Kto kradnie w bankach?

Jak podkreślają eksperci, wbrew pozorom to nie przestępczość zewnętrzna, jak np. napady na bank czy ataki hakerów, jest najbardziej niebezpieczna, ale przestępczość wewnętrzna, której sprawcami są pracownicy danej placówki, i co ważne – nie ma tutaj znaczenia, jakiej narodowości są pracownicy. Elementem decydującym jest pierwiastek ludzki. Szeroko ten temat pisze w ostatnim wydaniu globalny magazyn branżowy „Bank Director”. Banki są coraz częściej i mocniej atakowane przez cyberprzestępców, a najsłabszym ogniwem w bezpieczeństwie w związku z atakami – jak podkreśla gazeta – są pracownicy banku oraz firmy dostarczające systemy IT.

Gazeta powołuje się na dane raportu przygotowanego przez Pokemon Institute. Wynika z niego, że w wyniku cyberataków duże firmy poniosły w ubiegłym roku straty na poziomie 11 mln 600 tys. dolarów, co stanowi wzrost o 26 procent w ciągu zaledwie jednego roku, podczas gdy straty instytucji finansowych wyniosły średnio 23 mln 600 tys. dolarów. Z kolei z badania przeprowadzonego przez PwC wśród szefów firm w instytucjach finansowych wynika, że w ubiegłym roku wykrytych zostało 4628 cyberataków lub podejrzanych działań, co stanowi wzrost o 169 proc. w porównaniu z rokiem wcześniejszym.

Choć straty w wyniku pojedynczego przestępstwa czy też zmasowanej operacji przestępczej nie opiewają na duże kwoty, to informacje o tym mocno podkopują wiarygodność banku, co rodzi o wiele większe straty finansowe, niekiedy liczone w setkach milionów dolarów czy złotych, a do czego banki rzecz jasna się nie przyznają.

Przestępcy ani na chwilę nie zasypiają. Na początku lutego bieżącego roku Rada Bankowości Elektronicznej przy Związku Banków Polskich poinformowała o nowej „modzie” czy też nowym kanale przestępczości bankowej w segmencie bankowości internetowej. Otóż przestępcy wykorzystują błędy w niektórych popularnych modelach bezprzewodowych routerach WiFi poprzez modyfikację konfiguracji routerów, by połączenia z niektórymi polskimi bankami odbywały się poprzez serwery należące do przestępców. W rezultacie, jak podkreśla ZBP, przestępcy pozyskują identyfikatory i hasła klientów oraz podstawiają zmodyfikowaną stronę banku z komunikatem o wprowadzonej przez bank zmianie formatu rachunku i wynikającej z tego konieczności zatwierdzenia nowego szablonu przelewów zaufanych. Jeśli klient poprawnie zautoryzuje utworzenie takiego szablonu przelewu zaufanego, przestępcy dostaną od nieświadomego klienta dostęp do jego pieniędzy.

Jak podkreślają eksperci ZBP, opisany powyżej scenariusz kradzieży środków przez przestępców możliwy jest na skutek błędów w oprogramowaniu urządzeń wykorzystywanych przez klientów oraz w wyniku manipulacji zachowaniami klientów przez przestępców (tzw. ataki socjotechniczne) w celu nakłonienia ich do zatwierdzania operacji, których nie zlecali.

Przestępstwa bankowe o największej szkodliwości dla banku:

• kradzież gotówki
  • podrabianie podpisu klienta
  • kradzież haseł i loginów do konta
  • generowanie nieprawdziwych umów na produkty bankowe
  • poświadczanie nieprawdy, np. zgodności z oryginałem
  • ujawnienie tajemnic bankowych
  • manipulowanie wartością oceny kredytowej
  • zabór zwrotów klienta, np. z dokonanej rezygnacji z ubezpieczenia kredytu

Innym problemem przestępczości bankowej podkreślanym przez policjantów zajmujących się jej wykrywaniem jest niska świadomość skutków przestępstwa oraz przyzwolenie na te skutki, w tym sensie, że nawet jak bank poniesie szkodę, to i tak sobie poradzi. Z kolei sami przestępcy, którzy są pracownikami banków i dopuszczają się czynu zabronionego przeciwko bankowi lub jego klientom nie zdają sobie sprawy z ciężaru odpowiedzialności karnej za tego typu przestępstwa, która w wielu przypadkach jest bardzo surowa, od pozbawienia wolności do lat trzech do nawet milion złotych grzywny.

