Cyberbezpieczeństwo | Wydarzenia | Z rynku finansowego

Cyfrowa zmiana warty: gdy klient chce popełnić błąd, a bank ma go powstrzymać

Karol Mórawski | BANK.pl
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Cyfrowa zmiana warty: gdy klient chce popełnić błąd, a bank ma go powstrzymać
SafeBank 2025. Od lewej: Paweł Minkina, Krzysztof Szczepański. Źródło: BANK.pl
Szczególnym punktem tegorocznego wydarzenia SafeBank był firechat z udziałem Krzysztofa Szczepańskiego, dyrektora Departamentu Bezpieczeństwa i Ryzyka Krajowej Izby Rozliczeniowej oraz Pawła Minkiny, wiceprezesa Centrum Procesów Bankowych i Informacji i redaktora naczelnego „Miesięcznika Finansowego BANK”.

Omówili oni szerokie spektrum wyzwań, jakie stoją przez bankowością, poczynając od dezinformacji i socjotechniki, przez metody zapobiegania fraudom w rodzaju analizy behawioralnej aż po ryzyka, towarzyszące pojawieniu się AI i spodziewanej ekspansji komputerów kwantowych.

Uderzenie nie w bank, lecz w klienta

Na początku dyskusji Paweł Minkina zwrócił uwagę na zjawisko, które przyspieszyło w czasie pandemii i wojny w Ukrainie. Mowa o dezinformacji, która stała się wszechobecna.

SafeBank 2025. Paweł Minkina. Źródło: BANK.pl
SafeBank 2025. Paweł Minkina. Źródło: BANK pl

Krzysztof Szczepański podkreślał, że współczesne kampanie oszukańcze, oparte na fake newsach i socjotechnice, coraz częściej nie są ukierunkowane na łamanie zabezpieczeń instytucji, tylko żerują na emocjach użytkowników końcowych, ci zaś w konsekwencji sami stają się wspólnikami złodziei, udostępniając im swoje zasoby.

– To jest bardzo istotne, że oni wpływają na użytkowników końcowych, czyli de facto na klientów sektora finansowego, nie na same instytucje finansowe – mówił.

W jego ocenie najtrudniejsza do neutralizacji jest sytuacja, w której klient – poddany presji i precyzyjnie zaprojektowanym bodźcom – naprawdę chce wykonać działanie, które jest dla niego niekorzystne.

Krzysztof Szczepański zwracał uwagę, że bank bywa w takim układzie paradoksalnie oskarżany przez konsumenta, gdy blokuje transakcję, a klient uporczywie domaga się jej realizacji mimo ryzyka – i składa reklamację.

Również kiedy transakcja zostanie dokonana i klient straci pieniądze, obwinia bank o niezablokowanie próby oszukańczej. Przypomniał, że KIR wspólnie z ZBP podejmuje inicjatywy w celu upowszechnienia narzędzi, chroniących przed fraudami.

Więcej kanałów, więcej okazji – a bezpieczeństwo nie jest wygodne

Paweł Minkina doprecyzował, że sektor bankowy, dążąc do wygodnych form komunikacji z klientem, mimowolnie zwiększył powierzchnię ataku: obok kanału tradycyjnego pojawiły się aplikacje, telefony, powiadomienia push i SMS-y.

– Dużo się tego dzieje. Trudno winić oszustów, że wykorzystują różne kanały, żeby zmanipulować klienta – zauważył.

Krzysztof Szczepański przypomniał, że między bezpieczeństwem a wygodą zawsze był pewien antagonizm.  

– W związku z tym, jeżeli zaczynamy upraszczać i budować wygodniejsze kanały dostępu dla klientów, to bezpieczeństwo na tym będzie traciło – powiedział.

Jego zdaniem dążenie do komfortu ma sens, ale pod jednym warunkiem: trzeba to równoważyć narzędziami, procedurami i zdolnością szybkiej reakcji.

Dalsza dyskusja dotyczyła roli danych i ich analityki, w tym obserwacji zachowań klienta: skąd się loguje, jak płaci, jak wygląda cashflow na jego kontach. Może to pomagać w wykrywaniu anomalii, w tym aktywności tzw. mułów finansowych, pomagających w oszustwach, jednak należy pamiętać, że mówimy tu o bardzo zaawansowanej analityce.

Krzysztof Szczepański akcentował rolę współpracy sektorowej, w ramach której instytucje infrastrukturalne, takie jak KIR, mogą agregować sygnały i wspierać banki w ocenie spójności oraz aktualności danych o kliencie.

SafeBank 2025. Krzysztof Szczepański. Źródło: BANK.pl
SafeBank 2025. Krzysztof Szczepański. Źródło: BANK.pl

Analiza behawioralna kontra deepfake: ślepa uliczka?

