Banki dostały jeszcze miesiąc na wyłączenie usług opartych o screen scraping. Nadzór uważa, że mechanizm jest sprzeczny z prowadzoną przez lata kampanią edukacyjną. Jest jednak jeszcze jedno ryzyko, o którym nikt głośno nie mówi. Screen scraping w połączeniu z "kontem na słupa" może stanowić niebezpieczną mieszankę.
Na początku roku pisałem o procederze sprzedaży tzw. anonimowych kont bankowych. Od tego czasu sytuacja na rynku niewiele się zmieniła. Wciąż bez problemu można kupić konto założone na słupa, a paleta dostępnych produktów jest coraz szersza. Cena od kilkuset złotych do kilku tysięcy. Zależy od wymagań i oczekiwań klienta. Handlarze zakładają konta na amatorów tanich trunków, którzy za drobną opłatą udostępniają swoje dane osobowe.
Później konta klonowane są w kolejnych instytucjach. Ułatwia to mechanizm wykorzystujący przelew aktywacyjny z innego banku. Dziś taką usługę oferuje już 15 banków. Oznacza to, że na nazwisko jednej osoby można bez jej udziału otworzyć konta w kolejnych 15 instytucjach. Dziesięciu słupów, to 150 rachunków. Patrząc na ceny lewych kont na rynku wtórnym, stopa zwrotu z takiej inwestycji jest całkiem niezła.
Źródło: Fragment jednego z ogłoszeń
Słupem nie musi być oczywiście osoba, która udostępnia swoje dane świadomie. Regularnie media nagłaśniają sprawy fałszywych ogłoszeń o pracę, w których rzekomi rekruterzy żądają od potencjalnych pracowników przesłania przelewu weryfikacyjnego na drobną kwotę. Ofiara wysyła przelew, który w rzeczywistości służy do aktywowania konta w banku. Kontakt z pracodawcą się urywa, a po kilku miesiącach potencjalny pracownik zaczyna dostawać wezwania do zapłaty z firm pożyczkowych. Szczegółowo na temat całego procederu pisałem TUTAJ.
Tajemnicą poliszynela jest fakt, że fałszywych kont w bankach może być nawet setki tysięcy. Nie sposób tego jednak zweryfikować. Banki nie chcą podawać informacji o aktywnych i martwych rachunkach, a wiadomości o wszelkich fraudach są jedną z najpilniej strzeżonych tajemnic. O tym, że coś musi być na rzeczy świadczy ruch PKO Banku Polskiego, który zaledwie kilka miesięcy oferował procedurę zakładania kont przelewem. Oficjalnie wycofał ją dlatego, że nie cieszyła się zainteresowaniem klientów. Nieoficjalnie mówi się jednak, że mogło być wręcz odwrotnie. Być może bank obawiał się, że na jego zapleczu przestępcy wyhodują sobie całą farmę lewych rachunków.
W nieoficjalnych rozmowach bankowcy mówią, że problem lewych kont istnieje. Nikt nie podejmuje się jednak oszacowania skali zjawiska. Najwidoczniej nie jest to błahostka, skoro w grudniu ubiegłego roku sprawą zajął się Związek Banków Polskich. Wydał zbiór dobrych praktyk i wskazówek, jak uszczelnić procedury zakładania kont i zminimalizować ryzyko fraudów. Udało mi się dotrzeć do szczegółów opracowania, które przedstawiłem TUTAJ.
Do tej pory w kontekście lewych kont mówiło się głównie o drobnych przestępstwach. Wyłudzaniu kredytów z firm pożyczkowych, wystawiania fałszywych aukcji, odsprzedaży na rynku wtórnym itp. Warto jednak zastanowić się, czy proceder zakładania i klonowania kont nie pociąga za sobą większego ryzyka systemowego. Nie jest tajemnicą, że większość banków ma dziesiątki uśpionych kont, z których klienci nie korzystają. Obok tych zapomnianych, mogą jednak funkcjonować takie, które w przyszłości posłużą do działalności niezgodnej z prawem. O ile oczywiście przestępcom wystarczy cierpliwości.
Zobacz też: Screen scraping dzieli bankowców. A czego chcą klienci?
Wyobraźmy sobie, że złodziej poświęci trochę czasu i chęci, "hodując" sobie konto z kilku- kilkunastomiesięczną historią obrotów. Rachunek założony będzie oczywiście na obce dane. Dysponując historią obrotów na rachunku, będzie mógł złożyć wniosek o kredyt. W placówce jest to dość ryzykowne, ale może wykorzystać do tego screen scraping.
Złoży wniosek na stronie banku, poda login i hasło, automat zaciągnie historię obrotów i na jej podstawie zaproponuje kredyt. I nie będzie to już chwilówka na kwotę rzędu kilkuset złotych. Banki podają, że wiążącą decyzję klient dostaje w ciągu zaledwie kilku minut. Przy wydawaniu decyzji pracuje automat, a nie analityk. Wystarczy podpisać wniosek SMS-em, a pieniądze trafią na konto najpóźniej na drugi dzień. Jeśli złodziej dysponuje kilkoma kontami, może powielić ten krok jeszcze wielokrotnie. Oczywiście jest nie do namierzenia, bo pieniądze rozejdą się zaraz po innych "lewych" rachunkach czy kartach prepaid.
Sprawa screen scrapingu wydaje się na razie przesądzona. Komisja Nadzoru Finansowego zaleciła bankom, by wyłączyły tego typu usługi dając im czas do końca października. Zwolennicy tej metody mają jednak nadzieję, że blokada będzie tylko tymczasowa. Banki będą mogły do wrócić do screen scrapingu po wejściu w życie nowej dyrektywy PSD 2, która prawdopodobnie dopuści stosowanie takich procedur. Przyjdzie na to jednak poczekać kilkanaście miesięcy. Sam mechanizm znajduje się jednak w centrum uwagi firm pożyczkowych, którym KNF nie może zakazać wdrożenia usługi.
Zobacz też: KNF ostrzega przed screen scrapingiem. Sofort: to sprzeczne z regulacjami unijnymi
Na tę chwilę zagrożenia wiążące się ze screen scrapingiem, na które zwraca uwagę KNF, należy rozpatrywać raczej w kategoriach prewencyjnych. Do tej pory nie odnotowano bowiem przypadku nieuprawnionego dostępu do konta po wykorzystaniu automatu do logowania. Z kolei zagrożenia związane z klonowaniem rachunków za pomocą przelewów aktywacyjnych są jak najbardziej realne. Mechanizm nie budzi zastrzeżeń i jest już rynkowym standardem. Nawet mimo tego, że część takich kont trafia potem na rynek wtórny i służy do wyłudzania pieniędzy.
Wojciech Boczoń
