Jakab Péterrel, az MKB Bank bankbiztonságért felelős ügyvezető igazgatójával, aki a Magyar Bankszövetség Bankbiztonsági Bizottságának vezetője is, beszélgettünk a pénzintézeti csalások természetrajzáról, illetve az ellenük való védekezés lehetőségeiről.
Az első rész a pénzintézeti csalás fogalmát járja körül.
Hogyan definiálnád a pénzintézeti csalás fogalmát?
A pénzintézeteknél minden olyan esemény fraudnak minősül, ami jogszabályokba ütközik, és kifejezetten a banki működéshez, a banki termékekhez és az ügyfélkiszolgáláshoz köthető. Ilyen értelemben nem speciális, pénzintézeti fraud, amikor a főkönyvelő csal, hiszen az bármilyen gazdasági társaságnál előfordulhat, mint ahogy nem az az erőszakos bankrablás sem, hiszen azt egy benzinkút ellen is el lehet követni.
Fontos ismérve a fraudnak a szándékosság is, hiszen bűncselekményt csak szándékosan lehet elkövetni. A tévedésből, nemtörődömségből okozott károk inkább az operációs kockázati tényezők közé tartoznak, bár sok esetben nehéz az egyértelmű határvonalat meghúzni.
De a kettő gyakran egymást feltételezi és erősíti. Lehet, hogy rossz a folyamat, rossz az ellenőrzés, így kiskapu nyílik egy ügyfél előtt, aki ezt kihasználva jogosulatlanul zsebre vág némi pénzt. (Mondjuk a pénztárosunk befizetésként számolta el a pénzfelvételt, majd az ügyfél a számláján talált plusz pénzt azonnal fel is vette a következő automatából.) Ez az ő oldaláról már fraud, a mi oldalunkról viszont operációs kockázat, amit rosszul kezeltünk -- meg is változtattuk a pénztári rendszert, hogy gyakorlatilag lehetetlen legyen ilyen módon tévedni.
Milyen típusai vannak a pénzintézeti csalásoknak?
A fraud több nagy, és azokon belül számos alcsoportra osztható. Ilyen nagy csoport a hitelcsalás, a bankkártya-csalás, az elektronikus csalás vagy a banki információk jogosulatlan felhasználása.
Az első nagy csoport a hitelekhez kapcsolódó csalások. Ezek egyik ága az önmagában is büntethető okirathamisításhoz kapcsolódik, amit az ügyfél azért követ el, hogy hozzájusson ahhoz a hitelhez, amit egyébként nem kapna meg. A legkülönfélébb dokumentumot próbálják meghamisítani: számlákat, munkáltatói és adóhatósági igazolásokat, értékbecsléseket -- mindent, aminek egy hitelbírálati folyamatban szerepe lehet. Az még a jobbik eset, amikor az ügyfél egyébként vissza akarja fizetni a hitelt, csak éppen nem hivatalos forrásból származik a jövedelme, ezért fabrikál egy keresetigazolást. Ilyenkor azért a bank többnyire a pénzéhez jut.
Rosszabb eset az, amikor még szintén vissza akarja fizetni a hitelt, de a biztosítékokat érintő dokumentumokkal van hiba -- mondjuk a fedezetül szolgáló házat kétszer olyan értékesnek tüntetik fel, mint amilyen az valójában. Ha aztán mégis bedől a hitel, kiderül, hogy az ingatlan messze nem fedezi a tartozás összegét.
Az pedig már még egyértelműbb csalás, amikor már a hitelfelvételkor is tudja az illető, hogy nem fogja fizetni a részleteket. Ebben az esetben egyébként rendkívül nehéz bizonyítani a szándékosságot, hiszen a banknak kellene feketén-fehéren kimutatnia, hogy az adósnak már eredetileg sem volt esze ágában sem visszafizetni a hitelt. Ez még akkor sem egyszerű, ha az összes felhasznált dokumentum, beleértve a személyi igazolványt, hamis volt. Ennek azért van jelentősége, mert nem mindegy, hogy valakit okirathamisításban, vagy csalásban is elmarasztalnak a hatóságok.
