WSTĘP
Bankowość elektroniczna, jako forma dostarczania usług bankowych do klientów, stanowi obecnie najszybciej rozwijający się obszar bankowości. Jest to w dużej mierze podyktowane postępującą informatyzacją społeczeństwa, jak również rosnącą świadomością udogodnień płynących z korzystania z tego typu rozwiązań. Jeszcze kilkadziesiąt lat temu w Polsce trudno było szukać w sklepach terminali umożliwiających płatność kartą, pojedyncze bankomaty znajdowały się tylko w największych miastach, a o bankowości internetowej nikt nie słyszał. Dziś rzeczywistość wygląda inaczej, niemal każdy obywatel posiada kartę płatniczą, a większość sklepów umożliwia regulowanie należności za jej pomocą, widok bankomatów nikogo nie dziwi, a transakcje w ramach bankowości internetowej realizujemy już nie tylko za pośrednictwem komputerów, ale wprost z ekranu smartfona. Niewiele dzieli nas od czasów, kiedy większość transakcji przeniesie się docelowo do świata wirtualnego pieniądza.
Niestety, wraz ze wzrostem liczby klientów bankowości elektronicznej, a – co za tym idzie – ze wzrostem liczby realizowanych transakcji oraz zaangażowanych kwot, wzrasta zagrożenie ze strony grup przestępczych. Rozwój technologiczny, nowe narzędzia informatyczne, a także coraz większa łatwość ich stosowania idą w parze z rosnącymi umiejętnościami i atakami cyberprzestępców. Zagrożenia ciągle ewoluują, trzeba zatem umieć się przed nimi bronić1.
Niniejsze opracowanie podejmuje problematykę takich właśnie zagrożeń, jego celem jest wskazanie głównych zagrożeń występujących w poszczególnych obszarach bankowości elektronicznej oraz odpowiedź na pytanie, jakie czynniki wpływają na wzrost ryzyka popełnienia przestępstw związanych z płatnościami elektronicznymi.
Tak sformułowany cel pozwala na realizację problemów badawczych w obszarze zagrożeń przestępczością. W niniejszym opracowaniu problem badawczy ogranicza się do zagrożeń przestępstwami wobec środków płatniczych, obejmując tylko elektroniczne transakcje. Określenie problemu badawczego pozwala na zbudowanie następujących hipotez badawczych:
- jaki wpływ na bezpieczeństwo transakcji elektronicznych ma sam użytkownik, a w jakim zakresie bezpieczeństwo jego środków płatniczych zapewnia usługodawca (bank)?
- czy organy ścigania posiadają narzędzia umożliwiające rozpoznawanie przestępstw w sieci wobec środków płatniczych i zapobieganie ich popełnianiu?
Jako metodę badawczą przyjęto analizę źródeł literaturowych w omawianym obszarze, tj. w zakresie przestępstw przeciwko środkom płatniczym.
JAK PŁACIMY? FORMY PŁATNOŚCI
Bankowość elektroniczna może być postrzegana jako zjawisko współczesnego świata, które oznacza specyficzny sposób prowadzenia działalności bankowej w ramach społeczeństwa informacyjnego. Stanowi zatem element elektronicznej gospodarki globalnej, której cechą charakterystyczną jest wymiana dóbr i usług na odległość, z wykorzystaniem elektronicznych środków komunikacji. Oznacza to szybki i niemal nieograniczony geograficznie czy też czasowo dostęp do usług bankowych. Wykorzystanie nowoczesnych technologii pozwala zarówno na świadczenie przez banki nowych usług, jak i na przeniesienie tradycyjnych produktów do elektronicznych kanałów dystrybucji. Skutkuje to umożliwieniem klientom szybkiego dostępu do własnych środków zgromadzonych na rachunku bankowym czy też natychmiastowego zlecenia operacji bez konieczności wizyty w oddziale banku.
Aby przeprowadzić analizę ryzyka i zagrożeń w bankowości elektronicznej, konieczne jest zapoznanie się z usługami i kanałami dystrybucji oferowanymi przez instytucje sektora bankowego. W zależności od przyjętych kryteriów można dokonać rozmaitych podziałów i klasyfikacji usług bankowości elektronicznej. Przyjmuje się, że bankowość elektroniczna obejmuje wszelkie elektroniczne kanały dystrybucji usług i produktów bankowych. Zaliczymy zatem do niej płatności z fizycznym wykorzystaniem kart płatniczych i kredytowych, transakcje realizowane w bankomatach, płatności terminalowe POS oraz szeroko pojętą bankowość internetową. Zwłaszcza w przypadku tej ostatniej należy zwrócić uwagę na tempo postępu technologicznego oraz mnogość nowych urządzeń, umożliwiających zdalny dostęp do usług bankowych z wykorzystaniem Internetu. Pod pojęciem bankowość elektroniczna należy zatem rozumieć nie tylko klasyczną e-bankowość, ale również wszelkiego rodzaju usługi mobilne, obsługiwane przez klientów za pośrednictwem aplikacji na telefonach, smartfonach, tabletach, telewizorach itp.2
KARTY
Karty płatnicze są potocznie określane jako „plastykowy pieniądz”, umożliwiający dokonanie zapłaty za nabywane towary lub świadczone usługi3. Jednakże ww. termin ma znaczenie tylko symboliczne, ponieważ w ścisłym rozumieniu karty nie są pieniądzem, lecz jedynie nośnikiem pieniądza bezgotówkowego4. Pierwsze karty (w niewielkim stopniu przypominające ich dzisiejszą postać) miały kształt papierowych książeczek, metalowych płytek lub kartoników z wytłoczonymi danymi okaziciela. Dziś karta płatnicza występuje jako płytka wykonana z tworzywa sztucznego PCV. Standardowe wymiary karty zostały określone w 1985 r. przez ISO (International Organization for Standarization). Według tej standaryzacji karty powinny mieć następujące wymiary: wysokość – 53,98 mm,
szerokość – 85,6 mm, grubość – 0,76 mm. Każda karta ma nadany numer, w którym pierwsze sześć wytłoczonych lub wydrukowanych cyfr stanowi numer identyfikacyjny wydawcy karty, zwany często także numerem identyfikacyjnym
banku5.
