Oni włamują się do twojej głowy

Kiedy konsultant banku mówi klientowi: „Uważamy, że ktoś próbuje pana okraść”, najczęstszą odpowiedzią wcale nie jest wdzięczność. Pada zdanie, które dziś w sektorze finansowym brzmi jak sygnał alarmowy: „Wiem, co robię, proszę zrealizować przelew”.

Chwilę później pieniądze znikają. Czasem to kilkadziesiąt tysięcy złotych, czasem oszczędności życia.

Z badań zleconych przez bankowców wynika, że aż 87 proc. Polaków zetknęło się z próbą oszustwa, a niemal połowa sama straciła pieniądze lub zna kogoś, kto je stracił. Skala problemu jest ogromna, ale – paradoksalnie – wciąż niedoceniana. To przestępczość bez krzyku, bez rozbitych szyb i kominiarek. Cicha. Cyfrowa. I coraz bardziej profesjonalna.

W sektorze bankowym mówi się o „kilkuset milionach złotych” rocznie wyłudzanych od klientów w całym kraju. Szacunki – oparte m.in. na danych Narodowy Bank Polski – wahają się między 300 a 500 mln zł.

To pieniądze wyprowadzane nie z systemów bankowych, lecz bezpośrednio z rachunków klientów. Banki podkreślają: w zdecydowanej większości przypadków nie dochodzi do przełamania zabezpieczeń. Przestępcy nie „włamują się” do banku. Włamują się do głowy klienta.

Bo kluczowym narzędziem nie jest dziś złośliwe oprogramowanie. Jest nim socjotechnika.

To nie są już pojedynczy naciągacze z telefonu „na wnuczka”. To zorganizowane, wyspecjalizowane struktury. Działają jak firmy technologiczne. Testują scenariusze, optymalizują „konwersję”, porzucają nieskuteczne metody.

Jeśli klasyczny schemat przestaje działać, pojawia się nowa wersja. W oszustwie „na pracownika banku” najpierw dzwonił jeden konsultant. Potem do gry wchodził drugi – rzekomy specjalista z departamentu bezpieczeństwa. Dziś zdarzają się już scenariusze trzyosobowe. Koszt niewielki: kilka stanowisk w call center. Potencjalny zysk – ogromny.

To darwinizm w czystej postaci. Metody, które nie przynoszą pieniędzy, znikają. Te skuteczne są dopracowywane do granic możliwości.

W dodatku przestępcy stosują zasadę znaną z biznesu: fail fast. Jeśli ofiara nie „rokuje”, trzeba ją szybko odsiać. Dlatego wiele maili phishingowych jest wręcz absurdalnych – jak legendarny „nigeryjski książę”. Chodzi o to, by odpowiedziały tylko osoby podatne, które nie wycofają się w połowie procesu. Sztuczna inteligencja pozwala dziś zautomatyzować pierwsze etapy takiego „lejka sprzedażowego”.

Na razie nie żyjemy jeszcze w świecie, w którym w czasie rzeczywistym ktoś perfekcyjnie klonuje głos małżonka czy dziecka i prowadzi rozmowę nie do odróżnienia od oryginału. Ale eksperci nie mają wątpliwości: to kwestia czasu.

Już teraz AI służy do masowego generowania fałszywych dokumentów, zdjęć biur, profili w mediach społecznościowych czy automatycznej obsługi korespondencji z ofiarami. Targetowane deepfake’i – przygotowane pod konkretną, zamożną osobę – stają się realnym scenariuszem.

Im tańsza i bardziej dostępna technologia, tym większe wyzwanie dla instytucji finansowych i organów ścigania.

Bankowcy podkreślają, że z problemem nie poradzą sobie sami. Bo oszustwo dzieje się poza bankiem – w rozmowie telefonicznej, na komunikatorze, w mailu. Bank pojawia się dopiero na końcu, gdy klient – przekonany, że ratuje swoje pieniądze albo inwestuje w „pewną okazję” – zleca przelew.

Dlatego coraz częściej mówi się o konieczności powszechnej, łatwo weryfikowalnej tożsamości cyfrowej. Aplikacja mObywatel jest tu wskazywana jako fundament, na którym można budować system szybkiej weryfikacji rozmówcy.

Chodzi o zmianę kultury: zamiast ufać – sprawdzać. Zamiast wierzyć, że ktoś jest pracownikiem instytucji, móc to potwierdzić jednym kliknięciem.

Bez tego internet pozostaje przestrzenią, w której opieramy się głównie na dobrej wierze. A ta w starciu z wyspecjalizowaną machiną przestępczą bywa bezbronna.

Na tle rosnącej liczby wyłudzeń trwa też spór między bankami a Urząd Ochrony Konkurencji i Konsumentów. Chodzi o tzw. transakcje nieautoryzowane.

W praktyce często wygląda to tak: klient sam potwierdza przelew – kodem SMS, w aplikacji, biometrią – a później twierdzi, że padł ofiarą oszustwa i żąda zwrotu pieniędzy. UOKiK oczekuje, by banki zwracały środki niemal automatycznie (w formule D+1).

Banki odpowiadają: kryptograficznie potwierdzona autoryzacja jest technicznie nie do podrobienia. Jeśli klient świadomie zatwierdził przelew, instytucja finansowa nie może odpowiadać za to, że dał się oszukać przy transakcji kupna „inwestycji życia”.

Granica odpowiedzialności jest cienka. Jeśli ktoś podszył się pod klienta i bank tego nie wykrył – pieniądze są zwracane. Jeśli klient działał pod bezpośrednim przymusem – również. Ale w sytuacji, gdy ktoś z własnej woli wysyła środki, wierząc w obietnicę wysokich zysków, sprawa jest dużo bardziej złożona.

To już nie tylko kwestia prawa, lecz także filozofii wolności. Czy bank powinien zablokować przelew wbrew woli klienta „dla jego dobra”? A może dorosły człowiek musi mieć prawo do ryzyka – nawet jeśli ryzykuje utratą oszczędności życia?

Banki nie mogą dowolnie odmawiać realizacji legalnych transakcji. Mogą jednak próbować spowolnić decyzję klienta. Stąd pomysł tzw. „potykaczy” – dodatkowych ostrzeżeń, opóźnień, możliwości szybkiej blokady transakcji, jeśli pojawi się cień wątpliwości.

Jednym z narzędzi ma być także unijny mechanizm Verification of Payee – system weryfikacji odbiorcy przelewu. Przed wysłaniem pieniędzy klient otrzyma informację, czy nazwa odbiorcy zgadza się z numerem rachunku. To może ograniczyć pomyłki i część oszustw.

Ale nawet najlepszy system nie pomoże, jeśli ofiara – widząc ostrzeżenie – usłyszy w słuchawce: „To normalne, proszę się nie martwić”.

W żadnym z typowych przypadków wyłudzeń nie dochodzi do złamania zabezpieczeń bankowych. Najsłabszym ogniwem pozostaje człowiek. Jego emocje. Strach. Chciwość. Pośpiech.

Przestępcy wiedzą, jak je uruchomić.

Cyfrowa przestępczość finansowa przestaje być marginesem. Staje się jednym z największych wyzwań dla systemu bankowego, regulatorów i państwa. Ale też – a może przede wszystkim – dla każdego użytkownika internetu.