Analizy i badania

Wyłudzenia internetowe. Środki prawnej ochrony z perspektywy karnej i cywilnej

<p style="text-align: justify;">Internet opanował nasze życie prywatne i zawodowe. Dotyczy to w szczególności handlu międzynarodowego, gdzie znakomita większość transakcji jest obecnie zawierana i realizowana przy użyciu poczty elektronicznej. Oczywistym zaletom związanym z przyśpieszeniem i odformalizowaniem obrotu towarzyszą jednak zagrożenia, z których przedsiębiorcy czasem nie zdają sobie sprawy, a czasem je bagatelizują.</p>

>

Business email compromise

Mail wygl?da niewinnie, jak każdy inny, których dziesi?tki trafiaj? dziennie do departamentów odpowiedzialnych za realizację przelewów w naszych firmach. Wszystko jest standardowe, nic nie wzbudza podejrzeń. Zgadzaj? się dane nadawcy, kontekst wiadomości oraz używane słownictwo. Zazwyczaj dopiero po czasie okazuje się, że mail został wysłany przez przestępców. To właśnie istota cyberprzestępstwa określanego mianem Business Email Compromise (BEC) lub Email Account Compromise (EAC).

Polega ono na upozorowaniu prawdziwej korespondencji w celu wyłudzenia środków pieniężnych. Przestępcy tworz? adresy mailowe łudz?co przypominaj?ce adresy faktycznych uczestników relacji handlowych. W podstawowej warstwie widocznej dla odbiorcy adres mailowy fikcyjnego nadawcy może być nawet identyczny z adresem mailowym prawdziwego nadawcy. Dopiero pogłębiona analiza adresów pozwala wychwycić różnice.

Celem ataku jest wywołanie u odbiorcy wiadomości przekonania, że koresponduje ze znan? mu osob?. Jest to zazwyczaj partner handlowy lub przełożony z pracy (często np. prezes zarz?du). Zgodnie z raportami FBI po roku 2010 odnotowano radykalny wzrost przestępstw opartych na schematach BEC oraz EAC. W 2015 r. FBI uznało nawet te cyberprzestępstwa za najbardziej pal?cy problem cyberprzestrzeni. W czerwcu 2016 r. FBI szacowało ł?czn? wartość strat wygenerowanych do tej pory przez te przestępstwa na ponad trzy miliardy dolarów. Warto podkreślić, że statystyki FBI dotycz? jedynie części przestępstw BEC oraz EAC.

Cyberprzestępcy, podszywaj?c się pod osobę znan? odbiorcy maila, najczęściej w którymś momencie prosz? o przesłanie określonych środków pieniężnych na wskazane w mailu konto bankowe. W przypadku maila od partnera handlowego jest to często informacja o zmianie numeru konta służ?cego do wzajemnych rozliczeń. W przypadku maila rzekomo pochodz?cego od przełożonego może to być np. informacja o konieczności wykonania przelewu zwi?zanego z bardzo poufnym projektem.

Niektóre przypadki, z którymi stykaliśmy się w naszej praktyce, pokazywały wyraźnie, że cyberatak był bardzo dobrze przygotowany. Przestępcy najprawdopodobniej przez pewien czas monitorowali korespondencję między ofiarami. Dzięki temu umieli doskonale wpisać się w kontekst prowadzonej dotychczas korespondencji, wybrać właściwy moment oraz używać tych samych zwrotów, przez co skutecznie uśpili czujność pokrzywdzonych.

Wiadomości zawarte w mailach s? często uwiarygadniane poprzez podanie numerów telefonów do rzekomych zaufanych stron trzecich (np. prawników), które potwierdzaj? dane transakcyjne podane w fałszywym mailu. Skala omawianych przestępstw jest bardzo  zróżnicowana. W większości przypadków przestępcom udaje się nakłonić ofiary do dokonania przelewów wartych kilkaset tysięcy dolarów. Zdarzaj? się jednak również wielomilionowe kwoty.

