Szymon <a...@w...pl> writes:

> Nie ma i nie będzie. Zwróć uwagę, iż takie dane bardzo nie są na rękę
> bankom. Trudno więc, aby je podawały.

Ale jednak takie dane w ogóle bywały dostępne.

> Sęk w tym, że te same procedury działają dla utraty 1/10 rocznych
> dochodów, co do 100-krotności rocznych dochodów. Na tej zasadzie
> stracić możesz nawet więcej, bo pieniądze, których jeszcze nie
> zdążyłeś zarobić.

Ale jakie procedury?

>> "Numer PIN przypisany do karty Maestro, był zapisany w skradzionym
>> telefonie (dowód z przesłuchania powoda)."
>
> Czego nie udowodniono. ;-) Nie udowodniono także, że był w starym
> telefonie, ani czy był należycie zabezpieczony. W zasadzie niczego nie
> dowiedziono, ale to i tak klient jest winny.

To chyba czytaliśmy inne wyroki.
BTW to był dokładny cytat z wyroku.

> Sęk w tym, iż pytanie organów ścigania "skąd złodziej mógł znać PIN?"
> jest zupełnie oczywiste. I teraz... Odpowiesz: "nie wiem" to na pewno
> ujawniłeś (udowodnić jak widać nie trzeba), bo skąd złodziej mógłby go
> znać... Odpowiesz: "może ktoś podejrzał w sklepie" to w uzasadnieniu
> znajdziesz, że Twoja wina, bo pozwoliłeś podejrzeć.

Nieprawda, zarówno ustawa jak i wspomniany wyrok pokazuje, że tak nie
jest. Ale jeśli ktoś w piśmie do arbitra sam się przyznaje, że mógł mieć
PIN w telefonie (szczerze - jeśli tak napisał, to myślisz że nie miał?),
to co tu można poradzić?

>> BTW to ma się oczywiście dokładnie nijak do problemu ścieżki
>> magnetycznej - jeśli ktoś ma oryginalną kartę oraz PIN do niej, to może
>> skorzystać normalnie z EMV, i bank (a więc zwykle także klient) nie jest
>> wtedy chroniony przez "liability shift".
>
> W tym wypadku doszło do kradzieży. W przypadku skimmingu problem jest
> ten sam - użyto karty w bankomacie, użyto PINu.

Przeciwnie, problem jest zupełnie inny, ponieważ autoryzacja korzysta
wtedy z danych zapisanych na ścieżce magnetycznej, i teraz możliwości są
takie:
- bank w ogóle może odmówić autoryzacji "magstripe" w przypadku
bankomatu z czytnikiem EMV,
- jeśli bankomat nie ma EMV, to transakcja jest na ryzyko właściciela
bankomatu,
- nawet jeśli to bank nie ma w swoim bankomacie EMV (i nie może
przerzucić odpowiedzialności na samego siebie), to i tak w sądzie
klient będzie miał wiele punktów zaczepienia, których nie miał w tym
przypadku.

> Z punktu widzenia
> banku nie ma różnicy. To do Ciebie należy udowodnienie, że doszło do
> przestępstwa, bo np. nie mogłeś z karty skorzystać w Warszawie i za
> pół godziny w bankomacie w Peru.

"Kłamstwo powtarzane 1000 razy"...
Ustawa, wyrok - tym gorzej dla faktów.

> Zawsze klient. I masz swoją odpowiedzialność do 150 euro. Winą klienta
> było to, że korzystał z karty.

Przeciwnie, korzystanie z karty nie miało tu znaczenia. Dokładnie tak
samo byłoby, gdyby z niej nie korzystał - PIN w telefonie to nie jest
korzystanie z karty.

> Dziwi mnie rezygnacja ze
> sprzętowych tokenów (Eurobank, CA) na rzecz SMSów na przykład.

Tokeny są droższe. Niedawna afera z producentem tokenów pokazuje, że nie
są wcale tak bezpieczne (aczkolwiek istnieją tokeny, które są dużo
bardziej bezpieczne niż SMSy).

> Myślę, że gdyby na pytanie skąd mieli PIN, klient powiedział "nie
> wiem" to też byłaby to jego wina, bo przecież bank nie ma.

Możesz tak myśleć, ale traktowanie tego jako pewnik nie ma nic wspólnego
z logiką.

> http://www.bankier.pl/wiadomosc/PIN-i-zielony-stan-n
ieswiadomy-Czy-bank-zwroci-pieniadze-7271984.html

To zupełnie inna sprawa, i ten wyrok także jest moim zdaniem prawidłowy
- klient nie jest w stanie całkowicie ochronić PINu przed podpatrzeniem,
i dlatego PIN nie może być 100% wyznacznikiem odpowiedzialności klienta.
Co innego PIN zapisany na karcie lub np. w telefonie.
--
Krzysztof Hałasa