Hver ber tjónið í netsvindli og hvernig á að krefja bankann um endurgreiðslu? Stefán Orri Stefánsson skrifar 31. ágúst 2022 08:00 Árlega eru sviknar út hundruð milljóna í netglæpum af einstaklingum og fyrirtækjum. Til að sporna gegn þeim hleyptu hagsmunaaðilar átakinu „Taktu tvær“ af stokkunum þar sem fólk er hvatt til að hugsa sig um í tvær mínútur áður en upplýsingar eru gefnar upp eða greiðsla framkvæmd. Átakið veitir ráð sem allir ættu að hafa í huga og er góðra gjalda vert. Aftur á móti ýtir það undir þá úreldu hugsun að neytendur einir beri ábyrgð á netsvikum. Þess vegna vil ég hvetja fólk til að „taka þrjár“ - sem sagt eina auka mínútu til að krefja bankann um endurgreiðslu svikanna því mögulega ber hann ábyrgðina. Nýlega var ráðist í herferð gegn viðskiptavinum Landsbankans. Eftirlíking af netbanka var sett upp og auglýsingar keyptar fyrir svikasíðuna í leitarvélum svo hún birtist efst. Þegar fólk leitaði að Landsbankanum og smellti á efstu niðurstöðu endaði það svo inni á svikasíðunni. Þar gaf það upp aðgangsupplýsingar sem tölvuþrjótarnir nýttu sér til að fara inn á raunverulegan aðgang fólksins og framkvæma millifærslur. Uppi sitja þrjátíu fórnarlömb með tjónið og bera alla ábyrgð á að hafa fallið í gildruna. Bankinn getur ekki haft vit fyrir viðskiptavinum sínum - það er alveg augljóst... eða hvað? Ný greiðsluþjónustulög Í nóvember í fyrra tóku gildi ný lög um greiðsluþjónustu (nr. 114/2021) þar sem er verulega skerpt á öryggiskröfum og í fyrsta skipti eru settar tæknireglur sem greiðsluþjónustuveitendum (bönkunum) ber að fara eftir. Auk þess kemur skýrt fram sú skoðun að ábyrgð á að tryggja örugg rafræn viðskipti liggur hjá bönkunum og einungis í undantekningartilfellum á viðskiptavinur að bera allt tjónið sjálfur. Það er þegar hann hefur sýnt af sér sviksamlegt athæfi eða stórfellt gáleysi. Ábyrgðin er færð yfir á bankana vegna þess að í mörgum tilfellum er erfitt fyrir venjulegt fólk að ganga úr skugga um að netbankar og netverslanir séu lögmætar. Hver ber tjónið? Landsbankinn segir að almennt beri viðskiptavinir tjónið sjálfir, ef þeir gefa upp innskráningarupplýsingar eða kortanúmer á svikasíðum. Ef við rýnum í nýju lögin sést greinilega að svo er ekki - meira þarf að koma til. Lagaleg krafa er að greiðslur séu staðfestar og það að gefa upp lykilorð eða kortanúmer felur ekki í sér staðfestingu á greiðslu. Köfum aðeins dýpra og skoðum nokkur dæmi. Staðfesta þarf greiðslu með ,,sterkri sannvottun'' sem ,,felur í sér þætti sem tengja greiðsluna með virkum hætti við tiltekna fjárhæð og tiltekinn viðtakanda greiðslu''. Það er ómögulegt að fara yfir lagalegu og tæknilegu atriðin þarna á bak við í stuttu máli en skoðum nokkur dæmi: Að gefa upp lykilorð eða kortanúmer en samþykkja ekki greiðslu (t.d. með því að slá inn öryggisnúmer sem var sent til staðfestingar) uppfyllir ekki kröfur um staðfestingu (64. gr. laganna). Að fá sent öryggisnúmer til að staðfesta greiðslu, en í skeyti sem inniheldur ekki upplýsingar um viðtakanda og fjárhæð, uppfyllir ekki kröfur um tengingu staðfestingu með virkum hætti (101 gr. laganna). Að staðfesta kreditkortafærslu úr netverslun með