovní či jinou finanční instituci, telefonního operátora nebo jinou známou autoritu – a kontaktuje oběť prostřednictvím e-mailu (phishing), telefonu (vishing), SMS zpráv (smishing) nebo přes sociální sítě (spear phishing). Cílem je zmanipulovat klienta k tomu, aby sdílel citlivé údaje, například přístupové údaje k bankovnímu účtu, autorizační kódy nebo čísla platebních karet, které útočník následně zneužije. Vishing je obzvláště zákeřný, protože útočník kontaktuje oběť telefonicky a často předstírá, že volá z banky, aby informoval o „napadení účtu“. V průběhu hovoru oběť přesvědčí, aby převedla své finance na údajný bezpečný účet, který daná instituce sama vytvořila. Podvodníci zde často používají tzv. spoofing – technologii, která umožňuje maskovat telefonní číslo tak, aby to vypadalo, že volání pochází z důvěryhodného zdroje. Získané finanční prostředky poté převedou na kryptoměnu – např. Bitcoin, která podléhá datové stopě výrazně méně než např. běžné bezhotovostní transakce.
Právní odpovědnost banky či klienta?
U podvodných platebních transakcí, které útočník provede bez souhlasu klienta, je klíčovou otázkou, kdo ponese odpovědnost za ztrátu. Podle zákona č. 370/2017 Sb., o platebním styku, pokud klient transakci neschválil, jde o neautorizovanou transakci, za kterou primárně odpovídá poskytovatel platební služby, obvykle banka. Banka je povinna obnovit účet klienta do původního stavu, pokud klient nedbalostně neporušil svou povinnost chránit přístupové údaje nebo bezpečnostní pravidla, což by odpovědnost převedlo na něj.
Hrubá nedbalost klienta
Hrubá nedbalost klienta se stává právě kamenem úrazu a důvodem, proč až za 79% případů nese klient odpovědnost za převody z vlastního účtu. Pokud klient například sdělí citlivé údaje útočníkovi dobrovolně, či bez dostatečného ověření, banka může odmítnout náhradu škody s argumentem, že klient jednal hrubě nedbale. Hrubá nedbalost je podle Nejvyššího soudu chápána jako situace, kdy klient při ochraně svých údajů nedodržel běžnou míru opatrnosti, čímž si způsobil škodu – například tím, že ignoroval opakovaná varování banky o podvodných praktikách nebo sdílel údaje bez obezřetnosti – kontrola částky, přesný název účtu atp.
Odpovědnost banky za neautorizovanou transakci
Pokud se prokáže, že klient jednal přiměřeně obezřetně a k transakci nesvolil, za ztrátu odpovídá poskytovatel platebních služeb, tedy banka. Ta musí účet uvést do původního stavu, pokud neprokáže hrubou nedbalost ze strany klienta. Tento výklad však v praxi není jednotný, a banky často interpretují případné chyby ve svůj prospěch, čímž odmítají odpovědnost a náhradu z důvodu hrubé nedbalosti.
Soudní praxe a praxe finančního arbitra
Pokud banka odmítne odpovědnost za neautorizovanou transakci, klient může náhradu požadovat soudně nebo se obrátit na finančního arbitra. Většina dosavadních rozhodnutí finančního arbitra přiřkla odpovědnost klientům, pokud se prokázalo i malé pochybení či nepozornost z jejich strany. U sofistikovaných útoků, kde útočníci využívají pokročilé technologie, jako je spoofing nebo deepfake, však mohou soudy a finanční arbitr posuzovat odpovědnost odlišně, protože v těchto případech je pro klienta podvod velmi těžko rozeznatelný.
Doporučení
V dnešní době představují phishing a vishing výraznou hrozbu pro klienty bank, přestože finanční instituce a regulační orgány podnikají kroky k eliminaci těchto podvodů. Přestože právní ochrana klientů se díky novým regulacím posiluje, klíčovou obranou stále zůstává opatrnost a dodržování bezpečnostních zásad ze strany klienta. Odpovědnost za finanční ztrátu z podvodné transakce je posuzována individuálně a zásadní je zejména míra opatrnosti, s jakou klient nakládal se svými citlivými údaji. Očekávaná unijní regulace by měla přinést jasnější pravidla ochrany spotřebitelů, nicméně každý klient, zejména podnikatel, by se měl průběžně informovat o nových formách podvodných technik, aby minimalizoval riziko, že se stane jejich obětí.
Mgr. Vladimír Rajf
advokát
Michal Šťastný
právní asistent