Experi-Metal v. Comerica
| Experi-Metal v. Comerica Bank | |
|---|---|
| Domstol | USA:s distriktsdomstol för Eastern District of Michigan |
| Fullständigt ärendenamn | Experi-Metal, Inc., v. Comerica Bank |
| Bestämt | 13 juni 2011 |
| Citat(er) | Dockningsnummer: 2:2009cv14890 |
| Fallutlåtanden | |
| "God tro" när det gäller att acceptera beställningar för banköverföringar online kräver att en bank uppfyller rimliga kommersiella standarder för rättvis hantering. Underlåtenhet att uppfylla dessa standarder kan göra transaktionerna ogiltiga. | |
| Domstolsmedlemskap | |
| Domare sitter | Hon. Patrick J. Duggan |
| Nyckelord | |
| Onlinebanksattacker , nätfiske och internetbanksbedrägerier , banköverföringsbedrägerier , Zeus Trojan | |
Experi-Metal, Inc., v. Comerica Bank (dokumentnummer: 2:2009cv14890) är ett beslut av United States District Court för Eastern District of Michigan i ett fall av en nätfiskeattack som resulterade i obehöriga banköverföringar på 1,9 USD miljoner via Experi-Metals nätbankskonton. Domstolen höll Comerica ansvarigt för förluster på 560 000 USD som inte kunde återvinnas från nätfiskeattacken, på grund av att banken inte hade handlat i god tro när den misslyckades med att erkänna överföringarna som bedrägliga.
Bakgrund
Experi-Metal, ett Macomb, Michigan-baserat företag, hade konton hos Comerica, med huvudkontor i Dallas, Texas. Experi-Metal hade registrerat sig för en NetVision Wire Transfer-tjänst som gör det möjligt för företaget att skicka och ta emot betalningar och inkommande överföringar via Internet.
Nätfiskeattack
Ungefär klockan 7:35 den 22 januari 2009 öppnade en Experi-Metal-anställd ett nätfiske-e-postmeddelande som innehöll en länk till en webbsida som utgavs vara ett "Comerica Business Connect-kundformulär". Efter e-postmeddelandets länk fortsatte den anställde sedan med att uppge sin säkerhetstoken- identifikation, WebID och inloggningsinformation till en falsk webbplats. Som ett resultat fick de bedrägliga tredje parterna tillgång till Experi-Metals konton hos Comerica.
Under en period på sex och en halv timme mellan 7:30 och 14:02 gjordes 93 bedrägliga överföringar från Experi-Metals konton på totalt 1 901 269,00 USD. Majoriteten av överföringarna gjordes till bankkonton i Ryssland, Estland och Kina.
Mellan 07:40 och 13:59 genomfördes överföringar på totalt 5,6 miljoner USD mellan konton med hjälp av informationen från nätfiskeattacken. På ett konto resulterade överföringarna i en övertrassering på 5 miljoner USD.
Klockan 11:30 uppmärksammades Comerica på det potentiella bedrägeriet genom ett telefonsamtal från en JP Morgan Chase- anställd som hade märkt misstänkta banköverföringar skickade från ett Experi-Metal-konto till en bank i Moskva, Ryssland. Någon gång mellan 11:47 och 11:59 larmade Comerica Experi-Metal om överföringarna och bekräftade att den legitima kontoinnehavaren inte hade gjort några transaktioner under dagen. Vid 12:25 pm, satte Comerica tag i Experi-Metals onlinebanktransaktioner och började "döda" dess användarsession i ett försök att med våld ta bort personerna som gjorde överföringarna från Comericas onlinetjänst.
Comerica lyckades få tillbaka en del av överföringarna. Totalt gick 561 399 USD förlorade i de bedrägliga överföringarna som härrörde från nätfiskeprogrammet.