A hitelcsalások egy másik fontos ága a biztosítékokkal való visszaélésekhez köthető. Jellemzően több személy vagy vállalkozás által igényelt hitelekről van szó, akik vagy amelyek kötődnek egymáshoz, csak éppen ezt a kapcsolatot a kérelmezők eltitkolják. Mondjuk ugyanazt a szarvasmarha-állományt négy különböző hitel fedezeteként is bemutatják, és komoly energiákat fektetnek a marhák ide-oda utaztatásába.
Egy újabb nagy csoport, amikor a bank tévedését használják ki az ügyfelek. Például, amikor többet fizetnek ki nekik a pénztárnál, és azt ők elteszik. Valószínűleg nem akarnak lopni, de amikor jön az alkalom és a kísértés, nem mindig a becsületes utat választják. Meglepően sokan hiszik azt, hogy a bank is úgy működik, mint a közért, vagyis hogy a pénztártól való távozás után nem lehet reklamálni. De ez a jogszabályok szerint sincs így, és ha bizonyítani tudjuk, hogy mennyi pénzt vitt el -- márpedig a videók és egyéb módszerek révén nincsenek rossz esélyeink --, akkor jogosan emeljük le a számlájáról a vitatott pénzt. De akár polgári peres eljárás vagy büntetőper sem kizárt az ilyen esetekben.
Pedig olyan meséket hallunk az ilyen módon megszerzett pénz eredetéről, hogy szem nem marad szárazon. Időnként egész nagy összegekről beszélünk: egyszer egy hitelkiváltás kapcsán véletlenül nem a másik bankba, hanem az egyik ügyfelünk számlájára utaltuk az 55 millió forintnyi pénzt. Az illető rögtön felvette az összeget, majd amikor behívtuk, jóféle mesét adott elő. Mint mondta, már várta a pénzt, mert szerencsejátékon nyerte. Ahogy felvette, megállt egy benzinkútnál („véletlenül” persze olyan helyen, ahol a kamerák nem látták), és mit ad Isten, betörték a kocsija ablakát, az ott hagyott pénzt pedig elvitték. Ő ”Isten bizony” szívesen visszaadná, de ha nincs meg, hát nincs meg… Mi perre vittük a dolgot, és a bíróság nekünk adott igazat, mert nem tudta igazolni a pénz eredetét. Szerencsére a pénz nagy részét is visszafizette azóta.
A következő nagy kategória és az egyik leggyakoribb csalásfajta a bankkártya-csalások. Ez ügyben is számos, nehezen hihető történetet hallunk: ellopták a kártyámat, vagy elvesztettem, és (persze) nem volt mellette a PIN-kód, ugyanakkor a csalók a lopást, elvesztést követően az ATM-nél azonnal eltalálták a kártyához tartozó PIN-t, és így tovább; a lényeg, hogy visszaéltek a kártyával, és tessék nekem visszafizetni a pénzt, mondja az ügyfél. Itt alapelv, hogy olyan tranzakciót nem térítünk meg, amihez PIN-kód is kellett, hiszen akkor vége-hossza nem lenne az ilyen eseteknek. Vannak persze kivételek, de ezeket az ügyeket külön megvizsgáljuk, és sok feltételnek kell teljesülnie, hogy elfogadjuk az ügyfél vétlenségét és a csalás tényét. Az mindenképpen gyanús, hogy pont akkor nem volt az ügyfélnél a telefon (vagy volt kikapcsolva), amikor a csalárd tranzakciókról SMS-t küldött a bank. De ha mondjuk három hasonló panasz kivizsgálásakor ugyanaz az ATM kerül képbe, már más lehet a helyzet.
Sokszor az ügyfelek is megérik a pénzüket. Jó pár évvel ezelőtt valamelyik tévéműsorban bemondták, hogy feltörték a bankkártyák PIN-kódjait (ami persze az ott és akkor közölt formában fizikai képtelenség és bődületes marhaság volt). Már másnap tizenhárom ügyfelünk jelentkezett, hogy az ő bankkártyájának a PIN-kódját is feltörték, és nem is ők vettek fel pénzt a kártyájukkal. Erre visszaírtunk nekik, hogy jöjjenek be, megnézzük az automaták videofelvételeit, mert mindegyik ATM-ben van kamera. Érdekes módon mind a tizenháromnak rögtön eszébe jutott, hogy mégiscsak ő vagy valamelyik családtagja járt az automatánál.
