IT@BANK 2017: Międzysektorowa wymiana informacji warunkiem bezpieczeństwa w e-gospodarce

BANK 2017/11

Z Dariuszem Kozłowskim, wiceprezesem zarządu Centrum Prawa Bankowego i Informacji, rozmawiał Karol Jerzy Mórawski.

W jakim stopniu znajdujące się w obrocie podrobione dowody tożsamości generują zagrożenie dla rozwoju e-gospodarki?

– Jest to poważny problem o dalekosiężnych i trudnych do ustalenia w chwili obecnej konsekwencjach. Stopniowe przenoszenie się obrotu gospodarczego do świata cyfrowego wymaga od nas posiadania cyfrowej tożsamości. Fałszywy dokument może być bardzo łatwo wykorzystany do wykreowania fałszywej tożsamości w świecie cyfrowym. Jeżeli popełnimy grzech pierworodny i nie zadbamy o wypracowanie dobrych i przemyślanych procedur i metod zapewniających uszczelnienie systemu weryfikacji i identyfikacji tożsamości już na etapie budowy systemu, wykreujemy sobie w przyszłości problemy w wielu obszarach, które bardzo trudno będzie wyeliminować.

Tymczasem niektóre z procedur związane choćby z wydaniem dowodów osobistych wciąż nie są wystarczająco szczelne. Znany jest powszechnie przykład mężczyzny zatrzymanego przez świętokrzyską policję, u którego znaleziono 115 dowodów osobistych wystawionych na 47 nazwisk osób z terenu całego kraju. Mężczyzna ten zmieniał tożsamość, stosując kamuflaż swojego wizerunku i w ten sposób wyrabiał oryginalne dokumenty w urzędach na wcześniej skradzione dane osób, które nie miały pojęcia, że na ich tożsamość zostały wydane nowe dowody osobiste. Brak możliwości weryfikacji używanych w obrocie gospodarczym dowodów osobistych w oparciu o ogólnodostępną bazę danych spowodował sytuację, kiedy to osoba, której tożsamości użyto do wyrobienia nowego dokumentu w dalszym ciągu posługiwała się swoim, nie utraconym przecież i „ciągle ważnym”, oryginalnym dowodem osobistym zaś przestępcy posługiwali się również oryginalnym dowodem osobistym wystawionym na cudzą tożsamość. Co prawda istniejący dowód osobisty osoby, której skradziono tożsamość został unieważniony w Rejestrze Dowodów Osobistych Ministerstwa Cyfryzacji w chwili wydania nowego dokumentu, ale informacja o tym fakcie jest przecież niedostępna dla przedsiębiorców i konsumentów i w związku z tym nie może być im znana.

Brak ogólnodostępnego systemu umożliwiającego weryfikację dokumentów powoduje, że w powszechnym obrocie gospodarczym oba są jednakowo „ważne”, ponieważ zarówno w pierwszym, jak i drugim przypadku data ważności dokumentu nie upłynęła. W tym kontekście nietrudno sobie zatem wyobrazić sytuację, w której dopuścimy do świata cyfrowego osoby, których prawdziwa tożsamość nie będzie znana. W konsekwencji ktoś taki będzie mógł posiadać np. Profil Zaufany w e-PUAP, uzyskać certyfikat czy też podpis elektroniczny kwalifikowany uprawniający do zaciągania różnorakich zobowiązań w świecie wirtualnym. W takiej sytuacji bardzo łatwo będzie stracić zaufanie do gospodarki cyfrowej, jeżeli nie będziemy mieć pewności, czy strony stające do podpisania umowy na odległość rzeczywiście są tymi, za które się podają oraz czy dokonywane transakcje finansowe będą prawidłowe i bezsporne. Z tym samym problemem muszą się zmierzyć także inne sektory gospodarki, choćby podmioty wystawiające certyfikaty czy też notariusze.

Fałszywy dokument może być bardzo łatwo wykorzystany do wykreowania fałszywej tożsamości w świecie cyfrowym. Jeżeli nie zadbamy o wypracowanie dobrych i przemyślanych procedur i metod zapewniających uszczelnienie systemu weryfikacji i identyfikacji tożsamości już na etapie budowy systemu, wykreujemy sobie w przyszłości problemy w wielu obszarach, które bardzo trudno będzie wyeliminować.

Czy polskie prawo sprzyja ograniczaniu przestępstw przeciwko dokumentom?