Na karcie znajduje się również wiele elementów służących do identyfikacji okaziciela. Na awersie możemy znaleźć między innymi: cechy systemów, takie jak logo, hologram, numer początkowy, data ważności karty, dane okaziciela, opcjonalnie – zdjęcie. Rewers natomiast to: pasek magnetyczny z naniesionymi danymi o karcie i jej okazicielu, pasek, na którym posiadacz karty składa wzór swojego podpisu, dane wystawcy karty, czyli informacja, czyją własnością jest karta, a także numer telefonu, pod którym uzyska się pomoc od pracowników banku w kwestiach związanych z kartą. Przed wydaniem karty posiadaczowi jest ona personalizowana przez wytłoczenie lub nadruk płaski imienia i nazwiska, numeru karty oraz kodowanie paska magnetycznego. W ten sposób karta jest jednoznacznie powiązana z określoną osobą i rachunkiem bankowym6. Karta płatnicza została zdefiniowana w art. 4 Prawa bankowego, który określa ją jako kartę identyfikującą wydawcę
i upoważnionego posiadacza, uprawniającą do wypłaty gotówki lub dokonywania zapłaty, a w przypadku karty wydanej przez bank lub instytucję ustawowo upoważnioną do udzielania kredytu – także do dokonywania wypłaty gotówki lub zapłaty
z wykorzystaniem kredytu7.
Karta płatnicza jest to forma płatności bezgotówkowych mająca z punktu widzenia klienta duże zalety: jest niewątpliwie bardzo wygodną formą dokonywania płatności i pozyskiwania środków zgromadzonych na koncie.
Pojedyncza karta posiada najczęściej wiele funkcjonalności – pozwala na wypłatę pieniędzy w bankomacie, dokonanie zapłaty w sklepie czy płatności przez Internet. Zapewnia przy tym duże bezpieczeństwo rozliczeń i mniejsze narażenie na kradzież. Nie wolno jednak zapominać, że bardzo często używanie kart płatniczych zmniejsza hamulce przy wydawaniu pieniędzy8. Obecnie polskie banki konkurują ze sobą, emitując różnego rodzaju karty, które różnią się m.in. zasięgiem, sposobem rozliczania transakcji lub liczbą podmiotów biorących udział w rozliczeniach. Biorąc pod uwagę liczbę podmiotów uczestniczących w rozliczeniach za pomocą kart, możemy wyróżnić karty9: dwustronne – wydawane zazwyczaj przez instytucje niebankowe typu biura podróży, linie lotnicze, duże domy towarowe i akceptowane jedynie przez ich emitenta, trójstronne – ich cechą charakterystyczną jest to, że w transakcjach nimi dokonywanych uczestniczą trzy osoby, a mianowicie: emitent, przedsiębiorstwo, które wyraziło zgodę na to, aby można w nim było dokonywać płatności taką kartą, oraz posiadacz karty, czterostronne – w przypadku tych kart oprócz podmiotów wymienionych powyżej, w rozliczeniu transakcji bierze również udział właściciel systemu, w którym emitowana jest dana karta. System czterostronny jest obecnie najbardziej popularny w Polsce i na świecie.
Karty dzielimy też ze względu na nośnik informacji zapisanych na nich elektronicznie10. Zgodnie z tym podziałem można wyodrębnić karty mikroprocesorowe i magnetyczne. Cechą wyróżniającą kart mikroprocesowych, potocznie znanych jako „chipowe”, jest możliwość przechowywania dużej ilości danych, zdolność do przetwarzania danych i przede wszystkim nieporównywalnie skuteczniejszy od innych poziom zabezpieczeń, o których będzie mowa dalej. Istnienie mikroprocesora w układzie scalonym karty decyduje o funkcjonalności, a przez to i przeznaczeniu karty. Karta z mikroprocesorem, nadal najczęściej 8-bitowym, jest de facto mikrokomputerem. Typowe wartości pamięci karty to: 64 KB pamięci ROM przeznaczonej na system operacyjny, 8 KB RAM i do 2–16 KB pamięci EEPROM, pełniącej rolę twardego dysku. W części rozwiązań, w których wymaga się dużej ilości obliczeń kryptograficznych, kartę wyposaża się dodatkowo w koprocesor kryptograficzny. Ze względu na sposób komunikacji karty ze środowiskiem zewnętrznym, karty dzieli się na karty stykowe i bezstykowe. Karty stykowe wymagają bezpośredniego kontaktu z czytnikiem w celu odczytania jej zawartości. Karty bezstykowe posiadają wbudowaną antenę, umożliwiającą bezprzewodową transmisję danych na niewielkie odległości (do kilku centymetrów). Karty bezstykowe znajdują zastosowanie przede wszystkim w transporcie miejskim i systemach kontroli dostępu. Istnieją też karty dualne, w których w tym samym kawałku tworzywa zatapia się układ stykowy i bezstykowy lub jeden układ stykowo-bezstykowy. Karty magnetyczne są obecnie jednym z najbardziej rozpowszechnionych nośników informacji. Ich podstawowym elementem jest występująca w postaci paska magnetycznego pamięć. Umożliwia ona zapis informacji, które mogą być następnie odczytywane za pomocą czytników kart magnetycznych. Dzięki takiej możliwości karty te znajdują szerokie zastosowanie w różnorodnych systemach, np. kontroli dostępu, rejestracji czasu pracy, systemach lojalnościowych, a także jako karty płatnicze11.
