Prireikė daugiau kaip metų, kad vilnietis Raimundas T. atgautų visus sukčių pasisavintus pinigus: „Paysera LT“ savo klientui buvo sugrąžinusi tik dalį prarastų lėšų – tuos pinigus, kurių dar nebuvo spėta išsigryninti. Kitų pinigų lietuviško kapitalo fintech įmonė nenorėjo grąžinti – tikino, kad jų klientas privalo prisiimti atsakomybę dėl savo neatsakingo elgesio, kai prisijungė ne prie „Paysera LT“, o sukčių sukurto analogiško puslapio internete.

Tačiau verslininkai buvo neteisūs – nuo paskelbimo įsiteisėjusiame sprendime Vilniaus apygardos teismas nurodė, kad „Paysera LT“ privalo atlyginti nuostolius, nes turėjo pareigą taikyti saugesnio autentiškumo patvirtinimo priemones.

„Bendrovei nesiėmus pakankamų aktyvių veiksmų, kad jos klientai būtų geriau informuoti apie galimas rizikas dėl neteisėtų trečiųjų asmenų veiksmų prarasti savo mokėjimo priemonę bei dėl netaikyto saugesnio autentiškumo patvirtinimo, klientas patyrė nuostolius“, – nurodė teisėjos Sigitos Zubavičiūtės-Montvilienės pirmininkaujama kolegija.

Teismas nusprendė, kad „Paysera LT“ savo klientui turės sumokėti ne tik jo patirtus nuostolius – beveik 6,6 tūkst. Eur, bet ir padengti daugiau kaip 2,6 tūkst. Eur atsiėjusias bylinėjimosi išlaidas.

Bylos duomenimis buvo nustatyta, kad dar 2021 m. lapkričio 4 d. iš „Paysera LT“ kliento Raimundo T. sąskaitos buvo atliktos penkios mokėjimo operacijos ir į svetimą sąskaitą buvo pervesta 10 tūkst. 550 Eur. Apie tai klientas sužinojo nepraėjus nė valandai po šių bankinių operacijų atlikimo ir iš karto kreipėsi į bendrovę, teigdamas, kad jis mokėjimo operacijų neinicijavo ir nedavė joms sutikimo.

Dėl šio įvykio „Paysera LT“ pradėjo tyrimą ir kreipėsi į banką, į kurio sąskaitą buvo pervesti Raimundo T. pinigai. Beveik po dviejų mėnesiui buvo sugrąžinti beveik 4 tūkst. Eur.

Bendrovės „Paysera LT“ neautorizuotų mokėjimo operacijų lėšas prašęs grąžinti vyras teigė, kad tą dieną, kai iš jo sąskaitos neteisėtai buvo nurašyti pinigai, jis į savo mobilųjį telefoną gavo elektroninį laišką apie sėkmingai pakeistą jo paskyros „Paysera LT“ slaptažodį, nors jis slaptažodžio keitimo neinicijavo ir neatliko.

„Ši žinutė man sukėlė įtarimų, todėl aš prie savo paskyros jungiausi per „Paysera LT“ aplikaciją savo mobiliajame telefone, tačiau dėl autorizacijos klaidos nepavyko prisijungti, – teigė jis. – Tuomet atnaujinau paskyros slaptažodį ir prisijungiau prie savo paskyros – pastebėjau, kad iš mano sąskaitos buvo atliktos penkios mokėjimo operacijos, kurių aš pats neinicijavau ir nedaviau joms sutikimo.“

Vyras teigė, kad maždaug prieš valandą, kai gavo žinutę apie slaptažodžio pakeitimą, jis kompiuteriu buvo prisijungęs prie „Paysera LT“ paskyros, nes planavo atlikti mokėjimą į JAV.

„Šio veiksmo sėkmingai atlikti tuo metu man nepavyko, nes naršyklės lange pasirodė užrašas apie įvykusią autorizacijos veiksmo klaidą“, – sakė Raimundas T., šią mokėjimo pavedimą bandęs atlikti poilsiaudamas Egipte.

Vėliau, kai buvo atliekamas tyrimas, „Paysera LT“ atstovai jo paprašė pateikti kompiuterio naršyklės išklotinę.

