Суровый вердикт

Верховный суд Германии оставил в силе решение нижестоящих инстанций, подтвердив, что жертва фишинга, не внявшая предупреждениям банка, сама несет ответственность за свои потери.

Дело о возмещении убытков было возбуждено по иску пожилого клиента одного из местных банков, со счета которого сетевые мошенники вывели в Грецию 5 тыс. евро. Они осуществили несанкционированный перевод через 3 месяца после того, как пенсионер ввел на подставной странице 10 одноразовых TAN-кодов, выданных ему списком для проведения транзакции онлайн.

Истец решил взыскать украденную сумму с банка, заявив, что тот обязан защищать своих клиентов от подобных абьюзов. В свою защиту представители банка отметили, что требование ввести в веб-форму несколько TAN-номеров ― верный признак попытки фишинга, о возможности которого предупреждает страница регистрации в их системе онлайн-банкинга. В этом же алерте приведена ссылка на информационные материалы для тех, кто плохо знаком с данной формой сетевого мошенничества. Кроме того, подписываясь на онлайн-услуги банка, клиент обязуется не передавать TAN-коды другому лицу. Коль скоро перевод прошел, значит, идентификаторы транзакций были введены правильно, и сделать это мог либо сам пострадавший, либо лицо, которому он сообщил эти коды в нарушение условий договора.

Суд признал, что банк принимает надлежащие меры для просвещения и защиты своих клиентов, и освободил его от ответственности за последствия неосторожных действий истца. К сожалению, найти владельца мошеннического счета не удалось, хотя к поискам была подключена греческая сторона.

Согласно результатам прошлогоднего опроса, онлайн-сервис в разной мере используют 44% клиентов немецких банков, т.е. порядка 27 млн. держателей счетов. Жалобы на фишинг множатся: в 2010 году федеральная полиция получила 5,3 тыс. соответствующих заявлений ― на 82% больше, чем в предыдущем (статистики за прошлый год пока нет). Чтобы снизить риски, местные банки широко применяют различные системы двухфакторной аутентификации. Особой популярностью пользуются коды mTAN, высылаемые в виде SMS, а также ChipTAN, которые предусматривают наличие у клиента персонального TAN-генератора. От технологии iTAN (с указанием конкретного TAN из одноразового списка), которую использовал банк жертвы фишинга, почти все уже отказались ― из-за высокой вероятности фишинга.