Kolejnym kryterium podziału kart jest funkcjonalność12. Według niego karty dzielą się na: płatnicze, bankomatowe, identyfikacyjne i wstępnie opłacone. Karty płatnicze (ang. payment card) umożliwiają regulowanie płatności w sposób bezgotówkowy w punktach handlowo-usługowych, telefonicznie lub przez Internet. Według międzynarodowego standardu ISO obecnie funkcjonujące karty płatnicze muszą być wykonane z tworzywa sztucznego. Karty płatnicze są wygodne dla klientów, którzy nie muszą nosić ze sobą gotówki, ale także dla sprzedawców, ponieważ, jak wykazały badania, klienci płacący kartami, wydają dużo więcej pieniędzy niż ci płacący gotówką. Karty bankomatowe (ATM card, cash card) służą wyłącznie do dokonywania wypłat gotówki oraz innych transakcji, które możliwe są do wykonania z użyciem bankomatu, np. sprawdzenia stanu rachunku, wydrukowania historii transakcji, zmiany kodu PIN czy dostępu do funkcji depozytowych w bankomacie. Karta bankomatowa nie posiada żadnych funkcji płatniczych, nie można zatem z jej wykorzystaniem wykonać transakcji bezgotówkowej – nawet jeżeli bankomat udostępnia możliwość wykonania takiej transakcji, np. doładowania konta telefonu komórkowego. Ponieważ funkcjonalność kart bankomatowych jest bardzo ograniczona, większość banków nie decyduje się na ich wydawanie. W zamian banki wydają karty płatnicze, które jednocześnie wyposażone są w funkcje karty bankomatowej. Karty bankomatowe mogą być wydane jako karty lokalne (czyli akceptowane wyłącznie przez określoną sieć bankomatów jednego lub kilku współpracujących ze sobą banków) bądź mogą być wydane w ramach jednego z międzynarodowych systemów kart bankomatowych (np. PLUS lub Cirrus), wówczas akceptowane są przez wszystkie bankomaty na świecie oznaczone symbolem danego systemu. Karty identyfikacyjne są szeroko stosowane w naszym codziennym życiu, np. jako karty kontroli dostępu do określonych budynków czy pomieszczeń, karty biblioteczne czy karty stałego klienta – ich zastosowanie można podawać niemalże w nieskończoność. Posiadają często również różne dodatkowe funkcje, np. rabatowe. Podstawowym celem kart identyfikacyjnych jest szybka identyfikacja jej posiadacza, dlatego jest na nich numer, zapisany w sposób umożliwiający jego elektroniczne odczytanie (poprzez zapis w postaci kodu kreskowego bądź zakodowanie na pasku magnetycznym lub mikroprocesorze). Karta identyfikacyjna może również posiadać kod PIN (bądź inny sposób weryfikacji, oparty np. na metodach biometrycznych), dzięki czemu jej zastosowanie umożliwia rezygnację z innych metod sprawdzenia tożsamości posiadacza takiej karty. Dodatkowo na karcie identyfikacyjnej można umieścić także zdjęcie jej posiadacza oraz wzór jego podpisu. Karty wstępnie opłacone, przedpłacone, wstępnie ładowane (prepaid card, preloaded card), to karty wydawane w dwóch podstawowych typach: jako karty z oddzielnym kontem technicznym, który można wielokrotnie zasilać, oraz karty z określonym nominałem. Karty z możliwością doładowywania są wykorzystywane przez firmy i instytucje do przekazywania środków pieniężnych, np. do wypłacania różnego typu świadczeń, takich jak: zasiłki socjalne, stypendia, wynagrodzenia dla pracowników sezonowych czy pracowników nieposiadających rachunku bankowego; są również stosowane w programach nagradzania pracowników czy w programach lojalnościowych, do wypłat nagród pieniężnych w programach promocyjnych czy do rozliczania delegacji pracowników. Klienci indywidualni używają kart przedpłaconych jako formy wypłaty kieszonkowego dla młodzieży, do bezpiecznych transakcji w Internecie czy też jako wygodnego sposobu przekazania określonej kwoty jako podarunku z możliwością łatwego doładowania rachunku karty przelewem lub gotówką13.
Ze względu na sposób rozliczenia transakcji kart, dzielimy je na14: debetowe, obciążające i wstępnie opłacone.
Karty debetowe (ang. debit card) funkcjonują na zasadzie rozliczenia transakcji wykonanej z użyciem karty natychmiast po otrzymaniu przez bank informacji o jej przeprowadzeniu.