öryggisnúmeri sendu í síma uppfyllir ekki reglur Seðlabanka Íslands um sterka sannvottun viðskiptavina. Að staðfesta millifærslu með öryggisnúmeri sendu í SMS uppfyllir mjög líklega ekki reglur um sterka sannvottun þar sem ekki er hægt að tryggja leynd og heilleika smáskilaboða um farsímakerfi. Í öllum dæmunum að ofan hefur bankinn vanrækt að uppfylla lagalegar kröfur um rafrænar greiðslur og á því að bera tjón af netsvikum að fullu, nema viðskiptavinur hafi sjálfur tekið þátt í svikunum. Hvernig skal leita réttar síns? Hafi viðskiptavinur lent í netsvindli eða verður var við ókunnuga kortafærslu er nauðsynlegt að láta bankann vita af því sem allra fyrst. Krefjast skal að svikafærsla sé bakfærð og bankanum ber að verða við því fyrir lok næsta viðskiptadags. Neiti bankinn að verða við beiðni um bakfærslu svikanna ættu viðskiptavinir að óska eftir svörum við nokkrum spurningum: Óskaði bankinn eftir staðfestingu á greiðslunni? Uppfyllti staðfestingin reglur um sterka sannvottun sem felur í sér þætti sem tengja greiðsluna með virkum hætti við tiltekna fjárhæð og tiltekinn viðtakanda greiðslu? Getur bankinn afhent afrit af öllum gögnum tengdum greiðslunni, þar með talið afriti af staðfestingunni, sem sýni fram á ofangreind atriði? Hvaða forvarnir notaði bankinn til að verjast slíkum árásum? Í tilfelli svikasíðna - fylgdist hann með skráningum á lénum sem líkjast hans eigin (e. typosquatting)? Gerði bankinn ráðstafanir til að birtast efst í niðurstöðum leitarvéla? Gerði bankinn ráðstafanir til að greina og bregðast skjótt við svikum þegar tugir eða hundruðir féllu í sömu gryfju? Hvenær varð bankinn fyrst var við, eða honum tilkynnt um, svik sem voru hluti af sömu herferð? Var það áður en umræddur viðskiptavinur féll svo fyrir þeim? Framkvæmdi bankinn áhættugreiningu á greiðslunni áður en hún var framkvæmd? Tók sú greining tillit til mögulegra frávika frá greiðsluhegðun greiðanda og óvenjulegrar staðsetningar greiðanda eða móttakanda? Hver var niðurstaða greiningarinnar? Með hliðsjón af ofangreindu, telur bankinn viðskiptavininn hafa sýnt af sér stórfellt gáleysi? Sé ennþá ágreiningur um hver skuli bera tjónið er hægt að leita til Úrskurðarnefndar um viðskipti við fjármálafyrirtæki og óska eftir að bankinn beri tjónið að fullu, til vara að tjón viðskiptavinar sé ekki hærra en jafnvirði 50 evra og til þrautavara að tjón viðskiptavinar sé takmarkað að teknu tilliti til aðstæðna, sbr. 80. gr. laganna. Málskotsgjald er 10.000 kr., sem fæst endurgreitt ef úrskurðað er neytanda í vil. Ágætt er að ráðfæra sig við Neytendasamtökin áður en leitað er með mál til nefndarinnar. Með hliðsjón af bókstaf og anda laganna og aðstöðumunar bankans og neytenda við að greina svikamynstur ætti að meta allan vafa neytendum í hag. Það skal þó tekið fram að engir úrskurðir hafa enn verið birtir varðandi ábyrgð gagnvart nýju lögunum. Bjartari tímar með betri neytendavernd Það getur verið erfitt að stunda bankaviðskipti og netverslun án þess að ganga í eina fjölmargra svikagildra sem er að finna á Internetinu. Neytendur hafa þó ekki endilega aðra valkosti - bankarnir hafa markvisst fækkað útibúum um allt land og lagt á gjöld fyrir þá sem vilja ekki nýta sér rafrænar lausnir. Sem betur fer taka ný lög um greiðsluþjónustu af öll tvímæli um að neytendur skuli ekki bera tjón af netsvikum nema í undantekningartilfellum. Þau eiga að skapa grundvöll fyrir því að neytendur geti óhræddir stundað netviðskipti án þess að þurfa að vera sérfræðingar í netöryggi. Höfundur er sérfræðingur í upplýsingaöryggi. