9 października 2021

Korzystał z bezpiecznego łącza przy logowaniu się do banku. A bank… zablokował mu konto. I zmusił do wizyty w placówce. Żeby było bezpieczniej. Ktoś tu przegina?

Korzystał z bezpiecznego łącza przy logowaniu się do banku. A bank… zablokował mu konto. I zmusił do wizyty w placówce. Żeby było bezpieczniej. Ktoś tu przegina?

Banki zaczynają troszczyć się o pieniądze swoich klientów i zapobiegać włamaniom na ich konta. Tylko czy przy okazji nie przesadzają? Zgłosił się do nas pan Jacek, który nagle utracił możliwość zalogowania się do swojego banku. Przyczyna? Blokada konta bankowego. Prawdopodobnie powodem było logowanie przez VPN. Rozwiązanie? Tylko wizyta w oddziale banku. Sztuczna inteligencja też się myli? A może to błąd pracownika? A może bank dobrze zrobił?

Zobacz również:

W dzisiejszych czasach zdalny dostęp do swojego konta jest na wagę złota. Tradycyjne załatwianie spraw w oddziale banku odchodzi powoli do historii. Ani banki nas tam nie chcą (pobierają dodatkowe opłaty za niektóre transakcje w oddziałach), ani dla nas nie jest to wygodne. W końcu niemal wszystko załatwimy już sprzed ekranu komputera, a nawet telefonu komórkowego.

Ja sam mam konto w banku, u którego w placówce nigdy nie byłem. Wniosek o konto złożyłem przez internet, umowę podpisałem elektronicznie (lub przez kuriera), a transakcje zlecam sam. I – co ciekawe – jest to konto założone dawno temu, a nie podczas pandemicznych cyfryzacji niektórych banków.

Kto odpowiada za nieautoryzowane transakcje?

Nie tak dawno Maciek Samcik pisał, że banki starają się przerzucać całą odpowiedzialność za kradzież środków z konta na klientów. W końcu banki tylko realizują dyspozycje, a to że ktoś poznał dane dostępowe i autoryzacyjne klientów, to nie jest wina banków.

Nie do końca tak powinno być, bo – zgodnie z Ustawą o usługach płatniczych – to bank odpowiada za nieautoryzowane transakcje i ma obowiązek niezwłocznie (i to w ciągu 1 dnia roboczego!) zwrócić ukradzione pieniądze. Niestety w ustawie jest też furtka, której trzymają się bankowi prawnicy. Taką furtką jest rażące niedbalstwo, które wyłącza powyższy obowiązek. A rażące niedbalstwo nie jest w ustawie odpowiednio zdefiniowane.

I tu pojawia się problem, bo dla jednych kliknięcie w link od przestępców będzie rażącym niedbalstwem, a dla innych nie. Banki oczywiście zrzucają z siebie całą odpowiedzialność i o odszkodowanie najczęściej trzeba walczyć w sądzie. A wynajem prawnika i ciągnące się w nieskończoność sprawy sądowe to ostatnia rzecz, o której myśli ktoś, kto właśnie stracił oszczędności swojego życia.

A takie sprawy są jak najbardziej do wygrania. Świadczy o tym chociażby wyrok sądu w Warszawie z 2018 r. (Sygn. akt I C 566/17). Sąd uznał, że bank nie wykazał, iż klient dopuścił się rażącego niedbalstwa dając się oszukać przestępcom. Dlaczego? Ponieważ jego działanie nie było działaniem umyślnym, a niezamierzonym i nieświadomym. Czyli niedbalstwo, ale nie niedbalstwo rażące.

