Tak przestępcy kradną pieniądze z kart. Bankowiec o tym, jak nie dać się okraść
Konrad Bagiński, INNPoland.pl: Jak oszuści kradną pieniądze z kart?
Tadeusz Białek, wiceprezes Związku Banków Polskich: Najczęściej jest tak, że podczas korzystania z karty nie dochowujemy należytej staranności. Zostawiamy komuś kartę, umożliwiając na przykład spisanie danych czy zrobienie zdjęcia. I to już ułatwia kradzież, zwłaszcza w Stanach. Najczęściej coś złego dzieje się przy płatnościach z kartami, gdy podczas korzystania z karty nie dochowujemy należytej staranności. Zostawiamy komuś kartę, umożliwiając na przykład spisanie danych czy zrobienie zdjęcia. I to już ułatwia kradzież, zwłaszcza w Stanach.
W Europie mamy zupełnie inne zabezpieczenia, procedurę 3D Secure, i takie sytuacje raczej nie są możliwe. Trzeba po prostu przejść dodatkowe procedury uwierzytelnienia. Ale do takich sytuacji może dochodzić w USA czy w krajach azjatyckich. Przestępcy przekazują sobie dane kart, dokonują wypłat w tych regionach, gdzie nie są wymagane dodatkowe zabezpieczenia i gdzie o wypłatę środków jest łatwiej.
Czy w związku z tym moje pieniądze w banku są bezpieczne?
Oczywiście, że tak. Mamy w Polsce w pełni wdrożoną unijną dyrektywę dotyczącą zabezpieczenia depozytów. Depozyty do kwoty równowartości w złotych 100 tys. euro są w pełni bezpieczne. Nie ma też żadnych przesłanek do tego, by niepokoić się choćby możliwością upadku banku. Ale oczywiście sytuacja banków jest trudna pod względem nadmiarowych obciążeń, ale także między innymi z powodu dużych ubytków funduszy własnych.
To skutek między innymi przeceny obligacji, kosztów wdrażania wakacji kredytowych. Ogólnie - bardzo wysokich obciążeń, w tym podatku bankowego. Z podatkiem oczywiście musieliśmy sobie radzić już wcześniej, ale do tego doszły nowe sprawy, czyli wakacje kredytowe i przecena obligacji. Z tego tytułu ubytek w funduszach banków sięgnął w ostatnim czasie kilkunastu miliardów zł. Słowem: jest trudno prowadzić działalność bankową, ale pieniądze są ponad wszelką wątpliwość bezpieczne.
W Europie jesteśmy – my i nasze pieniądze – bezpieczniejsi niż klienci ze Stanów Zjednoczonych?
W Europie o tym bezpieczeństwie pomyślano na poziomie dyrektywy unijnej o usługach płatniczych. Wprowadziła ona wymóg silnego uwierzytelnienia, w najprostszych słowach rzecz ujmując - musi być dodatkowa procedura weryfikacji transakcji, samo wpisanie danych karty przy płatności np. w internecie nie wystarcza.
Ale gdy jesteśmy w innych krajach na wakacjach, zostawiliśmy komuś kartę w hotelu, rezerwowaliśmy coś poprzez niepewne portale rezerwacyjne, czy nawet kupowaliśmy coś przez internet poza UE – możemy paść ofiarą przestępców, nie wspomnę już o kuriozalnych sytuacjach w niektórych krajach np. w nierenomowanych wypożyczalniach samochodów żąda się zostawienia karty płatniczej w depozycie lub skanuje się kartę płatniczą lub robi się jej kserokopię.
Banki ciągle mają nadpłynność finansową?