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Netöryggi Upplýsingatækni Neytendur Íslenskir bankar Netglæpir Mest lesið Grindavík lifir Kristín María Birgisdóttir,Dagmar Valsdóttir Skoðun Sósíalistaflokkurinn kaus breytingar Karl Héðinn Kristjánsson Skoðun Vér erum úr sömu sveit Steinþór Logi Arnarsson Skoðun Er sanngjarnt að hækka virðisaukaskatt á mat og gistingu til að láta erlenda ferðamenn borga meira? Þórir Garðarsson Skoðun „Ef hún hefði haft val, hefði konan mín þá kosið að láta heilabilunina hafa sinn gang?” Ingrid Kuhlman Skoðun Stéttarkerfi Halldóra Lillý Jóhannsdóttir Skoðun Réttlát leiðrétting veiðigjalda Elín Íris Fanndal Skoðun Ég á þetta ég má þetta Arnar Atlason Skoðun Heiðmörk: Gaddavír og girðingar Auður Kjartansdóttir Skoðun Að vera eða ekki vera – hvað er raunverulegur árangur? Ásta Kristín Sigurjónsdóttir,Inga Hlín Pálsdóttir Skoðun Skoðun Skoðun Grindavík lifir Kristín María Birgisdóttir,Dagmar Valsdóttir skrifar Skoðun Sósíalistaflokkurinn kaus breytingar Karl Héðinn Kristjánsson skrifar Skoðun Vér erum úr sömu sveit Steinþór Logi Arnarsson skrifar Skoðun „Ef hún hefði haft val, hefði konan mín þá kosið að láta heilabilunina hafa sinn gang?” Ingrid Kuhlman skrifar Skoðun Réttlát leiðrétting veiðigjalda Elín Íris Fanndal skrifar Skoðun Að vera eða ekki vera – hvað er raunverulegur árangur? Ásta Kristín Sigurjónsdóttir,Inga Hlín Pálsdóttir skrifar Skoðun Er sanngjarnt að hækka virðisaukaskatt á mat og gistingu til að láta erlenda ferðamenn borga meira? Þórir Garðarsson skrifar Skoðun Heiðmörk: Gaddavír og girðingar Auður Kjartansdóttir skrifar Skoðun Tuttugu ár af röddum sem áður voru þaggaðar, og framtíðin er okkar Guðmundur Ingi Þóroddsson skrifar Skoðun #blessmeta - önnur grein Guðrún Hrefna Guðmundsdóttir skrifar Skoðun Hvers virði er lambakjöt? Hafliði Halldórsson skrifar Skoðun Lífið er eins og konfektkassi, þú veist aldrei hvernig mola þú færð Elín Íris Fanndal skrifar Skoðun Þjóðareign, trú og skattar Svanur Guðmundsson skrifar Skoðun Hamas og átökin við Ísrael – hvað er ekki sagt upphátt? Einar G Harðarson skrifar Skoðun Gjaldfrjálsar máltíðir fyrir leikskólabörn Hólmfríður Jennýjar Árnadóttir skrifar Skoðun Næstu sólarhringar á Gaza skipta sköpum Hlynur Már Vilhjálmsson skrifar Skoðun Hvernig gengur nýjum kennurum í grunnskólakennslu? Ingólfur Ásgeir Jóhannesson,Aðalheiður Anna Erlingsdóttir,Andri Rafn Ottesen,Maríanna Jónsdóttir Maríudóttir,Valgerður S. Bjarnadóttir skrifar Skoðun Huglæg réttlætiskennd og skattar á verðmætasköpun Kristinn Karl Brynjarsson skrifar Skoðun Loksins fær þyrlan heimili fyrir norðan Njáll Trausti Friðbertsson skrifar Skoðun Opið bréf til stjórnvalda Elín Ýr Arnar Hafdísardóttir skrifar Skoðun Við skuldum þeim að hlusta Ólafur