Oznacza to, że rachunek posiadacza karty, który wykonał transakcję z użyciem karty debetowej, zostanie obciążony przez bank natychmiast, gdy tylko informacja o transakcji dotrze do banku. Okres ten zależy jednak od wielu czynników, np. od tego, gdzie była wykonana transakcja, od sposobu jej rozliczania oraz od systemu informatyczno-księgowego stosowanego przez bank. Okres ten może wynosić zatem od niemalże kilku sekund od przeprowadzenia transakcji aż do kilku lub nawet kilkunastu dni.
Karty obciążające umożliwiają posiadaczowi zaciągnięcie u emitenta karty kredytu kupieckiego, czyli odroczenia terminu płatności za nabyte towary i usługi. Uiszczenie należności następuje na koniec okresu rozliczeniowego na podstawie specjalnego zestawienia wydatków.
Karta obciążeniowa posiada zbliżone zasady funkcjonowania do karty kredytowej. Może posiadać określony limit wydatków, bank może ją również wydać bez górnego limitu wydatków (pod warunkiem, iż posiadacz terminowo reguluje wszelkie swoje zobowiązania). Raz w miesiącu bank wysyła zestawienie transakcji wykonanych z użyciem karty. Posiadacz karty zobowiązany jest do spłaty całości zadłużenia (nie można spłacić tylko części) w określonym czasie, np. w ciągu dwóch tygodni od daty otrzymania zestawienia. Posiadacz karty może w ciągu miesiąca wykonywać transakcje do wysokości limitu (niezależnie od kwoty, która znajduje się na jego rachunku). Określonego dnia bank sumuje wszystkie transakcje wykonane z użyciem karty i samodzielnie obciąża kwotą transakcji rachunek posiadacza karty.
Karty kredytowe umożliwiają posiadaczowi karty dokonywanie płatności bezgotówkowych na podstawie umowy kredytu bez konieczności posiadania bieżących środków na rachunku bankowym. Zaciągnięty kredyt spłaca się na zasadach ustalonych wcześniej przez bank wydający kartę.
Posiadacz karty może np. spłacić tylko część zaciągniętego kredytu, ale wtedy bank pobiera odsetki od niespłaconej kwoty. Bank ustala limit kredytowy, do którego wysokości posiadacz karty może dokonywać płatności w punktach handlowo-usługowych, dokonywać płatności zdalnych (przez telefon czy Internet), podejmować gotówkę z bankomatu. Każda z tych czynności rozliczana jest przez bank inaczej, w zależności od jej klasyfikacji, i skutkuje np. różnym oprocentowaniem transakcji gotówkowej (wypłata z bankomatu) i bezgotówkowej (płatność kartą w POS). Wydanie karty jest uzależnione od dochodów konsumenta i oparte jest na analizie zdolności kredytowej (jak przy zaciąganiu kredytu). Często nie wymaga się posiadania przez klienta rachunku oszczędnościowo-rozliczeniowegow danym banku. Karty wstępnie opłacone są powszechnie stosowane w życiu codziennym. Każdy z nas z pewnością posiada niejedną taką kartę – są one bowiem wykorzystywane masowo jako karty telefoniczne, karty parkingowe, karty z biletami komunikacji czy karty do telefonów komórkowych.
Systemy kart płatniczych to organizacje wydawców kart płatniczych, użyczające ich emitentom (najczęściej bankom) prawa do używania znaku tej organizacji. Wspomniany system zapewnia honorowanie swoich kart płatniczych w sieci punktów handlowo-usługowych oznaczonych znakiem organizacji oraz nadzór nad rozliczeniami i sposobem emisji15.
Pierwsze karty płatnicze zaczęły być wydawane przez banki w Stanach Zjednoczonych pod koniec lat 40. Były to karty o zasięgu lokalnym, które miały charakter kredytowych. Pierwszą kartę o zasięgu ponadstanowym wydał Franklin National Bank z Nowego Jorku w roku 1951. Równocześnie, oprócz kart wydawanych przez banki, rozpoczęto wydawanie kart o charakterze klubowo-podróżniczym, powszechnie nazywane T&E (typu „Travel And Entertainment”). Pierwszą kartę tego typu wydał działający do dziś Diners Club.
W 1959 r. wydawanie karty T&E rozpoczął American Express. Międzynarodowy zasięg osiągnęła również karta klubowa organizacji Carte Blanche wchłoniętej przez Diners Club. Poza wydawanymi lokalnie kartami banki zaczęły wydawać karty o zasięgu krajowym, a później międzynarodowym. Tak właśnie powstały w latach 60. dwa duże systemy zajmujące się emisją, obsługą, rozliczeniem i rozwojem kart, znane dziś jako VISA i MasterCard16. Do największych funkcjonujących obecnie systemów kart płatniczych zaliczają się: VISA International, MasterCard/EuroCard/Access, JCB (Japanese Credit Bureau), American Express, Europay International/Diners Club.
