Generalny Inspektor Informacji Finansowej uważa, że banki powinny stworzyć nowe mechanizmy do przeciwdziałania oszustwom polegającym na wprowadzaniu klientów w błąd co do tożsamości odbiorców ich przelewów. Dziś większość banków nawet nie sprawdza czy nazwa odbiorcy przelewu wpisana przez jego nadawcę zgadza się z rzeczywistą nazwą właściciela rachunku „docelowego”. Efekt? Sytuacje takie jak przelanie przez LOT raty leasingowej za samoloty – 2,6 mln zł – na konto przestępców. Od lipca być może Generalny Inspektor Informacji Finansowej pomoże bankom lepiej chronić klientów. Tylko dlaczego banki nie chcą same lepiej ich chronić?
Oszustwa tzw. przelewowe, czyli kradzież pieniędzy poprzez nakłonienie klienta do przelania pieniędzy na konto przestępców, to problem, z którym świat nie jest sobie w stanie poradzić od lat. Skala tych oszustw ciągle wzrasta. FBI podaje, że wartość strat podwaja się z każdym rokiem i że ofiary tracą w wyniku tych przestępstw więcej pieniędzy, niż w wyniku jakichkolwiek innych przestępstw cybernetycznych.
- Pytają, skąd mamy pieniądze, co zamierzamy za nie kupić, żądają potwierdzania danych lub aktualizacji dokumentów. Skąd rosnąca ciekawość banków? [POLECA ING]
- Niemiecki bank centralny przystępuje do obrony gotówki. I rysuje trzy scenariusze zmian w świecie płatności. Czy to może być dobry wzór dla nas? [POLECA EURONET]
- Dobry rok dla inwestujących w obligacje? Rozmowa z zarządzającym funduszami [zaprasza UNIQA TFI]
Sprawę pogarsza przerzucanie odpowiedzialności za przeciwdziałanie takim oszustwom na nieroztropnych klientów banków, którzy np. zlecają przelewy po przeczytaniu spreparowanej przez przestępców wiadomości e-mail. Banki umywają ręce: „numer konta się zgadzał, więc o co chodzi?”. A że nazwa beneficjenta e-maila, wpisana przez ofiarę w formatce przelewu, nie zgadza się z nazwą faktycznego posiadacza rachunku – to już nikogo (a przede wszystkim bankowców) nie obchodzi.
Nowy numer rachunku na fakturze i… pieniądze lecą do złodziei. A bank nawet nie sprawdza czy wszystkie dane na przelewie się zgadzają
Ofiarami tego procederu – i obojętnej postawy banków – padają nawet najpotężniejsze firmy. Dosłownie kilka dni temu „Wydarzenia” Polsatu informowały, że 2,6 mln zł raty leasingowej za nowe samoloty LOT-u trafiło na konto oszustów. Wszystko przez podrobioną fakturę, ze zmienionym numerem konta. Przelane pieniądze najpierw trafiły do banku na Cyprze, później błyskawicznie zostały przetransferowane przez oszustów do jednego z państw Azji.
Według informacji, do których dotarły „Wydarzenia” do oszustwa doszło w listopadzie ubiegłego roku. Jedna z pracownic LOT dostała wysłaną przez internet fakturę, na której były dane producenta samolotów, które latają w barwach polskiego przewoźnika.
Okazało się jednak, że dokument wysłali podszywający się pod producenta złodzieje. Jak ustaliły „Wydarzenia”, ich łupem padło 700 tys. dolarów, czyli – po obecnym kursie – ponad 2,6 mln zł. Ze skradzionych pieniędzy udało się odzyskać jedynie 200.000 dolarów, czyli nieco ponad 750.000 zł.
Na „Subiektywnie o finansach” opisywaliśmy z kolei przypadek Brytyjczyka, który w czerwcu 2015 r. postanowił kupić nieruchomość na Karaibach, gdzie chciał spędzić jesień swojego życia. W momencie finalizowania tej transakcji, przestępcy przejęli konto e-mail pełnomocnika ofiary i wysłali z jego adresu wskazówki dotyczące płatności. Kwotę 1,3 miliona dolarów (prawie 5 milionów złotych) Brytyjczyk miał przelać na rachunek bankowy w… Polsce. Okazało się, że chodzi o wyłudzenie pieniędzy.
Przy zakupach kartą jest chargeback. Przy przelewach – odpowiedzialność
W przypadku zakupów, za które płacimy kartami debetowymi lub kredytowym, mamy mechanizmy, które dają szansę na odzyskanie pieniędzy w przypadku oszustwa (np. chargeback). Użytkownicy kart są również zabezpieczeni przed nieautoryzowanymi płatnościami — dla kart zbliżeniowych odpowiedzialność klienta jest ograniczona do równowartości 50 euro.