Adolfsson skrifar Skoðun „Litla stúlkan og ruddarnir“ - Hugleiðing um stöðu Íslands á alþj.vettv. Flosi Þorgeirsson skrifar Skoðun Mikilvæg gagnrýni eða tilraun til valdayfirtöku í Sósíalistaflokknum? Ása Lind Finnbogadóttir skrifar Skoðun Matvælaverð hefur nær þrefaldast frá stofnun Viðskiptaráðs! Sigríður Ingibjörg Ingadóttir skrifar Skoðun Alvarleg staða í umhverfi fréttamiðla Rósa Guðbjartsdóttir skrifar Skoðun Stéttarkerfi Halldóra Lillý Jóhannsdóttir skrifar Skoðun Stöðvum Hamas. Einungis þannig getum við stöðvað hryllinginn á Gaza BIrgir Finnsson skrifar Skoðun Dagur líffræðilegrar fjölbreytni 2025 Rannveig Magnúsdóttir,Ole Sandberg,Ragnhildur Guðmundsdóttir,Rebecca Thompson,Skúli Skúlason,Sæunn Júlía Sigurjónsdóttir skrifar Skoðun Æfingin skapar meistarann! Sigurjón Már Fox Gunnarsson skrifar Skoðun 140 sinnum líklegra að verða fyrir eldingu Sigurður G. Guðjónsson skrifar Sjá meira
Árlega eru sviknar út hundruð milljóna í netglæpum af einstaklingum og fyrirtækjum. Til að sporna gegn þeim hleyptu hagsmunaaðilar átakinu „Taktu tvær“ af stokkunum þar sem fólk er hvatt til að hugsa sig um í tvær mínútur áður en upplýsingar eru gefnar upp eða greiðsla framkvæmd. Átakið veitir ráð sem allir ættu að hafa í huga og er góðra gjalda vert. Aftur á móti ýtir það undir þá úreldu hugsun að neytendur einir beri ábyrgð á netsvikum. Þess vegna vil ég hvetja fólk til að „taka þrjár“ - sem sagt eina auka mínútu til að krefja bankann um endurgreiðslu svikanna því mögulega ber hann ábyrgðina. Nýlega var ráðist í herferð gegn viðskiptavinum Landsbankans. Eftirlíking af netbanka var sett upp og auglýsingar keyptar fyrir svikasíðuna í leitarvélum svo hún birtist efst. Þegar fólk leitaði að Landsbankanum og smellti á efstu niðurstöðu endaði það svo inni á svikasíðunni. Þar gaf það upp aðgangsupplýsingar sem tölvuþrjótarnir nýttu sér til að fara inn á raunverulegan aðgang fólksins og framkvæma millifærslur. Uppi sitja þrjátíu fórnarlömb með tjónið og bera alla ábyrgð á að hafa fallið í gildruna. Bankinn getur ekki haft vit fyrir viðskiptavinum sínum - það er alveg augljóst... eða hvað? Ný greiðsluþjónustulög Í nóvember í fyrra tóku gildi ný lög um greiðsluþjónustu (nr. 114/2021) þar sem er verulega skerpt á öryggiskröfum og í fyrsta skipti eru settar tæknireglur sem greiðsluþjónustuveitendum (bönkunum) ber að fara eftir. Auk þess kemur skýrt fram sú skoðun að ábyrgð á að tryggja örugg rafræn viðskipti liggur hjá bönkunum og einungis í undantekningartilfellum á viðskiptavinur að bera allt tjónið sjálfur. Það er þegar hann hefur sýnt af sér sviksamlegt athæfi eða stórfellt gáleysi. Ábyrgðin er færð yfir á bankana vegna þess að í mörgum tilfellum er erfitt fyrir venjulegt fólk að ganga úr skugga um að netbankar og netverslanir séu lögmætar. Hver ber tjónið? Landsbankinn segir að almennt beri viðskiptavinir tjónið sjálfir, ef þeir gefa upp innskráningarupplýsingar eða kortanúmer á svikasíðum. Ef við rýnum í nýju lögin sést greinilega að svo er ekki - meira þarf að koma til. Lagaleg krafa er að greiðslur séu staðfestar og það að gefa upp lykilorð eða kortanúmer felur ekki í sér staðfestingu á