W Wigilię 2012 r. w ciągu kilku godzin z kont amerykańskich banków zniknęło 9 mln USD. Akcja była dobrze przygotowana i skoordynowana. Cyberprzestępcy po włamaniu się do kont przelali pieniądze na rachunki anonimowych kart przedpłaconych, a następnie członkowie gangu, rozsiani po kilkunastu krajach, wypłacili za pomocą kart gotówkę z bankomatów. I ślad po nich zaginął. W przeddzień Nowego Roku uderzyli ponownie, tym razem kradnąc 2 mln USD w Indiach.
Mechanizm był ten sam: przelew na kartę przedpłaconą, z którą złodziej stał już pod bankomatem, gotów podjąć pieniądze. Takich włamań do banków na świecie było więcej, głównie w USA. W Polsce też zdarzają się przekręty na kartach przedpłaconych, ale na znacznie mniejszą skalę. Mimo to znalazły się one pod lupą.
Sposób na iPhone’a
W maju Komisja Nadzoru Finansowego rozesłała do banków ankietę „IT i bezpieczeństwo w bankach”, w której sporo miejsca poświęcono kartom przedpłaconym. Nadzór dopytuje się, czy „bank umożliwia klientom dokonywanie przelewów z rachunków powiązanych z kartami przedpłaconymi”. A jeśli tak, to „jakie dane przelewu (np. nazwanadawcy, adres nadawcy) klient może modyfikować, inicjując transfer”. I wreszcie: „jakie mechanizmy kontrolne są stosowane w celu zabezpieczenia przed nadużyciami z wykorzystaniem wydawanych przez bank kart przedpłaconych”. Prepaidami interesuje się też, jak wynika z naszych informacji, Generalny Inspektor Informacji Finansowej, który koordynuje i nadzoruje działania nakierowane na zwalczanie procederu prania brudnych pieniędzy.
Problem z kartami przedpłaconymi polega na tym, że ich największa zaleta — z punktu widzenia klienta, jest największą wadą — patrząc z perspektywy bezpieczeństwa systemu. Jest nią anonimowość. Karta przedpłacona może być wydawana na okaziciela. Użytkownik nie musi podpisywać umowy z bankiem, podawać swoich danych osobowych. Dostaje natomiast do ręki instrument płatniczy bardzo podobny do karty debetowej, z własnym numerem rachunku.
Może przyjmować wpłaty na rachunek, a czasem nawet robić przelewy. Właśnie tę furtkę wykorzystali przestępcy w Stanach. Z niej też korzystają rodzimi złodzieje. Karta przedpłacona może posłużyć do wyprowadzenia z banków pieniędzy skradzionych z kont internetowych i kart kredytowych. Pieniądze przelewane są na rachunki kart przedpłaconych i od razu wypłacane z bankomatów. Bardziej popularna jest jednak metoda na taniego iPhone’a. W serwisie aukcyjnym pojawia się gorąca oferta, np. smartfona, znacząco tańszego od ceny rynkowej, z opcją „kup teraz”. Wystawca podaje numer karty przedpłaconej, na którą zazwyczaj rychło wpłacają pieniądze pierwsi naiwni.
Po złowieniu odpowiedniej liczby jeleni złodziej znika z sieci wraz z kartą. I ślad po nim ginie. Na szczęście coraz więcej transakcji nie dochodzi do skutku. Michał Janik z mBanku przyznaje, że karta przedpłacona może posłużyć do wyprowadzenia pieniędzy skradzionych z kont internetowych. Aby temu zapobiec, banki intensywnie monitorują transakcje dokonywane na kartach prepaid — gdy istnieje podejrzenie nadużycia karty, jest ona blokowana.
— Ściśle monitorujemy wpływy na karty przedpłacone. Aktywnie szukamy podejrzanych transakcji. Jeśli system wychwyci, że trafiają na nią przelewy z różnych rachunków, co raczej sugeruje, że nie są to pieniądze na zasilenie karty, rachunek jest blokowany — mówi Michał Janicki. Zdarza się, że oberwie się bogu ducha winnemu klientowi, który po zdjęciu blokady musi udać się do oddziału. Bezpieczeństwo obrotu ma jednak priorytet.
Walka postu z karnawałem
Karty przedpłacone są terenem nieustannych starć między pionami bezpieczeństwa a biznesu w bankach. Pierwsi najchętniej by go zaorali, drudzy wskazują ewidentne korzyści przy ograniczonym ryzyku. — Karta przedpłacona, również na okaziciela, ma zaszyte mocne bezpieczniki.
Wartość rachunku do niej przypisanego nie może przekroczyć 2,5 tys. EUR rocznie, a dzienny limit wypłaty gotówkowej wynosi tylko 150 EUR. To ogranicza atrakcyjność tego instrumentu przy praniu brudnych pieniędzy — mówi Wojciech Małaszewicz, kierujący Wydziałem Kart Płatniczych Banku Millennium. Generalnie problem z praniem brudnych pieniędzy za pomocą prepaidów nie jest znaczący, bo w Polsce karty przedpłacone nie są towarem specjalnie chodliwym. Dużą popularnością cieszą się natomiast w USA czy we Włoszech, gdzie stanowią substytut rachunku bankowego. Klienci zaczęli po nie sięgać ze względu na wysokie ceny kont osobistych.
Karta, przy podobnych funkcjonalnościach, była tańsza. W Polsce, kraju „rachunków za 0 zł”, sytuacja jest odwrotna. Banki nie wydają, ale sprzedają karty przedpłacone (za 10-20 zł), naliczają też prowizje za wypłatę gotówki (5-7 zł) i sprawdzenie salda w bankomacie (0,5-3 zł). Prepaidy rozpowszechniły się przede wszystkim w postaci kart firmowych, kupowanych hurtowo przez duże korporacje, np. jako karty podarunkowe.
Klienci detaliczni darzą je umiarkowanym zainteresowaniem. Efekt jest taki, że z 34 mln kart przedpłacone stanowią zaledwie nieco ponad 2 mln. To może się jednak zmienić. Błażej Mika, dyrektor departamentu współpracy strategicznej i rozwoju produktów kartowych w BZ WBK, zauważa rosnący popyt na karty przedpłacone wśród użytkowników internetu, którzy — ze względów bezpieczeństwa — do płatności w sieci korzystają z nich chętniej niż z kart debetowych czy kredytowych.
— Klienci coraz częściej rejestrują karty przedpłacone w serwisach typu Amazon, Appstore, Google Play, bo dzięki temu mogą kontrolować wydatki, np. swoich dzieci — mówi Błażej Mika.
Karta z paragonu
BZ WBK na fali tej popularności przymierza się do wydania karty wirtualnej (to rodzaj karty przedpłaconej, istniejącej w zdematerializowanej formie — jako numer karty i CVV), którą będzie można odebrać… w kasie supermarketu.
— Klient będzie mógł kupić w supermarkecie przedpłaconą kartę internetową w formie wydruku z terminalu. Znajdą się na nim odpowiednie dane, które po aktywacji umożliwią dokonywanie płatności w internecie w taki sam sposób jak każdą inną tradycyjną kartą debetową czy kredytową — mówi Błażej Mika.