Tak. W najprostszym schemacie bank zarabia na obracaniu depozytami. A teraz równowaga została zaburzona – akcja kredytowa, zwłaszcza w obszarze kredytów hipotecznych jest znacznie niższa, zaś gotówki odłożonej na rachunkach bankowych dużo. Ona pochodzi w dużej mierze z programów pomocowych, ogromnej redystrybucji środków za pośrednictwem PFR-u. Dlatego nadpłynność jest duża co jednocześnie jest odpowiedzią na pytanie dlaczego banki mniej chętnie podwyższają oprocentowanie lokat – to typowo rynkowe zachowanie, nie ma w nim nic dziwnego, tak działa rynek, gdy depozytów jest dużo, a nie mogą w pełni pracować.
Jakie jest podejście banków do takich inicjatyw jak Revolut i podobne usługi. Revolut pozwala mi na przykład wygenerować dane karty dosłownie do pojedynczej transakcji, z taką usługą w polskich bankach się nie spotkałem.
Kojarzę to rozwiązanie i jest ono dobre, ale w bardziej innowacyjnych polskich bankach też są podobne rozwiązania, pozwalające na jednorazowe wygenerowanie danych do zapłacenia. Nie zapominajmy w szczególności o bezpiecznym polskim rozwiązaniu BLIK, które pełni taką samą funkcję Poza tym sam fakt, że jest wymagana procedura 3D Secure, praktycznie eliminuje niebezpieczeństwa przy płatnościach kartą w internecie.
Dane statystyczne pokazują, że jeżeli do kradzieży pieniędzy doszło w Europie, to najprawdopodobniej był to skutek niezachowania należytej staranności. Ktoś nam skopiował dane karty, zrobił zdjęcie, czy też przesłaliśmy sami komuś skan czy zdjęcie karty i choć brzmi to niewiarygodnie to naprawdę są osoby, które tak postępują. Wciąż są też osoby, które dzielą się kodem BLIK wygenerowanym w swojej bankowości elektronicznej i dają nabierać sie oszustom podszywającym się pod osoby znajome dla ofiary.
Jest jeszcze inna kwestia zahaczająca o bezpieczeństwo banków. My, dziennikarze, coraz częściej musimy pisać o coraz bardziej kuriozalnych sytuacjach. A to jakaś pani dała się nabrać na korespondencję z Clintem Eastwoodem, inna przelała pieniądze amerykańskiemu żołnierzowi, inny pan dał się nabrać na numer z nigeryjskim księciem. Skąd to się bierze?
Niestety, naiwność ludzka nie zna czasem granic. W Związku Banków Polskich mamy Bankowe Centrum Cyberbezpieczeństwa i analizujemy w nim różne przypadki wyłudzeń i oszustw. Jest ich niestety zbyt dużo i czasem są dla nas porażające. Świetnym przykładem są choćby fałszywe sklepy internetowe, które staramy się też tropić w naszym Centrum.
Ale są osoby, które dają się nabrać na oferty kupna nowego iPhone'a za 100 złotych. Faktycznie, strona jest łudząco podobna do prawdziwej, ale nie można wierzyć w takie oferty. Nie wierzyliśmy, że ktoś może być tak naiwny, ale jednak... Rozumiem, że osoba nie zorientowana w nowych technologiach nie zauważy zmienionego adresu strony, jednej literki udającej inną w adresie http. Ale jak można sądzić, że ktoś chce nam sprzedać nowego iPhone'a za 100 złotych?
Podobno jest pan strasznie cięty na oszukańcze portale inwestycyjne?
Każdy widział dziwne reklamy, które pojawiają się za sprawą mechanizmów publikacji spersonalizowanych reklam internetowych nawet na najbardziej popularnych portalach internetowych. Bez zgody i wiedzy tych portali, bo te reklamy są sprzedawane na milisekundowych aukcjach, pojawiają się też konkretnym osobom na podstawie historii naszych wyszukiwań w przeglądarce internetowej. Im bardziej ktoś szuka w sieci informacji o inwestowaniu, tym większa szansa, że coś takiego im się pojawi. Na nie też trudno się nabrać, ale najwyraźniej jakoś to działa.
