Raport Specjalny | Bezpieczny Bank – Systemy ZBP | Prawo powinno wspierać międzysektorową wymianę informacji

Współczesna gospodarka bazuje na danych, są one wręcz walutą XXI wieku, nieprzypadkowo też budzą zainteresowanie środowisk przestępczych. Warto postawić pytanie, które formy kryminalnej aktywności, bazujące na danych, stanowią największy problem dla instytucji finansowych?

– Na pierwszym miejscu uplasowałbym proceder nielegalnego pozyskiwania i kradzieży tożsamości, w celu późniejszego wykorzystania do popełniania przestępstw finansowych. Dotyka on z reguły klientów banków, w zdecydowanej większości ludzi o relatywnie niskiej świadomości w zakresie występowania cyberzagrożeń, którzy łatwo ulegają manipulacjom socjotechnicznym, bardzo często dokonywanym przez potężne i dobrze zorganizowane struktury przestępcze, nierzadko o zasięgu transgranicznym. Zarówno proceder handlu cudzymi danymi osobowymi, jak i posługiwania się nimi umożliwia dokonywanie przestępstw na niebagatelne kwoty, a zyski osiągane przez grupy przestępcze zajmujące się cyberprzestępczością przewyższają te, pochodzące z handlu środkami odurzającymi. Kradzież tożsamości jest jedną z najszybciej rozwijających się dziedzin przestępczości.

Kolejnym zjawiskiem jest wyłudzanie danych uwierzytelniających do rachunków bankowych, co z reguły dokonywane jest przy użyciu socjotechniki. Pozyskanie credentiali do bankowości elektronicznej służy już nie tylko wyprowadzeniu środków zgromadzonych na rachunku czy zaciągnięciu kredytu na konto ofiary, może być też wykorzystane do przechwycenia profilu zaufanego, czyli środka identyfikacji elektronicznej, służącego m.in. do potwierdzenia tożsamości w internecie lub podpisania dokumentu podpisem elektronicznym. Wprowadzenie ustawą od dnia 14 lipca br. nowej wersji mobilnego dokumentu tożsamości (tzw. mDowód) stwierdzającego tożsamość użytkownika aplikacji mObywatel na terytorium Polski otworzyło w tym kontekście nowe możliwości dla przestępców. Dysponując profilem zaufanym, oszuści są w stanie wyrobić taki mobilny dokument na cudzą tożsamość, a ofiara może nie mieć świadomości, iż ktoś podszywa się pod nią w celu dokonywania oszustw – aż do momentu, w którym nie pojawi się u niej np. komornik.

Ale przecież wprowadzenie cyfrowego mDowodu miało być realizacją oczekiwań rynku…

– Aplikacja mObywatel od dłuższego czasu oferowała użytkownikom cyfrowe odzwierciedlenie tzw. plastikowego dowodu osobistego, który był honorowany przez różne instytucje, np. Pocztę Polską czy Policję. Miał on jednak poważne ograniczenia i nie mógł być wykorzystywany np. w kontaktach stron na odległość. Brakowało tej mobilności sensu stricte. Wszyscy spodziewali się, że wprowadzenie w aplikacji mObywatel 2.0 mDowodu, który w nazwie ma słowo „mobilny”, powinno usunąć te ułomności. Tak się niestety nie stało. mDowód jest niezależnym i równorzędnym do plastikowego dokumentem tożsamości, ma swoją własną serię, numer, datę wydania i ważności różne od tych z dokumentu tradycyjnego plastikowego. Ale ustawodawca zastrzegł, że może być wykorzystywany wyłącznie w relacjach wzajemnej fizycznej obecności stron (sic), co samo w sobie zaprzecza już tej idei.

Jeśli różnica pomiędzy klasycznym dokumentem tożsamości a mDowodem ma polegać jedynie na tym, że jest on w aplikacji mobilnej obok i tak istniejącego cyfrowego odzwierciedlenia dowodu tradycyjnego, to stawia to pod znakiem zapytania zasadność jego wprowadzenia do obrotu. Można powiedzieć, że również klasyczny plastikowy dowód osobisty jest mobilny, bo przecież nosimy go stale ze sobą i możemy się równie dobrze nim posłużyć w kontaktach osobistych. Sposób jego implementacji do obrotu gospodarczego też budził poważne wątpliwości. Krótkie vacatio legis na rozpoczęcie honorowania nowego typu dokumentu przez podmioty obowiązane, jakimi są banki, początkowy brak narzędzi weryfikujących (przewidziano jedynie aplikację mWeryfikator na telefony komórkowe), które powinny umożliwiać pozostawienie tzw. śladu audytowego zgodnie z wymaganiami innych regulacji, np. AML-owych, konieczność dokonania zmian w procedurach KYC przyprawiło środowisko bankowe o niemały ból głowy. Nasze apele do Ministerstwa Cyfryzacji o wydłużenie czasu na dostosowanie się, nie odnosiły skutku.

Ostatnie kwartały przyniosły też możliwość zastrzegania PESEL, co w zamyśle twórców powinno zapewnić skuteczniejszą ochronę przed skutkami kradzieży tożsamości. Na ile wyczerpuje ono oczekiwania rynku?

– Sam pomysł nie jest nowy. Sektor bankowy od dawna oferował podobne rozwiązanie pod nazwą Bezpieczny PESEL, w którym po wykupieniu usługi, rejestracji i aktywacji konta w BIK, wysyłany był SMS na numer osoby z informacją o próbie wyłudzenia na jej PESEL. System ten miał jednak istotną wadę – był opcjonalny i dotyczył sektora bankowego. Rozciągnięcie na wszystkie instytucje finansowe, notariuszy, firmy telekomunikacyjne i wiele innych instytucji obowiązanych ustawowego obowiązku weryfikacji istnienia zastrzeżenia numeru PESEL przed zawarciem np. umowy na prowadzenie rachunku bankowego, udzieleniem kredytu, pożyczki lub leasingu, wydaniem karty kredytowej, wydaniem duplikatu karty SIM, sprzedaży mieszkania lub dokonaniem wypłaty gotówkowej powyżej określonego w ustawie limitu powoduje, że system powinien stać się szczelny.

Co z tego, skoro sposób jego implementacji przez ustawodawcę do obrotu gospodarczego znowu wprowadził spore zamieszanie. Począwszy od 17 listopada br., można prewencyjnie zastrzec swój numer PESEL, ale podmioty obowiązane, a takimi są banki, ...