Powierzyliśmy nowym technologiom nasze finanse. Karty zastąpiły gotówkę, a domowe sejfy zamieniliśmy na cyfrowe skrytki. Nie zastanawiamy się nad tym, co będzie, gdy pewnego dnia ktoś wyłączy wtyczkę i zresetuje system. W ankiecie #naBankiera wybraliście temat o zagrożeniach, jakie niosą ze sobą nowe technologie w finansach. Spróbujmy się z nim zmierzyć.
Na początek kilka liczb i faktów. Jesteśmy uzależnieni od komputerów i smartfonów, a to znajduje odzwierciedlenie także w świecie finansów. Z bankowości internetowej aktywnie korzysta 16 mln Polaków, a z mobilnej – 10 mln. Mamy blisko 40 mln kart płatniczych, którymi tylko w pierwszym kwartale 2018 roku wykonaliśmy bezgotówkowo miliard transakcji na łączną kwotę 62 mld zł. W obiegu co prawda nadal rządzi gotówka, ale jej udział z kwartału na kwartał spada. Coraz chętniej płacimy smartfonami, zegarkami i innymi gadżetami. Wirtualnych kart HCE jest na rynku już ponad 1,5 mln. W pierwszym półroczu Blikiem wykonaliśmy 33 mln transakcji.
Gotówka powoli znika z oddziałów bankowych. Na rynku jest już kilkaset placówek, które w ogóle nie przyjmują papierowych pieniędzy. Prezes największego banku w Polsce prognozuje, że oddziały zajmujące się obrotem gotówką będą zanikały, a za 10 lat będzie ich już tylko 20 proc. Jednocześnie banki coraz śmielej sięgają po automatykę i robotykę. Maszyny zastępują ludzi, oceniają naszą zdolność kredytową, analizują wydatki, zarządzają oszczędnościami i profilują reklamy.
Nie będę hipokrytą – sam chętnie korzystam z dobrodziejstw, jakie niosą ze sobą nowe technologie w finansach. Rzadko noszę przy sobie gotówkę, a na co dzień płacę zbliżeniowo smartfonem lub zegarkiem. Staram się nie snuć czarnych wizji i nie myśleć o tym, co będzie, kiedy ktoś kiedyś wyciągnie wtyczkę i zresetuje cały system. Na potrzeby tego tekstu przygotowałem jednak kilka scenariuszy.
Nie będzie niczego
– Wysadzimy siedziby wydawców kart kredytowych. Anulujemy całe zadłużenie. Wyzerujemy wszystko. Totalny chaos – to słowa Tylera Durdena, głównego bohatera filmu „Fight Club”. Stojąc na czele bandy ekstremistów, Durden chciał zresetować cały system finansowy. Film powstał 20 lat temu, więc scenariusz przewidywał raczej klasyczne rozwiązanie - podłożenie materiałów wybuchowych pod budynki. Gdyby dziś powstała druga część, Tylerowi zamiast bandy zbirów w kominiarkach wystarczyliby hakerzy w białych rękawiczkach.
Obecnie wszelkie informacje o klientach i ich produktach zapisywane są w wersji elektronicznej. Są tam dane o udzielanych kredytach, trzymanych depozytach, bankowych rezerwach. Wykasowanie takich informacji (a także ich kopii zapasowych) zachwiałoby równowagą systemu finansowego. Z dnia na dzień gospodarka przestałaby funkcjonować – banki nie byłyby w stanie udzielić finansowania firmom, firmy wypłacić pensji pracownikom. Wielkie sieci handlowe, które rozliczają się bezgotówkowo, zostałyby pozbawione dostaw towarów. Zniknęłyby informacje o kredytach (może to i dobre), ale tak samo wyzerowałyby się salda rachunków. Klienci straciliby trzymane w bankach oszczędności, fundusze emerytalne, inwestycje, ubezpieczenia, akty własności. Karty odmówiłyby posłuszeństwa. Byłby to chaos trudny do opisania.
