Przepisy o tajemnicy bankowej trzeba zmienić

PB: Brytyjczycy szacują, że połowa wszystkich przestępstw, do których dochodzi na Wyspach, to cyberoszustwa. Jak to wygląda u nas?

prof. Agnieszka Gryszczyńska: Najczęstszą podstawą wszczęcia postępowania w prokuraturze w Polsce jest oszustwo i co najmniej połowa z tych spraw to oszustwa popełnione online. Do tego dochodzą inne kwalifikacje: oszustwo komputerowe, hacking, kradzież tożsamości, stalking. Prawie jedna trzecia wszystkich spraw w Centralnym Biurze Zwalczania Cyberprzestępczości [CBZC - red.] dotyczy CSAM [z ang. child sexual abuse materials - red.], czyli produkowania, dystrybuowania lub posiadania materiałów przedstawiających seksualne wykorzystywanie dzieci. To też jest cyberprzestępczość.

W 2024 r. wysokość strat z tytułu cyberoszustw wyniosła blisko 0,5 mld zł. W I kwartale tego roku już 150 mln zł. Idziemy na rekord.

Ja myślę, że liczby mogą być większe. Wskazują na to dane NASK, który z roku na rok obsługuje więcej incydentów. Ponad 100 tys. incydentów zarejestrował w 2024 r. Przy czym jeden incydent często nie dotyczy jednej osoby. Mogą kryć się za nim setki pokrzywdzonych.

Zacznijmy od podstaw. Co to jest cyberprzestępczość?

Każdy rozumie to pojęcie nieco inaczej. Nie ma ani krajowej, ani globalnej definicji cyberprzestępczości. Prof. Andrzej Adamski powiedział kiedyś, że zmienność technologii nie sprzyja trwałości definicji, więc może lepiej, że nie ma jednej definicji cyberprzestępczości. Możemy wyodrębnić cyberprzestępczość w wąskim znaczeniu tam, gdzie systemy i sieci komputerowe są przedmiotem lub środowiskiem ataku, np. produkcja, dystrybucja złośliwego oprogramowania, uzyskiwanie nieuprawnionego dostępu do informacji poprzez przełamanie lub ominięcie zabezpieczeń. Każdy powie: "O, to są prawdziwe cyberprzestępstwa". Ale statystycznie wcale nie ma ich dużo.

Skutki, m.in. finansowe, ataków ransomware są jednak poważne.

Tak, one dotykają głównie firmy i instytucje. Statystycznie najczęstszym cyberprzestępstwem są czyny z artykułu 286 k.k., czyli oszustwa. Kiedyś prokuratorzy mówili, że prowadzą „allegrówki”. To były początki handlu internetowego i pierwsze oszustwa na platformach aukcyjnych, z którymi one sobie dość szybko poradziły. To nie były skomplikowane sprawy. Dało się ustalić tożsamość tego, kto wystawiał ofertę, a towaru nie miał i wyłudzał pieniądze. Od lat borykamy się z falą fałszywych ofert w internecie. Obecnie prawie nie ma już drobnych oszustów. Są grupy przestępcze, które w sposób planowy i ciągły zajmują się przestępczą działalnością. Głównie poprzez pseudoplatformy inwestycyjne i fałszywe sklepy internetowe podszywające się pod znane marki. Występuje podział zadań. To dobrze zorganizowany przestępczy biznes. Ktoś tworzy fałszywe strony, ktoś inny umieszcza zdjęcia produktów i opisy, obsługuje call center itd.

Czy to przypadek, że pracownicy call center często mówią z bardzo wyraźnym wschodnim akcentem?

Nie jest żadną tajemnicą, że za naszą wschodnią granicą zlokalizowana jest część call center wykorzystywanych przez oszustów. Wiemy o tym choćby z komunikatów prokuratury i CBZC, które we współpracy ze służbami ukraińskimi prowadziły udane akcje wymierzone w przestępców. Ze względu na bliskość językową i kulturową kraje na wschód od Polski są naturalnym obszarem rekrutacji pracowników do call center. Oferty pracy można znaleźć w internecie.

Niedawno czytałem w mediach niemieckich, że w grudniu 2024 r. policja rozbiła w Polsce dwa call center wyspecjalizowane w naciąganiu na fałszywe inwestycje Niemców.

To, że call center jest w danym kraju, nie oznacza, że kierownictwo grupy przestępczej też tam się znajduje. W 2018 r. w Konstancinie pod Warszawą zatrzymano Tajwańczyków, którzy metodą "na legendę" oszukiwali mieszkańców Chin. W Polsce mieli jedno call center, drugie w

Czechach.