Schemat jest podobny - ktoś "był żebrakiem, teraz jeździ porsche". Ostatni schemat to wykorzystywanie wizerunku znanych osób. "Inwestuj jak Lewandowski", "inwestuj jak Hołownia". Towarzyszą temu bardzo prymitywne hasła jak "banki chcą to ukryć", "szybko, zanim banki to zablokują". Sto procent tych reklam to oszustwa. I faktycznie prawie zawsze robię screeny takich reklam, wykorzystujemy je potem do ostrzegania ludzi, współpracy z policją etc.
Jak działają tacy oszuści?
Niektóre serwisy od razu wyłudzają wszystkie pieniądze, często z wykorzystaniem zgody potencjalnej ofiary na zainstalowanie zdalnego pulpitu (uwaga – żadna instytucja finansowa nigdy nie będzie prosić o zgodę na instalację zdalnego pulpitu!), ale są i takie, które wykorzystują nawet system mieszany. Zdarza się, że taki podmiot faktycznie istnieje, pozwala zainwestować 2-3 razy.
A potem?
Pojawia się tzw. złoty strzał, jak mówimy w naszej branży. Czyli okazja, której nie możesz zmarnować. Omamiona ofiara traci oszczędności, często też schemat działania obejmuje zadłużenie takiej osoby. Pożyczki, kredyty do maksymalnej wysokości – bo przecież nie może stracić takiej okazji na pomnożenie swojego majątku. Niestety poziom edukacji społeczeństwa jest w takich sytuacjach zbyt niski, mimo wielu akcji i ogromnych środków na to wydawanych. A ostrzegamy my, banki osobno, KNF, UOKiK...
Może powinniście być bardziej dosłowni, wydawać prostsze komunikaty? Sięgnąć po nowe środki przekazu?
Ale my to robimy. Wypuszczamy krótkie, bardzo konkretne komunikaty. Bez oporów pokazujemy printscreeny ze stron internetowych – przecież oszuści nas nie pozwą. Problem w tym, że wiele osób widząc pokusę jakiegoś nadzwyczajnego zysku wyłącza racjonalne myślenie. Niech pan spojrzy na Amber Gold. Ja wiele razy byłem o to pytany, mogę zawsze radzić jedno – widząc jakąś reklamę, sprawdź ją, wyguglaj firmę. Sprawdź, jaka to jest inwestycja, co się na jej temat pisze. Można przejrzeć nasze strony, KNF, policji – my często publikujemy wspólne komunikaty.
I nie jest tak, że ofiarami oszustów padają ludzie – powiedzmy – starsi. Kiedy chodzi o szybki zysk, kryptowaluty to często nabierają się na nie ludzie młodzi, niedoświadczeni, niedokształceni. A to niesie ze sobą ludzkie tragedie, długi na całe życie.
Gdzie prowadzą ślady złodziei?
To są zorganizowane grupy przestępcze, statystycznie rzecz ujmując, najczęściej ze wschodu. Rosja, Ukraina – teraz już mniej, kraje azjatyckie (byłe republiki sowieckie), kiedyś tez Rumunia i Bułgaria (także już mniej). Część tych schematów przestępczych, w postaci różnych wiadomości na popularnych komunikatorach i w mediach społecznościowych jest nawet nieudolnie przetłumaczona i prymitywnie zrobiona, widać na pierwszy rzut oka, że pisał to jakiś automatyczny translator. Zdarza się też, że fragmenty tych stron nie są przetłumaczone i zostały w cyrylicy.
Jeśli chodzi o vishing czy spoofing (w uproszczeniu – podszywanie się) ludzie często orientują się, że ktoś próbuje ich oszukać, podczas kontaktu z rzekomą infolinią. Osoby podszywające się pod pracowników infolinii mówią po polsku słabo albo z wyraźnie wschodnim akcentem. Mamy zeznania wielu osób, które właśnie w takim momencie – rozmowy – dochodziły do wniosku, coś tu nie gra...