Yttrande från US District Court i Michigan
Domstolen övervägde två huvudfrågor i sitt beslut. Den första frågan gällde om den Experi-Metal-anställd vars konfidentiella information användes för att initiera de bedrägliga överföringarna hade tillstånd att initiera överföringar för företagets räkning, och i sin tur om Comerica följde sina egna säkerhetsrutiner när de accepterade beställningarna. Den andra frågan var om Comerica agerade i "god tro" när de accepterade beställningarna för Experi-Metals räkning.
Användarinformation som initierar bedrägliga överföringar
Det fanns en fråga om huruvida den Experi-Metal-anställde som blev offer för nätfiskeincidenten var behörig att göra banköverföringar för företagets räkning. Frågan togs upp i samband med huruvida Comerica följde sina säkerhetsprocedurer när de accepterade banköverföringarna som gjordes med hjälp av användarinformationen för hans konto den 22 januari 2009.
Efter att ha övervägt flera kontextuella faktorer drog domstolen slutsatsen att den anställde som hade tillhandahållit hans kontoanvändarinformation var behörig att initiera överföringar med Comerica på uppdrag av Experi-Metal. Som ett resultat visade det sig att Comerica följde sina egna säkerhetsprotokoll när de accepterade orderna.
God tro
En andra fråga i fallet gällde frågan om "god tro" från Comericas sida när det gällde att acceptera banköverföringar som initierades av de bedrägliga tredje parterna.
Enligt lag i Michigan är banköverföringsorder effektiva som beställningar från kunden även om de faktiskt inte beställs av kunden, förutsatt att vissa kriterier är uppfyllda. Frågan i detta fall var om beställningarna accepterades i god tro och i enlighet med kundens säkerhetsrutiner, skriftliga avtal eller instruktioner. Om de beställningar som gjorts till Comerica på Experi-Metals konto inte mottogs i "god tro" skulle de inte vara effektiva.
Även om domstolen fann att Comericas säkerhetsrutiner var kommersiellt rimliga, fann den att banken inte kunde bevisa att den hade accepterat order för de bedrägliga överföringarna i god tro. Enligt Michigans lag kräver god tro "ärlighet i själva verket och iakttagande av rimliga kommersiella standarder för rättvis hantering."
Eftersom det inte fanns några antydningar om att Comericas anställda agerade oärligt när de accepterade de bedrägliga orderna, övergick domstolen till elementet i god trostestet som handlade om rimliga kommersiella standarder för rättvis hantering. Här fann domstolen att Comerica inte klarade bevisbördan för att dess anställda uppfyllde rimliga kommersiella standarder för rättvis hantering i samband med de bedrägliga överföringarna, och i synnerhet med avseende på de ovanliga övertrasseringarna till Experi-Metal-kontona. På den sista punkten hänvisade domstolen specifikt till övertrasseringarna på 5 miljoner USD på ett Experi-Metal-konto som vanligtvis hade ett saldo på 0 USD.
Resultat
I första hand på grundval av att Experi-Metals onlineöverföringsbeställningar inte mottogs i god tro, beordrade domstolen Comerica att kompensera Experi-Metal för sina förluster. Comerica ska ha nått en förlikning utanför domstol med Experi-Metal kort efter domstolens beslut.
Betydelse
Experi-Metal v. Comerica representerar ett relativt tidigt beslut inom ett framväxande område av rättspraxis som rör bedrägerier med onlinebanker i USA.
Liknande fall av bedrägeri med nätbanker i USA
I Patco Construction v. People's United Bank ansåg en amerikansk distriktsdomstol i Maine att den svarande banken inte var ansvarig för 588 000 USD i bedrägliga överföringar som antogs vara resultatet av attacker från Zeus keylogger skadlig programvara.
Patco var en nätbankskund och kontoinnehavare på People's Bank vid tidpunkten för skadliga attacker. Mellan 7 maj och 16 maj 2009 gjorde okänd tredje part flera onlineöverföringar på totalt 588 851 USD från Patcos konto. Till slut kunde banken blockera 243 406 USD av de bedrägliga överföringarna.
