On Sun, 20 Mar 2016, Sebastian Biały wrote:

> On 2016-03-20 13:17, Rafal Jankowski wrote:
>> Tak czy inaczej dla mnie to przykład nie tylko głupoty sądu ale i
>> kiepskiej jakości prawa, które powinno pozostawiać możliwie mało pola
>> manewru subiektywnej ocenie
>
> Okiem informatyka: to wynik dziadostwa robionego przez banki. Zwóroc uwagę że
> banki robia wszystko aby "ułatwić" korzystanie z bankowości. Od zakładania
> kond przelewem za grosz przez używanie absurdalnie łatwych do złamania
> zabezpieczeń informatycznych.
>
> Oczywiście matematyka i informatyka mają skuteczne metody zabezpieczanie
> transakcji (np. tokeny sprzętowe). Problem w tym że znaczna częśc
> społeczeństwa to idioci a znaczna część managerów w bankach to debile.
> Efektem czego systemy zabezpieczeń banków bazują na poziomie mułu czyli
> zakładają że system operacyjny usera jest bezpieczny oraz że imie panieńskie
> babki jest absolutnie nie do podsłuchania podane 40 razy przez telefon.

Można o tym dyskutować. Tak samo jak to czy słusznie jest skazać gościa
którego samochód zabił człowieka a on sam 100m dalej był chwilę później
nawalony jak Messerschmit. Niestety czasem przeprowadza się procesy
poszlakowe i jakoś trzeba z tym żyć, ale w sprawie której dotyczy wątek w
zasadzie nie pojawiają się żadne wątpiwości co do zdarzeń jakie miały
miejsce.

>
> , a obydwie omawiane sytuacje (dziura w
>> bezpieczeństwie i zainstalowanie złośliwego oprogramowania) to przypadki
>> bardzo proste do przewidzenia
>
> Nie da się w sposób oczywisty stwierdzić czy twoj komputer posiada malware.
> Nawet zaawansowany informatyk nie jest w stanie tego stwierdzić. Windows, bo
> o nim tu domyslnie mowa, jest pod tym wzgledem praktycznie niemożliwy do
> oceny. Innymi słowy twoje "przypadki proste do przewidzenia" powinny
> zakończyć się absolutnym zakazem uzywania kanałów informatycznych do operacji
> bankowych. Bo można prosto przewidzieć że każdy user ma jakieś malware. Da
> się? Da. To niech nie używa.
>
>> i to nie sąd a przepisy powinne jasno
>> określać zarówno to kto ponosi ciężar dowodu jaka z tych sytuacji miała
>> miejsce jak i to kto w konsekwencji płaci za wyprowadzone z konta środki.
>
> Ciężar dowodu? Wiesz, że nie da się w sposob bezwzględny ocenić czy komputer
> użytkownika zawiera malware? Tak technicznie rzecz biorąc, a nie prawnie.
> Technicznie nie masz szans ocenić przy ataku ukierunkowanym i unikatowym czy
> dowolnie wybrany system operacyjny z 3 obecnie używanych na rynku [1] jest
> bez malware. To wynika z faktu że 3 obecnie powszechnie używane OSy są po
> prostu gówno warte pod wzgędem bezpieczeństwa.
>
> [1] Win, OS X, Linux.

Jednoznacznie udowodnić się nie da, ale bardzo często materiał dowodowy
wskazuje na przebieg zdarzeń w tak prawdopodobnym stopniu, że żadna ze
stron nie poddaje w wątpliwość tego co się wydarzyło.

>
> PS. Banki migrują z tokentów sprzetowych w kierunku gówno wartych SMSów itp
> szitu. Trudno powiedzieć komu należy za to natłuc po mordzie. Byc może to
> "zarządzanie ryzykiem" które sprowadza się do stwierdzenia że przeciętny
> Kowalski nie ma czasu pozwać banku za ich żałosne zabezpieczenie.

I tutaj token sprzętowy nic by nie pomógł (zakładając, że przelewy
zostały wykonany w krótkim czasie od chwili wyłudzenia haseł), bo kobieta
po prostu przepisałaby hasła z tokena.