Przy przelewach, które nie dotarły do właściwego – opisanego w zleceniu – odbiorcy zazwyczaj jest inaczej. Ostatnio poprawiła się sytuacja nadawcy przelewu, gdy po prostu się pomyli i przeleje pieniądze nie tam, gdzie trzeba. Wtedy, dzięki niedawnej nowelizacji ustawy o usługach płatniczych, może za pośrednictwem naszego banku zwrócić się do banku odbiorcy, żeby poprosił swojego klienta o zwrot kasy.
A jeżeli omyłkowo obdarowany nie zdecyduje się na dobrowolny zwrot środków, bank przekaże nam dane posiadacza rachunku, żebyśmy mogli go pozwać do sądu o przywłaszczenie naszych pieniędzy. Gorzej jeśli to nie jest pomyłka, której beneficjentem jest przypadkowy obywatel, tylko przelewamy pieniądze oszustowi nie wiedząc, że zostaliśmy wprowadzeni w błąd.
Opisywaliśmy już kilka razy wirusy, które potrafią podmienić numer rachunku, gdy wpisujemy go do formatki przelewu na zasadzie „kopiuj-wklej”. Jeśli ofiara nie przeczyta treści SMS-a z kodem autoryzacyjnym z banku (jest tam zwykle podany fragment numeru rachunku, na który ma iść przelew) i autoryzuje płatność – kaplica.
Ale w przypadku najlepiej przygotowanych oszustw, których stawką są czasem miliony złotych, przestępcy stosując sztuczki socjotechniczne, podszywając się pod prawowitego odbiorcę pieniędzy i nakłaniając ofiarę do przesłania kolejnej transzy pieniędzy w ramach długoterminowej współpracy na nowy rachunek bankowy.
Czytaj też: To się w głowie nie mieści jak łatwo jest podszyć się pod polski bank w e-mailu. Uważajcie!
KNF do banków: „Nie sprawdzacie zgodności danych, to będziecie płacić odszkodowania”. Banki do KNF: „Nie będziemy”
Jak to się dzieje, że banki księgują te oszukańcze przelewy, chociaż zazwyczaj nazwa zamierzonego odbiorcy pieniędzy (wpisywana w formatce przelewu przez ofiarę) znacząco różni się od nazwy posiadacza rachunku? Najprostsza odpowiedź brzmi: bo banki nie muszą weryfikować nazwy odbiorcy przelewu. Nie mają takiego obowiązku!
Ale – surprise! – mają obowiązek wykrywania prób np. prania brudnych pieniędzy. A jak wywiązywać się z tego obowiązku zamykając oczy i nie wiedząc skąd dokąd przelewają pieniądze? Jest w Polsce Generalny Inspektor Informacji Finansowej, czyli urząd czuwający nad tym, aby w Polsce nie prano pieniędzy. I co on na tę bankową beztroskę?
GIIF przyznaje, że w związku z sygnałami dotyczącymi oszustw związanych z „trefnymi” przelewami przekazał Komisji Nadzoru Finansowego i prokuraturze informacje o wykorzystaniu polskich rachunków bankowych do popełniania oszustw tzw. przelewowych. W konsekwencji KNF zwróciła uwagę bankom na fakt wykorzystania rachunków prowadzonych w bankach na terytorium Polski do oszustw. Business e-mail compromise (tzw. BEC).
„Urząd Komisji Nadzoru Finansowego oczekuje, że powyższe zagadnienie (…) stanie się przedmiotem wnikliwej analizy po stronie Banku, ze szczególnym uwzględnieniem dotychczas zanotowanego poziomu podejrzeń oszustw z wykorzystaniem mechanizmu BEC”
– pisała KNF do banków. KNF poinformował banki, że ich zarządy powinny rozważyć wprowadzenie mechanizmów kontrolnych mających na celu zminimalizowanie wykorzystania prowadzonej działalności do przeprowadzania oszustw typu BEC, np. weryfikacji danych beneficjenta przelewu z danymi właściciela rachunku.
Nie było to pierwsze tego typu pismo nadzoru do banków. W czerwcu 2012 r. do wszystkich banków w Polsce zostało rozesłane pismo Wojciecha Kwaśniaka — ówczesnego zastępcy przewodniczącego KNF – odnośnie weryfikacji przelewów bankowych.