– W polskim systemie prawnym pozostaje wciąż duży margines tolerancji dla działań, które w ewidentny sposób sprzyjają posługiwaniu się fałszywą tożsamością w obrocie gospodarczym. Jedyny na dzień dzisiejszy przepis, który penalizuje użycie fałszywego dokumentu jako autentycznego istnieje w Kodeksie karnym w postaci art. 270 §1. Niestety przepis ten jest niewystarczający, aby móc skuteczne zwalczać przestępczość w tym zakresie. Nie adresuje bowiem chociażby zakazu posiadania tego rodzaju podrobionych dokumentów. Przygotowany przez rząd projekt ustawy o dokumentach publicznych przewiduje wprawdzie penalizację wytwarzania replik dokumentów czy też obrotu nimi, natomiast sam fakt posiadania pozostanie w dalszym ciągu prawnie dozwolony. W konsekwencji oznacza to brak możliwości postawienia posiadaczowi takiego dokumentu zarzutów przez policję, która podczas czynności operacyjnych natrafi na wierną kopię dokumentu tożsamości, jeżeli nie była ona wcześniej wykorzystana do popełnienia czynu zabronionego. Oznacza to tyle, że w dalszym ciągu jedynie schwytanie sprawcy na gorącym uczynku posługiwania się takim dokumentem będzie dawać możliwość jego skazania.

Tymczasem problem podrabiania dowodów tożsamości staje się coraz bardziej palący: firmy wykonujące tego rodzaju fałszywki pod pretekstem tworzenia dokumentów o charakterze kolekcjonerskim deklarują, że są w stanie odwzorować oryginalny dokument z 99,9% podobieństwem, imitując dodatkowo wszystkie zabezpieczenia oryginału. Oczywiście pojawia się pytanie, jak powinniśmy postępować w odniesieniu do osób, które zakupiły imitacje dokumentów przed wejściem w życie ustawy, a które ewidentnie nie miały na celu działań o charakterze kryminalnym. Przykładem może być osobliwa moda na wykonywanie odwzorowań dowodów osobistych dla małoletnich dzieci lub zwierząt domowych. W takich przypadkach można by rozważyć wprowadzenie obowiązku rejestracji lub ewidencji takich dokumentów pod rygorem odpowiedzialności. Wówczas sam fakt posiadania niezgłoszonej repliki dowodu tożsamości stanowiłby dla organów ścigania podstawę do podjęcia odpowiednich działań.

Zakłamywanie własnej tożsamości w celu wyłudzenia kredytu może zachodzić również w mediach społecznościowych. W jaki sposób banki, coraz częściej sięgające po social scoring, mogą zabezpieczyć się przez sztucznym kreowaniem wizerunku przez klienta?

– W tym przypadku jest to kwestia doboru odpowiednich narzędzi analitycznych i ustawienia właściwych reguł korelacyjnych. W momencie, kiedy banki zaczynają wykorzystywać szeroko rozumiane zasoby social media czy big data równocześnie biorą na siebie ryzyko związane z bardzo ograniczoną wiarygodnością wspomnianych źródeł. Znając mechanizmy wykorzystywane przez banki w ramach np. social scoringu można się pokusić o stworzenie profilu własnego lub swojej firmy tak, by osiągnąć jak najlepszy wynik w toku badania zdolności kredytowej, dodatkowo jeszcze uprawdopodobniany przez grono znajomych. Moim zdaniem, informacje pozyskane z serwisów społecznościowych mogą mieć co najwyżej charakter wspomagający ocenę zdolności kredytowej i nie powinny być traktowane jako jedyne czy podstawowe kryterium takiej oceny. Informacje, na podstawie których podejmuje się decyzje biznesowe powinny być informacjami pewnymi, a zatem pochodzącymi z pewnych i weryfikowalnych źródeł. Social media co do zasady takimi pewnymi źródłami nie są i najpewniej nigdy nie będą.

Obok ewidentnego fałszowania tożsamości poważnym problemem jest również wykorzystywanie tzw. słupów, czyli z reguły osób bezdomnych. Jak sobie radzić z tego rodzaju nadużyciami?

