ייצוגית: דיסקונט ישקיע 3.2 מיליון שקל באבטחת מידע

הכל התחיל בטעות טכנולוגית ללא כוונה, אך עם השלכות משמעותיות. ב-2020 אירעה תקלה בארכיון המידע של אפליקציית התשלומים פייבוקס, שבבעלות בנק דיסקונט. כתוצאה מהתקלות, דלף מידע חלקי על לקוחות - פרטים שהיו אמורים להישמר הרחק מעין הציבור. מאז ההודעה על התקלה, החל מסע ארוך בפני בתי המשפט; ובשבוע שעבר נקבע סופית בבית המשפט המחוזי תל אביב כי מדובר במקרה שמגבה מעורבות של עניין ציבורי, ולא פחות חשוב - אחריות מוסדית לתקלות אבטחה. לפני כמה ימים אישר בית המשפט את הסכם הפשרה שגובש במקרה הזה, שבמסגרתו ישלם דיסקונט 3.2 מיליון שקל לטובת פעילויות הקשורות לאבטחת מידע וכ-800 אלף שקל יועברו כשכר טרחה לעורכי הדין וכגמול לתובעים הייצוגיים.

בעוד שבמוקד התקלה עמד אותו רגע קטן וחולף שבו עברו ברשת הנתונים בין שרתים, העין הציבורית, התקשורת והרגולציה לא ויתרו. ההליך המשפטי החל עם הגשת תביעה ייצוגית נגד דיסקונט, על רקע דליפה של מידע אישי. לא מדובר במידע פיננסי רגיש כמו מספרי חשבון או פרטי אשראי, אך עבור לקוחות רבים, גם שמות, מספרי טלפון ופרטים בסיסיים אחרים יכולים להוות קרקע לפגיעה בפרטיות ולשימוש לרעה. השאלה המרכזית שהתעוררה בדיון שימשה דוגמה לבחינת האחריות המוסדית במקרה של דליפת מידע לא קריטית, אך בעלת משמעות.

ההסדר נחתם לאחר משא ומתן ממושך בין הצדדים ובתמיכת שופטת המחוזי רחל ברקאי. נציגיו של הבנק הבהירו כי, “ההסדר מהווה הזדמנות חשובה להסרת ספקות סביב ההתנהלות שלנו, ולנצל תמריץ חיובי כדי לשפר מערך אבטחת המידע”. מנגד, התובעים, מטעמם של הלקוחות, ציינו כי, “אף שזכינו באופן חלקי, ההסדר מאפשר להבטיח תגובה מערכתית למקרה כזה בעתיד”.

השאלה המרכזית שנשאלה בבית המשפט נגעה למשמעות דליפת של מידע חלקי. האם יש בכך כדי להוות עילת תביעה, או שמדובר רק באירוע טכני שיש לתקנו ואינו מחייב פיצוי? בית המשפט התרשם, כך עולה מהמסמכים, כי גם דליפה חלקית עלולה ליצור סיכון ממשי לפרטיות המשתמשים ולעורר חשש לאובדן אמון הנדרש ממוסד פיננסי. בדיון הוצגו מסמכים טכניים המתעדים את הרשימה שהודלפה - בין היתר שמות, טלפונים וכתובות מייל. אף שלא נחשף מידע פיננסי או זהות חשבונות, ההבנה היתה שלאנשים רבים יש מידע רגיש שמסוגל לאתר אותם בעידן הדיגיטלי. כך למעשה, דליפה חלקית שתוארה כ"כמות קטנה אך רבת חשיבות", על פי טענת עורך הדין מטעמה של הקבוצה התובעת.

• הבנק המפתיע שמספק ריבית שנתית של 4.7% והאם זה עדיף על קרנות כספיות?

ההסדר מול הבנק כולל כמה מרכיבים. ההיבט המרכזי הוא תשלום של 3.2 מיליון שקל לקרן לשיפור אבטחת מידע. בהתאם לתנאי ההסדר, הכספים ינוצלו לשדרוג תשתיות אבטחה בבנק - גם מערכות שיוצרות סינון וזיהוי תקלות מבעוד מועד, וגם פרויקטים להעלאת מודעות בקרב צרכנים ועובדי הבנק. ההיבט השני, שכר הטרחה  800 אלף שקל - משקף את העבודה שהושקעה במסגרת התקשרות עם עורכי הדין, וכן ייצוג של התובעים לאורך השנים. ככל הנראה מדובר בסכום מקובל בתובענות ייצוגיות דומות.

