Miesięcznik Finansowy BANK 2026/04

Antyfraud w bankowości: potencjał współpracy z operatorami sieci komórkowych

Dominia Kosińska | T-Mobile
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Antyfraud w bankowości: potencjał współpracy z operatorami sieci komórkowych
Fot. Lemonsoup14/stock.adobe.com
Cyfryzacja usług finansowych stwarza instytucjom działającym na tym rynku nieznane wcześniej możliwości, ale otwiera również nowy kanał dla oszustów. Ich ofiarą padają zarówno klienci, jak i same banki. Narzędzia oferowane przez operatorów pozwalają na znaczące ograniczenie przypadków wykorzystania urządzeń mobilnych do wyłudzania pieniędzy.

Dominia Kosińska
Senior Key Account Manager Big Data & Mobile Advertising
T-Mobile Polska

Trudno sobie dziś wyobrazić jakiekolwiek operacje finansowe – od prostych zakupów w sklepach internetowych, przez weryfikację tożsamości, po przelewy bankowe – bez wykorzystania smartfonów. Oznacza to również, że ciągle rośnie powierzchnia potencjalnego ataku – cyberprzestępcy mają więcej okazji do przechwycenia danych, podszywania się pod wiarygodne firmy czy pod klientów instytucji finansowych. Operatorzy telekomunikacyjni mogą stać się w tym łańcuchu kluczowym ogniwem – za sprawą świadczonych wyspecjalizowanych usług, które znacząco zwiększają skuteczność walki z oszustami.

W warstwie technologicznej to właśnie operatorzy dysponują informacjami sieciowymi, które mogą pomóc bankom w ujawnieniu scamu. Niezbędne do tego są standaryzowane narzędzia (konkretnie: API – reguły opisujące jak programy się ze sobą komunikują). Katalog takich narzędzi już powstał. W ramach globalnego projektu Camara powstało kilkadziesiąt API pozwalających zwiększyć bezpieczeństwo operacji, wykorzystując dane, którymi dysponuje operator. Ta inicjatywa oficjalnie ruszyła w lutym 2022 r., a jej celem jest zwiększenie interoperacyjności sektora telekomunikacyjnego. Dziś tworzy ją blisko 500 podmiotów z różnych obszarów rynku – operatorów telekomunikacyjnych o zasięgu światowym, hiperskalerów, jak i globalne platformy cyfrowe i największe korporacje, które przez interfejsy API chcą wymieniać dane w czasie rzeczywistym i pozyskiwać informacje w celach antyfraudowych.

Potrzeby banków w tym obszarze są podyktowane rzeczywistymi scenariuszami. Oszustwa dokonywane przy użyciu urządzeń mobilnych – przede wszystkim SMS i połączeń głosowych stanowią ok. 35-40% wszystkich prób wyłudzenia pieniędzy. Obok zwykłych technik phishingu i podmiany kart SIM pojawiły się również oszustwa APP (Authorized Pushed Payment) wykorzystujące socjotechniki, które w ostatnim czasie zostały wzmocnione przez deepfake’i wytworzone przez AI. Prognozowane straty banków wynikające z takich działań mają sięgnąć w roku 2027 aż 6,8 mld USD na najbardziej dotkniętych tym procederem rynkach (USA, Wielka Brytania, Indie, Brazylia, Australia i Arabia Saudyjska). Całkowite koszty oszustw dla instytucji finansowych mają zaś wzrosnąć z 23 mld USD w roku  2025 do ponad 58 mld w roku 2030 – prognozuje Juniper Research.

Walka z oszustwami to gra zespołowa. Banki nie muszą na szczęście radzić sobie same. Nowe metody scamu zwykle pojawiają się na świecie wcześniej niż w Polsce – operatorzy z innego kraju mogą zgłosić ten fakt, a my mamy wtedy więcej czasu na przygotowanie i wdrożenie odpowiednich rozwiązań.

Co trzeba wiedzieć o kliencie

Jakimi rozwiązaniami operatorzy telekomunikacyjni mogą wspierać banki?