Kolejny kryzys finansowy wywołają hakerzy
Coraz częściej mówi się, że kolejny kryzys finansowy wywołają hakerzy. Może będą to ideologiczni spadkobiercy idei Tylera Durdena, a może będzie to element współczesnych działań wojennych. Mimo iż w bankach całe zastępy ludzi czuwają nad bezpieczeństwem naszych pieniędzy, to nie brakuje doniesień o kolejnych skutecznych włamaniach. Póki co hakerzy koncentrują się (na szczęście) na korzyściach finansowych – kradną pieniądze lub dane klientów, by wyłudzić okup.
Przytoczmy kilka głośniejszych przykładów. W 2016 roku włamano się do brytyjskiego Tesco Banku. Okradziono wówczas 20 tys. klientów, a bank przez długi czas nie potrafił wyjaśnić, jak do tego doszło. Ofiarą hakerów padł też jeden z największych banków amerykańskich – JP Morgan. Złodzieje wykorzystali lukę i całymi tygodniami wyprowadzali dane na zewnętrzne serwery. Firma IntSights podaje, że statystyczny amerykański bank w 2017 r. był celem ponad 207 ataków. Tylko w ostatnim półroczu było ich już ponad 520.
Polska nie jest na tym tle zieloną wyspą. W 2015 roku haker włamał się do PlusBanku i szantażował ujawnieniem danych klientów. Rok później firma IBM X-force poinformowała, że 17 polskich banków komercyjnych i 230 banków spółdzielczych zostało zaatakowanych przez wirusa GroZnym. W 2017 r. miało dojść z kolei do przejęcia dostępów do serwerów bankowych i kradzieży danych w co najmniej kilku instytucjach. Był to prawdopodobnie największy atak hakerski na banki w historii Polski.
A co, jeśli pewnego dnia dojdzie do ataku, który skutecznie powali na kolana cały system finansowy?
Wystarczy awaria prądu i nie zapłacisz kartą
Niewielki przedsmak tego, co może przynieść odcięcie nas od plastikowego pieniądza, dają powtarzające się od czasu do czasu awarie systemów kart płatniczych i bankowości elektronicznej. Na początku czerwca 2018 r. awarię zaliczyła organizacja Visa – część klientów w całej Europie nie mogła zrealizować transakcji kartami. Problem objął także nasz kraj. Kilka tygodni później sytuacja powtórzyła się u drugiego wydawcy kart płatniczych – firmy Mastercard. Klienci utknęli w sklepach, na stacjach paliw i restauracjach, nie mogąc zrealizować płatności. Podróżujący w dalekobieżnych pociągach mogli kupić jedzenie tylko za gotówkę.
Przeczytaj także
W kontekście awarii nie sposób wspomnieć o bankowości elektronicznej. Banki same przepychają swoich klientów do kanałów zdalnych, ale później często mają problem z zapewnieniem odpowiedniej przepustowości. Nie ma tygodnia, by na łamach Bankier.pl nie pojawił się tekst informujący o problemach z dostępem do bankowości elektronicznej. Wówczas klienci odcięci od e-banku nie mogą opłacić przelewów, faktur, składek do ZUS-u. Nierzadko takim awariom towarzyszą problemy ze zlecaniem dyspozycji w placówkach. Na infolinię banku trudno się wówczas dodzwonić, bo próbują to zrobić wszyscy naraz. Gdy w przyszłości zabraknie placówek z obsługą kasową, a klienci porzucą gotówkę na rzecz kart, awarie systemów bankowości elektronicznej będą jeszcze uciążliwsze w skutkach.
Wiele społeczeństw dąży do zmniejszenia obiegu gotówki, ale jej całkowite wyeliminowanie niesie za sobą wiele ryzyk. Między innymi tych związanych z cyberterroryzmem. – Zdigitalizowany system jest łatwym celem dla kogoś w Rosji czy Chinach. Można go bowiem wyłączyć – mówi cytowany przez portal politico.eu Björn Eriksson, szef lobbującego za utrzymaniem gotówki stowarzyszenia Cash Uprising i były pracownik Interpolu. – Nie przewidujemy społeczeństwa całkowicie bezgotówkowego – powiedział Ewald Nowotny, gubernator Austriackiego Banku Narodowego, na jednej z konferencji w Brukseli. – Wystarczy, że wysiądzie prąd i gotówka staje się jedynym działającym systemem płatności – dodał.
