Miesięcznik Finansowy BANK 2026/04

Sprytne oszustwa, sprytniejsza obrona: jak sztuczna inteligencja zmienia oblicze socjotechniki i co banki muszą zrobić już teraz

Marta Łąpieś | Cleafy
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Sprytne oszustwa, sprytniejsza obrona: jak sztuczna inteligencja zmienia oblicze socjotechniki i co banki muszą zrobić już teraz
Najtrudniejsze do powstrzymania są oszustwa, w których klient postępuje całkowicie prawidłowo.

Marta Łąpieś
Regional Sales Manager EMEA
Cleafy

To już rzeczywistość przestępczości finansowej. Europejskie banki zmagają się z tym problemem już teraz. Sztuczna inteligencja nie wymyśliła oszustw na nowo; doprowadziła jedynie do ich industrializacji.

O AI często mówi się w kontekście ewolucji technik oszustw, ale to pomija istotniejszą zmianę. Pojawiają się nie tyle lepsze oszustwa, co bardziej zorganizowane operacje przestępczości finansowej. Sztuczna inteligencja ograniczyła zmienność w sposobie tworzenia, przeprowadzania i powtarzania ataków.

Ostatnie szacunki SANS Institute sugerują, że AI zwiększa wydajność atakujących nawet 47-krotnie. Nawet jeśli liczba ta jest nieco zawyżona, efekt jest widoczny: większa wydajność, mniej przeszkód, znacznie większa spójność.

Nie tylko socjotechnika

Socjotechnika wciąż pozostaje punktem wejścia wielu operacji oszukańczych, ale nie jest już samodzielną taktyką. Stała się warstwą realizacyjną w ramach szerszych, coraz bardziej zautomatyzowanych operacji oszustw.

Klonowanie głosu, treści deepfake i wiadomości generowane przez AI to nie pojedyncze innowacje – to elementy kampanii, które są coraz bardziej stabilne, powtarzalne i prowadzone w sposób ciągły i nieustępliwy. Ta spójność zmienia to, co banki faktycznie widzą: powtarzalne wzorce skoordynowanej aktywności wkraczającej do środowisk cyfrowych. Socjotechnika pozostaje centralnym elementem współczesnej przestępczości finansowej w Europie Środkowej i Wschodniej. To właśnie za jej pomocą buduje się zaufanie i wywiera wpływ na dostęp. Z perspektywy operacyjnej liczy się jednak to, co następuje później.

W wielu przypadkach wiadomość phishingowa, sfałszowane połączenie telefoniczne czy zmanipulowany SMS to jedynie punkt wyjścia. Stamtąd działania przechodzą w szerszy łańcuch, który może obejmować przejęcie kontroli nad urządzeniem, ponowne użycie danych uwierzytelniających, przejęcie sesji lub sterowane wykonywanie działań w ramach kanałów bankowości cyfrowej. Coraz częściej łańcuchy te nie mają charakteru liniowego, lecz są koordynowane: wiele elementów – wiadomości tekstowe, połączenia głosowe, automatyzacja, a czasem nawet agenci oparci na sztucznej inteligencji – łączy się w jeden cel operacyjny.

To, co widzi bank, to nie jest pełny atak, lecz sam moment realizacji oszustwa – transakcja.

Oszustwo staje się widoczne dopiero po tym, jak pieniądze znikną.

Deepfake, spoofing i smishing – elementy ekosystemu cyberzagrożeń

Deepfake audio, spoofing identyfikatora dzwoniącego i wiadomości generowane przez AI są często traktowane jako odrębne rodzaje zagrożeń. W praktyce funkcjonują jako elementy tej samej kampanii, działając w różnych punktach styku bankowości cyfrowej. Jednocześnie operacje oszukańcze coraz częściej łączą kanały zdalne i fizyczne. Interakcje w oddziale, podszywanie się pod pracowników infolinii i sesje cyfrowe mogą być elementami tego samego skoordynowanego działania.

Współczesne operacje oszukańcze są zaprojektowane tak, aby ominąć tradycyjne punkty kontroli oszustw. Zanim sama transakcja oszukańcza zostanie zainicjowana, wcześniejsze etapy kampanii wydarzyły się już w wielu kanałach i punktach dostępu.

Nie liczy się sama transakcja, ale wzorzec aktywności, który do niej prowadzi. Ryzyko staje się widoczne dopiero wtedy, gdy sygnały są połączone między sesjami, urządzeniami, kanałami, siecią i interakcjami.