בנק דיסקונט התחייב לבצע עדכוני אבטחה בתחומים שונים, בין השאר פיתוח מערכת זיהוי חריגות בזמן אמת, עדכון נהלים לשמירה על גיבויים ובדיקה דיגיטלית מלאה וכן קמפיין הדרכה לעובדים על סיכוני דליפת מידע. עבור ציבור המשתמשים, זהו שיפור שביום־יום אינו נראה לעין, אך עשוי להיות ההבדל בין פרטיות שמורה לנתונים שמפורקים. בראייה רחבה יותר, פסק הדין וההסדר מלווים תמונה חשובה: מצד אחד, דעת קהל שנוטה לראות באירועי דליפת מידע סיכון מהותי, גם כשמדובר במידע מוצהר חלקי. מצד שני, חופש פעולה לבנקים לפתח את תשתיות ההגנה מבלי להיחשף בהכרח לחבות כספית שלא פורטה מראש. ההסכמה להשקעה של 3.2 מיליון שקל היא הצהרה ברורה: "נדאג להגן טוב יותר על המשתמשים שלנו - לא רק כדי לענות על הסטנדרטים החוקיים, אלא מתוך הבנה כי זהו תנאי הכרחי להמשך פעילות אמינה בשוק".

אין ספק כי בשנים הקרובות, ככל שתחום התשלומים הדיגיטליים גדל והתבסס, גם במערכות הבנקאיות עצמן, הסיכון לדליפות מידע או פריצות טכנולוגיות יגדל. ה-3.2 מיליון שקל שיועברו לפעילויות טכנולוגיות וגם תקציב ההדרכה האנושי, עשויים להפוך לקרקע פורייה לתקנים חדשים של אבטחת מידע. ההפרטה שבפסק הדין עשויה להוות תקדים לכל המערכת הפיננסית: טעות טכנית אחת, בלי כוונה זדונית, עלולה להוביל לדרישה לא רק לשיקום טכני, אלא לתיקון תרבותי של ניהול סיכונים והגנה על פרטיות. לצד זאת, עולה השאלה: האם הסדרים כאלה, שמעניקים לבנקים "דרך בטוחה" לעורר תוכניות שיפור ולא לפגוע בשמם דרך תביעות ציבוריות, אינם פרס מוסדי על הכישלון שלהם? יש מי שטוענים שכן; אחרים יאמרו שזו הדרך היחידה לגרום לשינוי ולהזרים כסף לאבטחה. במקרה הזה, קבע בית המשפט כי מדובר "בענייני ציבור, שדורשים התייחסות רצינית", ולכן הוא אישר את ההסדר.

• מה הקשר בין איכוני הסלולרי של הבן לצוואת האם?
• חצי מיליון שקל מאמא? לא רכוש משותף
• תוכן שיווקי "הקרנות הפאסיביות מהוות 60% מהענף"

בסיכומו של דבר, עבור הלקוחות אין חלילה שמחה על האירוע עצמו. אך עבור כל משתמש בפייבוקס, מדובר בתוכנית בטיחות חדשה שתחזיר אמון לקהל. עבור הבנק. זו הוצאה כספית, אבל גם ביטול בסיכון להליכים ארוכים או לחקיקה נוספת. ועבור הציבור מדובר בעוד נקודת ציון בהתפתחות מנהיגות חוקית דיגיטלית: אפילו כשמדובר בתקלה יחידה, יש מחיר - ויש מי שמשלם אותו כדי למנוע שיבושים עם משמעות רחבה יותר.

האם בית המשפט נדרש לקבוע אם אכן נגרם נזק אישי ללקוחות?

לא. כפי שקורה ברבות מהתביעות הייצוגיות, בית המשפט לא בחן כל מקרה פרטני של נזק. ההסדר מבוסס על קונספציה של פוטנציאל לנזק, והכרה בכך שהדליפה כשלעצמה פוגעת בפרטיות. נקבע כי גם אם לא כל לקוח נפגע בפועל, עצם כשל האבטחה מצדיק תגובה מערכתית.

האם הפיצוי ישולם ללקוחות שנפגעו?

לא. במסגרת ההסכם, לא נקבע פיצוי אישי ללקוחות. הכספים יועברו לקרן ייעודית לטובת פרויקטים הקשורים לאבטחת מידע - מה שמכונה לעתים "סעד ציבורי". זהו מהלך מקובל במקרים שבהם לא ניתן לאתר באופן פרטני את הנפגעים או להוכיח נזק ממוני ישיר.

כיצד נקבע הסכום של 3.2 מיליון שקל?

הצדדים לא חשפו נוסחה מדויקת לקביעת הסכום, אך מהדיונים עולה כי מדובר בהערכה של גובה ההשקעה הנדרשת לשיפור מערך האבטחה, בצירוף שיקולים של הרתעה. ככל הנראה, הסכום שיקף איזון בין עמדת הבנק - שלא הודה באחריות - לבין דרישות התובעים לפעולה מהותית.