Czyli banki powinny zwracać skradzione środki, a zwykle tego nie robią. Na problem wielokrotnie zwracał uwagę Rzecznik Finansowy, na którego stronie znajdziemy następującą instrukcję działania po tym, jak nas okradną:

Skoro o odpowiedzialności banków robi się głośno (piszmy o tym my, media, odzywa się Rzecznik Finansowy), to nie może dziwić, że banki próbują działać. Jednym z rozwiązań jest sztuczna inteligencja. Odpowiednie algorytmy mogą skierować jakąś transakcję do dodatkowej weryfikacji. Na przykład, gdy ktoś się loguje do banku z nowego urządzenia i od razu dodaje odbiorcę zdefiniowanego, zaciąga pożyczkę i zamyka lokaty.

Takie sytuacje wyglądają podejrzanie i zdecydowanie powinny być czasowo przyblokowane przez bank. Problem w tym, że algorytm (lub człowiek) też może się pomylić i prawdziwy klient może zostać oflagowany jako podejrzany. Dlatego taka dodatkowa autoryzacja musi być szybka, bezpieczna i wygodna. A niestety nie zawsze tak jest.

Czytaj też: Zmieniasz kartę SIM? Bank może zablokować ci konto. Tak na wszelki wypadek. Jak skutecznie walczyć z kradzieżami pieniędzy z wykorzystaniem duplikatów kart SIM?

ING zabezpiecza pieniądze pana Jacka… przed panem Jackiem?

Przejdźmy teraz do historii pana Jacka. Zgłosił się do nas, ponieważ spotkała go blokada konta bankowego. ING Bank zaserwował mu niespodziankę i niespodziewanie zablokował dostęp do wszystkich rachunków. Dla jego bezpieczeństwa. Oddajmy mu głos:

„Wczoraj zalogowałem się na swój rachunek – tak jak zwykle, przy użyciu zaufanego urządzenia, na którym do łączenia z internetem używam VPN. Wykonałem przelew, wylogowałem się. Niebawem później otrzymałem informację z ING o blokadzie dostępu internetowego do rachunku z uwagi na wykrycie podejrzanego logowania”

– informuje nas pan Jacek, który nagle utracił dostęp do banku. Nie działało zarówno logowanie przez bankowość internetową, jak i te przez aplikację mobilną (chociaż tej nie używał tego dnia). Pan Jacek dodaje, że zarówno telefon, jak i komputer były zaufanymi urządzeniami w banku i były wielokrotnie używane.

Dla jasności dodam też, że pan Jacek znał wszystkie swoje hasła i poprawnie je wpisywał. Jedyną rzeczą, która mogła wzbudzić uwagę banku, było logowanie z wykorzystaniem VPN-u. Czyli wirtualnej sieci prywatnej, której używał, aby zwiększyć swoje bezpieczeństwo.

Najciekawszy w tym wszystkim jest jednak sposób przeprowadzania tych, nazwijmy je, „działań ochronnych”. Nikt z banku nie zadzwonił do klienta, a po prostu został wysłany automatyczny SMS z informacją o blokadzie dostępu do konta.

Tego SMS pan Jacek otrzymał… po kilku godzinach od zalogowania się do serwisu internetowego. Czyli bank zezwolił na buszowanie „podejrzanego” użytkownika po serwisie (!), umożliwił mu przelew (!!), a po kilku godzinach zablokował dostęp internetowy i mobilny (!!!).

Gdyby faktycznie „podejrzane logowanie” było dziełem przestępców, to nie tylko ukradliby oni pieniądze pana Jacka, ale pan Jacek nawet nie byłby w stanie tego zweryfikować, bo utracił dostęp do konta. Wysoki poziom abstrakcji.

Naprawdę jestem ciekaw, jak to się stało. Sztuczna inteligencja i algorytmy na pewno nie analizowały tego przypadku kilka godzin, bo to może trwać ułamki sekund (w Visa potrafią to zrobić szybciej niż trwa milisekunda). Czyli co – algorytm wyłapuje podejrzaną transakcję, a potem pracownik banku to ręcznie zatwierdza? Czy jakieś lagi na łączach i blokada konta bankowego z opóźnieniem? To zdecydowanie wymaga poprawy.

