IGP: Bancile prefera uneori sa suporte paguba decat sa previna frauda

DailyBusiness:

Care sunt tipurile de frauda informatica intalnite in sectorul bancar si cat de mare este volumul acestora?
Virgil Spiridon: Frauda informatica se refera la incidentele care au ca suport cartile de credit, fie ca e vorba de folosirea acestora la bancomate (skimming) sau de folosirea lor pe net (de regula prin phishing). Nu as putea preciza volumul acestora, pentru ca bancile nu raporteaza intotdeauna politiei pierderile pe care le inregistreaza pe acest segment. Unele dintre institutiile financiare prefera sa suporte pierderile.

DB: Aveti o evidenta a cazurilor raportate?
VS: La sase luni cumulam informatiile despre cazurile care au fost sesisate de banci politiei in teritoriu. Am putea spune ca, raportat la cazurile care ne-au fost sesizate in 2007, fata de 2006 a existat o crestere de circa 25-35% a numarului fraudelor.

Dobânzile bancare, în scădere. Care sunt băncile care oferă peste 6% după 12 luni

O analiză recentă arată că dobânzile bancare din România sunt în scădere și că acestea ajung maxim la 7% pentru depozitele la 12 luni.

Vârsta de pensionare ar putea crește pentru mai mulți români. Evidența Eurostat

Vârsta de pensionare ar putea crește în România. Ce arată ultimele date Eurostat.

DB:In ce constau fraudele?
VS: In cazul celor produse prin intermediul bancomatelor, de pe cartea de credit sunt copiate informatiile de pe banda magnetica, dar si PIN-ul. Se instaleaza un echipament care captureaza informatiile de pe banda magnetica si unul care captureaza PIN-ul. Pentru capturarea PIN-ului se poate folosi fie o tastatura, fie o camera de luat vederi, fie un telefon sau alt dispozitiv care sa asigure preluarea si transmiterea de informatii. In ceea ce priveste phishing-ul, infractorii trimit un mesaj solicitand clientilor bancari sa le dezvaluie date de identificare a contului bancar pe care le folosesc apoi pentru a avea acces la cont.

[quote=Virgil Spiridon, seful Serviciului de Combatere a Criminalitatii Informatice]Cazul Bancpost s-ar putea sa fie mai complex decat altele. Ancheta este in derulare[/quote]
DB: Cine plateste pagubele?
VS: In cazurile de phishing, returnarea banilor nu intra in responsabilitatea bancii. Este vina posesorului de card ca a oferit informatii despre contul sau. In ceea ce priveste skimmingul, banca este cea care despagubeste, de regula dupa ce se finalizeaza ancheta judiciara. Spre exemplu, in cazul Bancpost s-au emis carduri noi, iar banca i-a despagubit pe clienti.

DB: Prevenirea n-ar fi mai ieftina decat despagubirea?
VS: Prevenirea phishingului nu se poate realiza decat prin mediatizare, informare. Pentru prevenirea skimmingului exista echipamente si aplicatii care se monteaza in ATM-uri. Este vorba de o aplicatie soft care nu permite copierea datelor de la ATM pe banca magnetica. Este important ca bancile sa stie ca exista solutii antiskiming. Pana in prezent, cunosc 4-5 cazuri de banci care au implementat acest sistem.

DB: Cand apeleaza bancile la politie?
VS: Cazurile pe care ni le sesizeaza noua sunt cele de mai mare amploare, cum a fost Bancpost, in care prejudiciul a fost de circa 300.000 de euro, din cat ne-am dat seama pana acum. Totodata, BRD SocGen ne-a sesizat atacul de phishing de anul trecut, cand prejudiciul s-a ridicat la circa 8.000 de lei. Dar nu banca a despagubit in acel caz, pentru ca titularii au acceptat sa isi dea datele de identificare pe net.

DB: Cum a evoluat volumul fraudelor?
VS: Este in crestere. Daca pana acum 2 ani, aveam un site de phishing impotriva unei banci, anul trecut am avut zeci, iar anul acesta, pana in prezent, deja am depasit numarul de anul trecut, iar pana acum am identificat 20 de site-uri de phishing. In 2007, au fost supuse atacurilor de phishing BRD, Raiffeisen, Bancpost, iar in 2008 au fost create site-uri pentru Bancpost, pentru BRD, pentru Banca Transilvania, pentru Raiffeisen si mai sunt si alte banci.

DB: Iar fraudele prin bancomat?
VS: Si aici volumul e in crestere. Daca pana acum doi ani vorbeam de 1-5 ATM-uri „compromise” in Romania, acum vorbim de zeci de ATM-uri.

DB: Care din cele doua tipuri de fraude detine o pondere mai mare in total?
VS: Skimmingul e mai raspandit decat phishing-ul, pentru ca este „accesibil” mai multor infractori. In cazurile de skimming, avem de-a face inclusiv cu infractori din lumea interlopa. Cei care fac phishing trebuie sa aiba si cunostinte de Internet.

DB: Au existat si cazuri in care infractorii au avut acces la bazele de date ale bancilor?
VS: Nu in mod direct, pentru ca bazele de date nu sunt disponibile pe net. In afara Romaniei, bancile sunt atacate prin intermediul anumitor companii care le proceseaza datele. Acolo, infractiunile de acest gen sunt mai des intalnite, pentru ca si comertul electronic este mult mai dezvoltat, plata se face prin site-uri, iar datele cartilor de credit raman in serverele anumitor companii de comert electronic.