„Tada paaiškėjo, kad aš galėjau būti nukreiptas ne į tikrąjį „Paysera LT“ interneto puslapį, kuris buvo identiškas tikrajam bendrovės puslapiui – esminių skirtumų tarp tikrosios ir suklastotos svetainės nematau ir šiandien“, – teismui nurodė vyras.

Jis taip pat pažymėjo, kad SMS žinute gautą unikalų vienkartinį prisijungimo prie paskyros iš kito įrenginio patvirtinimo kodą jis suvedė, kaip vėliau paaiškėjo, suklastotame interneto puslapyje, kad galėtų prisijungti prie savo paskyros. Taip buvo užvaldyta jo sąskaita.

Į teismą bendrovę „Paysera LT“ padavęs klientas teigė esąs įsitikinęs, kad neautorizuotos mokėjimo operacijos buvo įvykdytos dėl nepakankamų bendrovės informacinių technologijų (IT) sistemų saugos sprendimų ar jų nebuvimo. Be to, Raimundas T. pabrėžė, kad „Paysera LT“ esą nesiėmė veiksmų, kad iš „Google“ paieškos sistemos būtų pašalinta nuoroda į suklastotą bendrovės svetainę: „Bendrovė nesiėmė priemonių, kad būtų pakankamai apsaugoti mano, kaip kliento, mokėjimo priemonių duomenys.“

Jis taip pat pažymėjo, kad tuomet, kai bendrovė grąžino tik dalį pinigų ir nurodė, jog kitų nesugrąžins, buvo priverstas kreiptis į Lietuvos banką. Vartojimo ginčą išnagrinėję specialistai jam priėmė palankų sprendimą ir bendrovei „Paysera LT“ rekomendavo grąžinti pinigus. Tačiau to ji nepadarė, todėl vyras bendrovę padavė į teismą.

Tuo metu „Paysera LT“ atstovai teigė, kad Raimundas T. prie savo paskyros mėgino prisijungti per „Google“ naršyklės paieškos rezultatuose pagal įvestą bendrovės pavadinimą „Paysera“ rastą suklastotą interneto svetainės adresą www.paeyserra.com.

„Sukčių suklastotame bendrovės interneto puslapyje jis suvedė savo prisijungimo prie „Payseros“ sistemos duomenis (elektroninio pašto adresą arba telefono numerį ir slaptažodį) ir taip savo prisijungimo duomenimis pasidalijo su sukčiavimo ataką organizavusiais asmenimis, – teismui nurodė bendrovės teisininkai. – Sukčiai suklastotoje bendrovės paskyroje į patvirtintą įrenginį SMS žinute gautą vienkartinį saugos kodą prašo suvesti jungiantis prie bendrovės paskyros (suvedant prisijungimo vardą, slaptažodį), nors jungiantis prie tikrosios bendrovės paskyros SMS žinute gautas kodas prašomas suvesti tik vėliau, jau esant prisijungus prie paskyros, tačiau dar negalint ja naudotis. Prisijungimas iš naujo įrenginio turi būti patvirtintas atliekant saugesnio autentifikavimo procedūrą.“

Pasak bendrovės atstovų, Raimundas T., kaip vartotojas, aktyviai besinaudojantis bendrovės teikiamomis mokėjimo paslaugomis, turėjo būti rūpestingas ir apdairus bei pastebėti neatitikimus tiek tarp interneto svetainių adresų, tiek ir jų vizualizacijos bei turinio.

„Jeigu ieškovas būtų buvęs tiek rūpestingas, kiek akivaizdžiai būtina esamomis aplinkybėmis (ypatingai šių dienų aktualijų kontekste, finansų įstaigoms įspėjant dėl galimo sukčiavimo atvejų) ir: 1) pirmame etape pastebėjęs neatitikimus tiek tarp interneto svetainių adresų, tiek ir jų vizualizacijos/turinio bei suklastotoje bendrovės interneto svetainėje www.paeyserra.com nesuvedęs savo prisijungimo duomenų; 2) antrame – nesuvedęs į jo mobilųjį telefoną SMS žinute gauto vienkartinio saugos kodo, kuriuo buvo patvirtintas prisijungimas prie ieškovo paskyros ir sąskaitos iš kito (naujo) įrenginio, – tretieji asmenys nebūtų turėję galimybės prisijungti prie ieškovo paskyros ir iš jo sąskaitos inicijuoti mokėjimo operacijų.“, – pažymima atsiliepime į pateiktą ieškinį.

