Klienci sami autoryzują kradzież swoich pieniędzy. Banki mają związane ręce

Trzy czwarte oszustw w polskim sektorze finansowym to efekt manipulacji płatnikiem – klient sam potwierdza transakcję lub udostępnia dane. Banki dysponują narzędziami, które mogłyby to blokować, ale prawo ogranicza ich stosowanie bez zgody klienta. O dylematach cyberbezpieczeństwa w finansach rozmawiano podczas CYBERSEC EXPO & FORUM 2026 w Katowicach.

Jak wynika z danych przedstawionych przez Jarosława Biegańskiego z Związku Banków Polskich, 75,4 proc. oszustw zgłaszanych do NBP dokonywanych jest z wykorzystaniem manipulacji płatnikiem. Oznacza to, że ofiara sama uwierzytelnia transakcję lub udostępnia dane do logowania. Wśród wszystkich transakcji oszukańczych 84 proc. to efekt manipulacji.

Nadinspektor Adam Cieślak, komendant Centralnego Biura Zwalczania Cyberprzestępczości, poinformował, że w 2025 roku policja odnotowała ponad 92 tys. oszustw internetowych i komputerowych. Najgroźniejsze są te inwestycyjne oraz oszustwa metodą na pracownika banku – powodują największe straty i są rozciągnięte w czasie. – Przestępcy znają imię i nazwisko klienta, często wiedzą, w jakim banku ma konto. Te dane pochodzą z wycieków – powiedział Adam Cieślak.

Klient jako najsłabsze ogniwo

Banki mają techniczne możliwości wykrywania oszustw w czasie rzeczywistym – biometrię behawioralną, analizę lokalizacji czy nietypowych zachowań. Problem polega na tym, że klienci masowo nie wyrażają zgody na ich stosowanie. – Ludzie mówią nam wprost, że nie zgodzą się na biometrię behawioralną, bo cenią swoją prywatność – relacjonowała Magdalena Korona z mBanku. – Co ciekawe, jak udostępniają te dane oszustom, to już nie widzą w tym problemu – dodała.

Banki nie mogą też bez zgody klienta sięgać po rzeczywistą lokalizację, co ułatwiłoby weryfikację transakcji. – Klienci z tym też mają kłopot – stwierdziła Korona. Patryk Gęborys z PZU zachęcał do zmiany podejścia: – Banki i tak wszystko o was wiedzą. Każdy na sali ma w kieszeni portfel w postaci telefonu. Więc nie musicie się martwić, że coś zostanie odkryte.

Przestępcy jak korporacje

Za oszustwami stoją zorganizowane grupy przestępcze działające jak dobrze wyposażone firmy. Wykrywalność sprawców oszustw inwestycyjnych sięga zaledwie około 20 proc. – Atakujący nie potrzebują już zaawansowanej wiedzy. Mogą kupić ataki as-a-service w darknecie – dodał Łukasz Miedziński z ING Hubs Poland. Zwrócił uwagę, że AI ułatwia przestępcom wykrywanie podatności, a systemy bezpieczeństwa muszą skupić się na zagrożeniach typu zero-day.

Zagrożenie dla całego sektora finansowego pokazał przykład ataku na usługi 3D Secure. – Duży bank nie został zaatakowany bezpośrednio, tylko zaatakowano dostawcę zewnętrznego – opisał Jarosław Biegański. W efekcie DDoS system autoryzacji zastępczej zadziałał domyślnie, ułatwiając oszustwa. Ireneusz Jazownik z IBK Bank Polska ostrzegł przed efektem domina: – Bankowość nie istnieje bez operatorów telekomunikacyjnych i dostawców ICT. Pojedyncza awaria może przewrócić funkcjonowanie sektora.

Unijne rozporządzenie DORA daje bankom narzędzia do audytu i monitorowania dostawców oraz wymiany informacji o zagrożeniach. – Chcemy budować odporność zbiorową, nie jednego banku, tylko całego systemu – podsumował Jarosław Biegański.

Źródło: WNP.PL, Fot. PTWP

Podłącz się do źródła najważniejszych informacji z rynku energii i przemysłu

Tagi:

Podłącz się do źródła najważniejszych informacji z rynku energii i przemysłu

WP Twitter Auto Publish Powered By : XYZScripts.com