greiðslu. Köfum aðeins dýpra og skoðum nokkur dæmi. Staðfesta þarf greiðslu með ,,sterkri sannvottun'' sem ,,felur í sér þætti sem tengja greiðsluna með virkum hætti við tiltekna fjárhæð og tiltekinn viðtakanda greiðslu''. Það er ómögulegt að fara yfir lagalegu og tæknilegu atriðin þarna á bak við í stuttu máli en skoðum nokkur dæmi: Að gefa upp lykilorð eða kortanúmer en samþykkja ekki greiðslu (t.d. með því að slá inn öryggisnúmer sem var sent til staðfestingar) uppfyllir ekki kröfur um staðfestingu (64. gr. laganna). Að fá sent öryggisnúmer til að staðfesta greiðslu, en í skeyti sem inniheldur ekki upplýsingar um viðtakanda og fjárhæð, uppfyllir ekki kröfur um tengingu staðfestingu með virkum hætti (101 gr. laganna). Að staðfesta kreditkortafærslu úr netverslun með öryggisnúmeri sendu í síma uppfyllir ekki reglur Seðlabanka Íslands um sterka sannvottun viðskiptavina. Að staðfesta millifærslu með öryggisnúmeri sendu í SMS uppfyllir mjög líklega ekki reglur um sterka sannvottun þar sem ekki er hægt að tryggja leynd og heilleika smáskilaboða um farsímakerfi. Í öllum dæmunum að ofan hefur bankinn vanrækt að uppfylla lagalegar kröfur um rafrænar greiðslur og á því að bera tjón af netsvikum að fullu, nema viðskiptavinur hafi sjálfur tekið þátt í svikunum. Hvernig skal leita réttar síns? Hafi viðskiptavinur lent í netsvindli eða verður var við ókunnuga kortafærslu er nauðsynlegt að láta bankann vita af því sem allra fyrst. Krefjast skal að svikafærsla sé bakfærð og bankanum ber að verða við því fyrir lok næsta viðskiptadags. Neiti bankinn að verða við beiðni um bakfærslu svikanna ættu viðskiptavinir að óska eftir svörum við nokkrum spurningum: Óskaði bankinn eftir staðfestingu á greiðslunni? Uppfyllti staðfestingin reglur um sterka sannvottun sem felur í sér þætti sem tengja greiðsluna með virkum hætti við tiltekna fjárhæð og tiltekinn viðtakanda greiðslu? Getur bankinn afhent afrit af öllum gögnum tengdum greiðslunni, þar með talið afriti af staðfestingunni, sem sýni fram á ofangreind atriði? Hvaða forvarnir notaði bankinn til að verjast slíkum árásum? Í tilfelli svikasíðna - fylgdist hann með skráningum á lénum sem líkjast hans eigin (e. typosquatting)? Gerði bankinn ráðstafanir til að birtast efst í niðurstöðum leitarvéla? Gerði bankinn ráðstafanir til að greina og bregðast skjótt við svikum þegar tugir eða hundruðir féllu í sömu gryfju? Hvenær varð bankinn fyrst var við, eða honum tilkynnt um, svik sem voru hluti af sömu herferð? Var það áður en umræddur viðskiptavinur féll svo fyrir þeim? Framkvæmdi bankinn áhættugreiningu á greiðslunni áður en hún var framkvæmd? Tók sú greining tillit til mögulegra frávika frá greiðsluhegðun greiðanda og óvenjulegrar staðsetningar greiðanda eða móttakanda? Hver var niðurstaða greiningarinnar? Með hliðsjón af ofangreindu, telur bankinn viðskiptavininn hafa sýnt af sér stórfellt gáleysi? Sé ennþá ágreiningur um hver skuli bera tjónið er hægt að leita til Úrskurðarnefndar um viðskipti við fjármálafyrirtæki og óska eftir að bankinn beri tjónið að fullu, til vara að tjón viðskiptavinar sé ekki hærra en jafnvirði 50 evra og til þrautavara að tjón