Uporaba spletne banke in odgovornost za zlorabe

6. februar 2025

Na ZPS smo  pregledali splošne pogoje vseh bank in se pri tem osredotočili na to, ali je odgovornost pravično porazdeljena med obema strankama – banko in potrošnikom.

Dodaj vsebino med priljubljene

Za dodajanje vsebine med priljubljene potrebujete uporabniški profil. Brezplačna registracija

Upravljanja financ si brez spletne (ali mobilne) banke večina potrošnikov ne predstavlja več. V preteklih letih so banke pospešeno delale na digitalizaciji in spodbujanju uporabe digitalnih bančnih poti.

Seveda pa uporabo spletnih in mobilnih bank, tako kot velja za večino drugih bančnih storitev in produktov, urejajo splošni pogoji poslovanja. Teh večina potrošnikov ne prebere, zato niti ne vedo, v kakšno delitev odgovornosti v primeru spletne zlorabe privolijo z uporabo spletne banke. 

Če bi vi pisali splošne pogoje ...

Splošni pogoji so del pogodbe, a da se podjetje, v našem primeru banka, izogne dolgim in nepreglednim pogodbam, pravila igre zapiše v ločen dokument in se nanj sklicuje v pogodbi. Na ta način banka sočasno uredi pogodbeno razmerje z velikim številom strank za isto storitev (na primer uporabo spletne banke).

Gre torej za racionalizacijo poslovanja, ena pravila veljajo za vse. Splošne pogoje pripravi banka, s podpisom pogodbe pa veljajo za obe stranki, torej tudi za potrošnika. 

Zaradi hitro naraščajočega števila spletnih zlorab je poglavje splošnih pogojev za banke ključnega pomena. In ker jih pripravi banka, ima proste roke, da pravila oblikuje po svoje.

Ali imamo potrošniki na izbiro res le "vzemi ali pusti"?

Banke s splošnimi pogoji nadzorujejo pravila igre in poskušajo legitimizirati svoje odločitve o porazdelitvi odgovornosti. Vprašanje pa je, ali je odgovornost pravično porazdeljena ali je preložena na uporabnika ter kolikšno odgovornost za spletne zlorabe prevzema banka.

Bi bili splošni pogoji drugačni, če bi jih sestavljali potrošniki? Zagotovo. Pravična pravila igre pa so, kot običajno, verjetno nekje vmes.

Kaj vse "prenesejo" splošni pogoji?

Splošni pogoji bank se med seboj sicer razlikujejo, a so si v marsičem tudi podobni. Pregled, ki smo ga opravili na ZPS, je pokazal, da nekateri elementi, ki se nanašajo na odgovornost uporabnika, po našem mnenju kažejo na nerazumna pravila, ki so pogosto tudi nejasna in težko oprijemljiva v praksi.

Kaj banke v splošnih pogojih za uporabo spletnih (oziroma mobilnih bank) med drugim določajo?

Varovanje PIN-a/gesla kot "dober gospodar" 

Uporabnik mora svojo mobilno napravo in PIN/geslo "varovati kot dober gospodar", pri čemer ni jasno, kaj točno to pomeni in kako se v primeru spletne zlorabe dokazuje dobro gospodarjenje.

PIN-a/gesla se ne sme sporočati ali dajati na vpogled ali v uporabo tretjim osebam

Uporabnik mobilne naprave in PIN-a/gesla ne sme sporočati ali dajati na vpogled ali v uporabo tretjim osebam, pri čemer je odgovoren za vsako škodo, ki je bodisi posredno ali neposredno povzročena zato, ker so tretje osebe uporabile njegovo mobilno napravo, aktivacijsko kodo in serijsko številko ali PIN.

S tem se banka v celoti odveže odgovornosti v primeru spletne zlorabe prek socialnega inženiringa in nameščanja zlonamernih aplikacij na telefone (čeprav so v Google/Apple Store, kjer naj bi bili legitimnost in legalnost preverjeni, pogosto prosto dostopne).

Redno spremljanje obvestil banke glede poslovanja s spletno banko

Uporabnik mora na spletne strani banke redno spremljati obvestila banke glede poslovanja s spletno banko, pri čemer ni jasno, kaj pomeni redno spremljanje – je dovolj enkrat na teden, vsak dan ali kaj drugega.