Międzynarodowy biznes.

Trudny do wykrycia oraz ścigania. Przestępcy są niewidoczni dla służb kraju, w którym prowadzą działalność, bo nie tutaj dopuszczają się przestępstwa. Działają na szkodę obywateli innego państwa. Lokalne organy ścigania najpierw muszą namierzyć kierunek ataku, potem skontaktować się z policją innego państwa, poprosić o pomoc prawną, zrealizować wspólne czynności, zawnioskować o wydanie itd. Są takie kraje, które nie udzielają pomocy prawnej, albo robią to tylko w pewnych kategoriach spraw, albo też procedury trwają tak długo, że w zasadzie sprawców nie można pociągnąć do odpowiedzialności.

Kierunek ataku jeszcze o niczym nie mówi. Bliskość kulturowa i językowa też przestaje mieć znaczenie. Są już międzynarodowe grupy, które zajmują się oszustwami np. na OLX. Nie chodzi tu o konkretną markę i przywoływanie jej w tym kontekście może być dla niej krzywdzące. Niemniej klienci platform sprzedażowych takich jak OLX czy Vinted – zarówno sprzedający, jak też kupujący – są często atakowani przez oszustów.

Wystawiłem produkt na OLX i 7 minut później dostałem od oszustów wiadomość na WhatsAppie.

To nie jest wina OLX, że oszuści podstawiają automat, który sprawdza wszystkie nowe ogłoszenia wystawione w internecie. Zajmują się tym międzynarodowe grupy przestępcze, które prowadzą działalność i atakują użytkowników internetu w Polsce, Hiszpanii czy Wielkiej Brytanii. Wszędzie, bo język lokalny nie stanowi przeszkody. Przestępcy mają gotowe scenariusze rozmów z ofiarami dopasowane do specyfiki różnych krajów. Korzystają z translatorów i sztucznej inteligencji do tworzenia skryptów wiadomości przesyłanych następnie przez komunikatory internetowe typu WhatsApp.

Jestem w trakcie korespondencji z Amerykaninem, który chce mi podarować 2 mln EUR. Język mejli jest perfekcyjny. To już nie są wiadomości sprzed kilku lat od księcia z Nigerii pisane łamaną polszczyzną.

Sztuczna inteligencja już teraz daje wsparcie przestępcom. W czacie GPT są mechanizmy ograniczające wykorzystanie AI do celów przestępczych. Przestępcy jednak mają już własne modele i narzędzia pozbawione tych wszystkich barier, np. Fraud GPT. W zamian za niewielką opłatę można generować m.in. mejle phishingowe, scenariusze rozmów, skrypty czy złośliwe oprogramowanie. I tu znowu wracamy do kwestii definicji cyberprzestępczości. Warto postawić pytanie, czy naszym celem jest tylko wyodrębnienie osobnej kategorii "cyberprzestępczość", czy też lepsze prowadzenie wszystkich postępowań, w których sprawcy wykorzystują nowoczesne technologie do naruszania dóbr tradycyjnie chronionych przez prawo karne, np. oszustw.

Dalej pojawia się kolejny dylemat. Otóż elektroniczny materiał dowodowy jest nie tylko sprawach dotyczących cyberprzestępstw w wąskim i szerokim tego słowa znaczeniu: przy infekowaniu złośliwym oprogramowaniem, przejmowaniu dostępu do kont, oszustwach, wymuszeniach, szantażach itp. My już nie mamy innych spraw niż takie, w których zajmujemy się analizowaniem elektronicznego materiału dowodowego. Jeśli dojdzie do wypadku komunikacyjnego, to jakie dane zabezpieczamy? Monitoring miejski, prywatny. Prawie każdy samochód ma też własną kamerkę. Nowoczesne samochody mają mnóstwo czujników. Za chwilę zaczniemy się mierzyć z problemem zdarzeń z udziałem pojazdów autonomicznych. Jeśli dojdzie do zdarzenia w skutek błędnego działania systemów wsparcia kierowcy to mamy cyberwypadek, czy nie?

Dzisiaj w prokuraturze powinniśmy zatem nie tylko tworzyć wyspecjalizowane komórki do prowadzenia najpoważniejszych postępowań z zakresu cyberprzestępczosci, ale każdy prokurator musi mieć ugruntowaną wiedzę z zakresu postępowania z elektronicznym materiałem dowodowym. Bez zwiększenia ilości „cyberprokuratorów” nie zdołamy sprostać nowym wyzwaniom.