Środki przelane przy wykorzystaniu sfałszowanej wiadomości mailowej trafiaj? zazwyczaj na rachunek bankowy założony przez tzw. słupa, tj. osobę fizyczn? lub firmę mniej lub bardziej świadomie współpracuj?c? z przestępcami. Od tego momentu zaczyna się wyścig z czasem.

Jak zabezpieczyć skradzione pieni?dze?

Podstaw? jest szybkość działania. Jeśli pieni?dze trafi? na konto firmy czy osoby powi?zanej z przestępcami, nie będ? tam leżeć długo. Najczęściej transferowane s? przelewami elektronicznymi do państw znanych z niechęci do współpracy międzynarodowej, gdzie ślad po nich ginie, albo też s? podejmowane w gotówce z bankomatów.

Zablokowanie środków zaraz po ich wpływie na konto polskiego banku jest możliwe dzięki decyzji prokuratora. Problemem jest czas trwania blokady, która przed postawieniem zarzutów konkretnej osobie nie może przekraczać trzech miesięcy. Tymczasem w naszej praktyce zdarzało się, że współpraca pomiędzy bankami szła tak opornie, że pokrzywdzona firma zgłaszała swoje roszczenia już po upływie tego okresu. Nawet jeśli pokrzywdzony wcześniej ustali dane konta, na które trafiły jego pieni?dze, to i tak istnieje obawa, że po 90 dniach blokada upadnie i przestępcy, korzystaj?c z luki w prawie, zd?ż? zagarn?ć środki dla siebie.

Rozwi?zaniem może być zabezpieczenie roszczenia w postępowaniu cywilnym. Pokrzywdzony jako osoba uprawniona do dysponowania pieniędzmi ma roszczenie o ich zwrot do właściciela rachunku, na którym wyłudzone środki się znalazły. Podstaw? prawn? takiego roszczenia może być zarówno czyn niedozwolony, jak i bezpodstawne wzbogacenie. To roszczenie ma charakter maj?tkowy i może zostać zabezpieczone między innymi poprzez zajęcie wierzytelności z rachunku bankowego albo innej wierzytelności, w tym na przykład wierzytelności, jak? posiadacz rachunku może mieć wobec banku lub prokuratury o wypłacenie pieniędzy po upływie terminu blokady. Zabezpieczenia dokonuje s?d na wniosek powoda złożony w pozwie lub przed wszczęciem postępowania.

Ta ostatnia możliwość jest szczególnie atrakcyjna z uwagi na nisk? opłatę s?dow? i kluczow? dla sprawy szybkość działania s?du, który powinien rozpoznać wniosek niezwłocznie, nie później jednak niż w terminie tygodnia od dnia jego wpływu. Jeśli s?d przychyli się do wniosku, a dzieje się to na posiedzeniu niejawnym bez informowania pozwanego, zabezpieczenie może być natychmiast wykonane przez komornika. W efekcie bank lub prokurator nie tylko będzie uprawniony, ale też obowi?zany do przelania zabezpieczonej wierzytelności na konto depozytowe komornika, gdzie pieni?dze mog? bezpiecznie czekać na finalny wyrok s?du lub decyzję prokuratury o ich zwrocie na konto prawowitego właściciela.

A jak je odzyskać ?

Pokrzywdzonych w tego rodzaju sprawach ł?czy zazwyczaj jedna motywacja: przede wszystkim chc? odzyskać środki pieniężne. Rzadko kiedy interesuje ich ustalenie sprawców wyłudzenia i osób, które im pomagały.

Przedstawicieli prokuratury i policji również cechuje pragmatyzm w podchodzeniu do tego typu spraw. Maj?c na uwadze ich międzynarodowy charakter, skupiaj? się głównie na tym, co możliwe i realne do osi?gnięcia w ramach ich jurysdykcji krajowej. Fakt, że zdarzenia  składaj?ce się na BEC (korespondencja elektroniczna, przepływy finansowe) maj? zazwyczaj miejsce w daleko oddalonych od siebie jurysdykcjach, powoduje, że poszczególne jego elementy mog? być kwalifikowane np. jako oszustwo lub pranie pieniędzy pochodz?cych z przestępstwa. Kwalifikacja prawna ma wpływ na zakres i kierunek działań podejmowanych przez organy ścigania.