Rozmowa z Pawłem Marchlińskim, ekspertem w Wydziale Koordynacji Służby Kryminalnej Biura Służby Kryminalnej Komendy Głównej Policji

Co się zmieniło w przestępczości bankowej na przestrzeni lat?

Poza nowymi technologiami, które pośrednio generują nowe typy przestępstw, można stwierdzić aktywność przestępców w zakresie zastosowania „starych” mechanizmów służących do popełniania przestępstw na szkodę banków. Liczba tego typu przestępstw utrzymuje się na stałym poziomie. Są to oszustwa przy wykorzystaniu podrobionych lub przerobionych dokumentów, np. zaświadczenia o zarobkach, fałszywe dowody osobiste etc. rośnie liczba incydentów phisingowych. Obywatele polscy wykorzystywani są jako osoby, które użyczają swoich rachunków do transferu pieniędzy pochodzących z tego rodzaju przestępstw.

Czy polski przestępca bankowy jest kreatywny?

Kreatywność przestępców – nie tylko bankowych – jest faktem. Czasami wystarcza dobra znajomość wewnętrznych procedur bankowych oraz informacji na temat funkcjonowania operatorów telefonii komórkowych i urzędów wydających dokumenty, np. dowody osobiste. Połączenie takiej wiedzy jest bardzo niebezpieczne, o czym przekonał się w 2013 roku jeden z dużych banków zaatakowany przez grupę przestępczą wykorzystującą fakt, iż właściciele spółek publicznie informowali, w jakich bankach prowadzą rachunki zarządzanych przez siebie podmiotów. Po uzyskaniu dodatkowych danych, np. z KRS, z portali społecznościowych etc., wystarczyło skorzystanie z usług bankowości telefonicznej, żeby zapoczątkować procedurę przejęcia tożsamości oraz konta klienta. Na szczęście we wskazanym przypadku udaremniono wypłynięcie środków, a bank wprowadził dodatkowe zabezpieczenia. W tej chwili toczy się postępowanie przygotowawcze, w którym trzem osobom przedstawiono m.in. zarzut oszustwa (art. 286 kk).

Kim jest dzisiejszy przestępca bankowy?

Trudno jest generalizować „typowego” przestępcę bankowego. Na pewno opisane przypadki, nawet najprostszego oszustwa, wymagają minimalnej wiedzy ekonomicznej. Co do zasady osoby bez środków do życia są wykorzystywane jako tzw. słupy. W przestępczości gospodarczej trudno jest posługiwać się podziałem na przestępczość kobiet i mężczyzn.

Czy banki chętnie współpracują z policją przy ściganiu przestępstw, czy tolerują pewnego rodzaju odstępstwo od ścigania, czy też czują się bezsilne wobec tego rodzaju przestępczości?

W ocenie policji nie można mieć zastrzeżeń do współpracy policji z bankami zarówno w obszarze działań przedprocesowych w trybie art. 20 ust. 3 ustawy o policji, jak również w przypadku czynności procesowych realizowanych pod nadzorem prokuratury. Nie są znane przypadki odstąpienia banku od złożenia zawiadomienia o podejrzeniu popełnienia przestępstwa. Trudno jest policjantowi ustosunkować się do kwestii, czy banki czują się bezsilne wobec tego rodzaju przestępczości. Wydaje się, że jest to pytanie sugerujące wskazaną tezę. W ocenie policji banki ustawicznie szukają rozwiązań, które mogą przyczynić się do poprawy bezpieczeństwa ich funkcjonowania. Być może wprowadzenie w przyszłości standardów monitoringu pozwoliłoby na poprawę bezpieczeństwa placówek bankowych. Inną kwestią pozostaje specyficzny „konflikt interesów” pomiędzy pionami bezpieczeństwa poszczególnych banków a oczekiwaniami zarządzających co do efektywności w sprzedaży produktów banku. Pion bezpieczeństwa co do zasady nie generuje zysków i może
pojawić się pokusa szukania oszczędności kosztem tego pionu. Specyficzny wyścig w pozyskiwaniu klientów, oferowaniu nowych usług, premiowanie pracowników za ilość sprzedanych produktów siłą rzeczy powodują, że przestępcy mogą to wykorzystać.