Kwaśniak wyjaśnił bankom, że aktualnie obowiązujące regulacje prawne „nie zawierają wyrażonego expressis verbis obowiązku weryfikacyjnego w przypadku niezgodności danych dotyczących odpowiednio rachunku bankowego dłużnika/wierzyciela z nazwą tegoż dłużnika/wierzyciela”. Jednak – zdaniem Kwaśniaka – nie powinna budzić wątpliwości „oczywistość takiej weryfikacji z uwagi na istniejące ryzyko jurydyczne ponoszenia odpowiedzialności przez bank w przypadku dokonania zlecenia płatniczego na cudzy rachunek„.
O co chodzi z tą „jurydycznością”? Kwaśniak w mądrych słowach zamierzał powiedzieć bankowcom, iż nie można wykluczyć, że brak dołożenia należytej staranności w identyfikacji rachunku bankowego odbiorcy przelewu może spowodować zarzut nienależytego wykonania umowy i konieczność płacenia przez banki odszkodowań.
Czy sektor bankowy przejął się pismami nadzoru? Raczej nie. W odpowiedzi na pismo nadzoru z 2017 r. Związek Banków Polskich przesłał do KNF swoje stanowisko. Jerzy Bańka, wiceprezes ZBP, wyjaśnił nadzorowi, że boleśnie się myli co do domniemania, że ktoś mógłby żądać od banku odszkodowań za przelewanie pieniędzy nie-wiadomo-gdzie.
„Zgodnie z art. 143 ust. 2 ustawy o usługach płatniczych bank nie ponosi odpowiedzialności, jeżeli numer rachunku bankowego wskazany przez zleceniodawcę jest nieprawidłowy, a zgodnie z art. 143 ust. 1 ustawy, przelew uznaje się za wykonany, jeżeli został zaksięgowany zgodnie z numerem rachunku, bez względu na dostarczone przez użytkownika informacje dodatkowe„
– wyliczył wiceprezes Bańka i zwrócił się do szefa KNF o uwzględnienie tej wykładki „w bieżącej działalności nadzorczej UKNF, tak aby zapewniona została zgodność praktyki bankowej z obowiązującym porządkiem prawnym”
Banki nic nie muszą? A co z przeciwdziałaniem „pralniom” pieniędzy?
Z pisma, które dostałem od Generalnego Inspektora Informacji Finansowej w odpowiedzi na pytanie jakie działania powinny zostać podjęte w celu ograniczenia wykorzystania polskich rachunków bankowych do oszustw przelewowych, wynika że:
„Założenia i filozofia IV dyrektywy AML [czyli o przeciwdziałaniu praniu pieniędzy – to mój dopisek] zakładają, że instytucja finansowa powinna tak zorganizować wewnętrzne procedury, aby miały one na celu optymalne i skuteczne zarazem możliwości przeciwdziałania, tym samym nie dopuszczenia do wykorzystywania jej w przestępczym celu„
Czyli banki jednak powinny stworzyć wewnętrzne mechanizmy, które uwzględniają przeciwdziałanie przestępstwom typu BEC. A trudno sobie wyobrazić jakikolwiek tego typu mechanizm kontrolny bez sprawdzania czy pieniądze zlecone przez klienta płyną nie tylko na wskazany przez niego rachunek, ale też czy nazwa posiadacze tego rachunku zgadza się z nazwą odbiorcy wskazaną przez nadawcę przelewu.
Na pytanie, czy GIIF dostrzega związek przyczynowy pomiędzy brakiem weryfikacji zgodności danych beneficjenta przelewu z danymi właściciela rachunku, a wykorzystaniem rachunków do popełniania oszustw typu BEC, usłyszałam, że zauważono niebezpieczne powiązania pomiędzy nieweryfikowaniem zgodności danych beneficjenta i właściciela rachunku, a tego typu przestępczością.
Krótko pisząc: przestępcy nie są głupi i zanim zrobią „skok” typu BEC na dużą kasę sprawdzają przez który bank najbezpieczniej „przepuścić” pieniądze, by jakiś nadgorliwy spec od uczciwej bankowości nie położył na nim łapy z tak duperelnego powodu, że coś mu się nie zgadza z formatką przelewu.
Dodatkowa weryfikacja każdego przelewu powyżej 1000 euro? Europejskie banki mówią: „no!”
