Cyberbezpieczeństwo | Wydarzenia

Forum Bezpieczeństwa Banków, AML i onboarding uchodźców z Ukrainy

Bohdan Szafrański | aleBank.pl
Forum Bezpieczeństwa Banków, AML i onboarding uchodźców z Ukrainy
FBB 2022, sesja III, fot. ZBP
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
"AML w nowej kryzysowej rzeczywistości" to był temat trzeciej sesji XI Forum Bezpieczeństwa Banków, które odbyło się 11 maja 2022 roku.

Podczas tej Sesji poruszono m.in. takie tematy jak otwieranie kont bankowych dla obywateli Ukrainy i problemy z weryfikacją tożsamości uchodźców ze względu na dokumenty, którymi się posługują.

Poruszono sprawę projektu nowego unijnego pakietu legislacji AML (w tym projektu rozporządzenia AML). Wymagań EBA dotyczących nowej roli i obowiązków inspektorów ds. zgodności AML/CFT oraz sankcji wobec obywateli i firm z Rosji zarówno w wymiarze UE, jak i wynikających z polskiej ustawy sankcyjnej.

Sesję moderował dr Tadeusz Białek, wiceprezes ZBP.

W dyskusji udział wzięli: Elżbieta Franków-Jaśkiewicz – naczelnik Wydziału Współpracy Międzynarodowej, Departament Informacji Finansowej w Ministerstwie Finansów, Beata Szewczuk – przewodnicząca Forum AML przy ZBP, dyrektor Biura Przeciwdziałania Praniu Pieniędzy i Finansowaniu Terroryzmu, Departament Bezpieczeństwa Banku Pekao, Radosław Obczyński – dyrektor Departamentu Przeciwdziałania Przestępczości Finansowej w mBank, Robert Trętowski – wiceprezes zarządu w KIR oraz Katarzyna Urbańska – dyrektor Zespołu Prawno-Legislacyjnego w ZBP.

Czytaj także: Forum Bezpieczeństwa Banków, wnioski z wojny w Ukrainie dla zachowania ciągłości działania sektora bankowego

AML i co dalej?

Elżbieta Franków-Jaśkiewicz mówiła o zaawansowaniu prac nad pakietem AML zaprezentowanym przez Komisję Europejską. Najbardziej zaawansowanym projektem jest projekt rozporządzenia o informacjach towarzyszących transferom środków pieniężnych oraz niektórych kryptoaktywów. W czerwcu planowane jest kolejne posiedzenie w tej sprawie.

Eksperci Ministerstwa Finansów będą pracować w ramach Rady Europy, żeby kwestie sporne, które są jeszcze obecnie w ramach tego rozporządzenia rozwiązać. Jest to akt prawny, na którym zależy prezydencji francuskiej. Trzeba pamiętać, że projektowane rozporządzenie jest powiązane z innym dyskutowanym obecnie, a dotyczącym kryptoaktywów.

Prace nad tymi projektami przebiegają równolegle. Kolejnym aktem, który się pojawi, jest dotyczący utworzenia europejskiego Urzędu ds. Przeciwdziałania Praniu Pieniędzy i Finansowania Terroryzmu („AMLA”).

Obecnie oczekuje się na tekst jednolity, który będzie dalej procedowany. Założenia projektu przewidywały, że Urząd rozpocznie pracę już w 2023 r. Nie ma też jeszcze decyzji politycznej, w jakim państwie agencja ta powstanie.

Radosław Obczyński odnosząc się do wymagań EBA dotyczących nowej roli i obowiązków inspektorów ds. zgodności AML/CFT podał, że EBA już zatwierdziła ten dokument (informacja jeszcze oficjalnie niepotwierdzona). Pierwszym wyzwaniem jest okres dostosowawczy, czyli jak było to zakładane, jest to grudzień 2022 r.

Chief AML officer zgodnie z założeniami będzie musiał podlegać bezpośrednio pod członka zarządu, który bezpośrednio odpowiada za przeciwdziałanie praniu pieniędzy i tym członkiem zarządu musi być osoba, która nie nadzoruje bezpośrednio żadnego z innych obszarów, który nie podlegałby weryfikacji przez AML.

W większości banków będzie to prezes zarządu albo Chief Risk Officer (CRO). Linia raportowania ma być tylko skierowana do zarządu, a nie do rady nadzorczej. Dodatkowo wytyczne szczegółowo określają, co ma być raportowane dla zarządu i w jakich cyklach czasowych.

Chief AML officer ma składać rekomendacje dotyczące AML. Zarząd nie zgadzając się z rekomendacją, będzie musiał wytłumaczyć, dlaczego z nią się nie zgodził. Jest też podana szczegółowa informacja, kto może zostać chief AML officer w banku. Jest też unormowana kwestia outsourcingu w zakresie AML i nadzoru nad tymi procesami.

