Międzysektorowa wymiana informacji warunkiem bezpieczeństwa w e-gospodarce

Międzysektorowa wymiana informacji warunkiem bezpieczeństwa w e-gospodarce
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Z Dariuszem Kozłowskim, wiceprezesem zarządu Centrum Prawa Bankowego i Informacji, rozmawiał Karol Jerzy Mórawski

W jakim stopniu znajdujące się w obrocie podrobione dowody tożsamości generują zagrożenie dla rozwoju e-gospodarki?

– Jest to poważny problem o dale­kosiężnych i trudnych do ustalenia w chwili obecnej konsekwencjach. Stopniowe przenoszenie się obrotu gospodarczego do świata cyfrowego wymaga od nas posiadania cyfrowej tożsamości. Fałszywy dokument może być bardzo łatwo wykorzysta­ny do wykreowania fałszywej toż­samości w świecie cyfrowym. Jeżeli popełnimy grzech pierworodny i nie zadbamy o wypracowanie dobrych i przemyślanych procedur i me­tod zapewniających uszczelnienie systemu weryfikacji i identyfikacji tożsamości już na etapie budowy systemu, wykreujemy sobie w przy­szłości problemy w wielu obszarach, które bardzo trudno będzie wyeli­minować.

Tymczasem niektóre z procedur związane choćby z wydaniem dowodów osobistych wciąż nie są wystarczająco szczelne. Znany jest powszechnie przykład mężczyzny zatrzymanego przez świętokrzyską policję, u którego znaleziono 115 dowodów osobistych wystawionych na 47 nazwisk osób z terenu całego kraju. Męż­czyzna ten zmieniał tożsamość, stosując kamuflaż swojego wizerunku i w ten sposób wyrabiał oryginalne dokumenty w urzędach na wcześniej skradzione dane osób, które nie miały pojęcia, że na ich tożsamość zostały wydane nowe dowody osobiste. Brak możli­wości weryfikacji używanych w obrocie go­spodarczym dowodów osobistych w oparciu o ogólnodostępną bazę danych spowodował sytuację, kiedy to osoba, której tożsamości użyto do wyrobienia nowego dokumentu w dalszym ciągu posługiwała się swoim, nie utraconym przecież i „ciągle ważnym”, oryginalnym dowodem osobistym zaś prze­stępcy posługiwali się również oryginalnym dowodem osobistym wystawionym na cudzą tożsamość. Co prawda istniejący dowód osobisty osoby, której skradziono tożsamość został unieważniony w Rejestrze Dowodów Osobistych Ministerstwa Cyfryzacji w chwili wydania nowego dokumentu, ale informacja o tym fakcie jest przecież niedostępna dla przedsiębiorców i konsumentów i w związku z tym nie może być im znana.

Brak ogólnodostępnego systemu umożliwia­jącego weryfikację dokumentów powoduje, że w powszechnym obrocie gospodarczym oba są jednakowo „ważne”, ponieważ zarów­no w pierwszym, jak i drugim przypadku data ważności dokumentu nie upłynęła. W tym kontekście nietrudno sobie zatem wyobrazić sytuację, w której dopu­ścimy do świata cyfrowego osoby, których prawdziwa tożsamość nie będzie znana. W konsekwencji ktoś taki będzie mógł posiadać np. Profil Zaufany w e-PUAP, uzyskać certyfikat czy też podpis elektro­niczny kwalifikowany uprawnia­jący do zaciągania różnorakich zobowiązań w świecie wirtualnym. W takiej sytuacji bardzo łatwo będzie stracić zaufanie do gospo­darki cyfrowej, jeżeli nie będziemy mieć pewności, czy strony stające do podpisania umowy na odległość rzeczywiście są tymi, za które się podają oraz czy dokonywane trans­akcje finansowe będą prawidłowe i bezsporne. Z tym samym pro­blemem muszą się zmierzyć także inne sektory gospodarki, choćby podmioty wystawiające certyfikaty czy też notariusze.

Czy polskie prawo sprzyja ograniczaniu przestępstw prze­ciwko dokumentom?