GIIF zwracał też bankom uwagę na to, że od połowy 2017 r. obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady w sprawie informacji towarzyszących transferom środków pieniężnych. Artykuł 7.: „Wykrywanie brakujących informacji o płatniku lub odbiorcy”, zawiera ustęp 3., który brzmi następująco:
„W przypadku transferu środków pieniężnych, których kwota przekracza 1.000 EUR (…) przed uznaniem rachunku płatniczego odbiorcy lub udostępnieniem odbiorcy środków pieniężnych, dostawca usług płatniczych odbiorcy weryfikuje prawdziwość informacji o odbiorcy„
Poprosiłem o rozstrzygnięcie tego sporu między bamkami i organami nadzoru finansowego ekspertkę specjalizującą się w wykrywaniu luk w bezpieczeństwie informatycznym, kryjącą się pod pseudonimem Moneypenny (w tej „branży” – tak samo, jak w służbach specjalnych – podobno bycie znaną twarzą nie pomaga, tutaj jest jej profil na Linkedin).
MoneyPenny przekazała mi trochę papierów, z których wynika, że europejskie urzędy nadzoru miały wydać wytyczne co do stosowania tego przepisu. Początkowo, projekt wytycznych zawierał obowiązek weryfikowania nazwy odbiorcy dla przekazów powyżej 1.000 euro, jeżeli przelew przychodzi z Unii Europejskiej, a dla przelewów przychodzących spoza Unii Europejskiej — wszystkich, niezależnie od kwoty przelewu.
Ale pomysł europejskich urzędów nadzoru nie spodobał się instytucjom finansowym. Polskie banki nie przesłały swojego stanowiska, ale np. organizacja Payments UK wraz z British Bankers Association — to brytyjski odpowiednik Związku Banków Polskich – napisały, że takie wytyczne miałyby „ogromny negatywny wpływ na automatyczne procesowanie przelewów, co z kolei potencjalnie mogłyby mieć negatywny wpływ na sprawne funkcjonowanie rynku finansowego i spowodować znaczne zakłócenia dla klientów”. MoneyPenny podsumowuje:
„Czyli miało być dobrze, a wyszło jak zwykle — pomysł europejskich urzędów nadzoru nie przeszedł, w wytycznych na razie nie ma wyrażonego wprost obowiązku sprawdzania nazw beneficjentów przelewów. Ale jest nieco bardziej ogólna klauzula o konieczności weryfikowania prawdziwości informacji o odbiorcy”.
GIIF pomoże polskim bankom chronić klientów przed oszustami?
Od lipca br., banki w Polsce będą raportowały do Generalnego Inspektora Informacji Finansowej wszystkie transakcje powyżej 15.000 euro na nowych formularzach. Dla wszystkich „przelewów przychodzących z zagranicy”, będą musiały podać dwie nazwy: nazwę z przelewu (zamierzonego odbiorcy) oraz nazwę z systemu banku (posiadacza rachunku).
Skoro banki nie sprawdzają nazw na przelewach, może zrobi to GIIF, który tym samym będzie miał wszystkie dane, by wykrywać ewentualne niezgodności w nazwach beneficjentów przelewów.
Jest to szczególnie ważne w przypadku oszustw BEC, ponieważ gdyby bank w odpowiednim momencie księgowania przelewu przychodzącego wykrył niezgodność nazw na przelewach, mógłby zablokować taki przelew i pieniądze nie trafiłyby na konto oszustów. A jak było do tej pory? MoneyPenny przygląda się temu tematowi od kilku lat i ma następujące wieści:
„Kiedy GIIF przeanalizował dane z banków o przelewach przychodzących z zagranicy, to wyszło, że banki nie potrafiły uzupełnić pól formularza nawet w takich miejscach jak to, które odpowiada na pytanie z jakiego rachunku przychodziły pieniądze, na jaki rachunek były księgowane i dla kogo. Niektóre z banków w ogóle nie raportowały transakcji przychodzących z zagranicy, a inne chociaż raportowały — to z błędami”
Czy w końcu ktoś w Polsce zacznie sprawdzać nazwy na przelewach? To okaże się w lipcu. Na razie banki twierdzą, że takie sprawdzanie to zaprzeczenie innowacyjności i mogłoby sparaliżować cały polski system płatniczy — bo przelewów jest za dużo, bo klienci czasem się mylą, bo wpisują w formatkach przelewów bzdury (czyli sporo przelewów trzeba by blokować, powodując frustrację klientów), bo po prostu nie da się tego sprawdzać w czasie rzeczywistym i przelewy musiałyby „latać” dużo wolniej.
Jest też taki argument, że przestępstw polegających na wyłudzaniu pieniędzy poprzez nakłonienie klienta do przelania pieniędzy na rachunek złodzieja, jest na tyle mało, że nie opłaca się nakładać całej procedury kontrolnej spowalniającej przelewanie pieniędzy. Po prostu koszty i niewygody będą większe, niż to warte. Poprosiłem już o dane, żeby ten argument zweryfikować.
zdjęcie tytułowe: Enhialus/Pixabay