Sankcje ‒ problem, z którym trzeba się zmierzyć

Beata Szewczuk przedstawiła problematykę sankcji na poziomie unijnym i naszym krajowym. Inwazja Rosji na Ukrainę spowodowała nową odsłonę w zakresie sankcji, a dodatkowo polska ustawa z kwietnia tego roku wprowadziła kolejne zmiany.

Dotychczas objęte sankcjami były osoby i podmioty, które funkcjonowały poza rynkiem polskim. Przy sprawdzaniu baz danych sankcyjnych pozytywne wyniki trafiały się sporadycznie i dotyczyły zwłaszcza list USA i nie występował obowiązek zamrożeniem środków.

Wyzwaniem jest polska ustawa sankcyjna, bo wprowadziła na listę podmioty, które operują na naszym rynku

Obecnie powiększyła się lista podmiotów i osób, co spowodowało zwiększenie się liczby alertów. Doszły też obowiązki monitorowania poziomów depozytów dla obywateli Rosji i Białorusi, osób zamieszkałych w tych krajach oraz podmiotów z siedzibą w tych krajach.

Wyzwaniem jest wprowadzenie rozwiązań technologicznych, które zapewnią blokowanie takich depozytów. Nie było czasu na przygotowanie się do wdrożenia takich rozwiązań.

Wyzwaniem jest również polska ustawa sankcyjna, bo wprowadziła na listę podmioty, które operują na naszym rynku. W przypadku takich klientów banki musiały zamrozić środki i poinformować odpowiedni organ. Problemem okazało się wskazanie, do jakiego organu daną sytuację zgłosić ze względu na, jak stwierdziła Beata Szewczuk, mało precyzyjną w tym zakresie ustawę.

Zgodnie z jej opinią, takim organem jest szef Krajowej Administracji Skarbowej (KAS). Podkreśliła, że za niestosowanie się do ustawy grożą wysokie kary.

Omówiła również sprawy związane z zamrożeniem i nieudostępnianiem środków na podejrzanych kontach. Nadal jest wiele wątpliwości jak postępować w konkretnych przypadkach.

Robert Trętowski podkreślił brak spójności regulacji, a w gąszczu regulacji łatwo też popełnić błąd interpretacyjny. Zapowiedział przekazanie bankom opisu usługi — modułu alertów wdrożonego razem z ZBP.

Moduł może przykładowo dodawać informacje o tym, że jedna ze stron transakcji jest osobowo powiązana z podmiotem znajdującym się na liście sankcyjnej. Przedstawiciel KIR omówił również tzw. informacje rozszerzone.

Problemy z weryfikacją tożsamości uchodźców

Katarzyna Urbańska przedstawiła problematykę tzw. onboardingu obywateli Ukrainy w naszym systemie bankowym. Część osób uciekających z Ukrainy przed wojną dociera do naszego kraju bez dokumentów i sektor bankowy nie może przeprowadzić ich pełnej identyfikacji, ani weryfikacji tożsamości.

Sektor otrzymał 3 marca informację z KNF jak taki onboarding powinien wyglądać. Chodzi tu o wszystkich uchodźców, którzy uciekają z Ukrainy, nie tylko obywateli Ukrainy. Mogą to być osoby pochodzące z krajów wysokiego ryzyka i nawiązanie relacji biznesowej z nimi jest trudne lub nawet niemożliwe.

Osoby, które mogą okazać dokumenty możliwe do weryfikacji, mogą otrzymać normalne produkty bankowe, a nie tylko tymczasowe konta z ograniczoną ważnością do 6 miesięcy.

Wspomniała o problemach osób, które albo nie miały żadnych dokumentów lub miały dokumenty w rodzaju paszportu wewnętrznego pisanego cyrylicą. W tej ostatniej sytuacji jest problem z właściwą transkrypcją ich danych na alfabet łaciński.

Czytaj także: Forum Bezpieczeństwa Banków 2022, w kwestiach bezpieczeństwa sektor bankowy ma wspólny interes

Pomocne rozwiązania antyfraudowe

Ostatniej debacie Forum Bezpieczeństwa Banków  towarzyszyły wystąpienia zaproszonych ekspertów.

Sektorowość rozwiązań antyfraudowych BIK to temat wystąpienia Bartosza Wójcickiego – dyrektora Biura Usług Antyfraudowych w BIK.

Jak poinformował, do banków, SKOK-ów, instytucji pożyczkowych i leasingowych współpracujących z BIK we wrześniu 2021 r. dołączyły firmy faktoringowe. To istotny element domykający krąg wymiany informacji w celu przeciwdziałania nadużyciom.