Podstawowy to SimSwap – procedura monitorująca zmiany karty SIM (w tym również eSIM) powiązaną z danym numerem telefonu. Nie tylko zwraca ona informację o tym, że karta została zmieniona lub przełożona, ale notuje również czas zdarzenia. Bank może wysłać takie zapytanie, gdy napotka podejrzaną transakcję wykonaną za pomocą urządzenia mobilnego klienta. Narzędzie to pozwala również wzmocnić bezpieczeństwo SMS-ów z kodami wysyłanymi do klienta resetującego hasło lub logującego się do serwisu. SimSwap może dać bankom informacje, że klient być może nie posiada już numeru telefonicznego, który jest przypisany do kontaktu z bankiem.

Drugim narzędziem pozwalającym wykryć próbę oszustwa jest API o nazwie Number Verification. Umożliwia ono potwierdzenie numeru telefonu, który rozpoczął sesję łączności z aplikacjami banku. Może się to opierać na identyfikacji karty SIM, jak również na danych z infrastruktury sieciowej operatora. Taka procedura całkowicie zastępuje dotychczas wykorzystywane metody uwierzytelnienia, jak np. kody wysyłane w wiadomościach SMS, które klient banku może nieumyślnie przekazać oszustowi stosującemu socjotechniczne manipulacje. W dodatku znacząco przyspiesza to działanie aplikacji – uwierzytelnienie odbywa się w tle i jest niewidoczne dla użytkownika.

W katalogu Network API Camara takich rozwiązań jest znacznie więcej. W odpowiedzi na techniki stosowane przez oszustów powstały m.in. narzędzia Call Forwarding Signal czy Scam Signal ostrzegające o przekierowaniu połączeń, czy wykrywające typowe okoliczności próby wyłudzenia przez telefon. Uniemożliwia to m.in. przestępcom podszywanie się pod klientów i pracowników banku w celu wyłudzenia pieniędzy.

Z kolei Location Verification pozwala bankowi zapytać o to, czy urządzenie mobilne klienta znajduje się na danym obszarze. To API nie zdradza geograficznej lokalizacji użytkownika – odpowiada tylko „tak, jest na tym obszarze” lub „nie, tam go nie ma”. W jakiej sytuacji taka usługa może znaleźć zastosowanie? Gdy klient będzie chciał dokonać wypłaty z bankomatu w bardzo nietypowym dla siebie miejscu – na egzotycznej wyspie na drugim końcu świata lub – by trzymać się życiowych scenariuszy – przy  La Rambla w Barcelonie.

Współpraca lokalnie i globalnie

Wdrażanie narzędzi stworzonych w ramach projektu Network API Camara ma sens wtedy, gdy współpracują ze sobą najwięksi gracze z sektora bankowego i telekomunikacyjnego. Prace nad wykorzystaniem potencjału big data do ochrony operacji finansowych na urządzeniach mobilnych rozpoczęły się jeszcze w roku 2023, kiedy wspólnie z Polską Izbą Informatyki i Telekomunikacji opracowano standardy umożliwiające interoperacyjność. W roku 2024 prowadzono rozmowy z podmiotami e-commerce oraz bankami. W ub.r. T-Mobile Polska starał się wdrożyć standaryzację rozwiązań antyfraudowych na rynku operatorskim. Do tych działań włączyły się również Orange, Play i Plus.

Wielka Brytania wzorem

Taka szeroka współpraca międzysektorowa działa już płynnie w niektórych krajach europejskich – z reguły tam, gdzie zagrożenie scamem było największe. Jako jednego z liderów tych działań wskazywana jest Wielka Brytania, gdzie kooperacja operatorów telekomunikacyjnych i banków w celu wykrywania i zapobiegania oszustwom funkcjonuje od kilku lat. W roku 2024 organizacje sektora bankowego i telekomunikacyjnego postanowiły o wspólnym działaniu wobec zagrożenia metodami APP. Wdrożone tam rozwiązania, opracowane właśnie w ramach projektu Camara, pozwoliły zmniejszyć liczbę przypadków scamu o 41%. Podobne rozwiązania zaczynają funkcjonować również w Holandii i we Francji, a poza Europą – na Filipinach, w Singapurze i Australii.

Polscy operatorzy i instytucje finansowe mogą czerpać inspirację i doświadczenie w takich dziedzinach jak projektowanie procedur i zasad współpracy, zdobywanie zgód na przetwarzanie danych w celu ochrony przed oszustami czy konkretnych rozwiązań prawnych.

Źródło: Miesięcznik Finansowy BANK