Logowanie ze znanego urządzenia. Sesja, która wygląda zwyczajnie. Sekwencja działań, które same w sobie nie budzą podejrzeń – a może nawet nie ma w nich nic niezwykłego. Te operacje są zaprojektowane tak, aby przechodzić przez kolejne punkty kontrolne jeden po drugim. I tak właśnie się dzieje.

Skoordynowane ataki

W systemach bankowości cyfrowej nie widać całości obrazu; widzi się tylko jego fragmenty. A to właśnie tutaj wszystko zaczyna się łączyć.

Same w sobie sygnały te nie mają większego znaczenia. Sesja, która wygląda na nieco nietypową. Urządzenie, które pojawia się ponownie w innym kontekście. Sekwencja działań, która wydaje się uporządkowana, ale nie jest w oczywisty sposób złośliwa. Pojedynczo nie uzasadniają interwencji. Dlatego właśnie przechodzą niezauważone.

Zmiana następuje wtedy, gdy przestają być oceniane w izolacji.

Patrząc przez pryzmat różnych sesji, urządzeń w różnym czasie, wzorce zaczynają się powtarzać. Aktywność, która początkowo wydawała się niepowiązana, zaczyna się układać w całość. Nie idealnie, ale wystarczająco, by sugerować koordynację, a nie przypadek.

To jest moment, w którym zmienia się wykrywanie. Nie w momencie transakcji, ale przed nią – gdy zaczyna ujawniać się struktura, która za nią stoi.

Rygorystyczne przepisy

Przepisy dotyczące tego, co dzieje się przed transakcją, stają się coraz bardziej rygorystyczne. W całej Europie regulacje takie jak DORA i PSD3 zmieniają oczekiwania. Nie chodzi już tylko o to, czy oszustwo zostało zatrzymane w momencie płatności. Chodzi o to, co można było zaobserwować wcześniej.

Czy były jakieś sygnały. Czy były one ze sobą powiązane. Czy system miał możliwość podjęcia działań, zanim pieniądze zostały przelane. To zmienia standardy. Niepozornie, ale znacząco. Ponieważ wykrywanie po fakcie już nie wystarcza, by wyjaśnić, dlaczego nie udało się czemuś zapobiec.

Co banki powinny teraz zrobić

Odpowiedź na socjotechnikę wspieraną przez sztuczną inteligencję wymaga strategicznej zmiany w podejściu banków do obrony przed oszustwami. Na pierwszy plan wysuwają się cztery priorytety.

Rozszerzenie widoczności poza transakcję. Monitorowanie na poziomie sesji, analiza behawioralna i analiza przepływu w czasie rzeczywistym muszą stać się podstawowymi elementami systemu zapobiegania oszustwom, a nie opcjonalnymi dodatkami.

Budowanie świadomości międzykanałowej. Oszuści działają jednocześnie przez telefon, SMS, e-mail i bankowość cyfrową. Systemy detekcji, które widzą tylko jeden kanał naraz, zawsze będą o krok w tyle.

Przygotowanie się na zmianę odpowiedzialności. Wraz z wejściem w życie DORA i zbliżającym się PSD3 banki powinny proaktywnie audytować swoje zdolności wykrywania i zapobiegania oszustwom pod kątem pojawiających się nowych wymagań regulacyjnych. Wykazanie solidnej detekcji oszustw przed transakcją staje się równie ważne jak sama detekcja transakcji oszukańczej.

Inwestowanie we współpracę. Kampanie oszustw oparte na sztucznej inteligencji są skierowane jednocześnie do wielu instytucji. Wymiana informacji między bankami, między sektorami oraz z partnerami technologicznymi przyspiesza reakcje i podnosi koszty ataków dla przestępców.

Zaufanie wciąż jest na celowniku

Sztuczna inteligencja nie zmieniła celów oszustów. Chcą oni pieniędzy, dostępu i kontroli. Zmieniła natomiast spójność, z jaką można realizować te działania w różnych kanałach i środowiskach. Ta spójność tworzy strukturę. A struktura umożliwia wykrywalność – o ile model wykrywania jest skonstruowany tak, by korelować sygnały, a nie oceniać zdarzenia w oderwaniu od siebie.

Banki, które opierają się na mechanizmach kontroli na poziomie transakcji, będą nadal obserwować tylko skutki. Banki, które korelują sygnały w swoich środowiskach cyfrowych, będą obserwować operacje w toku, śledzić przebieg operacji. To właśnie tam interwencja jest jeszcze możliwa.

Źródło: Miesięcznik Finansowy BANK