Phishing: Fałszywy alarm o rzekomo podrobionej stronie banku

Phishing z wykorzystaniem podrobionych serwisów internetowych różnych instytucji to istna plaga ostatnich czasów. Powstały więc narzędzia, które mają ostrzegać użytkowników przed potencjalnym zagrożeniem. Może się zdarzyć, że takie narzędzie uzna prawdziwą stronę banku za stronę podrobioną i do kogo wówczas należy kierować roszczenia? Jest orzeczenie sądu w tej sprawie.

Firma Earthlink uruchomiła w kwietniu 2004 roku swój serwis pn. Scamblocker, mający m.in. za zadanie informowanie użytkowników o potencjalnych zagrożeniach związanych z podszywającymi się pod strony banków (i innych instytucji) serwisów tworzonych przez phisherów. Serwis ten (którego interfejs działa jako toolbar instalowany w przeglądarce internetowej użytkownika) analizował na bieżąco, czy odwiedzana strona skonstruowana jest za pomocą technik wykorzystywanych przez przestępców próbujących wydobyć od nieświadomych użytkowników ich poufne dane.

W kwietniu tego roku Scamblocker uznał serwis AssociatedBank.com za potencjalnie niebezpieczny i oszukańczy ("potentially dangerous and fraudulent website"). Korporacja Associated Banc-Corp do której ten serwis należy wystąpiła na drogę prawną przeciwko Earthlink w poszukiwaniu odszkodowania.

Zaczęła się prawna przepychanka: Earthlink twierdził, że nie może ponosić odpowiedzialności za błędy osoby trzeciej, a to na podstawie amerykańskiego prawa telekomunikacyjnego z 1996 roku, zgodnie z którym dostawca usługi lub użytkownik interaktywnego serwisu nie może pociągnięty do odpowiedzialności jak wydawca lub rozpowszechniający informację, w związku z rozpowszechnianiem informacji przez osobę trzecią, co w oryginale brzmi:

"[no] provider or user of an interactive computer service shall be treated as the publisher or speaker of any information provided by another information content provider", (the US Telecommunications Act of 1996, część: the Communications Decency Act).

Operator Scamblockera twierdził, że to jeden z partnerów banku zidentyfikował serwis jako potencjalnie przestępczy, a wpis do repozytorium takich serwisów dokonany był bez udziału i świadomości pracowników firmy oferujących zabezpieczające narzędzie. Wobec tego, że sygnał, oraz wpis w bazie danych Scamblockera pochodził od innego dostawcy informacji - Earthlink nie może za to odpowiadać - tak argumentował przed sądem.

Korporacja bankowa twierdziła, że firma Earthlink powinna właśnie odpowiadać za własne czyny, gdyż stworzyła własny serwis, który to serwis, pod jej kontrolą, przedstawiał pewien błędny komunikat użytkownikom. A komunikat ten naraził bank na straty.

Sąd dystryktowy dla zachodniego Wisconsin nie zgodził z argumentami bankierów. Wydał orzeczenie (PDF) z 13 września 2005, w którym zgodzł się z obroną, iż nie działała jako dostawca treści (information content provider) w rozumieniu tamtejszego prawa telekomunikacyjnego, odrzucając roszczenia Associated Banc-Corp.

Przeczytaj felietony: Zarzucają sieci w sieci, Kto da więcej elektronicznego handlu? oraz To jest napad!