Čeprav NLB d.d. promovira svojo mobilno denarnico NLB Pay kot način plačevanja, ki ima vrsto prednosti pred klasično plačilno kartico, saj naj bi bila plačila varnejša, nas je bralka opozorila na primer zlorabe svoje bančne kartice pri uporabi NLB Pay. Aktivacijskega gesla, brez katerega aktivacija NLB Pay ni možna, po njenih besedah ni prejela, kar naj bi potrdila tudi forenzična preiskava; prejela naj bi ga neznana oseba oziroma storilec, ki naj bi si namestil aplikacijo ter izvedel vrsto nakupov in plačil brez njene vednosti.

Ker je bil njen bančni račun izključno varčevalne narave, je za zlorabo in neodobrene plačilne transakcije, ki naj bi se zvrstile potem, ko si je namestila mobilno banko NLB KLIK IN, izvedela povsem naključno. O tem je, sodeč po dokumentaciji, ki nam jo je poslala, obvestila banko, ki je takoj blokirala račun in NLB KLIK; bralka naj bi podala  kazensko ovadbo ter pri banki vložila pritožbo in zahtevek za vračilo denarja. Vendar pa naj bi se plačila nadaljevala tudi potem, ko je banka izvršila še neodobrene plačilne transakcije, ki so bile na dan blokade računa in NLB KLIK še v postopku avtorizacije. Tako naj bi bilo z bančno kartico med 28. decembrom 2022 in 6. januarjem 2023 opravljenih 33 transakcij v skupnem znesku 29.162,15 evrov na različnih spletnih prodajnih mestih. Poglejmo podrobnosti.

Kot navaja bralka, je pri NLB v letu 2004 odprla osebni transakcijski račun, ki je bil izključno varčevalni, zato svoje bančne kartice ni uporabljala, imela pa je vzpostavljeno spletno banko. Junija 2022 je spremenila kontaktno telefonsko številko spletne banke, tik pred novim letom pa se je odločila, da bo ponovno kot kontaktno številko uporabljala staro številko mobilnega telefona. S tem namenom se je zglasila v poslovalnici banke, kjer je aktivirala NLB KLIK; na elektronski naslov je prejela aktivacijsko kodo za aktiviranje mobilne banke NLB KLIK IN ter si aplikacijo tudi namestila.

Kot je zapisano v dokumentaciji, ki smo jo prejeli, je 6. januarja 2023 pred 5. uro zjutraj prišlo od banke SMS sporočilo z obvestilom, da je banka blokirala kartice ter da se je za deblokiranje potrebno prijaviti na v sporočilu naveden elektronski naslov. Bralkin mož je zaradi medijskih opozoril o lažnih sporočilih v imenu bank ta SMS izbrisal in iz previdnosti vstopil v mobilno banko KLIK IN. Sledil je šok. Na bančnem računu je bilo do tedaj izvedeno že 20 neodobrenih plačilnih transakcij v skupnem znesku 3.657,54 evrov na razne tuje trgovske spletne platforme, v postopku avtorizacije pa je bilo še 15 neodobrenih plačilnih transakcij v skupnem znesku 25.526,10 evrov.  

Bančni račun naj bi bil po besedah bralke še istega dne blokiran, prav tako NLB KLIK, na PP Koper pa podana kazenska ovadba. V poslovalnici NLB v Kopru naj bi bralka sestavila pritožbo in zahtevo za vračilo denarja. Kot navaja, so ji bančni uslužbenci zagotovili, da se plačilne transakcije, ki so bile na tisti dan v postopku avtorizacije, zagotovo ne bodo izvedle, saj je bil račun že blokiran. Vendar pa je, ko je v ponedeljek, 9. januarja, telefonsko preverjala stanje na svojem računu, odkrila, da so bile v petek, soboto in nedeljo, torej potem, ko je banka že bila obveščena, da gre za neodobrene plačilne transakcije, izvršene tudi vse neodobrene plačilne transakcije, ki so bile v petek v postopku avtorizacije; bralkin bančni račun naj bi bil obremenjen za dodatnih 25.526,10 evrov.

Iz dokumentov tudi sledi, da je bralka v bančni poslovalnici podala pritožbo in dopolnila kazensko ovadbo, na NLB je naslovila tudi zahtevo za takojšnje vračilo denarnih sredstev iz naslova neodobrenih plačilnih transakcij. A sledilo je dodatno razočaranje. Kot navaja, je banka v odgovoru zapisala, da jo je procesni center Bankart d.o.o., ki za NLB izvaja procesiranje transakcij in posredovanje finančnih reklamacij, obvestil, da so bile z izjemo ene vse transakcije potrjene v elektronski denarnici NLB Pay. V tem primeru pa ni mogoče poslati finančnih reklamacij zaradi zlorabe.  