האם ניתן ללמוד מכך על תקני האבטחה של אפליקציות תשלומים בישראל?

באופן עקיף כן. אף שלא ניתנה קביעה חיובית על ליקויים בתקן האבטחה של פייבוקס, עצם העובדה שהבנק הסכים להשקיע מיליונים בשיפור התשתית מעידה שהיו פערים. ההסדר גם שולח מסר לשוק כולו, שלפיו אפליקציות תשלום אינן פטורות מביקורת רק בגלל שאין בהן פרטי אשראי.

ההסדר אינו תקדים מחייב במובן המשפטי הצר, אך הוא עשוי לשמש מקור להתייחסות בהליכים עתידיים שקשורים לדליפות מידע שאינן כוללות פרטי חשבון. המשמעות היא שבתי משפט אחרים יוכלו להסתמך על ההיגיון שבפסק הדין, שלפיו אפילו פגיעות מוגבלות בפרטיות דורשות טיפול נורמטיבי ותקציבי.

מה יקרה אם יתגלו דליפות נוספות בעתיד?

בית המשפט לא קבע סנקציות עתידיות, אך הדגיש כי תקלות חוזרות יובילו לתגובה שיפוטית חריפה יותר. באחד הסעיפים של ההסדר שאושר נכתב כי, "ההסדר הנוכחי אינו מהווה מחילה על ליקויים עתידיים". המשמעות היא שאם תקרה תקלה דומה שוב, היא כבר לא תיחשב טעות ראשונה אלא חלק מדפוס.

האם הוסקו לקחים בנוגע לשקיפות כלפי הציבור בעת אירועים כאלה?

זהו נושא שלא טופל ישירות בפסק הדין, אך עולה מהרקע העובדתי שלפיו נדרש פרק זמן מרגע הדליפה ועד שהבנק פרסם מידע רשמי עליה. ייתכן כי בעקבות ההסדר, יתבצע ריענון נהלים פנימיים בנוגע לחובת הדיווח המיידי והפרואקטיבי לציבור המשתמשים.

האם ניתן לערער על ההסדר?

לא בקלות. עם אישור ההסדר, ההליך מסתיים. רק במקרים חריגים ניתן לערער על פסקי דין המאשרים פשרות בתובענות ייצוגיות, לרוב כשנחשפת רשלנות קיצונית בהליך או חוסר ייצוג של אינטרס ציבורי. במקרה הזה, בית המשפט ציין כי ההסדר עומד בכל הקריטריונים הנדרשים.

במקרה אחר, הכריע בית המשפט המחוזי בתל אביב בתחילת חודש שעבר בתביעתה הייצוגית של אם נגד סנאפצ'ט, בשאלה האם התביעה תוכל להתברר בישראל, חרף ניסיונה של Snap Inc., הבעלים של סנאפצ'ט, להעביר את ההליך לארה"ב. האשה טענה בתביעתה כי סנאפצ'ט אוספת נתונים ביומטריים ממשתמשים - בייחוד קטינים - ללא כל הסכמה מודעת, ובוודאי לא כזו שמתחשבת בדרישות החוק הישראלי. לדבריה, בזמן השימוש באפקטים הגרפיים של האפליקציה, נשאב מידע רגיש מהמשתמש, כמו תווי פנים, לצורך עיבוד בזמן אמת, וזאת מבלי שהמשתמשים מודעים להיקף המידע או למטרות השימוש בו. בבקשה לאישור התביעה כייצוגית, נטען כי מדובר בהפרה בוטה של חוק הגנת הפרטיות, וכי על הנתבעות - Snap Inc. ו-Snap Group Limited הבריטית - לשאת באחריות על פעילותן בישראל. מיד עם הגשת התביעה, ניסו הנתבעות למנוע את בירורה בישראל. טענתן המרכזית היתה כי בתנאי השימוש של סנאפצ'ט קיימת תניית שיפוט ייחודית, שקיימת אצל ענקיות טכנולוגיה רבות מסוגה, שמחייבת דיון בבתי המשפט במדינת קליפורניה בלבד. התנאי הזה, כך טענו נציגי החברות, מוסכם על כל משתמש בעת פתיחת החשבון - גם אם מדובר בילדים. עוד טענו החברות כי Snap Inc. כלל אינה פועלת מחוץ לארה"ב, ולכן היא לא צד רלוונטי לתביעה. במקביל, הם ניסו להציג את סנאפ גרופ הבריטית כישות מנהלת שגרתית בלבד, ללא קשר ישיר לנתונים הביומטריים או לאחסונם.