Walka z cyberoszustami musi być bardzo frustrująca. To never ending story. Slużby zablokują jedną domenę, pojawi się 100 nowych. Zanim prokuratura zablokuje rachunki przestępców, pieniądze zdążą zniknąć.

Pierwszą czynnością w każdym postępowaniu o oszustwo powinno być podążanie za pieniądzem. Szukanie tropów w internecie jest trudne, bo przestępcy bardzo mocno się chronią. Używają proxy, VPN, Tora. To również ustalamy, jednak zdecydowanie skuteczniejsze jest weryfikowanie, kto zapłacił za infrastrukturę i gdzie trafiły pieniądze pokrzywdzonego. Śledząc przepływy, dojdziemy do sprawców – to jest podstawa, czy to w sprawach małych, czy dużych.

Teraz prześledźmy przebieg postępowania. Załóżmy, że mamy przestępstwo - klasyczne oszustwo inwestycyjne. Pokrzywdzony miał zainwestować w akcje Orlenu. Po wielu tygodniach rozmów telefonicznych z „doradcą inwestycyjnym” wpłacił łącznie na rachunek przestępców 60 tys. zł. Wtedy kontakt z „doradcą” się urwał. Pokrzywdzony składa zawiadomienie na policji. Standardowo wygląda to tak, że rozpoczynają się czynności sprawdzające, trwające określony czas. W przypadku szkody na 60 tys. wszczynane jest dochodzenie, powyżej 200 tys. zł byłoby śledztwo. Dochodzenie trwa dwa miesiące. Potem trzeba wysłać sprawę do prokuratora w celu jego przedłużenia.

Taka jest standardowa ścieżka postępowania w przypadku oszustwa. Możliwe jednak, że policja nie podejdzie do sprawy rutynowo. Uzna, że - skoro mamy do czynienia z oszustwem inwestycyjnym - trzeba pilnie zweryfikować, gdzie trafiły pieniądze wysłane przez pokrzywdzonego. Wraz z aktami sprawy wysyła zatem wniosek do prokuratora o zwolnienie z tajemnicy bankowej i ustalenie dysponenta rachunku docelowego. Czy prokurator może zwolnić z tajemnicy bankowej? Tak, w sprawach np. o pranie pieniędzy, ale w przypadku postępowania prowadzonego tylko o oszustwo, co do zasady, już nie. Prokurator pisze zatem wniosek do sądu okręgowego o zwolnienie z tajemnicy bankowej, wyjaśnia, jakich danych potrzebuje i w jakim celu.

No dobra, ale w tym czasie od przestępstwa minął pewnie z miesiąc.

W przypadku standardowej procedury możliwe, że już nawet trzy. A my jesteśmy na etapie, w którym prokurator śle wniosek do sądu okręgowego. W Warszawie znajduje się on blisko. Wniosek prokuratora może zostać przyjęty tego samego dnia. Ale są też prokuratury mające siedziby odległe od właściwego sądu okręgowego, więc korespondencja wędruje dłużej.

No dobrze, wniosek jest w sądzie okręgowym. Czas oczekiwania na rozpoznanie? Dwa tygodnie to dobry wynik. Sąd wydaje postanowienie o zwolnieniu z tajemnicy. Co się dzieje dalej? Wysyła je do prokuratury, a prokurator dalej - do banku. Wszystko to trwa. Następnie jest czas oczekiwania na odpowiedź banku - od kilku dni do kilku miesięcy. Wreszcie prokurator uzyskuje potrzebne dane. Dokąd nas one doprowadzą w standardowym sposobie postępowania?

Pieniędzy dawno nie ma na koncie, a rachunek jest założony na słupa.

Nie jest tak źle. Mając dostęp do konta, możemy prześledzić historię: kto się logował, na jaki rachunek docelowy pieniądze trafiły, gdzie zostały wypłacone. I tu dochodzimy do kolejnego kluczowego problemu. Żeby dowiedzieć się, kto logował się do rachunku, skąd, z jakiego adresu IP korzystał, musimy zwrócić się do operatora telekomunikacyjnego. Przestępca, żeby obsługiwać rachunek służący do prania pieniędzy, podaje również numer telefonu, na który przychodzą SMS-y autoryzacyjne. Okres retencji danych telekomunikacyjnych wynosi 12 miesięcy. Co z tego, że bank da nam numer telefonu oraz adresy IP logowań do rachunku, jeśli nie możemy sprawdzić abonenta usługi telekomunikacyjnej? Dlaczego nie możemy? Bo często już minął okres retencji i dane nie są już dostępne.