Bankomaty
Bankomaty to samoobsługowe urządzenia, które są wyposażone w czytniki paska magnetycznego/mikroprocesora i umożliwiają przeprowadzenie operacji bankowych z użyciem kart płatniczych. Wykorzystywane są przede wszystkim do wypłaty pieniędzy, choć dają również możliwość wykonywania innych operacji, jak np. wpłaty pieniędzy na rachunek w dowolnym banku, przelewów środków na inny rachunek, otwierania lub likwidowania zleceń stałych, zmian terminów i kwot zleceń stałych, otwierania lub likwidowania lokat, sprawdzania stanów konta, załadowania kart telefonii komórkowej itp.17
Bankomaty można sklasyfikować według różnych kryteriów. Ze względu na funkcję dzielimy je na: CD – Cash Dyspenser – bankomat jednofunkcyjny służący tylko i wyłącznie do wypłaty gotówki; ATM – Automated Teller Machine – bankomat wielofunkcyjny, który służy zarówno do wypłat pieniędzy z bankomatu, jak i do wykonywania przelewów, sprawdzania stanu konta, prześledzenia historii dokonywanych operacji itp.; Cash Recycler – to złożona maszyna, która obsługuje kilka prostych, a zarazem ważnych zadań – przyjmuje, wydaje oraz bezpiecznie przechowuje gotówkę, utrzymuje uporządkowaną księgowość gotówki w kasie i automatyzuje cykl gotówkowy. Według miejsca lokalizacji wyróżniamy bankomaty: wewnętrzne – usytuowane wewnątrz pomieszczeń, np. banków; przyścienne – które posiadają panel operacyjny (umożliwiający dokonywanie transakcji – monitor, klawiatura) na zewnątrz budynku, zaś ich pozostała część znajduje się w banku; zewnętrzne – usytuowane poza budynkiem banku, często jako urządzenia wolno stojące; mobilne bankomaty – odpowiednio przystosowane samochody ustawione w pobliżu banku, w których są zainstalowane bankomaty. Przez aplikację w telefonie klient kontaktuje się z takim pojazdem, po czym ten specjalny samochód przyjeżdża w wyznaczone miejsce, pozwalając na wypłatę bądź wpłatę gotówki. Według trybu komunikacji z bankiem podział kształtuje się następująco: bankomaty działające w systemie offline, które nie są bezpośrednio połączone z bankami i nie mogą dokonywać autoryzacji bezpośrednio po zawarciu transakcji; autoryzacja dokonywana jest na podstawie limitów wypłat z bankomatu; limity wypłat wynikają z tego, że bankomat „nie wie”, ile klient posiada pieniędzy na koncie, bo bankomat nie jest podpięty do bazy danych; większość banków rozpoczęła instalację bankomatów pracujących w trybie offline, a wybór ten był głównie podyktowany względami ekonomicznymi oraz ówczesnymi możliwościami technicznymi banków; bankomaty działające w systemie online – to takie, w których wypłata gotówki powoduje natychmiastowe przekazanie informacji do banku, w którym znajduje się konto klienta; w systemie tym bankomat po otrzymaniu od klienta dyspozycji wypłaty gotówki dokonuje autoryzacji karty, po czym przesyła dane o dokonanej transakcji do banku wydawcy karty18.
Obecnie poza wypłatami gotówki bankomaty umożliwiają również m.in.: wpłaty gotówki, sprawdzanie bieżącego stanu rachunku klienta, wydruk historii rachunków, zmianę numeru PIN karty, możliwość zapoznania się z informacjami i ogłoszeniami banku, przyjmowanie gotówki w depozyt, obsługę czeków podróżnych itp. Podstawowe elementy składowe bankomatu to: klawiatura, okienko wprowadzania karty, monitor, oświetlenie, klawisze funkcyjne, sejf, logo banku, okienko drukarki, wskaźnik świetlny miejsca wprowadzania karty, okienko dyspensera. Pierwszy bankomat na świecie został uruchomiony 1964 r. przez First Pennsylvania Bank w Stanach Zjednoczonych. Od tego czasu bankomaty bardzo szybko rozpowszechniły się, a ich liczba stale wzrastała (w 2001 r. na świecie było ponad 800 tys. bankomatów). Sieci bankomatów mogą być prywatne lub współdzielone, czyli stanowią wówczas wspólne przedsięwzięcie wielu instytucji finansowych, dla których są dostępne, i wspólnie ponoszą koszty, a klienci mają łatwiejszy dostęp do większej liczby urządzeń19. W Polsce pierwszy bankomat został zainstalowany przez Bank Pekao SA w 1990 r. Od lat dziewięćdziesiątych XX w. rozpoczęła się w Polsce konkurencja banków w zakresie wydawanych kart płatniczych i zainstalowanych bankomatów. Obecnie mają je już wszystkie banki komercyjne oraz większość banków spółdzielczych. Liczba bankomatów w kraju dynamicznie wzrastała. W szczególności szybki przyrost następował w okresie do 2001 r., natomiast w kolejnych latach tempo wzrostu nieco osłabło, zaś od 2008 r. przyrost roczny bankomatów wynosił ponad 1000 sztuk. Spośród banków na pierwszym miejscu pod względem posiadanych bankomatów znajduje się największy bank detaliczny – PKO BP SA20, a spośród operatorów komercyjnych – Euronet SA.
Pomimo szybkiego tempa wzrostu nadal wyprzedza nas pod względem liczby bankomatów przypadającej na jeden milion mieszkańców większość krajów UE. O ile w Polsce przypadało na jeden milion mieszkańców 416 bankomatów, o tyle średnia UE wynosi 867, zaś w wielu krajach, takich jak: Belgia, Niemcy, Hiszpania, Portugalia, Austria czy Wielka Brytania, wskaźnik ten przekracza 1000. Za nami uplasowała się jedynie Szwecja i Czechy. Niemniej Polska jest pierwszym krajem w Europie, który wprowadza bankomaty z identyfikacją biometryczną. Bankomaty te będą wyposażone w czytniki rozpoznające układ naczyń krwionośnych w palcu klienta bankowego21.