Aztán jönnek az elektronikus csalások, amelyek közül a phishing a leggyakoribb, akár e-mailen, akár telefonon. Nem is gondolnánk, ki mindenki dől be a legátlátszóbb, legrégibb trükköknek is, mint a klasszikus nigériai levél vagy a nyereménnyel való kecsegtetés. Volt olyan (doktori fokozattal rendelkező!) ügyfelünk, akit nekem személyesen kellett negyedórán keresztül győzködnöm, hogy a nagyösszegű nyeremény reményében el ne utalja a százezreket a csalóknak. Még engem vádolt azzal, hogy el akarom őt ütni a szerencséjétől, és nem akarta elhinni, hogy szemenszedett hazugságról van szó. Kemény menet volt, mire sikerült meggyőznöm, mert hogy ő még soha nem hallott ilyesmiről. És én is csak onnan értesültem a dologról, hogy az ügyintézőnknek gyanús lett, hogy ismeretlen számlaszámra akar az ügyfél szokatlanul nagy összeget utalni.
Ezzel együtt a phishing ma már inkább csak jámbor próbálkozás a csalásra, hiszen ha meg is szerzik a számlaszámot és a jelszót, még mindig kell a tranzakcióhitelesítés is SMS-ben. Ha valaki gondosan jár el, ezt nehéz kijátszani. Elképzelhető, hogy az ügyfél gépén van egy kártevő, ami átírja a célszámla számát az utalásnál; de amikor az ügyfél erről megkapja az SMS-t, abban már az átírt, ismeretlen számlaszám fog szerepelni, nem az, ahova ő utalni akart. Az persze már más kérdés, hogy figyelmesen elolvassa-e az üzenetet az ügyfél, de ha igen, védve van a csalárd tranzakcióktól. Egyébként ezért kockázatosabb egy kicsit a mobil bankolás. Ilyenkor ugyanis a tranzakció feladása és annak hitelesítése ugyanazon a csatornán (a mobil telefon GSM rendszerén) történik, tehát elég azt kompromittálni. A kockázatok ellen úgy védekezünk, hogy lejjebb vittük a limiteket és mobilon keresztül csak korábban már használt számlaszámokra lehet utalni.
Az autóktól a biztonságig 18 éves koromban még egyértelműen járműgépésznek készültem, abból is diplomáztam, és ez a fajta érdeklődés azóta is megmaradt. A saját autóimat azóta is szívesen tuningolom, és élvezem a jó kocsikat, például a mostani cégautómat, a 100-ig 6,5 másodperc alatt gyorsuló Skoda Superb-et. Ugyanakkor a számítógépek iránt is korán érdeklődni kezdtem. Édesapám alkalmazott matematikus volt, és matematika tagozatos gimnáziumba jártam (egy héten 14 matekóra!), és a főiskolai diplomamunkámat is Wankel-motorok számítógépes tervezéséről írtam. Az informatikával való szorosabb kapcsolatom mintegy 25 évvel ezelőtt kezdődött, amikor az Állami Számvevőszék számítógépes hálózatának lettem rendszergazdája, később vezető rendszergazdája, majd ugyanott osztályvezető. Itt szereztem meg második diplomámat, rendszerszervezésből. Ekkor már előadásokat, oktatásokat tartottam különféle tanfolyamokon, konferenciákon, és itt figyelt fel rám az MKB két munkatársa, akik tudták, hogy biztonsági területre keres embert a bank. Jól éreztem magam az ÁSZ-nál, de legyünk őszinték, szemrebbenés nélkül megduplázták az ottani, amúgy alacsonynak nem mondható fizetésemet. De túlzás lenne azt mondani, hogy csak a pénz számított. Vonzott a feladat is: egészen mást csinálhattam, egészen más feltételek között. Hogy mást ne mondjak: míg az Állami Számvevőszék informatikai büdzséje akkoriban 80 millió forint volt, az MKB-nál ennek sokszorosát fordították erre a területre. A kezdetektől fogva komplex módon igyekeztem kezelni az információbiztonságot: nem gondolom, hogy pusztán