A może wina leży trochę w tempie transformacji? Bo my w latach 90 z kraju z prymitywną bankowością przeskoczyliśmy się w kraj z bardzo nowoczesnymi bankami. Może za tym nie poszła edukacja społeczeństwa, nie przeszliśmy pewnego etapu?
Faktycznie, w wielu krajach Europy do dziś nie ma czegoś takiego jak założenie konta od ręki, słabo funkcjonują płatności zbliżeniowe, a już prawie w ogóle płatności telefonem, znacznie mniej bankowości elektronicznej w praktyce. Polska i Turcja były dwoma pierwszymi krajami, w których zaczęto stosować terminale zbliżeniowe, w Niemczech czy Francji one zaczęły się pojawiać kilka lat później. W wielu innych krajach Europy rynki bankowe pod względem zaawansowania technologicznego są w tyle.
Idzie to także w parze z przyzwyczajeniami społeczeństw tych państw. Nawet niedawno widziałem w jednym z krajów zachodniej Europy, jak w kolejce wszystkie po kolei osoby mające karty zbliżeniowe płaciły wkładając kartę do terminala. Przyzwyczajenie pokutuje. My raczej przeskoczyliśmy pewną generację, jesteśmy o wiele bardziej zaawansowani.
Zastanawiałem się nad tym, czy może żyję w pewnej bańce, ale szczerze mówiąc nie pamiętam kiedy ostatni raz płaciłem za coś kartą fizyczną.
O ile dobrze pamiętam, najwyższy odsetek osób płacących zbliżeniowo i telefonem jest właśnie w krajach naszego regionu. Polska, Czechy są liderami Europy. Jesteśmy na innym etapie, niż wiele innych krajów. Przeskoczyliśmy do przodu.
Gotówka ma swoje wady – obrót nią pochłania nawet 2-3 procent PKB, to są miliardy złotych. Ale są środowiska, które usilnie promują gotówkę. Prezes Glapiński broni jej jak niepodległości. Tymczasem obrót bezgotówkowy jest – zdaje się – szybszy, tańszy i wygodniejszy?
Mocna promocja gotówki to jest regres w stosunku do tego, co banki i władze robiły przez ostatnie lata. A robiły sporo: powstały organizacje promujące obrót bezgotówkowy, rządy decydowały się na ustawy wspierające takie właśnie działania. Przecież dziś wypłaty różnych świadczeń następują już wyłącznie na konto, bez udziału gotówki.
Mi się wydaje, że taka obrona gotówki, wspieranie jej to próba ochrony osób mniej zorientowanych w nowych płatnościach. Ale to błędne założenie – bo właśnie wśród nich powinniśmy promować obrót bezgotówkowy. Całkowite wyeliminowanie gotówki w najbliższych latach to mit, ale ograniczenie jej ilości i zmniejszenie kosztów to pożądany cel.
Tym bardziej, że gotówka napędza szarą strefę.
Tak jest. I mamy tu zresztą pewnego rodzaju niekonsekwencję. W ostatnim czasie, nawet gdy promuje się gotówkę, ciągle obniżany jest limit wysokości gotówkowych transakcji biznesowych. Od nowego roku będzie on wynosił 8000 zł . Tam, gdzie pojawia się komponent szarej strefy, wszyscy starają się podejmować środki zaradcze. Split payment miał eliminować wyłudzenia podatkowe, ale też wypierać z obiegu gotówkę i wspierać obrót bezgotówkowy.
Efekt jest taki, że tam, gdzie skarbowi państwa zależy na uszczelnieniu (podatki), to działania są podejmowane. Ale w pozostałym zakresie, gdzie obrót bezgotówkowy trzeba byłoby wesprzeć (zwłaszcza relacje B2C), mamy regres, w najlepszym wypadku zastój.