Czytaj też: Bankowa infolinia wrotami do kradzieży pieniędzy. Uwaga na wyjątkowo perfidny trik cyberprzestępców! Jeśli mają twój e-mail i numer telefonu z wycieku…

Blokada konta bankowego: odblokowanie nie zawsze jest proste

To nie był koniec problemów pana Jacka. Zrobił to, co każdy z nas zrobiłby w takiej sytuacji – zadzwonił na infolinię banku. Próbował też wysyłać e-mail i rozmawiać na czacie. Niestety bez rezultatu. Dodatkowo pracownicy chyba nie byli zbyt dobrze przeszkoleni, bo mylili się w zeznaniach (niektórzy mówili, że dostęp można odblokować zdalnie, inni byli pewni, że nie).

Ostatecznie panu Jackowi zaproponowano wizytę w placówce w celu odblokowania konta. Nasz czytelnik walczył o inną możliwość, bo do najbliższego oddziału ma kilkadziesiąt kilometrów. Proponował weryfikację telefoniczną, video rozmowę, a nawet zaprosił pracownika banku do siebie. W końcu znał wszystkie swoje hasła i miał te same dane kontaktowe. Niestety bez rezultatu.

Pan Jacek (zmęczony całą sytuacją) udał się do banku (kto by się nie udał w takiej sytuacji). Tam odpowiednia osoba wyciągnęła kopertę z jednorazowym kodem do odblokowywania dostępu. O kurczę – poważna sprawa. Następnie czytelnik i pracownik udali się razem do komputera, aby z użyciem tego kodu odblokować konto.

Niestety nawet z takim wsparciem nie udało się konta odblokować. Pracownik przeprosił i obiecał kontakt w tej sprawie. I faktycznie kolejnego dnia roboczego pracownik zadzwonił do pana Jacka i konto zostało odblokowane. Ufff…

Czytaj też: W erze COVID-19 banki otwierają szerzej bankowanie przez telefon. Tymczasem to dziś najszersza brama dla złodziei naszych pieniędzy

Co na to ING? Mamy odpowiedź!

Pozwoliłem sobie zapytać w biurze prasowym ING Banku o zaistniałą sytuację. Odpisał mi Piotr Utrata, rzecznik banku. Oto czego się dowiedziałem:

„System przeciwdziałania oszustwom w ING Banku Śląskim monitoruje transakcje realizowane poprzez system bankowości elektronicznej wyłapując te nietypowe dla klienta. Analizowana jest zarówna warstwa biznesowa jak i techniczna transakcji. W przypadku podejrzenia, że transakcja jest oszustwem blokowany jest dostęp do bankowości elektronicznej klienta, aby zapobiec kradzieży jego środków”

Generalnie wszystko wygląda dobrze. Bank, który zauważy podejrzaną aktywność na koncie swojego klienta zdecydowanie powinien takie konto przyblokować. Pojawiają się jednak dwie niezrozumiałe kwestie: dlaczego pozwolił wysłać przelew i dlaczego nikt nie zadzwonił do klienta? Pan Piotr dodaje, że nie ma możliwości uzyskania 100% skuteczności takich działań i czasami taka blokada konta bankowego będzie po prostu uciążliwa dla klientów.

„Nie zawsze system trafnie wskazuje na próbę kradzieży, czasami mamy do czynienia z przypadkami, kiedy transakcja jest rzeczywiście realizowana przez klienta, a mimo to uznana za „podejrzaną”. Tak było w przypadku tego klienta. Istotnie użycie kanału VPN mogło być jedną z przyczyn takiej błędnej kwalifikacji”

Z dwojga złego wolę sytuację, w której bank pilnuje mnie za mocno, niż za słabo. Kiedyś dzwonił do mnie nawet pracownik banku przy dokonywaniu większej operacji. To zrozumiałe, bo zwykle nie robię przelewów, a tu nagle pojawił się jeden większy. Ale w powyższej historii do pana Jacka nikt nie zadzwonił. No chyba, że bank miał powody sądzić, że przestępcy w jakiś sposób pozyskali też telefon i e-mail klienta (to się może zdarzyć). Tylko w takiej sytuacji tym bardziej wskazany jest jak najszybszy kontakt z klientem, a nie tylko wysłanie SMS z informacją o blokadzie konta.