– Ten problem jest dużo bardziej złożony, ponieważ za taką tożsamością zawsze stoi autentyczna osoba. W tym przypadku jedynym problemem przestępców jest jej odpowiednie uwiarygodnienie w oczach pracowników frontoffice’owych. To, z czym się spotykamy na początku, to tworzenie wrażenia dobrej prezencji takiej osoby – czystej, dobrze ubranej, ekskluzywnie wyposażonej. Wiadomo też, że z reguły takie osoby są całkowicie nieznane dla sektora bankowego, ponieważ z zasady nie korzystają one z usług bankowych i dlatego bank początkowo będzie podchodził z należytą ostrożnością w zakresie udzielania finansowania czy też oferowania swych produktów. Kolejnym elementem jest tzw. hodowanie słupa, czyli cierpliwe, nieraz wieloletnie, budowanie zdolności kredytowej po to, aby dokonać tzw. złotego ataku w najdogodniejszej chwili.

Trudno jest zatem wskazać konkretny sposób, pozwalający na wykrycie i wyeliminowanie tego procederu w stu procentach. Na pewno warto zwracać szczególną uwagę na zachowanie się takich osób w momencie otwierania rachunków bankowych: czy są one samodzielne, czy też towarzyszą im inne osoby, które sterują ich zachowaniem, czy używane przez nich słownictwo jest zbieżne z wizerunkiem osoby dobrze wykształconej itp. Wchodzimy zatem w elementy miękkie oceny, tj. oceny z zakresu socjologii i psychologii. Tutaj na pewno pomocne są szkolenia. Innym instrumentem, który mógłby pozwolić na znaczące ograniczenie takiej przestępczości byłaby międzysektorowa wymiana informacji, obejmująca chociażby informacje na temat danego klienta z firm ubezpieczeniowych, operatorów telekomunikacyjnych i innych dostawców np. usług masowych. Jest wielce prawdopodobne, że różne grupy przestępcze specjalizujące się w popełnianiu przestępstw – nazwijmy je – branżowych (np. jedni w sektorze ubezpieczeniowym, a inni w sektorze bankowym) wykorzystują te same osoby jako słupy. Mogłoby się okazać, że tożsamość takiego słupa byłaby wykorzystana tylko jeden jedyny raz do popełnienia przestępstwa, ponieważ informacja o tym byłaby już rozpowszechniona także w innych sektorach gospodarki. Niestety, tajemnice branżowe, stanowisko GIODO oraz konieczność dokonania zmian legislacyjnych na dzień dzisiejszy całkowicie wykluczają taką wymianę informacji.

Polski sektor bankowy korzysta z identyfikacji biometrycznej, jednak są to projekty prowadzone indywidualnie przez poszczególne banki. Problem ujawnia się w chwili, kiedy klient banku udostępniającego np. bankomaty biometryczne chciałby wypłacić pieniądze w urządzeniu należącym do innej sieci.

A może w takim razie nadszedł już czas na biometrię, która pozwala na skuteczną i jednoznaczną autentykację?

– Uwierzytelnianie biometryczne z pewnością stanowi przyszłość, niemniej zanim to nastąpi, należy rozwiązać problemy związane z tworzeniem scentralizowanej bazy danych biometrycznych. Bez wątpienia mamy z jednej strony do czynienia z danymi wrażliwymi, a równocześnie taka baza powinna być powszechnie dostępna, żeby pozwolić na uniwersalną i międzyinstytucjonalną weryfikację klientów czy kontrahentów. Polski sektor bankowy oczywiście korzysta z identyfikacji biometrycznej, jednak do chwili obecnej są to projekty prowadzone indywidualnie przez poszczególne banki. Problem ujawnia się w chwili, kiedy klient banku udostępniającego np. bankomaty biometryczne chciałby wypłacić pieniądze w urządzeniu należącym do innej sieci. W swoim banku uwierzytelni się biometrycznie, tj. za pomocą skanu naczyń krwionośnych palca, natomiast skorzystanie z bankomatu innego banku będzie od niego wymagać i tak podania PIN-u. Reasumując, biometria ma ogromny potencjał na przyszłość, jednak obecnie problemem jest odmiejscowienie i scentralizowanie systemu uwierzytelnienia. Dodatkowo musimy być również gotowi na przeciwdziałanie kradzieżom tożsamości biometrycznej, której w przeciwieństwie do dowodu osobistego czy karty płatniczej nie da się w prosty sposób zmienić. Jeżeli nie rozwiążemy prawidłowo tych problemów, to w mojej ocenie projekt biometryczny może zakończyć się porażką