Co pomogłoby policji zwalczać przestępstwa bankowe, np. dodatkowe uprawnienia, nowe techniki, większa współpraca z bankami czy też edukacja społeczeństwa?

Polska policja współpracę z sektorem bankowym uznaje za wzorcową. Przede wszystkim ta współpraca oparta jest na przepisach ustawy o policji, która w art. 20 określa jej zakres w przypadku czynności przedprocesowych oraz innych przepisach regulujących przebieg postępowania przygotowawczego. Zarówno organy ścigania, jak i banki uświadamiają sobie rolę współpracy wszystkich zainteresowanych podmiotów w zwalczaniu przestępczości na szkodę sektora bankowego.

Przestępczości bankowej nie możemy traktować jako ściśle wyodrębnionej części szeroko rozumianej przestępczości gospodarczej. Żeby zaistniało przestępstwo, w wyniku którego bank lub klient banku poniósł straty, niejako po drodze popełniane jest inne przestępstwo, np. fałszowania dokumentacji, przestępstwa skarbowe, pranie pieniędzy etc. W związku z powyższym koniecznym jest kompleksowe i zintegrowane podejście do tego zagadnienia. Przede wszystkim polska policja od wielu lat postuluje o utworzenie centralnego rejestru rachunków bankowych i polis notyfikowanych. Utworzenie takiego rejestru ułatwiłoby policji oraz prokuraturze prowadzenie czynności zwalczania tego rodzaju przestępczości. Należy podkreślić, iż przedmiotowy postulat nie naruszałby gwarantowanej przepisami tajemnicy bankowej, a jedynie pozwałby na szybszą identyfikację osoby lub podmiotu gospodarczego co do faktu posiadania rachunku, jak i placówki bankowej obsługującej ten rachunek. Policja zabiega również o rozszerzenie dostępu policji na
etapie czynności przedprocesowych do informacji chronionych tajemnicą skarbową na zasadach identycznych jak w przypadku regulacji dotyczących uzyskiwania informacji chronionych tajemnicą bankową lub ubezpieczeniową. Podkreślam, że jest to dostęp pod kontrolą sądu. Brak możliwości uzyskiwania takich danych należy uznać za niekonsekwencję ustawodawcy. Również aspekt edukacyjny wspomniany w treści pytania warty jest podkreślenia. Społeczeństwo nie zdaje sobie sprawy z zagrożeń związanych z bankowością oraz nowymi technikami. Poza wskazanym poniżej przestępstwem phishingu, skimmingu kart bankomatowych etc. istnieje cała gama przestępstw związanych z utratą danych osobowych. Powszechne w dobie internetu staje nieprzemyślane przekazywanie osobom trzecim swoich pełnych danych personalnych. Istotne jest, żeby w masowym odbiorze społecznym problematyka utraty danych osobowych, utraty dokumentów została dostrzeżona i takim zdarzeniom została nadana odpowiednia ranga. Poza oczywistym faktem, iż z dużą ostrożnością
powinniśmy przekazywać swoje dane osobowe firmom (portalom), co do wiarygodności których mamy wątpliwości, to również każde stwierdzenie utraty dokumentu tożsamości powinno automatycznie rodzić konieczność zgłoszenia tego faktu w odpowiednich instytucjach, urzędach. Przykładem pozytywnej kampanii społecznej może być inicjatywa Związku Banków Polskich pod nazwą „Utraciłeś dokumenty? Nie ryzykuj! Zastrzeż je w banku!”.

Czy można mówić o jakichś nowinkach przestępczych w zakresie przestępczości bankowej?

Przestępczość cały czas ewoluuje. Tego typu przestępstwa utrzymują się na stałym i niezmiennym poziomie. Przykładowo można tu wskazać oszustwa na szkodę banków (wyłudzenie pożyczki/kredytu) dokonywane na podstawie np. fałszywych zaświadczeń o zatrudnieniu i zarobkach. Do nowych i narastających tendencji w przestępczości bankowej zaliczyć należy: fizyczne wyrywanie oraz wysadzanie za pomocą środków pirotechnicznych bankomatów; art banking, czyli wykorzystywanie fałszywych dzieł sztuki jako zabezpieczenia kredytów (pożyczek) oraz inwestycje w dzieła sztuki, które zarejestrowane są jako kradzione lub utracone; szeroko rozumiana cyberprzestępczość.