Wychodzi też na to, że trzeba uważać logując się do banku z wykorzystaniem VPN-u, bo może to zwrócić uwagę algorytmów bankowych. Dowiedziałem się również dlaczego nie ma obecnie zdalnej możliwości odblokowania konta w ING Banku. Oddajmy ponownie głos rzecznikowi banku:

„Bank pozwalał klientom jeszcze niedawno na odblokowywanie bankowości poprzez telefon na infolinię Banku, ale teraz zawiesiliśmy taką możliwość. Powodem tej zmiany był fakt, że w przypadku ataków socjotechnicznych na klientów bankowości elektronicznej identyfikowaliśmy przypadki, kiedy oszust wyłudzał od klienta wszystkie potrzebne dane do autoryzacji odblokowania bankowości i próbował sam odblokowywać dostęp dzwoniąc na infolinię”

Godna pochwały czujność. Ale z drugiej strony… Banki trochę są same sobie winne. Od dawna dzwonią do swoich klientów i weryfikują ich przy każdej okazji. Nie raz weryfikowano mnie przy zwykłej ofercie marketingowej. Weryfikacja jest albo bezsensowna („dla pańskiego bezpieczeństwa poproszę tylko o miesiąc pana urodzenia”), albo używa bardzo ważnych danych („Dzień dobry, dzwonię w imieniu banku, w celu weryfikacji poproszę o nazwisko panieńskie Pana matki”). Niestety banki same nauczyły klientów podawania danych osobowych przez telefon.

Blokada konta bankowego. Żeby było bezpieczniej?

Trzeba pochwalić bank za czujność (choć działania mogłyby być szybsze). Mimo wszystko widziałbym potencjał do uproszczenia takiej weryfikacji. Skoro konta można otwierać przez aplikację mobilną, to może wystarczyłaby wideorozmowa plus kod weryfikacyjny z SMS-a? Można wtedy pokazać dowód osobisty, podać otrzymany kod i odblokować zdalny dostęp. Ostatnio mBank testuje też weryfikację przez aplikację – to może być pomocne.

Ostatecznie pan Jacek musiał się udać do oddziału, aby odblokować konto. Jakby tego było miało, to miał pecha, bo pracownik w oddziale przekazał prośbę o odblokowanie „niewłaściwym kanałem komunikacji”.

Czytaj też: Bank szybki jak gepard. Przypadkiem kliknąłem w reklamę pożyczki, a on już mnie sprawdził w BIK. Nie za szybko?

Podsumowując: cieszy mnie, że banki starają się dbać o nasze (i pewnie też o swoje) pieniądze. Sztuczna inteligencja to potężny oręż w walce z przestępczością internetową. Sam algorytm jednak nie wystarczy. Gdzieś zawsze pojawi się procedura i człowiek, a w powyższej historii pracownicy banku nie stanęli na wysokości zadania. Oby się poprawili w przyszłości.

A jakie Wy macie spostrzeżenia? Spotkała Was kiedyś niespodziewana blokada konta bankowego? Czy w tej konkretnej historii bank – Waszym zdaniem – trzeba pochwalić czy raczej kręcić nosem?

Zdjęcie główne: pixabay/Sophieja23

Subscribe
Powiadom o
24 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
BdB
18 dni temu

To jest problem VPN-ów, że IP jest tam współdzielone i można dostać jakieś będące na czarnych listach, bo np. dokonywano z nich ataków. To właśnie to jest zapewne przyczyną blokady po stronie banku (bank widzi, że doszło do logowania z IP, z którego wcześniej logowali się oszuści), a nie sam fakt skorzystania z VPN.

