Banki zaczynają troszczyć się o pieniądze swoich klientów i zapobiegać włamaniom na ich konta. Tylko czy przy okazji nie przesadzają? Zgłosił się do nas pan Jacek, który nagle utracił możliwość zalogowania się do swojego banku. Przyczyna? Blokada konta bankowego. Prawdopodobnie powodem było logowanie przez VPN. Rozwiązanie? Tylko wizyta w oddziale banku. Sztuczna inteligencja też się myli? A może to błąd pracownika? A może bank dobrze zrobił?
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
W dzisiejszych czasach zdalny dostęp do swojego konta jest na wagę złota. Tradycyjne załatwianie spraw w oddziale banku odchodzi powoli do historii. Ani banki nas tam nie chcą (pobierają dodatkowe opłaty za niektóre transakcje w oddziałach), ani dla nas nie jest to wygodne. W końcu niemal wszystko załatwimy już sprzed ekranu komputera, a nawet telefonu komórkowego.
Ja sam mam konto w banku, u którego w placówce nigdy nie byłem. Wniosek o konto złożyłem przez internet, umowę podpisałem elektronicznie (lub przez kuriera), a transakcje zlecam sam. I – co ciekawe – jest to konto założone dawno temu, a nie podczas pandemicznych cyfryzacji niektórych banków.
Kto odpowiada za nieautoryzowane transakcje?
Nie tak dawno Maciek Samcik pisał, że banki starają się przerzucać całą odpowiedzialność za kradzież środków z konta na klientów. W końcu banki tylko realizują dyspozycje, a to że ktoś poznał dane dostępowe i autoryzacyjne klientów, to nie jest wina banków.
Nie do końca tak powinno być, bo – zgodnie z Ustawą o usługach płatniczych – to bank odpowiada za nieautoryzowane transakcje i ma obowiązek niezwłocznie (i to w ciągu 1 dnia roboczego!) zwrócić ukradzione pieniądze. Niestety w ustawie jest też furtka, której trzymają się bankowi prawnicy. Taką furtką jest rażące niedbalstwo, które wyłącza powyższy obowiązek. A rażące niedbalstwo nie jest w ustawie odpowiednio zdefiniowane.
I tu pojawia się problem, bo dla jednych kliknięcie w link od przestępców będzie rażącym niedbalstwem, a dla innych nie. Banki oczywiście zrzucają z siebie całą odpowiedzialność i o odszkodowanie najczęściej trzeba walczyć w sądzie. A wynajem prawnika i ciągnące się w nieskończoność sprawy sądowe to ostatnia rzecz, o której myśli ktoś, kto właśnie stracił oszczędności swojego życia.
A takie sprawy są jak najbardziej do wygrania. Świadczy o tym chociażby wyrok sądu w Warszawie z 2018 r. (Sygn. akt I C 566/17). Sąd uznał, że bank nie wykazał, iż klient dopuścił się rażącego niedbalstwa dając się oszukać przestępcom. Dlaczego? Ponieważ jego działanie nie było działaniem umyślnym, a niezamierzonym i nieświadomym. Czyli niedbalstwo, ale nie niedbalstwo rażące.
Czyli banki powinny zwracać skradzione środki, a zwykle tego nie robią. Na problem wielokrotnie zwracał uwagę Rzecznik Finansowy, na którego stronie znajdziemy następującą instrukcję działania po tym, jak nas okradną:
Skoro o odpowiedzialności banków robi się głośno (piszmy o tym my, media, odzywa się Rzecznik Finansowy), to nie może dziwić, że banki próbują działać. Jednym z rozwiązań jest sztuczna inteligencja. Odpowiednie algorytmy mogą skierować jakąś transakcję do dodatkowej weryfikacji. Na przykład, gdy ktoś się loguje do banku z nowego urządzenia i od razu dodaje odbiorcę zdefiniowanego, zaciąga pożyczkę i zamyka lokaty.
Takie sytuacje wyglądają podejrzanie i zdecydowanie powinny być czasowo przyblokowane przez bank. Problem w tym, że algorytm (lub człowiek) też może się pomylić i prawdziwy klient może zostać oflagowany jako podejrzany. Dlatego taka dodatkowa autoryzacja musi być szybka, bezpieczna i wygodna. A niestety nie zawsze tak jest.
ING zabezpiecza pieniądze pana Jacka… przed panem Jackiem?