Skrb za ustrezno tehnično in programsko zaščito računalnika in/ali mobilne naprave

Uporabnik mora poskrbeti za ustrezno tehnično in programsko zaščito računalnika in/ali mobilne naprave, pri čemer ni jasno, kaj pomeni "ustrezna zaščita".

Spremljanje obvestil trgovin App Store in Google Play in prevzemanje novih različic mobilne aplikacije

Uporabnik mora spremljati obvestila trgovin App Store in Google Play na mobilni napravi in prevzemati nove različice mobilne aplikacije, pri čemer bi pričakovali večjo aktivnost banke (da bo poslala SMS, potisno sporočilo ali elektronsko pošto z informacijo o posodobitvi).

Sprejemanje in prevzemanje odgovornosti za vsa tveganja, ki so povezana z ranljivostjo računalniške opreme in povezave

Uporabnik sprejema in prevzema odgovornost za vsa tveganja, ki so povezana z ranljivostjo njegove računalniške opreme in povezave, kot so (vendar ne izključno) neažurno nameščanje varnostnih popravkov operacijskega sistema, neažurno nameščanje programske opreme za antivirusno zaščito ali pomanjkljiva zaščita, neustrezna uporaba povezav in omrežij, nameščanje nelegalne programske opreme, prenosi nelegalnih multimedijskih datotek.

Menjava PIN-a najmanj enkrat na mesec

Uporabnik mora najmanj enkrat na mesec menjati PIN, drugače je odškodninsko in kazensko odgovoren za kršitev te določbe (in drugih) ter odgovarja za škodo.

Uporabnik sam nosi vso škodo kraje, izgube ali morebitne nepooblaščene uporabe

Uporabnik sam nosi vso škodo, nastalo do trenutka prijave morebitne nepooblaščene uporabe banki, suma nepooblaščene uporabe oziroma možnosti nepooblaščene uporabe, kraje ali izgube mobilne naprave ...

Nekatere banke gredo celo tako daleč, da v splošnih pogojih kar same definirajo, da je neupoštevanje njihovih splošnih pogojev (čeprav bi sodišče lahko nekatere prepoznalo kot škodljive za šibkejšo stranko, t. j. potrošnika) znak hude malomarnosti, s čimer banka odgovornost za spletne zlorabe v celoti prenese na uporabnika.

Na kaj moramo biti še posebej pozorni?

Splošni pogoji so praviloma zelo dolgi, zato velja posebno pozornost nameniti poglavjem o odgovornosti. Pri tem ni zanemarljivo, da so tista, ki imajo običajno naslov "odgovornost uporabnika", obsežna, zlasti v primerjavi s poglavji z naslovom "odgovornost banke". Ta so praviloma bistveno krajša ali pa jih sploh ni (!).

Tudi če so del splošnih pogojev, lahko v njih najdemo določbe, ki banko odvezujejo odgovornosti v primeru spletnih zlorab: "banka ne prevzema odgovornosti v primeru ..." ali "banka ne odgovarja za škodo ...". Torej gre v nekaterih primerih za poglavje o ne-odgovornosti banke.

Naj banka določa in odloča, kaj je huda malomarnost?

Zakon o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih (ZPlaSSIED) tudi po uveljavljenih spremembah v letošnjem letu pravi, da uporabnik izgubo zaradi neodobrene plačilne transakcije krije le do 50 evrov, razen če je ravnal hudo malomarno.  

Sodne prakse na tem področju še ni

Kaj pa je huda malomarnost in kje so razlike v primerjavi z "zgolj" malomarnostjo, kjer uporabnik ne krije celotne izgube? 

Zakon tukaj ni jasen, sodna praksa pa po navedbah izva- jalca izvensodnega reševanja potrošniških sporov (Združenje bank Slovenije) pravi, da je huda malomarnost "ravnanje, ko je oseba ravnala z manjšo skrbnostjo od skrbnosti, ki se v posameznem primeru lahko pričakuje od povprečno skrbnega človeka".

Kaj konkretno pomeni v primeru prefinjenih spletnih zlorab, ki so preplavila svet v zadnjem obdobju, žal ni jasno, saj sodne prakse na tem področju še ni.

Razkrije osebnih varnostnih elementov 

V splošnih pogojih treh bank smo našli navedbe, da se neizpolnjevanje navedenih obveznosti šteje za hudo malomarnost oziroma da je huda malomarnost tudi, če uporabnik razkrije osebne varnostne elemente (uporabniško ime, geslo ali enkratno kodo, prejeto po SMS, ali druge varnostne mehanizme) tretjim osebam, kar omogoča nepooblaščen vstop v elektronsko banko.