Czy jednak w obliczu katastrofy wywołanej potężnym cyberatakiem na wygranej pozycji znaleźliby się posiadacze gotówki? To też złudne przekonanie. Jeśli puścimy wodze fantazji i przywołamy scenariusze filmów i gier postapokaliptycznych, to okaże się, że w takich sytuacjach papierowy pieniądz szybko się dewaluuje na rzecz dóbr materialnych – złota, broni, konserw, paliwa, cukru, alkoholu etc.
Atak klonów, czyli nie tylko cyberterroryzm
Nie tylko globalny cyberterroryzm jest zagrożeniem dla naszych zdigitalizowanych finansów. Kiedy pieniądze przeniosły się do internetu, jak grzyby po deszczu pojawiły się setki nowych metod wyłudzeń - złodzieje zamienili rewolwery na komputery. Regularnie dochodzi do prób wyłudzenia wrażliwych informacji od klientów banków. Zjawisko cały czas przybiera na sile, a metody oszustów są coraz bardziej skuteczne. Coraz większe zagrożenie niesie za sobą kradzież cyfrowej tożsamości. Sklonowanie tożsamości klienta wcale nie jest scenariuszem rodem z filmu science fiction. Już od wielu lat jest to poważny problem, z którym borykają się instytucje finansowe. Tylko w ostatnich tygodniach głośno było o ataku z wykorzystaniem duplikatu karty SIM. W skrócie: mechanizm polegał na utworzeniu kopii klienta i wyrobieniu drugiej karty SIM. Za jej pomocą można było wyprowadzić całe oszczędności z banku.
Gdzie wybuchnie następny kryzys?
Gdy upadał Lehman Brothers, wszyscy na rynku od ponad roku wiedzieli, że w amerykańskim sektorze mieszkaniowym mamy do czynienia z poważnym kryzysem. Nie zdawano sobie tylko sprawy z tego, jak wielkie spustoszenie może on spowodować. Dziś może być podobnie.
W cyfrowym świecie w kilka chwil można nie tylko stracić oszczędności, ale narobić sobie długów. Nawet o tym nie wiedząc. Stworzone klony tożsamości służą do wyłudzania kredytów, pośrednictwa w oszukańczych transakcjach (konta na słupa), wyłudzania należności za fałszywe aukcje internetowe czy prania brudnych pieniędzy. Czasami klienci nie mają wpływu na kradzież tożsamości, ale najczęściej sami ułatwiają złodziejom zdobycie poufnych danych. Bo z elektronicznych kanałów korzystamy coraz chętniej, ale w parze z tym nie idzie edukacja i przestrzeganie zasad cyfrowego BHP.
Wszystko wycieka
Nawet zachowując wszelkie środki ostrożności, nie mamy gwarancji, że nasze dane nie trafią w niepowołane ręce. Doniesienia o wyłudzeniach danych kart płatniczych, haseł do kont pocztowych czy serwisów społecznościowych to chleb powszedni. Od wycieków danych nie uchronili się nawet giganci – Facebook, Google, Amazon czy Yahoo. Od czasu do czasu słyszymy też o wyciekach danych kart płatniczych. Jednym z największych tego typu incydentów był wyciek danych agenta rozliczeniowego Heartland w 2009 r. Z jego baz danych hakerzy zdołali wyprowadzić 130 milionów numerów kart płatniczych. Cztery lata później włamanie do systemów informatycznych amerykańskiej sieci sklepów Target w 2013 r. zaowocowało wyciekiem danych 40 milionów kart płatniczych. Nie brakuje przykładów z naszego podwórka. Dane klientów polskich banków już kilka razy wystawiane były na sprzedaż na czarnym rynku. Analitycy firmy badawczej Juniper Research prognozują, że w 2020 roku dojdzie nawet do 16 tys. wycieków i kradzieży, których koszty mogą sięgnąć 2,5 biliona dolarów.