– W polskim systemie prawnym pozostaje wciąż duży margines tolerancji dla działań, które w ewi­dentny sposób sprzyjają posługi­waniu się fałszywą tożsamością w obrocie gospodarczym. Jedyny na dzień dzisiejszy przepis, który penalizuje użycie fałszywego dokumentu jako autentycznego istnieje w Kodeksie postępowania karnego art. 270 §1. Niestety przepis ten jest niewystarczający, aby móc skuteczne zwalczać przestępczość w tym zakresie. Nie adresuje bowiem chociażby zakazu posiadania tego rodzaju podrobionych dokumentów. Przygotowany przez rząd projekt ustawy o dokumentach publicznych przewiduje wprawdzie penali­zację wytwarzania replik dokumentów czy też obrotu nimi, natomiast sam fakt posia­dania pozostanie w dalszym ciągu prawnie dozwolony. W konsekwencji oznacza to brak możliwości postawienia posiadaczowi takie­go dokumentu zarzutów przez policję, która podczas czynności operacyjnych natrafi na wierną kopię dokumentu tożsamości, jeżeli nie była ona wcześniej wykorzystana do popełnienia czynu zabronionego. Oznacza to tyle, że w dalszym ciągu jedynie schwytanie sprawcy na gorącym uczynku posługiwania się takim dokumentem będzie dawać możli­wość jego skazania.

Tymczasem problem podrabiania dowo­dów tożsamości staje się coraz bardziej palący: firmy wykonujące tego rodzaju fałszywki pod pretekstem tworzenia doku­mentów o charakterze kolekcjonerskim de­klarują, że są w stanie odwzorować orygi­nalny dokument z 99,9% podobieństwem, imitując dodatkowo wszystkie zabezpie­czenia oryginału. Oczywiście pojawia się pytanie, jak powinniśmy postępować w od­niesieniu do osób, które zakupiły imitacje dokumentów przed wejściem w życie ustawy, a które ewidentnie nie miały na celu działań o charakterze kryminalnym. Przykładem może być osobliwa moda na wykonywanie odwzorowań dowodów oso­bistych dla małoletnich dzieci lub zwierząt domowych. W takich przypadkach można by rozważyć wprowadzenie obowiązku re­jestracji lub ewidencji takich dokumentów pod rygorem odpowiedzialności. Wówczas sam fakt posiadania niezgłoszonej repliki dowodu tożsamości stanowiłby dla orga­nów ścigania podstawę do podjęcia odpo­wiednich działań.

Zakłamywanie własnej tożsamości w celu wyłudzenia kredytu może za­chodzić również w mediach społeczno­ściowych. W jaki sposób banki, coraz częściej sięgające po social scoring, mogą zabezpieczyć się przez sztucznym kreowaniem wizerunku przez klienta?

– W tym przypadku jest to kwestia dobo­ru odpowiednich narzędzi analitycznych i ustawienia właściwych reguł korelacyj­nych. W momencie, kiedy banki zaczynają wykorzystywać szeroko rozumiane zasoby social media czy big data równocześnie biorą na siebie ryzyko związane z bardzo ograniczoną wiarygodnością wspomnia­nych źródeł. Znając mechanizmy wykorzy­stywane przez banki w ramach np. social scoringu można się pokusić o stworzenie profilu własnego lub swojej firmy tak, by osiągnąć jak najlepszy wynik w toku bada­nia zdolności kredytowej, dodatkowo jesz­cze uprawdopodobniany przez grono zna­jomych. Moim zdaniem, informacje pozy­skane z serwisów społecznościowych mogą mieć co najwyżej charakter wspomagający ocenę zdolności kredytowej i nie powinny być traktowane jako jedyne czy podstawo­we kryterium takiej oceny. Informacje, na podstawie których podejmuje się decyzje biznesowe powinny być informacjami pew­nymi, a zatem pochodzącymi z pewnych i weryfikowalnych źródeł. Social media co do zasady takimi pewnymi źródłami nie są i najpewniej nigdy nie będą.

Obok ewidentnego fałszowania tożsa­mości poważnym problemem jest rów­nież wykorzystywanie tzw. słupów, czyli z reguły osób bezdomnych. Jak sobie radzić z tego rodzaju nadużyciami?