„Paysera LT“ teisininkai taip pat akcentavo, kad net jeigu Raimundas T., būdamas nepakankamai atidus, ir neatkreipė dėmesio, kad suklastoto „Paysera“ interneto puslapio adresas akivaizdžiai skyrėsi nuo tikrojo (https://bank.paysera.com/lt/login), jam turėjo sukelti įtarimų bendrovės atsiųsta SMS žinutė, kuria buvo prašoma patvirtinti prisijungimą prie paskyros iš naujo įrenginio“, – su pareikštomis nesutikę bendrovės teisininkai nurodė, kad visi nuostoliai dėl kliento vardu inicijuotų ir autorizuotų mokėjimo operacijų turėtų tekti jam pačiam, nes juos patyrė ne dėl nepakankamų bendrovės IT sistemų saugos sprendimų ar jų nebuvimo, tačiau dėl savo paties didelio neatsargumo.

Lietuviško kapitalo fintech įmonės atstovai taip pat nurodė, kad suklastoto „Paysera“ puslapio „Google“ paieškoje jau negalima surasti – bendrovės iniciatyva jis buvo pašalintas.

Tarp kliento ir „Paysera LT“ kilusį ginčą iš pradžių nagrinėjo Vilniaus miesto apylinkės teismas, kuris nusprendė, kad jeigu Raimundas T. būtų buvęs pakankamai atidus ir rūpestingas, jis būtų galėjęs pastebėti trečiųjų asmenų neteisėtus veiksmus ir, tikėtina, būtų išvengęs neautorizuotų mokėjimo operacijų iš savo sąskaitos įvykdymo.

„Tačiau šiuo atveju ieškovas elgėsi nerūpestingai, toliau vykdė trečiųjų asmenų jam pateiktus nurodymus ir netgi neturėdamas tikslo atlikti jokių veiksmų savo paskyroje iš kito bendrovei nepažįstamo įrenginio nesusilaikė nuo tolesnių veiksmų, laiku nesikreipė į bendrovę ir nepranešė bendrovei apie galimus neteisėtus trečiųjų asmenų veiksmus jo paskyroje, o priešingai, vykdė visus jam trečiųjų asmenų pateiktus nurodymus“, – klientui nepalankų sprendimą priėmęs teismas nurodė, kad jis iki mokėjimo operacijų įvykdymo galėjo pastebėti, jog jo mokėjimo priemonę pasisavino tretieji asmenys, todėl jo elgesys laikytinas labai neatsargiu, kas iš esmės ir lėmė neautorizuotų mokėjimo operacijų iš sąskaitos įvykdymą.

Šį sprendimą Raimundas T. apskundė apeliacine tvarka ir bylą Vilniaus apygardos teisme laimėjo – „Paysera LT“ privalės jam sugrąžinti sukčių pasisavintus pinigus.

Anot teisėjų, kiekvienas banko klientas įsipareigoja apsaugoti ir neatskleisti bet kokių pagal sutartį jo paties sukurtų ar jam suteiktų slaptažodžių ar kitokių mokėjimo priemonių personalizuotų saugumo požymių tretiesiems asmenims ir neleisti kitiems asmenims naudotis paslaugomis kliento vardu. Tuo atveju, „jei klientas nesilaiko šio įsipareigojimo ir (arba) galėjo, bet neužkirto tam kelio ir (arba) tokius veiksmus atliko tyčia ar dėl didelio savo neatsargumo, klientas pilna apimtimi prisiima dėl to patirtus nuostolius bei įsipareigoja atlyginti kitų asmenų patirtus nuostolius, jei jie buvo patirti dėl kliento nurodytų veiksmų ar neveikimo.“

Tačiau, kaip pažymėjo apeliacinės instancijos teismas, prie „Paysera“ paskyros galima prisijungti ne tik per nuorodą www.bank.paysera.com, bet ir per www.paysera.lt.

