Komisja Nadzoru Finansowego wzięła pod lupę proceder handlu „anonimowymi kontami bankowymi”. Chce się dowiedzieć, jaka jest skala tego zjawiska i co banki robią, by zapobiec odsprzedaży danych. Dotarliśmy do pisma, które nadzór wystosował do banków.
Na niebezpieczny proceder handlu „anonimowymi kontami bankowymi” zwracałem uwagę już na łamach PRNews.pl i Bankier.pl niejednokrotnie. Jeden z tekstów opisujących to zjawisko znajduje się pod tym linkiem. Przypomnę krótko, o co chodzi. W serwisach z ogłoszeniami bez większego trudu można kupić rachunki (ROR) założone na słupa. Ceny zaczynają się już od kilkuset złotych.
Oferent proponuje w pełni „anonimowy” rachunek z dostępem do bankowości elektronicznej, mobilnej i z kartą płatniczą. Oczywiście jest on założony na obce nazwisko. Taki rachunek może służyć do ukrywania dochodów przed urzędem skarbowym lub komornikiem, ale także do wyłudzania pożyczek, prania brudnych pieniędzy czy przyjmowaniu należności za fikcyjne aukcje internetowe.
Przestępcy handlują rachunkami
Konta zakładane są z reguły na osoby, którym skradziono tożsamość. Jeszcze do niedawna większość banków oferowała możliwość założenia rachunku za pomocą przelewu weryfikacyjnego. Była to wygodna metoda, ale zostawiała spore pole do nadużyć. Oszuści wyłudzali od swoich ofiar przelewy i zakładali na obce nazwiska rachunki w bankach. Najczęściej stosowano tzw. metodę na pracodawcę. Jednego z takich oszustów udało się nam zdemaskować i pokazać jego metody działania.
KNF zaleciła bankom, by zrobiły w końcu porządek z kontami na przelew. Od lipca obowiązują nowe regulacje, które wymusiły na instytucjach finansowych wprowadzenia ograniczeń w otwieraniu rachunków za pomocą tej metody. Obecnie banki muszą sprawdzać, czy przelew aktywujący rachunek nie przychodzi z konta, które też było otworzone za pomocą przelewu. Ma to zapobiec klonowaniu rachunków na skradzioną tożsamość. Większość banków zrezygnowała więc z tego sposobu podpisywania umów z klientami. Co prawda Związek Banków Polskich wspólnie z Krajową Izbą Rozliczeniową opracował specjalną bazę zawierającą spis rachunków założonych przelewem, ale póki co dołączyło się do niej tylko kilka banków.
Nie wszystkie konta zakładane są jednak na skradzioną tożsamość – niektórzy odsprzedają swoje rachunki dobrowolnie. Sprzedawcy wyszukują słupów, którym płacą niewielkie kwoty za założenie konta i odstąpienie danych. O ile w przypadku kradzieży tożsamości mamy do czynienia z przestępstwem, to w sytuacji, gdy słup dobrowolnie sprzedaje swoje konto już nie. Sama sprzedaż jest w takim przypadku jedynie naruszeniem regulaminu bankowego. Bank może najwyżej wypowiedzieć umowę i zablokować konto. O ile oczywiście dowie się, że z rachunku korzysta nieuprawniona osoba. A to nie jest takie proste. O przestępstwie możemy mówić dopiero wtedy, gdy ROR używany jest do celów niezgodnych z prawem.
KNF bierze pod lupę handel kontami bankowymi
Jak dowiedziałem się nieoficjalnie, handlem danymi dostępowymi i kartami debetowymi zainteresował się nadzór. Po pierwsze, chce się dowiedzieć, czy banki posiadają w swoich procedurach wewnętrznych i regulaminach mechanizmy, które mogą ograniczać handel wrażliwymi danymi na rynku wtórnym. Po drugie, prosi o wskazanie, ile przypadków podejrzenia sprzedaży rachunków stwierdziły banki od początku ubiegłego roku. I wreszcie po trzecie – jakie działania podjęły w takich sytuacjach.
KNF podkreśla, że handel takimi danymi może prowadzić do wykorzystywania działalności banku do popełniania przestępstw, w tym prania pieniędzy i finansowania terroryzmu. Warto przy tym zauważyć, że podobne argumenty nadzorca wytoczył niedawno w przypadku kart przedpłaconych. Uznano, że anonimowe karty przedpłacone mogą być niebezpieczne, bo mogą się nimi posługiwać terroryści. W efekcie tego typu produkty zostały wycofane z rynku.
Banki mają się kierować zasadą „security first”
Komisja będzie teraz czekać na odpowiedzi banków. Prawdopodobnie na ich podstawie opracuje kolejną rekomendację, której zadaniem będzie uszczelnienie procedur bankowych. Niewykluczone, że pojawią się jakieś nowe mechanizmy utrudniające handel danymi lub dodatkowe zabezpieczenia weryfikujące tożsamość.
Kwestia ochrony tożsamości klientów i cyberbezpieczeństwa jest dla branży coraz bardziej palącym problemem. Niedawno wiceszef KNF Wojciech Kwaśniak wysłał do banków list, w którym zalecił instytucjom finansowym, by zaczęły stosować zasadę „security first” i przestały oszczędzać na zabezpieczeniach. Powinny też wzmocnić swoje działania edukacyjne. Działania nadzoru są efektem coraz częstszych ataków hakerskich i phishingowych na klientów korzystających z kanałów elektronicznych.