Gdy Paweł Minkina zapytał o przyszłość analizy behawioralnej – Krzysztof Szczepański odpowiedział, że z perspektywy bezpieczeństwa „im więcej wiemy o kliencie tym lepiej”, ale jednocześnie rośnie ryzyko, iż te sygnały staną się z czasem łatwe do podrobienia.

– Obserwując trendy związane z możliwością budowania fake’owych tożsamości czy deepfake’ów troszkę się obawiam, że analiza behawioralna w dłuższej perspektywie pójdzie w ślepą uliczkę, bo i te zachowania będą łatwe do podrobienia – przyznał.

Jako przykład podał deepfake’i z udziałem cudzego głosu i wizerunku, przypominając o głośnych oszustwach prowadzonych z użyciem narzędzi zdalnej komunikacji.

Konkluzja była jednoznaczna i zarazem szokująca: sam obraz „osoby przed kamerą” przestaje być wystarczającym dowodem, a organizacje muszą budować nawyk dodatkowego potwierdzania poleceń – nawet jeśli przychodzą od osób zaufanych, jak członkowie zarządu. Takimi możliwościami sprawcy nie dysponowali jeszcze cztery lata temu, dodał przedstawiciel KIR.

Czytaj także: SafeBank 2025: od regulacji do realnej cyberodporności. Inauguracja konferencji o bezpieczeństwie sektora finansowego

Tożsamość cyfrowa i podpis: wygoda, która bywa nadużywana

W kolejnej części rozmowy Paweł Minkina połączył wątki behawioralne z pytaniem o tożsamość: skoro można podrobić zachowania, to czy równie łatwo będzie w przyszłości „podrobić dokument”. Punkt ciężkości przesunął się na praktykę rynku i rolę infrastruktury.

Krzysztof Szczepański przypomniał, że KIR dostarcza usługi tożsamości cyfrowej (węzeł krajowy i komercyjny, mojeID) oraz jest dostawcą podpisu kwalifikowanego.

Rozmówcy zgodzili się, że gospodarka szybko zaadaptowała podpis elektroniczny, bo jest wygodny i pozwala zawierać umowy zdalnie.

– Bardzo szybko, bo to jest wygodne. Bo to jest wygodne, że można podpisać umowy bez spotykania się – mówił Krzysztof Szczepański.

Jednocześnie zwracał uwagę na ryzyko nieostrożnych zachowań: użytkownicy potrafią udostępniać swój podpis innym osobom, co oznacza – jak to ujął – kompromitację własnej tożsamości.

Wątek bezpieczeństwa tożsamości wrócił też przy koncepcji wykonywania czynności „aktem woli” w aplikacji mObywatel.

Krzysztof Szczepański chwalił kierunek, ale wskazywał, że utrata dostępu do takiego narzędzia może oznaczać realną utratę kontroli nad tożsamością używaną do zawierania umów.

Na pytanie, czy Europa może uczyć się od Polski, odpowiedź była ostrożna: regulacje eIDAS zrównują usługi w całej UE, ale – jak oceniał Krzysztof Szczepański – adopcja rozwiązań u nas przebiegła szybko, a edukacja klientów, wspierana także przez banki, jest relatywnie wysoka.

Wojenne scenariusze, sabotaż i podział obowiązków

W tle technicznych wątków pojawił się mocny sygnał o zmianie „krajobrazu ryzyka”.

Krzysztof Szczepański mówił, że organizacje zaczynają tworzyć scenariusze „wojenne”, obejmujące nie tylko ataki zewnętrzne, ale też sabotaż i wymuszenia na pracownikach, zwłaszcza tych z tożsamościami uprzywilejowanymi.

– Minimalizacja dostępu jest ekstremalnie ważna. A druga rzecz to separation of duty, żeby pracownik na krytycznych usługach nie mógł wykonać akcji samodzielnie – podkreślał.

Banki: optymizm, ale dwa kroki do tyłu

Na finał Paweł Minkina zapytał o dwa modne dziś obszary: generatywną AI i komputery kwantowe.

Krzysztof Szczepański przyznał, że o AI nie da się już nie rozmawiać, a ramy regulacyjne – w tym AI Act – wymuszają porządkowanie podejścia do modeli i ryzyk.

Jednocześnie patrzy na zbliżającą się erę kwantową z entuzjazmem, ale i z ostrożnością, wskazując na punkt krytyczny dla sektora: kryptografię.

– Dane, które szyfrujemy teraz – za kilka lat nie będą bezpieczne – ostrzegł, przekonując, że przygotowania do epoki post-kwantowej nie są mrzonką, tylko praktycznym zadaniem już na dziś.

SafeBank 2025. Od lewej: Paweł Minkina, Krzysztof Szczepański. Źródło: BANK.pl
SafeBank 2025. Od lewej: Paweł Minkina, Krzysztof Szczepański. Źródło: BANK.pl
Źródło: Portal Finansowy BANK.pl