Bralka zatrjuje, da na svojo novo mobilno številko ni prijela nikakršnega SMS od banke z aktivacijskim geslom za NLB Pay, prav tako ni imela naložene aplikacije NLB Pay; po njenem mnenju se ta aplikacija ni naložila na njen telefon, temveč z zlorabo njene identitete na telefon tretje osebe. Tako naj bi bili zlorabljeni vsi varnostni elementi za aktivacijo NLB PAY: gre za štiri ločene varnostne podatke, in sicer davčno številko, telefonsko številko, šestmestno aktivacijsko kodo ter PIN kartice. 

Vendar pa naj bi kljub temu banka domnevala, da je bralka sama svoje osebne in varnostne podatke posredovala tretji osebi: zaradi te "hude malomarnosti" pa naj bi bila odgovornost banke izključena. A bralka vztraja; po veljavni zakonodaji se banka po obvestilu o izgubi, kraji ali zlorabi plačilnega instrumenta ne more razbremeniti odgovornosti; od NLB tako zahteva, da ji povrne škodo, ki ji jo je povzročila z izvršitvijo neodobrenih plačilnih transakcij v znesku 29.163,64 evrov. O zahtevi za vračilo plačila bo zdaj odločalo okrožno sodišče v Ljubljani.

Za pojasnila smo se obrnili tudi na NLB, kjer posameznih primerov zlorab ne komentirajo, saj "terjajo individualno obravnavo", priznavajo pa, da je teh zlorab oziroma t. i. phishinga vse več. "Stranke v teh primerih naivno posredujejo vse tiste osebne in kartične podatke, ki so potrebni za aktivacijo NLB Pay-a. Strankam "vržejo" kriminalci vabo v obliki e-sporočila ali SMS sporočila, ki vsebuje povezavo, v katero stranke vpišejo svoje podatke. Takšna sporočila vodijo stranko na lažno spletno stran (npr. skrivajo se za pretvezo, da je kreditna kartica blokirana, da gre za izboljšanje varnostnih ukrepov ali da morajo potrditi prejeto nakazilo) ter od njih zahtevajo obvezno potrditev ali aktivacijo z vnosom osebnih in kartičnih podatkov," pojasnjujejo. Zato svetujejo, da prejemniki takšna sporočila takoj izbrišejo in nikamor ne vpisujejo svojih podatkov. 

Kako je možno, da bi prišlo do zlorabe varnostnih elementov kot v navedenem konkretnem primeru z uporabo NLB Pay-a?

Po navedbah NLB si brez popolnoma točnih podatkov NLB Pay-a ni mogoče uspešno naložiti. "Če bi torej stranka skrbno varovala svoje podatke in jih nikomur ne bi zaupala, do zlorabe ne bi prišlo. PIN koda bi morala biti poznana samo imetniku kartice in je v nobenem primeru stranka ne bi smela zaupati nikomur. Prav tako SMS sporočilo z enkratnim 6-mestnim geslom prejme prek SMS sporočila na svoj mobitel imetnik kartice in ne zlonamernež," so zapisali v odgovoru na naše vprašanje.

"Če pride do zlorabe, je to posledica ravnanja imetnika kartice, ki s svojimi občutljivimi podatki ni ravnal z zadostno skrbnostjo," dodajajo, zato je po mnenju banke "odgovornost v celoti na strani imetnika samega." Na vprašanje glede varnosti aplikacije NLB Pay pa zagotavljajo, da je varna. "Če imetnik posamezne kartice svojih podatkov ne razkrije nikomur, do zlorabe enostavno ne more priti. Vsa plačila, ki so potrjena prek NLB Pay-a, se smatrajo za avtentična."

Zanimalo nas je tudi, zakaj banka ni zaustavila določene transakcije, čeprav je stranka povedala, da gre za zlorabo. Kot pojasnjujejo v NLB, zahtevka za avtorizacijo, ki vsebuje vse potrebne podatke, banka ne more zavrniti. "Če posamezni zahtevek avtorizacije vsebuje vse potrebne in pravilne podatke vaše kartice, kasnejšega plačila banka ne more zavrniti (tudi, če je bila pred dejansko obremenitvijo kartica že preklicana)." Pri kartičnih transakcijah je torej najbolj pomemben čas avtorizacije. 

Vsaki stranki, ki se sreča z zlorabo, svetujejo, da se najprej obrne na svojo poslovalnico, po prejemu pritožbe pa v banki presojajo o upravičenosti posameznega odškodninskega zahtevka na podlagi dokumentacije in preverljivih dejstev.