Last edited 18 dni temu by BdB
Admin
18 dni temu
Reply to  BdB

Możliwe

gosc
18 dni temu
Reply to  BdB

Wiele zależy od ustawień systemów antyfraudowych w banku.

  • IP może być na czarnej liście.
  • Jeśli klient loguje się przez wiele miesięcy z tych samych, polskich adresów IP (np dom i praca) i nagle zaloguje się z innego kraju, to jest to czynnik zwiększający ryzyko.
  • Klient siedzi w kawiarni w Polsce, korzysta z VPN i wybrał sobie IP z Kanady. Chwile wcześniej kupił kawę i zapłacił kartą. Rozjazd między lokalizacją IP i lokalizacją transakcji kartowej zwiększa ryzyko. itd
Stef
18 dni temu
Reply to  gosc

Miałem tak przy płaceniu karta. Zapłaciłem w pl, a za chwilę dokonałem płatności w USA i blokada.

matipl
16 dni temu
Reply to  BdB

To tylko domysły. Szkoda, że nie ma informacji co to za VPN. Coś bardziej „profesjonalnego” czy jakiś free dodatek do aplikacji, których teraz wiele

Grzegorz
18 dni temu

W opisywanym banku, miałem ponad 7-8 lat temu konto. Wykonywałem jednorazowy przelew. Przelewałem z konta wszystkie oszczędności: kilkadziesiąt tysięcy. Wcześniej nigdy takiej operacji nie robiłem. Podczas tej operacji, logowałem się na komputerze po raz pierwszy w miejscowości odległej od mojego miejsca zamieszkania o 300 km. Zaniepokoiłem się bo jak się okazało, nie było żadnej weryfikacji z banku poprzez sms. Nie otrzymałem żadnego potwierdzenia mailowego, telefonu…itp. Po prostu wystarczył login i hasło do banku i konto puste. Wyobraziłem sobie, że ktoś poznał mój login i hasło. Dwa dni później ze strachu zmieniłem bank. Te 8-10 lat temu było wiele komentarzy klientów… Czytaj więcej »

Admin
18 dni temu
Reply to  Grzegorz

Tak, lepiej, że zablokują czasem konto na wszelki wypadek, niż mają puścić własnych klientów z torbami.
Zresztą coraz częściej banki dochodzą do takich wniosków:
https://subiektywnieofinansach.pl/duplikat-karty-sim-bank-moze-zablokowac-konto/

gosc
18 dni temu

1) „Dlatego taka dodatkowa autoryzacja musi być szybka, bezpieczna i wygodna. A niestety nie zawsze tak jest.” Jeśli chodzi o bankowość internetową/mobilną to bezpieczeństwo i wygoda nie idą w parze. Jeśli bank wybiera rozwiązania bezpieczne to zwykle nie są one wygodne dla klienta (i odwrotnie). 2) „Naprawdę jestem ciekaw, jak to się stało. (…) Czyli co – algorytm wyłapuje podejrzaną transakcję, a potem pracownik banku to ręcznie zatwierdza?” Polecam dwa filmy, które omawiają działanie systemów do wykrywania oszustw bankowych w czasie rzeczywistym: ThreatMark – How AI-Powered Authentication Improves Security and Reduces Friction (Webinar) https://www.youtube.com/watch?v=3bA5J-wtWuM&t=63s Real time Digital Banking Fraud Detection https://www.youtube.com/watch?v=nhXL_16XG8Q 3) „Sztuczna… Czytaj więcej »

Łukasz
18 dni temu

No i teraz wyobraźmy sobie, że klient jest w Meksyku 🙂

Przemo
18 dni temu

Infolinie banków mogłyby posiłkować się rozpoznawaniem biometrycznym na podstawie głosu. W Santanderze miałem już taką sytuację.