Bankowość internetowa i mobilna
Bankowość elektroniczna (ang. e-banking) to forma usług oferowanych przez banki, polegająca na umożliwieniu dostępu do rachunku za pomocą urządzenia elektronicznego: komputera, bankomatu, terminalu POS, telefonu (zwłaszcza telefonu komórkowego) i linii telekomunikacyjnych, w tym Internetu. Usługi bankowości elektronicznej są także określane jako telebanking (bankowość zdalna). Zależnie od wykorzystanych rozwiązań umożliwia wykonywanie operacji pasywnych (np. sprawdzanie salda i historii rachunku) oraz aktywnych (np. dokonanie polecenia przelewu, założenie lokaty terminowej). Bankowość elektroniczna jest kluczowym elementem bankowości transakcyjnej22. Jest rozumiana jako forma komunikacji klienta z bankiem i zarazem świadczenia usług bankowych z wykorzystaniem elektronicznych urządzeń, takich jak komputer (home/corporate banking, Internet banking – e-banking), telefon, elektroniczne terminale do akceptowania kart płatniczych czy terminale multimedialne23.
Bankowość elektroniczna ma kilka form nazywanych potocznie kanałami. Część z nich jest wygaszana ze względu na postęp technologiczny oraz wypieranie/zastępowanie przez inne usługi/kanały. Home banking to rozwiązanie umożliwiające obsługę rachunków bankowych bez konieczności wychodzenia z domu. Obsługa rachunku bankowego odbywa się z użyciem publicznej sieci telefonicznej, telefonii komórkowej lub innego łącza dostępowego oraz komputera wyposażonego w odpowiednie oprogramowanie. Bezpieczeństwo systemu zapewniają m.in. generowane hasła, a transmitowane dane są kodowane. Wadą home bankingu jest to, że dostęp do konta jest możliwy tylko z komputera, na którym jest zainstalowany odpowiedni program. Bankowość internetowa to komunikacja z bankiem za pośrednictwem Internetu. Witryna internetowa banku umożliwia klientom dokonywanie online różnorodnych operacji na ich rachunkach. Klient banku internetowego powinien mieć dostęp do komputera z zainstalowaną przeglądarką stron www podłączonego do sieci Internet. Kluczową ideą bankowości internetowej jest przede wszystkim wirtualna obsługa klienta, tj. włączenie klienta jako fizycznego użytkownika do skomputeryzowanego systemu bankowego. Istotą jej jest zaś możliwość korzystania z usług bankowych niezależnie od czasu i miejsca. Jest to aktualnie najpopularniejsza forma udostępniania usług bankowych swoim klientom.
Bankowość telefoniczna i mobilna – usługi bankowe dostępne za pośrednictwem telefonu nazywamy bankowością telefoniczną lub phone bankingiem. Usługi te, dostępne dzięki urządzeniom przenośnym, głównie telefonom komórkowym, określamy jako bankowość mobilną lub mobile banking. Operacje bankowe przez telefon mogą być realizowane na kilka sposobów: poprzez kontakt z operatorem (call center) lub automatyczny serwis telefoniczny IVR oraz z użyciem telefonu komórkowego za pomocą SMS lub technologii WAP. O ile kontakt telefoniczny z operatorem lub IVR (Interactive Voice Response) nadal jest dostępny w większości działających na polskim rynku banków, o tyle technologia WAP jest zastępowana przez usługi mobilne wykorzystujące dedykowane aplikacje, uruchamiane z poziomu telefonu komórkowego, co spowodowane jest głównie ułatwionym dostępem do Internetu mobilnego oraz smartfonów. Sam zakres usług pozostaje zbliżony. Operacje wykonywane za pomocą bankowości telefonicznej możemy podzielić na pasywne i aktywne. Pasywne to te, w których klient odbiera jedynie informacje dotyczące rachunku. Najprostszą i najczęściej wykonywaną operacją pasywną jest sprawdzenie salda rachunku. Inne, dostępne w większości serwisów telefonicznych, usługi to sprawdzanie historii rachunku bądź uzyskiwanie informacji o aktualnych stopach oprocentowania lub kursach walut. Usługi aktywne bankowości telefonicznej to takie, które powodują zmianę salda i historii rachunku. Do typowych operacji aktywnych zaliczyć możemy przelewy oraz dyspozycje dotyczące lokat terminowych. Usługa WAP oraz bankowość mobilna umożliwia dostęp do rachunku bankowego poprzez telefon komórkowy. Jest odmianą bankowości internetowej, która pozwala na korzystanie z usług bankowych za pośrednictwem telefonu bezprzewodowego. W ramach usług możliwe są m.in. następujące operacje bankowe: dostęp do informacji o saldzie rachunku, uzyskanie informacji o obrotach na rachunku, weryfikacja listy odbiorców dla przelewów, wgląd do historii operacji, wykonanie przelewu na obce rachunki, definiowanie zlecenia stałego, sporządzenie listy rachunków, na które ma być zrealizowany przelew, dokonanie przelewu z przyszłą datą realizacji, anulowanie przelewu, realizacja przelewu na rachunki ZUS, zakładanie i zrywanie lokat terminowych, zmiana hasła dostępu.
