יום עבודה שגרתי הפך לסיוט כלכלי עבור חברה פרטית שמנהלת את חשבונה בבנק לאומי כבר שנים רבות. לפני כשלוש שנים, בוצעה העברה בנקאית בסך 300 אלף שקל לטובת אחד מספקי החברה - אלא שמאחורי הקלעים התרחשה דרמה דיגיטלית שחשפה כשל אבטחה חמור.
בית משפט השלום בבת ים, בראשות השופט אודי הקר, דן בתביעה יוצאת דופן שהגישה החברה נגד הבנק. במרכז המחלוקת: 11 ניסיונות העברה שבוצעו באותו יום - רובם נכשלו, אך אחד מהם עבר והותיר חור של 300 אלף שקל בקופת החברה.
שאלות הזיהוי שהפכו למלכודת
התברר כי הבנק הסתפק בשאלות אימות פשוטות להפליא - כמו "מה שם בנך הבכור?" או "איפה גרת בילדותך?" - במקום להשתמש באמצעי אבטחה חזקים יותר, כגון קוד חד-פעמי לטלפון הנייד. השופט הקר תמה בפסק הדין: איך ייתכן שהבנק לא עצר את הפעילות כשהמבצעים נכשלו שוב ושוב בשאלות שכל בעל חשבון אמיתי אמור לדעת מתוך שינה?
"המערכת זיהתה לא פחות מ-11 ניסיונות העברה באותו יום", ציין בית המשפט, "רובם כשלו, אך אחד מהם עבר. זוהי בדיוק הנקודה שבה היה על הבנק להדליק נורה אדומה ולעצור את כל הפעילות בחשבון."
הרשלנות שעלתה ביוקר
בית המשפט קבע כי הבנק התרשל בכך שלא דיווח לחברה בזמן אמת על רצף הניסיונות החשודים. לפי הפסיקה, לאור שני הניסיונות הכושלים שקדמו להעברה המוצלחת, היה על הבנק לעכב את הכסף מיד ולהתריע בפני בעלי החשבון.
השתיקה של הבנק והעובדה שאפשר להעברה לעבור למרות ה"נורות האדומות" הדיגיטליות, הן שהובילו להחלטה לחייב את לאומי בהחזרת רוב הסכום. "כאשר מערכת הבנק מזהה כשלונות חוזרים ונשנים בניסיונות זיהוי, זוהי עילה מספקת לעצירת כל פעילות בחשבון", קבע השופט.
למה החברה לא קיבלה 100%?
למרות הניצחון המשמעותי בבית המשפט, החברה לא זכתה במלוא הסכום שנגנב. השופט קבע לה "אשם תורם" בשיעור של 25% - כלומר, 75 אלף שקל. הנימוק: הראיות הצביעו על כך שהחברה ככל הנראה לא שמרה כראוי על סודיות פרטי הגישה לחשבון, מה שאפשר לנוכלים להשיג את שם המשתמש והסיסמה.
מדובר במסר חשוב לכל בעל עסק ומנהל חשבון: הבנק אמנם אחראי על מערכות האבטחה שלו, אך השמירה על הסיסמה והפרטים הסודיים היא באחריות הלקוח. אי שמירה על פרטי הגישה עלולה להוביל לקיזוז משמעותי מהפיצוי, גם אם הבנק התרשל.
השורה התחתונה: 225 אלף שקל
בסיום ההליך המשפטי, חויב בנק לאומי להחזיר לחברה 225 אלף שקל - המהווים 75% מהנזק שנגרם. פסק הדין מדגיש את החובה של המוסדות הבנקאיים להגן על כספי הלקוחות בעידן של הונאות סייבר מתוחכמות.
הבנק טען במהלך ההליך כי הספק שאליו הועבר הכסף היה מוכר ולכן לא היה חשד, אך בית המשפט דחה טענה זו על הסף. "רצף כשלונות בזיהוי הוא עילה מספקת לעצירת כל פעילות בחשבון, ללא קשר לזהות המוטב", הבהיר השופט הקר.
פסק הדין מצטרף לשורה של פסיקות אחרונות המחייבות גופים עסקיים באחריות מוגברת כלפי לקוחותיהם, ומהווה תקדים חשוב בתחום אבטחת המידע הבנקאית.
קרדיט: פרסום של עו"ד ארז הימן באתר המשפט הישראלי
0 תגובות