Przestępcy nie zastosowali typowego schematu polegającego na jednorazowym wyprowadzeniu dużej kwoty. Zamiast tego przez wiele miesięcy wykorzystywali przejęte dane jednej z kart obciążeniowych należących do spółki gastronomicznej. Kartą posługiwali się zarówno pracownicy firmy, jak i jej prezes.
Jak opisała „Rzeczpospolita”, oszuści działali od maja do października 2023 roku. Każda pojedyncza operacja opiewała na stosunkowo niewielkie kwoty, najczęściej od 80 do 450 euro. Transakcje realizowano głównie nocą, dzięki czemu nie wzbudzały natychmiastowych podejrzeń.
Znaczenie miał również profil działalności przedsiębiorstwa. Firma osiągała wielomilionowe obroty i regularnie korzystała z kart płatniczych przy zakupach paliwa oraz zaopatrzenia. W gąszczu codziennych operacji nieautoryzowane płatności przez długi czas pozostawały niezauważone.
Płatności pojawiały się na kilku kontynentach
Szczególną uwagę zwróciły miejsca, w których wykorzystywano dane przejętej karty. Według ustaleń sprawy płatności realizowano między innymi w Kenii, Ugandzie, Nigerii, Kambodży, Uzbekistanie, Estonii, Belgii, Francji oraz Wielkiej Brytanii.
Dla ekspertów od bezpieczeństwa finansowego taki wzorzec aktywności stanowi klasyczny sygnał ostrzegawczy. Współczesne banki wykorzystują bowiem zaawansowane systemy monitorujące zachowania klientów. Analizują one historię płatności, lokalizację transakcji, godziny zakupów oraz sposób korzystania z instrumentów płatniczych.
W przypadku polskiej firmy, która na co dzień wykorzystywała kartę głównie do zakupów związanych z działalnością gospodarczą, seria nocnych płatności realizowanych w Afryce i Azji powinna zostać uznana za zdarzenie wysokiego ryzyka. Mimo to kolejne operacje były zatwierdzane.
Bank wskazywał winę przedsiębiorcy
Po wykryciu strat przedsiębiorca złożył reklamację i zażądał zwrotu utraconych środków. Łączna wartość nieautoryzowanych transakcji wyniosła około 95 tys. zł.
Bank odmówił jednak uznania roszczeń. Instytucja argumentowała, iż właściciel firmy powinien wcześniej zauważyć nieprawidłowości podczas kontroli wyciągów. Wskazywano również, iż klient miał możliwość samodzielnego ograniczenia ryzyka poprzez ustawienie zerowego limitu dla transakcji internetowych.
W toku sporu pojawił się także wątek autoryzacji płatności kodami SMS. Bank utrzymywał, iż transakcje były prawidłowo potwierdzane. Późniejsze ustalenia sądu wykazały jednak, iż sytuacja była znacznie bardziej skomplikowana.
Sąd wykrył nieprawidłowości po stronie banku
Jednym z kluczowych elementów postępowania okazał się numer telefonu przypisany do karty. Sąd ustalił, iż bank bezprawnie powiązał z nią prywatny numer telefonu należący do żony jednego z pracowników spółki. Kobieta posiadała własny rachunek w tej samej instytucji.
Dodatkowo wykazano rozbieżności w wyjaśnieniach banku dotyczących dat przypisania numeru telefonu. Instytucja wskazywała datę wcześniejszą niż moment wydania samej karty, co wzbudziło poważne wątpliwości.
Na tym nie koniec. W trakcie postępowania ustalono również, iż część transakcji była realizowana mimo przekroczenia dziennego limitu ustalonego na poziomie 3 tys. zł.
Ostrzeżenie od Visa nie doprowadziło do blokady karty
Kolejnym ważnym wątkiem były informacje dotyczące potencjalnego wycieku danych karty. Jak relacjonowała na łamach „Rzeczpospolitej” adwokat Ewa Hanusz-Gintowt reprezentująca przedsiębiorcę, karta była wcześniej wykorzystywana do opłacania noclegów za pośrednictwem platformy Booking.
W maju 2023 roku operator Visa miał poinformować bank o możliwości przejęcia danych karty w wyniku incydentu bezpieczeństwa. Instytucja opublikowała komunikat dotyczący zagrożenia, jednak nie zdecydowała się na zablokowanie karty ani na bezpośredni kontakt z klientem.
Eksperci ds. cyberbezpieczeństwa od lat podkreślają, iż szybka wymiana zagrożonych kart należy do podstawowych procedur ograniczających skutki wycieków danych. W tym przypadku takie działania nie zostały podjęte.
Ponad 114 tys. zł do zwrotu
Po przeanalizowaniu materiału dowodowego sąd przyznał rację przedsiębiorcy. Bank został zobowiązany do zwrotu utraconych środków wraz z odsetkami. Łączna kwota zasądzona na rzecz firmy wyniosła około 114 tys. zł.
Instytucja została również obciążona kosztami procesu w podwójnej wysokości. Sprawa pokazuje, iż odpowiedzialność za bezpieczeństwo transakcji nie spoczywa wyłącznie na klientach. Sądy coraz częściej szczegółowo analizują działania banków, zwłaszcza gdy pojawiają się sygnały świadczące o możliwych zaniedbaniach po stronie instytucji finansowych.
Coraz więcej oszustw związanych z kartami płatniczymi
Dane publikowane przez sektor bankowy i instytucje zajmujące się cyberbezpieczeństwem wskazują, iż liczba prób wyłudzeń i nieautoryzowanych transakcji pozostaje wysoka. Przestępcy coraz częściej wykorzystują wycieki danych, fałszywe sklepy internetowe, złośliwe oprogramowanie oraz ataki phishingowe służące do przejmowania danych kart płatniczych.
Eksperci zalecają regularne monitorowanie historii rachunku, korzystanie z powiadomień o transakcjach, ustawianie limitów płatności internetowych oraz niezwłoczne blokowanie kart w przypadku pojawienia się choćby podejrzenia przejęcia danych. Sprawa przedsiębiorcy pokazuje jednak, iż choćby zachowanie ostrożności nie zwalnia banków z obowiązku stosowania skutecznych mechanizmów wykrywania nietypowych operacji.
![Kolejki po kulinarne skarby. V Święto Pieroga w Łażanach [FOTO]](https://swidnica24.pl/wp-content/uploads/2026/06/V-Swieto-Pieroga-w-Lazanach-20.06.-2026-3.jpg)