Instytucje finansowe nieustannie pracują nad nowymi zabezpieczeniami, które mają zminimalizować ryzyko utraty pieniędzy. Jednym z nich jest raczkująca dopiero biometria. Ale i to rozwiązanie nie jest pozbawione wad. W przyszłości hakerzy będą podejmowali próby wykradania danych biometrycznych klientów banków. Problem z wzorcami biometrycznymi jest jednak taki, że w przypadku wycieku danych nie da się zmienić hasła na inne. Czyli wymienić odcisków palców, krwinek czy siatkówki oka na nowe.
O kredycie zadecyduje Facebook
W kontekście cyfrowej tożsamości można zdiagnozować jeszcze jedno zagrożenie. Dane gromadzone w sieci na nasz temat mogą w przyszłości zadecydować o tym, czy dostaniemy pracę lub kredyt. Choć brzmi to jak scenariusz rodem z serialu „Black Mirror”, to już teraz działają firmy, które profilują nas na podstawie danych zamieszczonych w serwisach społecznościowych. Jedną nich jest singapurskie Lenddo. Jej automaty obrabiające dane zbierają „cyfrowe ślady”, które zostawia użytkownik w sieci.
Analizują jego aktywność w serwisach społecznościowych, sieci powiązań i kontaktów, sprawdzają geolokalizację i inne informacje, na podstawie których tworzą cyfrowy profil charakteru użytkownika. Następnie jest on dostarczany współpracującym z firmą podmiotom – pożyczkodawcom, serwisom social lending, firmom leasingowym i innym. Alternatywne systemy scoringowe były już zresztą testowane na naszym podwórku. Przed kilkoma laty Bank Smart (dziś Nest Bank) uzależniał szybkość udzielania kredytu od tego, czy pozwolimy się sprawdzić na Facebooku i LinkedIn.
Chiny poszły o krok dalej. W 2014 roku rząd zaczął rozwijać tzw. social credit system, który śledzi zachowania użytkowników i nadaje im odpowiednie łatki. Negatywnie oceniani mogą mieć problem z dostępem na przykład do biletów lotniczych, z kolei ci z pozytywną notą mogą być gratyfikowani dostępem do prądu lub innych dóbr. Do 2020 roku system ma objąć cały kraj. Biorąc pod uwagę totalitarne zapędy Chin, może to stanowić bardzo niebezpieczne narzędzie inwigilacji. Co ciekawe, „social credit score” nie ogranicza się wyłącznie do agencji rządowych – korzystają z niego także firmy prywatne. W 2015 roku Ant Financial, finansowe ramię chińskiego giganta e-commerce Alibaby, uruchomiło tzw. Sesame Credit. To właśnie alternatywny system scoringowy sprawdzający i oceniający zachowania klientów w sieci.
Zanim więc wystawicie kolejną fotkę na Facebooka, zastanówcie się, czy w przyszłości nie stanie wam ona na drodze do własnego mieszkania. Bo zdjęcie ze wspinaczki po górach może zostać zinterpretowane jako skłonność do podejmowania ryzyka. A który bank będzie chciał udzielić igrającemu z ogniem klientowi kredytu? Jeden z kolegów narozrabia i trafi za kratki? System rozpozna, że wśród znajomych macie podejrzanych osobników. Więc i wy możecie mieć skłonność do robienia przekrętów.
Nowe technologie w finansach mają swoje wady i zalety. Przytoczone wyżej przykłady ogniskują się przede wszystkim za zagrożeniach i potencjalnych punktach zapalnych. Niektóre z nich oczywiście są przejaskrawione. Innym na pewno będziemy musieli stawić czoło w przyszłości. Z drugiej jednak strony nowe technologie w finansach to dla nas wiele udogodnień. Jest szybciej, wygodniej, a nawet - wbrew przytoczonym wyżej czarnym wizjom – w wielu przypadkach bezpieczniej. Wyobraźmy sobie powrót do XIX wiecznej bankowości – bez kart, e-banków i infolinii, ale za to z wypchaną sakiewką, fizycznym sejfem, papierową korespondencją i przelewem z banku do banku idącym w najlepszym wypadku tylko tydzień. Postępu nie da się zatrzymać, więc trzeba go okiełznać.
Jeśli widzicie zagrożenia jeszcze w innych obszarach, podzielcie się tym z nami w komentarzach lub napiszcie do mnie na adres w.boczon@bankier.pl.