Przejdźmy teraz do historii pana Jacka. Zgłosił się do nas, ponieważ spotkała go blokada konta bankowego. ING Bank zaserwował mu niespodziankę i niespodziewanie zablokował dostęp do wszystkich rachunków. Dla jego bezpieczeństwa. Oddajmy mu głos:
„Wczoraj zalogowałem się na swój rachunek – tak jak zwykle, przy użyciu zaufanego urządzenia, na którym do łączenia z internetem używam VPN. Wykonałem przelew, wylogowałem się. Niebawem później otrzymałem informację z ING o blokadzie dostępu internetowego do rachunku z uwagi na wykrycie podejrzanego logowania”
– informuje nas pan Jacek, który nagle utracił dostęp do banku. Nie działało zarówno logowanie przez bankowość internetową, jak i te przez aplikację mobilną (chociaż tej nie używał tego dnia). Pan Jacek dodaje, że zarówno telefon, jak i komputer były zaufanymi urządzeniami w banku i były wielokrotnie używane.
Dla jasności dodam też, że pan Jacek znał wszystkie swoje hasła i poprawnie je wpisywał. Jedyną rzeczą, która mogła wzbudzić uwagę banku, było logowanie z wykorzystaniem VPN-u. Czyli wirtualnej sieci prywatnej, której używał, aby zwiększyć swoje bezpieczeństwo.
Najciekawszy w tym wszystkim jest jednak sposób przeprowadzania tych, nazwijmy je, „działań ochronnych”. Nikt z banku nie zadzwonił do klienta, a po prostu został wysłany automatyczny SMS z informacją o blokadzie dostępu do konta.
Tego SMS pan Jacek otrzymał… po kilku godzinach od zalogowania się do serwisu internetowego. Czyli bank zezwolił na buszowanie „podejrzanego” użytkownika po serwisie (!), umożliwił mu przelew (!!), a po kilku godzinach zablokował dostęp internetowy i mobilny (!!!).
Gdyby faktycznie „podejrzane logowanie” było dziełem przestępców, to nie tylko ukradliby oni pieniądze pana Jacka, ale pan Jacek nawet nie byłby w stanie tego zweryfikować, bo utracił dostęp do konta. Wysoki poziom abstrakcji.
Naprawdę jestem ciekaw, jak to się stało. Sztuczna inteligencja i algorytmy na pewno nie analizowały tego przypadku kilka godzin, bo to może trwać ułamki sekund (w Visa potrafią to zrobić szybciej niż trwa milisekunda). Czyli co – algorytm wyłapuje podejrzaną transakcję, a potem pracownik banku to ręcznie zatwierdza? Czy jakieś lagi na łączach i blokada konta bankowego z opóźnieniem? To zdecydowanie wymaga poprawy.
Blokada konta bankowego: odblokowanie nie zawsze jest proste
To nie był koniec problemów pana Jacka. Zrobił to, co każdy z nas zrobiłby w takiej sytuacji – zadzwonił na infolinię banku. Próbował też wysyłać e-mail i rozmawiać na czacie. Niestety bez rezultatu. Dodatkowo pracownicy chyba nie byli zbyt dobrze przeszkoleni, bo mylili się w zeznaniach (niektórzy mówili, że dostęp można odblokować zdalnie, inni byli pewni, że nie).
Ostatecznie panu Jackowi zaproponowano wizytę w placówce w celu odblokowania konta. Nasz czytelnik walczył o inną możliwość, bo do najbliższego oddziału ma kilkadziesiąt kilometrów. Proponował weryfikację telefoniczną, video rozmowę, a nawet zaprosił pracownika banku do siebie. W końcu znał wszystkie swoje hasła i miał te same dane kontaktowe. Niestety bez rezultatu.
Pan Jacek (zmęczony całą sytuacją) udał się do banku (kto by się nie udał w takiej sytuacji). Tam odpowiednia osoba wyciągnęła kopertę z jednorazowym kodem do odblokowywania dostępu. O kurczę – poważna sprawa. Następnie czytelnik i pracownik udali się razem do komputera, aby z użyciem tego kodu odblokować konto.
Niestety nawet z takim wsparciem nie udało się konta odblokować. Pracownik przeprosił i obiecał kontakt w tej sprawie. I faktycznie kolejnego dnia roboczego pracownik zadzwonił do pana Jacka i konto zostało odblokowane. Ufff…
Co na to ING? Mamy odpowiedź!