[quote=Virgil Spiridon, seful Serviciului de Combatere a Criminalitatii Informatice]Daca pana acum doi ani vorbeam de 1-5 ATM-uri „compromise” in Romania, acum vorbim de zeci de ATM-uri[/quote]
DB: Romania are incomparabil mai putine carduri cu cip decat media europeana, cunoscute drept un instrument de plata foarte sigur (sub 10% din total carduri, fata de o medie europeana de 50%). Inseamna ca este o piata mai vulnerabila si ca am putea avea de-a face cu migrarea infractionalitatii din spatiul vest-european spre Romania?
VS: Intr-adevar, in Romania, numarul de carduri cu cip este inca mic, si asta pentru ca atat emiterea de carduri, cat si upgradarea sistemului de acceptare, costa. In aceste conditii, infractorii romani compromit carduri din strainatate care au cip, furand insa doar informatiile de pe banda magnetica si PIN-ul, cipul neputand fi compromis. Vin in Romania la bancile care nu au upgradat sistemul de acceptare pentru cardurile cu cip si scot bani de pe acele carduri.

DB: Cine despagubeste in acest caz?
VS: Banca romaneasca este obligata sa plateasca bancii straine prejudiciul, pentru ca regula este ca institutia financiara care nu si-a implementat tehnologia noua sa plateasca.

DB: Cum a evoluat acest tip de fraude de la an la an?
VS: A existat si aici o crestere de la an la an, dar nu ne putem da seama de amploarea fenomenului, pentru ca bancile nu raporteaza, asa cum nu isi raporteaza toate pierderile pe care le au pe carduri. E in joc imaginea bancii. Probabil ca banca se gandeste la cat este de investit pentru a se introduce aceasta tehnologie si isi dau seama ca este mai ieftin sa suporte pierderile decat sa modernizeze sistemul de plata.

DB: Cat dureaza o ancheta si in cat timp se recupereaza prejudiciul?
VS: Anul trecut, cazul BRD a durat din martie pana in octombrie, iar in martie anul acesta, deci abia dupa un an de la lansarea procedurilor, abia a fost trimis rechizitoriul. Referitor la prejudiciu, acesta e foarte greu de recuperat, pentru ca de regula cei care fac frauda investesc banii si nu ii tin in conturi.

DB: Ce pedepse se primesc pentru frauda pe Internet?
VS: Sub aspect civil, infractorii sunt urmariti in permanenta pentru recuperarea pagubelor si bunurile intrate in folosinta lor pot fi confiscate pentru acoperirea daunelor. In ceea ce priveste partea penala, pedepsele pot varia intre 3 si 5 ani de inchisoare.

DB: Cum a decurs cazul BRD?
VS: Am primit sesizarea si am inceput sa verificam informatiile pe care banca ni le-a pus la dispozitie despre site-urile folosite in atacul de phishing, care ne-au furnizat informatii foarte importante legat de urmele pe care acestia le lasa pe Internet. Am reusit sa identificam astfel, initial, 3 persoane. Am pus informatiile in corelatie cu altele din tara si ne-am dat seama ca acestia mai facusera fraude si in Brasov. Dupa care i-am supravegheat, timp de circa 6 luni, si asa am ajuns la o retea formata din 20 de persoane.

DB: Erau infractori „profesionisti”?
VS: In cele 6 luni am descoperit ca facusera si tranzactii prin Western Union. Aplicatia prin care se transmiteau banii avea o eroare pe care ei o foloseau si generau tranzactii inexistente. Ridicau banii, iar prejudiciul era suportat de Western Union. Totodata, in afara de phishingul la BRD, faceau phishing si la alte institutii bancare americane, de unde ridicau bani de pe cardurile compromise in SUA. In plus, in Romania instalasera echipamente de skimming in vreo 2-3 situatii.

DB: Lucrati acum la rezolvarea cazului Bancpost…
VS: Este inca in analiza. S-ar putea sa fie mai complex decat altele, dar ancheta se afla in derulare.

DB: Cum arata un portret robot al infractorului si cum isi aleg acestia targetul?
VS: De regula sunt tineri cu varste cuprinse intre 20 si 25 de ani sau putin peste aceasta varsta, care au cunostinte de calculatoare, de Internet, programare, servere etc. De regula au studii medii. Acestia sunt infractorii care se ocupa de frauda pe Internet. Dar nu trebuie uitat ca exista o organizatie intreaga in care sunt atat tineri care stiu sa intre pe net, cat si cei care ridica banii in Romania, in strainatate etc. Liderii retelei sunt de regula persoane cu experienta in acest sistem, care au facut si alt fel de infractiuni.

DB: Ce fel de banci „prefera” infractorii?
VS: Cred ca bancile luate in vizor de infractori sunt alese in functie de serviciile pe care le ofera, e vorba de servicii care pot fi accesate prin phishing. Dar nu cred ca e singurul criteriu. De exemplu, BRD se poate sa fi fost preferata pentru ca era o banca mare, cu multi clienti.