Komentarz do masowej kradzieży pieniędzy z kont klientów banku Santander

Celem artykułu nie jest powielenie przekazu płynącego z mediów głównego nurtu. Dotychczas prezentowany obraz sytuacji jest spójny jednak nie wyjaśnia sedna problemu i nie pokazuje szerszego kontekstu. Czym jest skimming, dlaczego ta metoda oszustwa okazała się tak skuteczna, jaka jest relacja pomiędzy skimmingiem a nieautoryzowaną transakcją i co może przynieść przyszłość, pisze nasz ekspert z Działu Prawa Karnego – adwokat Mateusz Dudziak.

Kogo dotyczy kradzież pieniędzy?

Już na wstępie trzeba doprecyzować, że kradzieże z kont dotyczą klientów Banku Santander Bank Polska S.A. Dlaczego to ważne? Większość przekazów zawiera tylko nieprecyzyjną informację o kradzieży z kont klientów Banku Santander. W Polsce działają natomiast dwa banki komercyjne należące do tej samej grupy kapitałowej Banco Santander z siedzibą w Santander (Hiszpania)  Pierwszy z banków działa pod nazwą Santander Bank Polska (dawniej Bank Zachodni WBK) z siedzibą w Warszawie, a drugi pod nazwą Santander Consumer Bank S.A. z siedzibą we Wrocławiu Mimo, że banki należą do jednej grupy kapitałowej, to w Polsce stanowią dwa odrębne podmioty, działające na podstawie odrębnych zezwoleń Komisji Nadzoru Finansowego. Każdy z tych banków ma osobą ofertę kierowaną do klientów, więc w praktyce można mieć dwa różne konta w tych dwóch bankach. Na marginesie wskazać należy, że Santander Consumer Bank S.A. kieruje ofertę do konsumentów i nastawiony jest na udzielanie pożyczek i kredytów oraz gromadzenie pieniędzy klientów na lokatach. Nie ma on w ofercie prowadzenia rachunku rozliczeniowo-oszczędnościowego (tzw. ROR, czyli typowe podstawowe konto). Specyfika działania banku Santander Consumer Bank S.A., powoduje więc, że oszuści skierowali swoje działania na klientów drugiego z wymienionych banków.  

Czym jest skimming?

To metoda kradzieży wykorzystywana do zgrania danych karty płatniczej (w tym numeru karty tzw. PAN składającego się z 19 cyfr, trzycyfrowego kod CVC, daty ważności karty i danych posiadacza karty), przy użyciu tzw. skimmerów, stąd nazwa metody, które działają jak zwykły czytnik karty, który jednak dodatkowo zapisuje informacje z paska magnetycznego karty lub dane z chipów karty.

Po zgraniu danych z karty płatniczej, oszust może stworzyć jej nieoficjalny duplikat (bank nie ma wówczas nic wspólnego z wydaniem takiego duplikatu) i za jego pomocą fizycznie wypłacić pieniądze z bankomatu lub mając te same dane karty, dokonać transferu środków za pomocą wirtualnej karty płatniczej. Najczęściej w celu zgrania danych karty płatniczej, oszuści umieszczają skimmer w czytniku kart bankomatu, do którego klient wsuwa kartę w celu pobrania pieniędzy z bankomatu. Następnie dochodzi do zgrania danych.

Skimmer może zostać umieszczony także w czytniku karty w parkometrze, biletomacie lub terminalu płatniczym w sklepie, w restauracji lub na stacji paliw, choć w tym ostatnim przypadku powodzenie kradzieży wymagałoby raczej przestępnego zaangażowania pracownika obsługującego terminal. W przypadku urządzeń innych niż bankomaty występują też ograniczenia techniczne, choć nie do obejścia przez oszustów, polegające na tym, że obecnie raczej do takich urządzeń tylko przykłada się kartę w celu dokonania płatności.

Dlaczego skimming jest niestety tak skuteczny?

Dla powodzenia pozostałych metod kradzieży z kont bankowych, potrzebne jest mniej lub bardziej świadome zaangażowanie samego klienta. Oszuści podszywają się wówczas w trakcie rozmowy telefonicznej pod pracowników banków lub innych instytucji zaufania publicznego, w celu wyłudzenia od klienta danych jego karty płatniczej lub danych autoryzacyjnych do przelewów. Czasem pozyskują te dane za pomocą aplikacji zdalnego pulpitu, którą w trakcie rozmowy telefonicznej z klientem polecają mu zainstalować, dzięki czemu uzyskują dostęp do mobilnej aplikacji bankowej klienta. Oszuści rozsyłają też np. mailem fałszywe linki, kierujące rzekomo do strony internetowej banku, gdzie po samodzielnym zalogowaniu się przez klienta przechwytują dane do logowania.