Platforma antyfraudowa BIK zapobiega fraudom aplikacyjnym, czyli ogranicza straty z tytułu wyłudzonych kredytów i oferuje pełną wymiana on-line ostrzeżeń pomiędzy wszystkimi uczestnikami. Obejmuje obecnie swoim działaniem wnioski od osób fizycznych, jak i przedsiębiorców. Zwraca uwagę na powiązanie osób i firm. Teraz nie trzeba już sprawdzać oddzielnie dwóch baz danych.

Platforma antyfraudowa od 2017 rroku zaoszczędziła sektorowi ponad 400 mln zł i ponad 9 mln zł tylko w marcu 2022 roku

BIK zbudował też dwa modele antyfraudowe, które będą dostępne w ramach platformy antyfraudowej. Jeden z nich obrazuje ryzyko wyłudzenia, a drugi prognozuje brak intencji spłaty. Za pośrednictwem bazy KRS, będą wyszukiwane powiązania nie wprost. Na przykład czy dana osoba nie jest powiązana poprzez strukturę zarządu z firmą, która dokonała wyłudzenia.

Bartosz Wójcicki przedstawił rozwiązanie Cyber Fraud Detection, które weryfikuje w kanale on-line urządzenie, z którego następuje kontakt klienta z bankiem. Rozwiązanie korzysta nie tylko z rozpoznawania samego urządzenia, ale z szeregu działań, które pozwalają zweryfikować, czy urządzenie jest spójne ze sobą, jakie są jego ustawienia i czy jest to urządzenie, z którego logowano się dotychczas.

Platforma antyfraudowa od 2017 r. zaoszczędziła sektorowi ponad 400 mln zł i ponad 9 mln zł tylko w marcu 2022 r. Obecnie uczestników tego rozwiązania jest 19, a kolejne podmioty chcą się do platform BIK przyłączyć.

Bartosz Wójcicki przedstawił również między innymi tworzoną właśnie w BIK, Platformę Biometrii Behawioralnej BIK (Platforma B3). Można dzięki niej zweryfikować użytkownika na podstawie sposobu, w jaki wpisuje dane z klawiatury, jak trzyma urządzenie mobilne itp. Takie rozwiązanie chroni przed zdarzeniami typu zdalny pulpit, przejęcie sesji. Czyli wszędzie tam, gdzie nastąpi zmiana sposobu korzystania z urządzenia i klient traci kontrolę nad swoją bankowością elektroniczną. Z tego rozwiązania korzystają już dwa banki, a gwarantowana skuteczność to 96%.

Rozwiązania chmurowe i bezpieczeństwo

Krzysztof Butajło – Ekspert ds. bezpieczeństwa IT w firmie Ratels, Forcepoint Titanium Partner przedstawił usługę Forcepoint Security Service Edge. Firma Ratels wdraża rozwiązania dotyczące bezpieczeństwa IT na rynku publicznym i bankowym w Polsce od ponad 13 lat.

Security Service Edge jest platformą bezpieczeństwa dostępu do aplikacji chmurowych. Obecnie dane, aplikacje i użytkownicy są na zewnątrz, dlatego potrzebna jest platforma, która jest blisko takich danych i takiego modelu zagrożeń. Jeśli ruch w sieci nie zawiera danych poufnych, to jest kierowany bezpośrednio, bez potrzeby wprowadzania dodatkowego opóźnienia lub ingerencji.

Jeśli pojawia się ruch potencjalnie ryzykowny, to jest transportowany przez platformę natywnych usług chmurowych, które wykonują odpowiednie operacje w zależności od kontekstu takiego ruchu. Omówił też ograniczenia związane z zastosowaniem standardowego VPN w firmach.

O natychmiastowym i pewnym przywracaniu baz danych dzięki IBM Safeguarded Copy oraz Cyber Vault mówił w swoim wystąpieniu Konrad Puchała – kierownik Działu Składowania i Ochrony Danych w firmie Advatech.

Po pierwsze należy zadać sobie pytanie, jak szybko dane muszą być odtworzone (RTO). Chodzi tu nie o wysoką dostępność bieżącej kopii systemu. Jeśli nastąpi atak, to nie będziemy oczekiwali odzyskania danych z kopii bieżącej, która jest wysoko dostępna, ale ze starszych kopii zapasowych.

Ma to ograniczenia technologiczne w tym parametr RTO. Dla 20% aplikacji okazuje się, że same zabezpieczenia Data Center to za mało, bo czas odzyskiwania kopii spowoduje przerwę w ciągłości działania banku.

Dlatego systemy backupu wymagają wsparcia, żeby zapewnić im odpowiedni parametr biznesowy. Dzięki zastosowaniu technologii opracowanej przez IBM można ważne aplikacje odzyskiwać natychmiast.

Czytaj także: Forum Bezpieczeństwa Banków 2022, konflikt zbrojny i wojna hybrydowa a bezpieczeństwo sektora bankowego

Źródło: aleBank.pl