– Ten problem jest dużo bardziej złożony, ponieważ za taką tożsamością zawsze stoi autentyczna osoba. W tym przypadku jedynym problemem przestępców jest jej odpowiednie uwiarygodnienie w oczach pra­cowników frontoffice’owych. To, z czym się spotykamy na początku, to tworzenie wra­żenia dobrej prezencji takiej osoby – czystej, dobrze ubranej, ekskluzywnie wyposażonej. Wiadomo też, że z reguły takie osoby są całkowicie nieznane dla sektora bankowego, ponieważ z zasady nie korzystają one z usług bankowych i dlatego bank początkowo będzie podchodził z należytą ostrożnością w zakresie udzielania finansowania czy też oferowania swych produktów. Kolejnym elementem jest tzw. hodowanie słupa, czyli cierpliwe, nieraz wieloletnie, budowanie zdolności kredytowej po to, aby dokonać tzw. złotego ataku w najdogodniejszej chwili.

Trudno jest zatem wskazać konkretny sposób, pozwalający na wykrycie i wyelimi­nowanie tego procederu w stu procentach. Na pewno warto zwracać szczególną uwagę na zachowanie się takich osób w momencie otwierania rachunków bankowych: czy są one samodzielne, czy też towarzyszą im inne osoby, które sterują ich zachowaniem, czy używane przez nich słownictwo jest zbieżne z wizerunkiem osoby dobrze wy­kształconej itp. Wchodzimy zatem w ele­menty miękkie oceny, tj. oceny z zakresu socjologii i psychologii. Tutaj na pewno pomocne są szkolenia. Innym instrumen­tem, który mógłby pozwolić na znaczące ograniczenie takiej przestępczości byłaby międzysektorowa wymiana informacji, obejmująca chociażby informacje na temat danego klienta z firm ubezpieczeniowych, operatorów telekomunikacyjnych i innych dostawców np. usług masowych. Jest wielce prawdopodobne, że różne grupy przestęp­cze specjalizujące się w popełnianiu prze­stępstw – nazwijmy je – branżowych (np. jedni w sektorze ubezpieczeniowym, a inni w sektorze bankowym) wykorzystują te same osoby jako słupy. Mogłoby się okazać, że tożsamość takiego słupa byłaby wyko­rzystana tylko jeden jedyny raz do popełnienia przestępstwa, ponieważ informacja o tym byłaby już rozpowszechniona także w innych sektorach gospodarki. Niestety, tajemnice branżowe, stanowisko GIODO oraz konieczność dokonania zmian legisla­cyjnych na dzień dzisiejszy całkowicie wy­kluczają taką wymianę informacji.

A może w takim razie nadszedł już czas na biometrię, która pozwala na sku­teczną i jednoznaczną autentykację?

– Uwierzytelnianie biometryczne z pewno­ścią stanowi przyszłość, niemniej zanim to nastąpi, należy rozwiązać problemy zwią­zane z tworzeniem scentralizowanej bazy danych biometrycznych. Bez wątpienia mamy z jednej strony do czynienia z dany­mi wrażliwymi, a równocześnie taka baza powinna być powszechnie dostępna, żeby pozwolić na uniwersalną i międzyinstytu­cjonalną weryfikację klientów czy kontra­hentów. Polski sektor bankowy oczywiście korzysta z identyfikacji biometrycznej, jednak do chwili obecnej są to projekty prowadzone indywidualnie przez poszcze­gólne banki. Problem ujawnia się w chwili, kiedy klient banku udostępniającego np. bankomaty biometryczne chciałby wypłacić pieniądze w urządzeniu należącym do in­nej sieci. W swoim banku uwierzytelni się biometrycznie, tj. za pomocą skanu naczyń krwionośnych palca, natomiast skorzysta­nie z bankomatu innego banku będzie od niego wymagać i tak podania PIN-u. Reasu­mując, biometria ma ogromny potencjał na przyszłość, jednak obecnie problemem jest odmiejscowienie i scentralizowanie syste­mu uwierzytelnienia. Dodatkowo musimy być również gotowi na przeciwdziałanie kradzieżom tożsamości biometrycznej, której w przeciwieństwie do dowodu osobi­stego czy karty płatniczej nie da się w pro­sty sposób zmienić. Jeżeli nie rozwiążemy prawidłowo tych problemów, to w mojej ocenie projekt biometryczny może zakończyć się porażką.