Stef
18 dni temu

1. Ing jest bardzo zachowawczym bankiem np. przy udzielaniu kredytu hipotecznego.
2. Niestety jest jednym z niewielu banków gdzie nie mogę ustawić przelewu jako niezaufanego/aby system zawsze prosił o pin. Decyduje o tym algorytm, który jest słaby.

MWM
18 dni temu

Tak naprawdę trzeba tu nie maszyny i procedur tylko myślącego człowieka. Kiedyś za czasów gdy kody SMS były standardem, miałem ciekawy przypadek. Robiąc nietypowy większy przelew z wspólnego rachunku bank zadzwonił nie do mnie a do żony. Żona oczywiście nie wiedziała jeszcze nic o przelewie bo to ja go zlecałem będąc w delegacji. Pracownik bardzo spokojnie wytłumaczył że skoro kod SMS jest prawidłowy to być może przestępcy mają również mój telefon. Dlatego żona powinna się ze mną skontaktować oraz rozpoznać głos lub inaczej potwierdzić tożsamość. Następnie pracownik oddzwonił ponownie w celu potwierdzenia przelewu. Da się? Tylko teraz często pracownik ma… Czytaj więcej »

fhfcgdc
18 dni temu

Rozumiem że Bank zamówi u Was akcję edukacyjną i będzie po problemie?

Admin
18 dni temu
Reply to  fhfcgdc

Nie, po problemie będzie wtedy, gdy go naprawią. Jak bank zamówi akcję edukacyjną, to w jej ramach będziemy wspólnie edukować. A jak się w banku coś popsuje, to będziemy o tym informować. Wszystko się Panu popieprzyło 😉

Edek
18 dni temu

Ja mam pytanie w jaki sposób pan Jacek zwiększył swoje bezpieczeństwo korzystając z VPN? Jak rozumiem ten VPN to jest zestawiony bezpośrednio z bankiem? Czy jest to VPN od zewnętrznego dostawcy? Jeśli to drugie to w jaki sposób podnosi to bezpieczeństwo logowania i operacji w banku?

Admin
18 dni temu
Reply to  Edek

Może pan Jacek sądzi, że ktoś go szpieguje i „podsłuchuje”? Chociaż w tym przypadku zestawienie bezpiecznego połączenia – o ile nie chcemy ukryć, że łączymy się z tym akurat bankiem – nie powinno mieć decydującego znaczenia dla bezpieczeństwa

BdB
17 dni temu
Reply to  Maciej Samcik

Ale tytuł o bezpiecznym połączeniu nadał autor tekstu.

DawidK
18 dni temu

Mnie Alior zablokował przelew na ok 2000€ od ichniego kantoru na moje konto w mBanku. Nie było innej możliwości odblokowania środków niż udanie się do oddziału, w którym zakładałem konto.
Chorzy ludzie, co poradzić.

Admin
18 dni temu
Reply to  DawidK

Że wolą się upewnić – to dobrze. Że muszą się upewniać w oddziale – to źle. Zwłaszcza jeśli nie chodzi o miliony

BdB
17 dni temu
Reply to  DawidK

Konta w kantorze nie otwiera się w oddziale.

Paweł
18 dni temu

Kiedyś miałem sytuację, kilka transakcji kartą po kilka zł na Litwie siedząc w pl, pekao, blokada karty, ale po kilku minutach był telefon z banku, czy ja to robiłem czy nie ja

Admin
18 dni temu
Reply to  Paweł

Czyli pilnują. To dobrze

Krzysztof
15 dni temu
Reply to  Paweł

Doładowywałem Revoluta parę razy bezpośrednio z Santandera i poprzez kartę Curve, parę doładowań w bardzo krótkich odstępach czasu. Zablokowali kartę debetową. Odblokowanie możliwe poprzez czat. Z miejsca za takie coś bym się z nimi rozstał, ale niestety mają dwie usługi na których mi zależy:((((((((

Michał
17 dni temu

ING i jakoś mnie to nie dziwi 😉

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!