informatikával, a fizikai vagy a humán oldal kezelése nélkül megoldható ez a feladat. Ezt a filozófiát a bank vezetése is elfogadta, így az általam vezetett bankbiztonsági terület átfogja a pénzintézet fizikai biztonságát, az információ- és informatikai biztonságot, a humán védelmet, a csalások elleni védekezést (fraud management) és az üzletmenet-folytonosság legszélesebb értelemben vett biztosítását. Komplex a feladat, ezért szerintem komplex embert is kíván. Egy bankbiztonsági vezető legyen egy kicsit villamosmérnök, egy kicsit jogász, egy kicsit fizikus, egy kicsit rendőr, egy kicsit pszichológus, és még biztosan ki is hagytam valamit. |
Egy következő nagyobb csoport, amikor banki információk felhasználására alapoznak különböző bűncselekményeket. A hamis átutalási megbízás a tipikus példa: ha papír alapon történik, akkor ismerni kell, hogy kinek a számláját érdemes megcsapolni, mi annak a száma és hogy néz ki az illető aláírása. Ezeknek az információknak a jelentős része egyébként a bankon kívül is könnyen megszerezhető.
Nem véletlen, hogy nekem például a bankban használt aláírásom szignifikánsan különbözik attól, ahogy egy normál levelet aláírok. Bárhonnan szerzik meg az aláírásomat, az nem olyan lesz, mint amivel egy átutalást elindítok. Mindkettő az enyém, azonosít engem, csak éppen nem egyforma.
Egészen kifinomult elkövetési módszerekkel is találkoztunk. Volt egy eset, amin nagyot buktunk, bár volt benne alkalmazotti hiba is. Kiszemelték egy ügyfelünket, és feltehetően hosszas háttérmunkával számos információt szereztek meg róla, majd kerestek egy olyan nőt, aki nagyon hasonlított rá. Az ügyfélhez elmegy az egyik csaló azzal a mesével, hogy nyert egy telefont, csak éppen a személyit kéri el, hogy azonosíthassa a nyertest. A papírmunka közben a valódi személyit kicseréli egy nagyon jó minőségű hamisra (ami szintén komoly előkészületekre utal), majd elköszön és elmegy. Az említett alteregó a valódi személyivel elmegy az ügyfelünk mobilszolgáltatójához, ahol bejelenti, hogy elveszett a telefonja (persze a mobilszámot is tudják), és szeretné letiltatni, majd kér egy új SIM-kártyát a régi számmal. Ezzel máris elérték, hogy a valódi ügyfél bankszámlájához kapcsolódó hitelesítő SMS-ek és értesítések a náluk lévő készülékre érkezzenek. Így már nincs is más dolguk, mint az alteregóval elmenni a bankba, írni egy átutalási megbízást, azt aláírni, bemutatni a megszerzett valódi személyit, és máris vihetik a pénzt -- ez esetben hatvanmillió forintot. Az eredeti ügyfél pedig csak akkor veszi észre a dolgot, amikor megkapja a következő kivonatot. Nem kevés invesztíciót igényelt a csalás, hiszen meg kellett szerezni a számlaszámot, az aláírásmintát, tudni kellett a mobilszámot, a személyi fajtáját és számát, le kellett gyártani a hamis személyit, keresni kellett egy alteregót -- de a hatvanmillióba ez is belefért.
Végül is onnan derült ki a csalás, hogy az amúgy jól hamisított aláírásba hiba csúszott -- a vezetéknevet y helyett i-vel írták, majd kijavították. Az ügyintézőnek gyanúsnak kellett volna lennie, hogy ki az, aki a saját nevét elrontja, ám ennek ellenére teljesítette a megbízást, így a bank kénytelen volt megtéríteni az ügyfél kárát. Ha ez a rontás nem lett volna ott, akár mentesülhettünk volna a kártérítés alól.
Holnap folytatjuk a beszélgetést, amiben pénzintézeti csalási esetekről lesz szó...