Pierwszym bankiem wykorzystującym Internet do świadczenia usług bankowych był kalifornijski Bank Wells Fargo, zaś wirtualnym – amerykański Security First Network Bank (SFNB), który powstał w 1995 r. w Stanach Zjednoczonych24.
Bankowość internetowa w Polsce ma dość krótką historię. Jej początek datuje się na 14 października 1998 r. W tym dniu Powszechny Bank Gospodarczy SA w Łodzi oficjalnie uruchomił internetowy oddział dla klientów detalicznych i małych przedsiębiorstw. Od tego momentu, w ciągu niespełna dwudziestu lat, bankowość internetowa przeszła ogromną ewolucję, co dokumentują odpowiednie statystyki. O ile na koniec 2000 r. zaledwie osiem banków udostępniało usługi bankowe przez Internet, o tyle na początku 2016 r. wśród 37 banków działających w formie spółki akcyjnej nie było ani jednego, który nie korzystałby tej formy dystrybucji usług. Potwierdzeniem ogromnej dynamiki rozwoju bankowości internetowej w segmencie klientów detalicznych jest przyrost liczby klientów aktywnie z niej korzystających, tj. logujących się na koncie przynajmniej raz w miesiącu. Według danych Związku Banków Polskich ich liczba wzrosła w ciągu 10 lat o 237%25.
Bankowość internetowa przeszła zmiany nie tylko o charakterze ilościowym, ale także jakościowym. W pierwszej fazie interakcja pomiędzy bankiem i klientem była oparta na stronie www z okresowo aktualizowaną zawartością informacyjną, ale o bardzo słabej interaktywności ze względu na brak możliwości wykonania operacji bankowych. Strona internetowa banku była więc początkowo wykorzystywana jako źródło informacji o jego ofercie i działalności oraz dostarczała informacji teleadresowych. W drugiej fazie rozwoju bankowości internetowej wprowadzona została ograniczona forma interakcji z klientem, poprzez udostępnienie różnego rodzaju kalkulatorów, formularzy dostępnych online i aplikacji umożliwiających sprawdzanie stanu konta. Wykonywanie poprzez serwis www zarówno pasywnych operacji bankowych, czyli niezmieniających salda, jak i operacji dostępnych w oddziałach stało się możliwe dopiero w fazie trzeciej, nie bez przyczyny określanej jako „prawdziwa bankowość internetowa”. Wpisując unikatowy login i hasło, klient banku uzyskuje dostęp do indywidualnego zbioru stron internetowych powiązanych tematycznie i umieszczonych na serwerze banku, czyli serwisu transakcyjnego. Immamentną cechą tego serwisu są wbudowane w niego aplikacje internetowe postrzegane przez użytkowników jako funkcje serwisu www, które umożliwiają realizację operacji bankowych. Charakterystyką czwartej i do tej pory ostatniej wyróżnionej fazy rozwoju bankowości internetowej jest strategiczne wykorzystanie Internetu przez banki. Upowszechnienie internetowego kanału dystrybucji usług bankowych spowodowało, że banki zaczęły aktywnie wykorzystywać informacje o zachowaniu klientów, w tym analizować ich zyskowność i dostosowywać ofertę do cech poszczególnych segmentów. Oprócz usług bankowych poprzez serwis transakcyjny stały się dostępne także inne produkty finansowe, na przykład ubezpieczenia, fundusze inwestycyjne, co doprowadziło do jego przekształcenia w portal finansowy26.
Lista usług udostępnianych przez banki poprzez bankowość internetową stale wzrasta. Podstawowymi i najczęściej wykorzystywanymi przez użytkowników (klientów) są następujące operacje: sprawdzanie salda rachunku, przeglądanie historii operacji, wykonywanie przelewów jednorazowych wewnętrznych i zewnętrznych (w tym zagranicznych), przelewy do ZUS, definiowanie przelewów stałych, dokonywanie płatności w sklepach internetowych z ROR, zakładanie i zrywanie lokat terminowych, składanie wniosku o kredyt/kartę kredytową, ustanowienie zlecenia stałego, zamawianie kart bankowych i czeków, usługi maklerskie, ustanowienie pełnomocnictwa.
Jednym z kluczowych elementów bankowości internetowej są jego zabezpieczenia. Można je podzielić na dwa obszary: zabezpieczenie połączenia między komputerem/terminalem klienta (zabezpieczenie sesji) oraz autoryzacja zleceń/operacji klienta.
Pierwsza grupa zabezpieczeń zawiera w sobie wszelkie zasady dotyczące logowania, tj. wymogi dotyczące loginu i hasła, za pomocą których klient łączy się z serwisem transakcyjnym, oraz zabezpieczenia samych stron internetowych, jakie są udostępniane z serwera banku. Jeśli chodzi o sam mechanizm logowania się, banki stosują różne rozwiązania, od wprowadzania samego loginu i pełnego hasła, poprzez kombinację login oraz pojedyncze – wskazane losowo – litery z hasła, aż po kombinację loginu, hasła i pytania kontrolnego lub/i tzw. Captcha – Completely Automated Public Turing test to tell Computers and Humans Apart – rodzaj techniki stosowanej jako zabezpieczenie na stronach www, celem której jest dopuszczenie do przesłania danych tylko wypełnionych przez człowieka. Celem jest upewnienie się, iż samo logowanie się do serwisu transakcyjnego, choćby celem jedynie wyświetlenia informacji o saldzie, jest zainicjowane przez osobę do tego upoważnioną.