„O tai reiškia, kad kai jungiasi URL laukelyje suvedant bendrovės pavadinimą, vartotojas nėra apsaugotas nuo to, jog nepateks į sukčių suklastotą bendrovės interneto svetainę, kuri, be kita ko, ir vizualiai yra labai panaši į tikrąją bendrovės svetainę, – pažymėjo teismas. – Mokėjimo paslaugų teikėjai, be kitų mokėjimo operacijų įvykdymo saugumą užtikrinančių priemonių, turėtų imtis aktyvių veiksmų, kad jų klientai būtų laiku, tinkamai ir aiškiai informuojami apie visas galimas (žinomas) rizikas, susijusias su mokėjimo priemonės praradimu dėl neteisėtų trečiųjų asmenų veiksmų, ypač bendrovei turint informaciją apie prieš bendrovės klientus jau surengtas panašaus pobūdžio sukčių atakas.“

Pasak teisėjų, „Paysera LT“ nepateikė informacijos, kuri įrodytų, jog savo klientus, kaip ir pinigus praradusį Raimundą T., būtų informavusi, kad ši savo svetainėje neprašo papildomai suvesti SMS žinute gauto vienkartinio saugos kodo, kuriuo patvirtinamas prisijungimas prie bendrovės sąskaitos iš kito įrenginio, arba – kad būtų atkreipusi klientų dėmesį į tai, jog ne visais atvejais bendrovė prašo papildomai autentifikuotis.

„Iš šių aplinkybių akivaizdu, kad atsakovė nesiėmė aukščiau nurodytų galimų aktyvių veiksmų, siekdama apsaugoti savo paslaugų vartotojus nuo bendrovei jau žinomų tapačių sukčiavimo atakų“, – pabrėžiama sprendime.

Teismas taip pat nurodė, kad ES Antrosios mokėjimo direktyvos 97 straipsnis numato, jog valstybės narės užtikrina, kad mokėjimo paslaugų teikėjas taikytų griežtą kliento autentiškumo patvirtinimą. Saugesnio autentiškumo patvirtinimo priemones Lietuvoje mokėjimo paslaugų teikėjai privalo taikyti nuo 2021 m. sausio 1 d., o absoliuti dauguma neautorizuotų operacijų iš Raimundo T. sąskaitos buvo atlikta iki 2021 m. lapkričio 4 d. – kai „Paysera“ turėjo pareigą taikyti saugesnio autentiškumo patvirtinimo priemones.

Raimundui T. palankų sprendimą priėmusi teisėjų kolegija taip pat nurodė, kad iš jo sąskaitos atlikti mokėjimai buvo neįprasti ir atliekami didelės rizikos gavėjui, nes operacijos buvo atliktos naujam gavėjui, bendra mokėjimo operacijų suma sudarė 10 tūkst. 550 Eur, nuskaitymai vyko vienas paskui kitą, be to, šios operacijos buvo atliktos iš nebūdingų vartotojui IP adresų.

„Įsigaliojus saugesnio autentiškumo reikalavimams, patvirtinimo buvo galima nereikalauti, kai mokėjimo suma nesiekia 500 Eur“, – teismas nurodė, kad tokia buvo tik viena operacija, kai iš „Paysera LT“ kliento sąskaitos buvo pervesta 120 Eur, tuo metu kitais atvejais buvo atliekami mokėjimai ir po 3 tūkst. Eur.

Todėl, anot teismo, atsižvelgiant į šias aplinkybes bei į Mokėjimų įstatymo nuostatą, nurodančią, kad mokėtojas neturi patirti jokių nuostolių, jeigu jie yra patirti dėl mokėjimo paslaugų teikėjo, jo darbuotojo, tarpininko, filialo ar asmenų, kuriems perduotas veiklos funkcijų vykdymas, veiksmų ar neveikimo, spręstina, jog bendrovei „Paysera LT“ nesiėmus pakankamų aktyvių veiksmų, kad jos klientai būtų geriau informuoti apie galimas rizikas dėl neteisėtų trečiųjų asmenų veiksmų prarasti savo mokėjimo priemonę bei dėl netaikyto saugesnio autentiškumo patvirtinimo, klientas patyrė nuostolius.

„Pirmosios instancijos teismas netinkamai aiškino materialines ir procesines teisės normas ir priėmė neteisėtą bei nepagrįstą sprendimą, kuris panaikintinas ir priimamas naujas sprendimas – ieškinys tenkinamas“, – pažymėjo Vilniaus apygardos teismas.

„Paysera LT“: ar ir valstybė kompensuos internetinių sukčių nuostolius?