Patco hävdade att dess förluster var relaterade till People's Banks bristfälliga onlinesäkerhet. Domstolen fann att People's Bank visserligen led av vissa säkerhetsbrister, men att dess säkerhetsrutiner på det hela taget var kommersiellt rimliga. Följaktligen fann den att banken inte var ansvarig för förlusterna till följd av de bedrägliga överföringarna. Även om fakta i detta mål skiljer sig från dem i Experi-Metal v. Comerica, kan det vara en utmaning att förena kontrasten mellan de två besluten. [ enligt vem? ] I juli 2012 upphävdes dock detta beslut av en kammarrätt. Parterna förlikade sig senare utanför domstol, där People's United Bank betalade resten av det som stals från Patcos konto, samt 45 000 dollar i ränta.
"I ett landmärkesbeslut ansåg 1st Circuit Court of Appeals i "Patco Construction Company, Inc. v. People's United Bank", nr 11-2031 (1st Circuit 3 juli 2012) att People's United Bank (d/b) /a Ocean Bank) var skyldig att ersätta sin kund, PATCO Construction Co., för cirka 580 000 USD som hade stulits från PATCO:s bankkonto. Därigenom ändrade domstolen beslutet från den amerikanska distriktsdomstolen för District of Maine som hade meddelade summarisk dom till bankens fördel."
I Village View v. Professional Business Bank lämnades ett liknande anspråk in i Superior Court of California i juni 2011. Village View stämde för förluster som uppstått till följd av obehöriga och bedrägliga banköverföringar från dess konto hos Professional Business Bank den 16 mars– 17, 2010, totalt 195 874 USD.
Attackerna började med en banktrojan förklädd som ett UPS-fraktkvitto, som accepterades och öppnades i Village View-nätverket av intet ont anande anställda. Filen visade sig senare innehålla skadlig programvara som gjorde flera saker, inklusive inaktivering av e-postmeddelanden som normalt skickas av banken varje gång en överföring gjordes från Village Views konto. De bedrägliga överföringarna gjordes till internationella konton, inklusive banker i Lettland.
Village View Escrow hävdar i sitt påstående att de otillåtna överföringarna var ett resultat av Professional Business Banks otillräckliga säkerhetssystem. Närmare bestämt hävdar Village View att Professional Business Bank inte har tillhandahållit "kommersiellt rimliga säkerhetsprocedurer" i enlighet med Kaliforniens lagar och en medföljande underlåtenhet att acceptera order om banköverföringar i "god tro".
Nätfiske och bankbedrägerier i USA
Banköverföringsbedrägerier och nätfiske är de undertyper av bankbedrägerier som används mot Experi-Metal.
Bland amerikanska bankinstitutioner, i december 2011, drabbades amerikanska nationella banker oftast av nätfiske med 85 %, följt av regionala amerikanska banker med 9 % och amerikanska kreditföreningar med 6 %. När det gäller den totala volymen av nätfiske över hela världen under samma period, var Storbritannien ett mål 50 % av tiden, följt av USA med 28 %, Brasilien med 5 %, Sydafrika med 4 % och Kanada med 2 %.
Skadlig programvara som Zeus Trojan har använts flitigt av brottslingar för att stjäla personlig bankinformation som sedan kan användas för att göra bedrägliga överföringar från offrens bankkonton. I vissa fall har gärningsmännen till attackerna fångats och åtalats, både inom USA och i andra länder.
Utmaning att lagföra bedrägerier på internetbanker
Även om typerna av aktiviteter i Experi-Metal v. Comerica kan falla under Computer Fraud and Abuse Act som ett brott, kvarstår utmaningarna med att fastställa jurisdiktion i en onlinemiljö, identifiera förövare och samla bevis som potentiellt betydande hinder i alla försök att verkställa sådan lagstiftning.