Zabezpieczenia związane z bezpiecznym połączeniem z bankiem realizowane są na poziomie aplikacyjnym. Ich celem jest zadbanie, aby wymiana informacji między serwerem a klientem nie mogła zostać „podsłuchana”, tj. widoczna i czytelna dla osób trzecich. Są one konieczne, jako że samo połączenie odbywa się poprzez Internet, a nie osobne/wydzielone łącze. Najpopularniejszym sposobem zabezpieczania sesji jest szyfrowanie połączenia z wykorzystaniem protokołu HTTPS (ang. Hyper Text Transfer Protocol Secure). Za implementację protokołu odpowiedzialny jest dostawca usługi/strony, czyli bank.
Druga grupa zabezpieczeń stosowanych w bankowości internetowej dotyczy mechanizmu autoryzacji operacji, jakie poprzez serwis transakcyjny zleca użytkownik. Najczęściej stosowany jest model podwójnego uwierzytelniania, tj. poza koniecznością prawidłowego zalogowania się do serwisu, wypełnienia stosownego zlecenia w formularzu www, konieczne jest podanie hasła jednorazowego, celem potwierdzenia dyspozycji. Ma to na celu uniemożliwienie wykonania operacji bankowych osobom trzecim, które weszłyby w posiadanie zestawu danych (np. loginu i hasła). Same hasła jednorazowe mogą być dostarczane do klienta na kilka sposobów. Do niedawna najpopularniejszym były listy haseł jednorazowych. Były to papierowe arkusze zawierające ponumerowane sekwencje znaków, np. cyfr, drukowane najczęściej w formie kart-zdrapek. Użytkownik przy każdorazowym zlecaniu transakcji w serwisie bankowym proszony był o podanie hasła/sekwencji znaków znajdujących się na wspomnianej karcie. Każde hasło mogło być wykorzystane tylko raz. Po wyczerpaniu całej listy kodów/haseł klient mógł zamówić kolejną, która dostarczana była pocztą na wskazany przez niego adres. Rozwiązanie to jest wypierane przez rozwiązania elektroniczne. Aktualnie najpopularniejszym są hasła jednorazowe dostarczane w formie wiadomości SMS na wskazany przez klienta numer telefonu komórkowego. Sam mechanizm autoryzacji w serwisie www jest zbliżony – klient proszony jest o podanie hasła, jakie otrzymał na swój telefon. Alternatywnym rozwiązaniem są hasła generowane przez tzw. tokeny, czyli generatory kodów jednorazowych. Ich działanie polega na generowaniu ciągów cyfr za pomocą funkcji jednokierunkowej wykorzystującej dwa parametry – jeden stały dla konkretnego egzemplarza urządzenia, drugi zmienny – wprowadzany za pomocą klawiatury, wczytywany z ekranu monitora bądź generowany na podstawie czasu. Tokeny występują w formie generatorów haseł jednorazowych (One Time Password – OTP) oraz w formie bardziej zaawansowanej wyzwanie-odpowiedź (challenge-response). Tokeny OTP wyświetlają kod zmieniany zwykle co 60 sekund i nie posiadają przycisku lub posiadają tylko jeden przycisk wywołujący wyświetlenie kodu, natomiast tokeny challenge-response przypominają niewielkie kalkulatory i zazwyczaj są chronione kodem PIN. Rozwinięciem tokenów challenge-response są czytniki kart obliczające kody na podstawie klucza zapisanego na mikroprocesorze karty płatniczej. Najnowszym rozwiązaniem są jednak tokeny OTP oraz challenge-response wbudowane w kartę formatu karty płatniczej (może to być zarówno karta Visa lub Mastercard z wbudowanym tokenem, jak i oddzielny token służący jedynie do uwierzytelniania). Ze względu na stosunkowo wysoką cenę tokenów banki częściej stosują karty kodów jednorazowych lub hasła SMS. Urządzenie może też być zastąpione przez telefon komórkowy używający dedykowanej aplikacji spełniającej funkcję generatora haseł.
Bankowość elektroniczna we wszelkich swych formach ciągle ewoluuje. Funkcjonując już od niemal pół wieku, na stałe wpisała się w nasze codzienne życie. Ciężko sobie obecnie wyobrazić brak możliwości dokonywania zakupów przez Internet czy też płatności kartami kredytowymi. Tak intensywna ekspansja wykorzystywania tych kanałów realizacji transakcji pociągnęła za sobą pojawienie się przestępstw skierowanych przeciwko użytkownikom bankowości elektronicznej. Mimo rozlicznych zabezpieczeń wykorzystywanych do zapewnienia bezpieczeństwa transakcji realizowanych za jej pośrednictwem obszar ten charakteryzuje się coraz większą dynamiką wzrostu przestępczości. Wynika to zarówno z rosnącej popularności poszczególnych instrumentów wśród klientów banków, jak i pojawienia się wyspecjalizowanych grup przestępczych, oraz popularyzacji Internetu, umożliwiającego działanie tychże na całym świecie. W kolejnej części opracowania zostanie przedstawiona typologia prawnokarna rodzajów przestępstw w obszarze bankowości elektronicznej, opis stosowanych metod oraz przykłady przestępstw.
[..]
mł. insp. dr inż. Robert Maciejczyk
zastępca kierownika
Zakładu Służby Kryminalnej CSP
Pełna wersja artykułu "Bankowość elektroniczna – zagrożenia" w pliku PDF