W październiku ubiegłego roku Jordon Judge, przebywając w kawiarni w Vancouver, odebrał telefon od rzekomego przedstawiciela Scotiabanku. Nie zdawał sobie sprawy, iż padł ofiarą tzw. „spoofingu”, czyli fałszowania identyfikatora dzwoniącego.
Osoba po drugiej stronie poinformowała go o dwóch podejrzanych transakcjach na jego karcie Visa. Judge potwierdził, iż ich nie dokonywał, a rozmówca zapewnił, iż zostały one anulowane.
Klient otrzymał na telefon wiadomość z ostrzeżeniem, aby nikomu o tym nie opowiadał. Twierdzi, iż zastosował się do tej rady.
Ku swojemu zaskoczeniu, dwa dni później zauważył w wyciągu kredytowym dwie wysokie płatności: prawie 18 tysięcy dolarów na rzecz brytyjskiego Anglia Ruskin University i około 1800 dolarów dla osoby o nazwisku Paula S. Taylor. Jak sam przyznał, był zszokowany — transakcje były mu obce.
Rozpoczął się długotrwały proces, w którym Scotiabank konsekwentnie twierdził, iż to Judge ponosi winę za te wydatki.
Zgodnie z federalnymi przepisami, klient odpowiada maksymalnie do 50 dolarów za nieautoryzowane transakcje, chyba iż zostanie udowodnione rażące zaniedbanie. Jednak bank, zamiast przedstawić konkretne dowody, ograniczył się do oskarżeń.
Podczas rozmowy z oszustem Judge podał swoją datę urodzenia i panieńskie nazwisko matki, ale odmówił podania jednorazowego hasła przesłanego SMS-em, ponieważ wiadomość zawierała ostrzeżenie, by nikomu go nie udostępniać. Oszust rozłączył się, twierdząc, iż zablokował opłaty.
Mimo to transakcje zostały zaksięgowane. Judge, przekonany o swojej niewinności, złożył reklamację do banku, ale ten po kilku tygodniach stwierdził, iż odpowiada on za płatności. Nie podano jednak żadnych szczegółów dochodzenia ani podstaw tej decyzji.
Kolejne odwołania również nie przyniosły skutku. Scotiabank stwierdził, iż skoro kod został wysłany na telefon Judge’a, musiał on go ujawnić. Eksperci, tacy jak Geoff White z Public Interest Advocacy Centre, zwracają uwagę, iż to bank powinien dostarczyć jednoznaczne dowody zaniedbania klienta, a nie oczekiwać, iż klient udowodni swoją niewinność.
Claudiu Popa, specjalista ds. cyberbezpieczeństwa, podkreślił, iż bank nie dostarczył choćby podstawowych danych technicznych, jak logi z czasem wysłania i użycia kodu. Jego zdaniem poleganie na jednorazowych hasłach wysyłanych SMS-em jest niewystarczające — są one podatne na różne ataki, takie jak przejęcie karty SIM.
Kanadyjskie Centrum Zwalczania Oszustw również zaleca stosowanie aplikacji uwierzytelniających zamiast kodów przesyłanych wiadomościami.
Grupa konsumencka Option consommateurs apeluje do władz o zaostrzenie przepisów i większą przejrzystość działań banków w przypadku oszustw, w tym obowiązek przedstawiania dowodów zaniedbań przez instytucje finansowe.
W sprawę Judge’a zaangażowało się Go Public, które skontaktowało się z uczelnią w Wielkiej Brytanii. Dopiero wtedy uniwersytet Anglia Ruskin University przeprowadził własne dochodzenie i zwrócił pieniądze klientowi.
Scotiabank — choć początkowo odmówił komentarza i nie przedstawił żadnych dowodów — w końcu przelał Judge’owi pełną kwotę wraz z odsetkami.
Choć odzyskał środki po ośmiu miesiącach walki, wciąż nie wie, dlaczego Scotiabank przez tak długi czas obarczał go winą.
„Najbardziej martwi mnie to, iż wielu ludzi w podobnej sytuacji może nie mieć siły czy środków, by bronić się przed swoją instytucją finansową” – podkreślił Popa. – „Wielu po prostu milcząco zostaje ofiarami”.
English (US) · 
Polish (PL) · 
Russian (RU) ·