Przy złożonych metodach oszustw, nie jest wykluczone, że oszuści połączą skimming z wyżej opisywanymi metodami, a wówczas oprócz danych karty, mogą bezprawnie pozyskać także dane do logowania lub autoryzacji przelewów.

Jak widać metoda ta, przy odpowiednim przygotowaniu oszustów, pozwala na jej masowe powielanie, jeśli skimmery zostały zamontowane na wielu bankomatach. Wówczas w krótkim czasie oszuści uzyskują dane kart setek klientów, którzy nieświadomi zagrożenia wypłacają pieniądze z bankomatu za pośrednictwem karty wsuniętej do czytnika. Tutaj czynnik ludzi został praktycznie wyeliminowany. Oszust nie musi manipulować klientem w trakcie rozmowy telefonicznej, co często wymaga więcej czasu lub podsyłać mu fałszywych linków. Wybranie pieniędzy z bankomatu jest czynnością tak szybką, że klient nie zastanawia się nad tym, czy urządzenie jest bezpieczne.

Jaka jest relacja pomiędzy skimmingiem a nieautoryzowanym przelewem bankowym?

Po uzyskaniu danych karty, oszuści bez wiedzy i zgody klientów dokonują transferów ich pieniędzy za pomocą karty. Takiego transferu pieniędzy z karty, nie realizuje bank tylko operator karty. Dodatkowo taki transfer nie wymaga autoryzacji zgodnie z dyrektywą PSD2, aczkolwiek wiele banków już wymaga silnego uwierzytelnienia transakcji kartowych, co rekomenduje także Prezes UOKiK w najnowszych zaleceniach, o których pisaliśmy w innym artykule. Klasyczny przelew zawsze wymaga autoryzacji i jest wykonywany z rachunku bankowego na inny rachunek bankowy, co wymaga podania numeru, tytułu i opcjonalnie danych odbiorcy. Niezależnie od tego czy oszust pozyskał dane karty czy dane do autoryzacji klasycznego przelewu bankowego, to w obu przypadkach skutkiem jest kradzież pieniędzy z konta.

Sposób obecnego przekazu o sytuacji klientów banku Santander w mediach głównego nurtu, może sugerować, że skimming jest nowym zjawiskiem. W rzeczywistości skimming już kilkanaście lat temu był powszechnie wykorzystywany do popełnienia przestępstw kradzieży pieniędzy z kont bankowych równoległe z „metodą na wnuczka”.

Czy ataki tego typu mogą się powtórzyć?

Niestety nie można całkowicie zabezpieczyć się przed skimmingiem a ataki tego typu będą się powtarzać, oby w jak najmniejszej skali. 

Warto pamiętać o podstawowych zasadach bezpieczeństwa:

1. Przyglądaj się slotom kart w bankomatach. Wiele bankomatów ma przezroczyste i podświetlane czytniki, co pozwala klientowi zweryfikować, czy we wnętrzu takiego slotu jest zamontowane jakieś urządzenie (nie zawsze jest to możliwe z uwagi na postępującą miniaturyzację sprzętu elektronicznego);
2. włącz usługę silnego uwierzytelnienia transakcji kartowej w przypadku jej wirtualnego użycia, jeśli funkcja ta nie jest dostępna domyślnie w Twoim banku lub z jakiegoś powodu została wcześniej wyłączona;
3.  nie przekazuj osobom trzecim danych karty płatniczej, poza świadomymi i zgodnymi z twoją wolą płatnościami taką metodą (np. zakup biletów lotniczych);
4. nie oddawaj fizycznie nikomu swojej karty;
5. nie udostępniaj nikomu zdjęć swojej karty;
6. przechowuj kartę w bezpiecznym miejscu (portfel ze stalową blaszką);
7. ustaw limity transakcji kartą do wartości jakich potrzebujesz (często można ustawić limity płatności kartą w innej wysokości niż limity dla płatności BLIK czy przelewów bankowych).

______

Jeżeli jesteś ofiarą jednego z rodzajów opisywanego oszustwa i potrzebujesz pomocy prawnej, zgłoś się do nas.

[email protected]

Zobacz też nasze inne artykułu na temat nieautoryzowanych transakcji:

• Nieautoryzowane transakcje bankowe – nowe warianty starych metod oszustów
• Czy bank może odmówić zwrotu pieniędzy w przypadku kradzieży środków z konta bankowego klienta?
• W wyniku kradzieży karty debetowej lub kredytowej i numeru PIN wina klienta nie jest oczywista – historia jednego przypadku
• Zostałeś oszukany i straciłeś pieniądze z konta bankowego? Jakie działania powinieneś podjąć?