viðskiptavinar sé takmarkað að teknu tilliti til aðstæðna, sbr. 80. gr. laganna. Málskotsgjald er 10.000 kr., sem fæst endurgreitt ef úrskurðað er neytanda í vil. Ágætt er að ráðfæra sig við Neytendasamtökin áður en leitað er með mál til nefndarinnar. Með hliðsjón af bókstaf og anda laganna og aðstöðumunar bankans og neytenda við að greina svikamynstur ætti að meta allan vafa neytendum í hag. Það skal þó tekið fram að engir úrskurðir hafa enn verið birtir varðandi ábyrgð gagnvart nýju lögunum. Bjartari tímar með betri neytendavernd Það getur verið erfitt að stunda bankaviðskipti og netverslun án þess að ganga í eina fjölmargra svikagildra sem er að finna á Internetinu. Neytendur hafa þó ekki endilega aðra valkosti - bankarnir hafa markvisst fækkað útibúum um allt land og lagt á gjöld fyrir þá sem vilja ekki nýta sér rafrænar lausnir. Sem betur fer taka ný lög um greiðsluþjónustu af öll tvímæli um að neytendur skuli ekki bera tjón af netsvikum nema í undantekningartilfellum. Þau eiga að skapa grundvöll fyrir því að neytendur geti óhræddir stundað netviðskipti án þess að þurfa að vera sérfræðingar í netöryggi. Höfundur er sérfræðingur í upplýsingaöryggi.
Er sanngjarnt að hækka virðisaukaskatt á mat og gistingu til að láta erlenda ferðamenn borga meira? Þórir Garðarsson Skoðun
„Ef hún hefði haft val, hefði konan mín þá kosið að láta heilabilunina hafa sinn gang?” Ingrid Kuhlman Skoðun
Að vera eða ekki vera – hvað er raunverulegur árangur? Ásta Kristín Sigurjónsdóttir,Inga Hlín Pálsdóttir Skoðun
Skoðun „Ef hún hefði haft val, hefði konan mín þá kosið að láta heilabilunina hafa sinn gang?” Ingrid Kuhlman skrifar
Skoðun Að vera eða ekki vera – hvað er raunverulegur árangur? Ásta Kristín Sigurjónsdóttir,Inga Hlín Pálsdóttir skrifar
Skoðun Er sanngjarnt að hækka virðisaukaskatt á mat og gistingu til að láta erlenda ferðamenn borga meira? Þórir Garðarsson skrifar
Skoðun Tuttugu ár af röddum sem áður voru þaggaðar, og framtíðin er okkar Guðmundur Ingi Þóroddsson skrifar
Skoðun Lífið er eins og konfektkassi, þú veist aldrei hvernig mola þú færð Elín Íris Fanndal skrifar
Skoðun Hvernig gengur nýjum kennurum í grunnskólakennslu? Ingólfur Ásgeir Jóhannesson,Aðalheiður Anna Erlingsdóttir,Andri Rafn Ottesen,Maríanna Jónsdóttir Maríudóttir,Valgerður S. Bjarnadóttir skrifar
Skoðun „Litla stúlkan og ruddarnir“ - Hugleiðing um stöðu Íslands á alþj.vettv. Flosi Þorgeirsson skrifar
Skoðun Mikilvæg gagnrýni eða tilraun til valdayfirtöku í Sósíalistaflokknum? Ása Lind Finnbogadóttir skrifar
Skoðun Matvælaverð hefur nær þrefaldast frá stofnun Viðskiptaráðs! Sigríður Ingibjörg Ingadóttir skrifar
Skoðun Dagur líffræðilegrar fjölbreytni 2025 Rannveig Magnúsdóttir,Ole Sandberg,Ragnhildur Guðmundsdóttir,Rebecca Thompson,Skúli Skúlason,Sæunn Júlía Sigurjónsdóttir skrifar
Er sanngjarnt að hækka virðisaukaskatt á mat og gistingu til að láta erlenda ferðamenn borga meira? Þórir Garðarsson Skoðun
„Ef hún hefði haft val, hefði konan mín þá kosið að láta heilabilunina hafa sinn gang?” Ingrid Kuhlman Skoðun
Að vera eða ekki vera – hvað er raunverulegur árangur? Ásta Kristín Sigurjónsdóttir,Inga Hlín Pálsdóttir Skoðun