Pozwoliłem sobie zapytać w biurze prasowym ING Banku o zaistniałą sytuację. Odpisał mi Piotr Utrata, rzecznik banku. Oto czego się dowiedziałem:
„System przeciwdziałania oszustwom w ING Banku Śląskim monitoruje transakcje realizowane poprzez system bankowości elektronicznej wyłapując te nietypowe dla klienta. Analizowana jest zarówna warstwa biznesowa jak i techniczna transakcji. W przypadku podejrzenia, że transakcja jest oszustwem blokowany jest dostęp do bankowości elektronicznej klienta, aby zapobiec kradzieży jego środków”
Generalnie wszystko wygląda dobrze. Bank, który zauważy podejrzaną aktywność na koncie swojego klienta zdecydowanie powinien takie konto przyblokować. Pojawiają się jednak dwie niezrozumiałe kwestie: dlaczego pozwolił wysłać przelew i dlaczego nikt nie zadzwonił do klienta? Pan Piotr dodaje, że nie ma możliwości uzyskania 100% skuteczności takich działań i czasami taka blokada konta bankowego będzie po prostu uciążliwa dla klientów.
„Nie zawsze system trafnie wskazuje na próbę kradzieży, czasami mamy do czynienia z przypadkami, kiedy transakcja jest rzeczywiście realizowana przez klienta, a mimo to uznana za „podejrzaną”. Tak było w przypadku tego klienta. Istotnie użycie kanału VPN mogło być jedną z przyczyn takiej błędnej kwalifikacji”
Z dwojga złego wolę sytuację, w której bank pilnuje mnie za mocno, niż za słabo. Kiedyś dzwonił do mnie nawet pracownik banku przy dokonywaniu większej operacji. To zrozumiałe, bo zwykle nie robię przelewów, a tu nagle pojawił się jeden większy. Ale w powyższej historii do pana Jacka nikt nie zadzwonił. No chyba, że bank miał powody sądzić, że przestępcy w jakiś sposób pozyskali też telefon i e-mail klienta (to się może zdarzyć). Tylko w takiej sytuacji tym bardziej wskazany jest jak najszybszy kontakt z klientem, a nie tylko wysłanie SMS z informacją o blokadzie konta.
Wychodzi też na to, że trzeba uważać logując się do banku z wykorzystaniem VPN-u, bo może to zwrócić uwagę algorytmów bankowych. Dowiedziałem się również dlaczego nie ma obecnie zdalnej możliwości odblokowania konta w ING Banku. Oddajmy ponownie głos rzecznikowi banku:
„Bank pozwalał klientom jeszcze niedawno na odblokowywanie bankowości poprzez telefon na infolinię Banku, ale teraz zawiesiliśmy taką możliwość. Powodem tej zmiany był fakt, że w przypadku ataków socjotechnicznych na klientów bankowości elektronicznej identyfikowaliśmy przypadki, kiedy oszust wyłudzał od klienta wszystkie potrzebne dane do autoryzacji odblokowania bankowości i próbował sam odblokowywać dostęp dzwoniąc na infolinię”
Godna pochwały czujność. Ale z drugiej strony… Banki trochę są same sobie winne. Od dawna dzwonią do swoich klientów i weryfikują ich przy każdej okazji. Nie raz weryfikowano mnie przy zwykłej ofercie marketingowej. Weryfikacja jest albo bezsensowna („dla pańskiego bezpieczeństwa poproszę tylko o miesiąc pana urodzenia”), albo używa bardzo ważnych danych („Dzień dobry, dzwonię w imieniu banku, w celu weryfikacji poproszę o nazwisko panieńskie Pana matki”). Niestety banki same nauczyły klientów podawania danych osobowych przez telefon.
Blokada konta bankowego. Żeby było bezpieczniej?
Trzeba pochwalić bank za czujność (choć działania mogłyby być szybsze). Mimo wszystko widziałbym potencjał do uproszczenia takiej weryfikacji. Skoro konta można otwierać przez aplikację mobilną, to może wystarczyłaby wideorozmowa plus kod weryfikacyjny z SMS-a? Można wtedy pokazać dowód osobisty, podać otrzymany kod i odblokować zdalny dostęp. Ostatnio mBank testuje też weryfikację przez aplikację – to może być pomocne.
Ostatecznie pan Jacek musiał się udać do oddziału, aby odblokować konto. Jakby tego było miało, to miał pecha, bo pracownik w oddziale przekazał prośbę o odblokowanie „niewłaściwym kanałem komunikacji”.
Podsumowując: cieszy mnie, że banki starają się dbać o nasze (i pewnie też o swoje) pieniądze. Sztuczna inteligencja to potężny oręż w walce z przestępczością internetową. Sam algorytm jednak nie wystarczy. Gdzieś zawsze pojawi się procedura i człowiek, a w powyższej historii pracownicy banku nie stanęli na wysokości zadania. Oby się poprawili w przyszłości.
A jakie Wy macie spostrzeżenia? Spotkała Was kiedyś niespodziewana blokada konta bankowego? Czy w tej konkretnej historii bank – Waszym zdaniem – trzeba pochwalić czy raczej kręcić nosem?
Zdjęcie główne: pixabay/Sophieja23