Ni nameščenih licenčnih antivirusnih programov

Za hudo malomarnost šteje tudi, če uporabnik nima nameščenih licenčnih antivirusnih programov, za katere proizvajalec nudi sprotno, navadno dnevno posodabljanje z ustreznimi varnostnimi popravki in dopolnitvami, in nima nameščenih zadnjih varnostnih popravkov operacijskega sistema in spletnega brskalnika, ki jih za licenčno programsko opremo ponujajo proizvajalci. 

A sodna praksa nemških sodišč kaže, da pošiljanje podatkov na lažne spletne strani večinoma ne šteje za hudo malomarnost, še celo takrat ne, ko je uporabnik posredoval več osebnih varovalnih elementov. 

Banke ne morejo enostransko določati, kaj je in kaj ni huda malomarnost 

To je pač prehuda skušnjava, da bi ravnanja potrošnikov (pre)pogosto označile za hudo malomarnost in s tem same sebe odvezale odgovornosti.

Poleg tega ZPlaSSIED določa, da morajo biti pogoji, ki urejajo izdajo in uporabo plačilnega instrumenta, objektivni, nediskriminatorni in sorazmerni. Pa splošni pogoji za uporabo spletnih bank temu ustrezajo?

Vprašanje odgovornosti vseh vpletenih

Niso redki primeri, ko banka trdi, da je uporabnik ravnal hudo malomarno, ta pa se s tem ne strinja. Prav tako niso redki primeri, ko je odgovornost tako na strani uporabnika kot tudi na strani banke.

Javno objavljena anonimizirana mnenja izvajalca (ZBS) izvensodnega reševanja potrošniških sporov (ZBS) namreč pričajo, da v nekaterih primerih uporabnik morda res ni upošteval vseh varnostnih ukrepov, svojega dela pa ni opravila niti banka: ni ustavila sumljivih transakcij, ni preverila plačnika pri vzorcih plačil, ki na glas kričijo, da gre za spletno zlorabo, ni ustavila plačila, ko jo je k temu potrošnik pozval in je za to še imela čas ...

S prelaganjem odgovornosti na uporabnika se banke v splošnih pogojih poskušajo odvezati vsakršne lastne odgovornosti. Ali napaka (po mnenju banke!) na strani uporabnika samodejno pomeni, da ni pomembno, kaj je v primeru spletne zlorabe naredila (ali pa ni naredila) banka?

Po našem mnenju to nikakor ni ustrezno – pogledati moramo celotno sliko spletne zlorabe in odgovornost pravično porazdeliti. 

 

Banke lahko tudi razumemo

Vsako uspešno podjetje skrbi za čim boljši poslovni uspeh, prihodki naj bodo čim višji, stroški čim nižji. S splošnimi pogoji podjetje postavi obrambni zid, ki postane viden predvsem, ko gre kaj narobe. Banke pač poskušajo svoj posel čim bolje zaščititi. 

Zato mora obstajati tudi druga stran, ki zastopa pravice uporabnikov in stvari postavi na pravo mesto, v uravnoteženo sredino. Na tej drugi strani smo potrošniške organizacije, ki smo lahko zares močne le z razumevanjem problematike s strani javnosti in z njeno podporo.

Banka Slovenije je bančni regulator, ki skrbi za ustrezne razmere na trgu – njeno mnenje o ustreznosti splošnih pogojev bank bo pomembno. Izboljšanje zaščite potrošnikov v primeru spletnih zlorab pričakujemo tudi z novo zakonodajo, ki je v pripravi in obljublja višjo raven zaščite za potrošnike.

Morda pa bodo banke že prej same obrusile svoje splošne pogoje, izboljšale reševanje spletnih zlorab in poskrbele za bolj pravično porazdelitev odgovornosti.

Poziv Banki Slovenije

Zaradi splošnih pogojev za uporabo spletnih bank smo Banki Slovenije poslali poziv za temeljit pregled in oceno ustreznosti pogojev, predvsem prevzemanja odgovornosti uporabnikov in banke v primeru spletnih zlorab.

Nadzornika bank smo pozvali, da preveri, ali so postavljena pravila objektivna, nediskriminatorna in sorazmerna ter ali je porazdelitev odgovornosti uravnotežena in pravično porazdeljena. O odzivu Banke Slovenije vas bomo obvestili.

Avtorica: Alina Meško