„Paysera LT“ Teisės departamento vadovė Kristina Ramonienė sako, kad šis teismo sprendimas esą prisideda prie itin ydingos praktikos formavimo, kuria tarsi norima įtvirtinti idėją, kad internete jo vartotojams nebėra pareigos ir poreikio elgtis atsargiai ir apdairiai. Vis dėlto, bendrovė žada jai nepalankų sprendimą skųsti kasacine tvarka – mano, kad šioje istorijoje tašką turi padėti Lietuvos Aukščiausiasis Teismas.

„Šiuo atveju „Google“ paieškos reklamoje klientas pamatė sukčių sukurtą nuorodą www.paeyserra.com, ją paspaudė, nekreipdamas dėmesio, kad adrese yra dvi papildomos raidės, o puslapis sąmoningai sukčių yra sukurtas toks, kad būtų itin panašus į tikrąjį prisijungimo puslapį, – Delfi.lt komentare teigė K. Ramonienė. – Mūsų vertinimu, toks teismo sprendimas prisideda prie itin ydingos praktikos formavimo, kuria tarsi norima įtvirtinti idėją, kad internete jo vartotojams nebėra pareigos ir poreikio elgtis atsargiai ir apdairiai, nes bet kokius galimus dėl paties vartotojo kaltės galinčius kilti ar patirtus nuostolius kompensuos kažkas kitas.

Teismo sprendimas sufleruoja, kad „Google“ paieškoje paspaudus ant sukčių nupirktos reklamos ir patekus į suklastotą paslaugų teikėjo puslapį, kuris turi panašumų su tikruoju paslaugų teikėjo puslapiu, atsargumas ir atidumas tampa nereikalingas.

Tai prieštarauja tam, ką keletą pastarųjų metų per žiniasklaidą, socialiniuose tinkluose ir tiesioginiais kanalais klientams primena finansų įstaigos, centrinis bankas ar kitos teisėsaugos institucijos: tikrinkite interneto banko adresą, nespauskite nuorodų bauginančiose SMS žinutėse ar e. laiškuose, netikėkite nepažįstamų asmenų vilionėmis investuoti su maksimaliomis palūkanomis ir be rizikos.

Formuojant tokią praktiką, nueisime iki to, kad prievolė kompensuoti dėl gyventojo didelio neatsargumo kilusius nuostolius kils ir valstybinėms institucijoms. Štai praėjusį mėnesį sukčiai, nurodę Valstybinės mokesčių inspekcijos (VMI) pavadinimą, gyventojams siuntė apgaulingas SMS žinutes su nuoroda į suklastotą VMI puslapį. Patikėję sukčių apgaule gyventojai taip pat atidavė savo prisijungimo duomenis bei galėjo prarasti pinigus. Kyla šiandienai tik retorinis, tačiau ateityje – realus klausimas: ar VMI irgi taip pat kaip verslo įmonė turės pareigą/prievolę kompensuoti nuostolius, nes sukčiai suklastojo jos svetainę?

Jeigu teismo sprendimas būtų paliktas toks, koks yra, ateityje teismai galėtų remtis sprendimu mūsų byloje ir reikalauti kompensacijos iš VMI – kaip ir mūsų atveju? Siekiant teisingo realių gyvenime kylančių situacijų vertinimo ne tik mums, bet ir kitoms finansų įstaigoms, ar net vertinant galimas neigiamas situacijas ateityje, – taipogi vertindami valstybės interesą, mes teismo sprendimą skųsime Lietuvos Aukščiausiajam Teismui.

Norime pabrėžti, jog ypatingai džiaugiamės ir vertiname žiniasklaidos vaidmenį edukuojant gyventojus, nes tokių istorijų viešinimas tampa gera pamoka kitiems. Priminsiu, kad norint prisijungti prie tikrosios interneto svetainės, saugiausia yra savarankiškai naršyklėje suvesti pilną interneto banko adresą ir patikrinti, ar adrese nėra papildomų raidžių, skaičių ar kitų ženklų.

Atsižvelgiant į dažniausius sukčių veikimo būdus, taip pat priminsiu, kad finansų įstaigų darbuotojai klientams niekada neskambina ir nesiunčia pranešimų, kuriuose prašytų padiktuoti ar kur nors suvesti saugos kodą, asmens kodą, mokėjimo kortelės duomenis. Taip daro tik sukčiai. Kilus abejonių, ar kalbate su finansų įstaigos darbuotoju, visada rekomenduojama perskambinti oficialiais kontaktais, pateiktais paslaugų teikėjo internetinėje svetainėje.“