Ponieważ dysponentem środków pieniężnych zablokowanych na rachunku bankowym na mocy postanowienia prokuratora jest on sam, do niego należy decyzja o zwolnieniu środków i ich zwrocie pokrzywdzonemu.

W praktyce głównym wyzwaniem w takiej sytuacji jest zgromadzenie wystarczaj?cej ilości dowodów, które pozwol? prokuratorowi przyj?ć, że zwraca pieni?dze temu, kto je stracił na skutek wyłudzenia. W sformalizowanym postępowaniu karnym oznacza to często konieczność uzyskania dowodów w trybie pomocy prawnej, co nastręcza wielu trudności.

Bywa jednak i tak, że podmiot, który jest posiadaczem rachunku, podejmuje kroki prawne zmierzaj?ce do wydania mu zablokowanych środków. Do tego czasem dochodz? działania organów skarbowych, które w ramach własnych uprawnień mog? podejmować działania „konkurencyjne” wobec działań prokuratury i policji. Niezbędne wówczas może stać się wszczęcie lub kontynuowanie sprawy cywilnej, w ramach której s?d zdecyduje o obowi?zku zapłaty przywłaszczonej kwoty przez posiadacza rachunku na rzecz pokrzywdzonego. Wbrew pozorom postępowanie takie może nie być proste, gdyż to powód musi niezbicie wykazać swoje uprawnienie do konkretnych pieniędzy zgromadzonych na koncie pozwanego i skorelowany z tym uprawnieniem obowi?zek ich wydania przez firmę, która na tym rachunku może posiadać środki zgromadzone z różnych – niekoniecznie nielegalnych – źródeł.

Reasumuj?c, w prostych wydawałoby się sprawach zwi?zanych ze zwrotem wyłudzonych pieniędzy konieczne jest wykorzystywanie instrumentów dostępnych w różnych reżimach prawnych i postępowaniach.

Prawo zostało daleko w tyle

Radykalny wzrost liczby cyberprzestępstw opartych o schemat BEC niew?tpliwie wynika również ze znikomej skuteczności walki z tymi przestępstwami. Jednym z jej powodów jest niedostosowanie systemu prawa. Powyżej wskazaliśmy przykłady braku dostosowania przepisów do natury cyberprzestępstw. Takich przykładów jest jednak znacznie więcej. Przepisy o tajemnicy bankowej bardzo skutecznie utrudniaj? pozyskiwanie przez pokrzywdzonych podstawowych informacji o losach skradzionych środków. Brakuje również skutecznych instrumentów prawnomiędzynarodowych, które umożliwiłyby sprawne pozyskiwanie informacji niezbędnych do ścigania przestępców (np. odpowiednich numerów IP oraz innych danych teleinformatycznych). Tradycyjnie prawo karne pozostaje najgorzej zharmonizowanym reżimem prawnym, co w zglobalizowanym obrocie gospodarczym uniemożliwia skuteczn? walkę z cyberprzestępcami.

Wobec trudności w dochodzeniu sprawiedliwości tradycyjnymi metodami uwaga pokrzywdzonych zaczyna skupiać się na mniej oczywistych rozwi?zaniach. Pokrzywdzeni zaczynaj? dochodzić odszkodowań od instytucji finansowych, które uczestniczyły w realizacji przelewów, w szczególności od instytucji, które prowadziły rachunki bankowe dla tzw. słupów. Należy się spodziewać, że w najbliższym czasie liczba roszczeń wobec instytucji finansowych  będzie rosła. Dla wielu pokrzywdzonych będzie to jedyna szansa na uzyskanie rekompensaty za doznane krzywdy.

Paweł Mazur, adwokat, wspólnik, praktyka postępowań s?dowych i arbitrażowych
Janusz Tomczak, adwokat, partner odpowiedzialny za praktykę karn?
Krzysztof Wojdyło, adwokat, wspólnik odpowiedzialny za praktykę prawa nowych technologii

Share this page Share on FacebookShare on TwitterShare on Linkedin