W takim razie czy zgłaszanie tych oszustw w ogóle ma sens?

Oczywiście, że tak. CBZC i prokuratury w całym kraju prowadzą lub zakończyły z sukcesem wiele tego typu spraw. Musimy natomiast przemyśleć, co nie gra w procedurze.

Wszystko?

Z pewnością jest kilka rzeczy do rozważenia. Dlaczego prokurator może sam zwolnić z tajemnicy bankowej, gdy sprawa dotyczy prania pieniędzy, a nie może w sprawie oszustwa? Przecież w przypadku oszustwa internetowego ewidentnie na końcu dochodzi do prania pieniędzy. Trzeba w końcu zracjonalizować tryb zwalniania z tajemnicy bankowej. Procedura z udziałem sądu okręgowego jest nieefektywna. Dane można pozyskiwać szybciej. Krótko po zgłoszeniu może się dowiedzieć, że pieniądze trafiły na rachunek zarejestrowany na pana Jana, a potem z tego konta były realizowane wypłaty w bankomacie w Łodzi, który jest wyposażony w kamerę. Na nagraniu widać tylko zamaskowaną twarz, ale prokuratorzy i policjanci zajmujący się cyberprzestępczością już wiedzą, że to jest tzw. runner, czyli członek grupy zajmujący się realizacją wypłat z bankomatów. Musi zrealizować wiele transakcji, żeby wypłacić skradzione pieniądze. Nie chodzi piechotą, gdzieś ma samochód. Wokół bankomatu są sklepy, instytucje, jest wiele kamer monitoringu. Jest szansa, że trafimy na podejrzany pojazd, który ma widoczny numer rejestracyjny. Po nitce do kłębka.

Jak długo są przechowywane nagrania z monitoringu w Polsce?

To zależy - od dni do tygodni, czasem miesięcy. Zazwyczaj nagrania nadpisują się w pętli, czyli nowe kasują stare. Było kilka podejść do ustawy o monitoringu, ale regulacji nie ma. W wielu krajach Europy policja dysponuje mapami monitoringu w mieście z pełnym dostępem do danych administratorów oraz możliwością szybkiego zabezpieczenia nagrań. U nas, gdy policjant zauważy kamerę blisko miejsca zdarzenia, najpierw musi ustalić do kogo należy, potem wystąpić o wydanie nagrań, których może już nie być, bo zostały skasowane.

Żeby walczyć z cyberprzestępcami, musimy działać w czasie zbliżonym do rzeczywistego. A do tego potrzebne jest szybkie pozyskiwanie informacji. Bez zmiany prawa tego nie osiągniemy. Na pewno część osób będzie się oburzać, że to jest godzenie w prawo do prywatności, ale zmiana przepisów dotyczących tajemnicy bankowej jest koniecznością. Jest to postulat numer jeden, który zgłaszam od dawna. Drugi dotyczy obowiązku umieszczenia monitoringu na bankomatach. Część urządzeń jest wyposażona w kamery, ale te, które wybierają przestępcy – nie. Trzecia kwestia: łatwy obrót rachunkami bankowymi i duża dostępność kont zakładanych na tzw. słupy. Jak to jest możliwe, że mamy tyle słupów, że konto można kupić, wystarczy poszukać ofert w internecie?

Jak można zabronić obywatelowi, żeby otworzył sobie rachunek w kilku bankach?

Zmierzam do tego, że jeśli jedna osoba otwiera w krótkich odstępach czasu kilkanaście czy kilkadziesiąt rachunków bankowych - we wszystkich placówkach banków zlokalizowanych przy jednej ulicy albo w jednym mieście, albo nawet w różnych miastach, to nie jest to sytuacja standardowa. Moim zdaniem w banku lub bankach powinna zapalić się pierwsza lampka, bo jest ryzyko, że konta mogą być wykorzystane do przestępczej działalności. Dlatego dobrze byłoby je monitorować.

Jest jeszcze jeden problem. Czasami w jednym banku jedna osoba ma wiele rachunków, które wykorzystywane są do przyjmowania pieniędzy z przestępstw. Gdy prokuratura zapyta o jeden rachunek, bo jest podejrzenie oszustwa, ale nie wie jeszcze o innych, to bank nigdy sam nie udzieli informacji o pozostałych kontach, bo chroni tajemnicę bankową.

Ależ banki monitorują przepływy na kontach, wykorzystują wzorce zachowań klientów i wyłapują nietypowe transakcje.

Po pierwsze - nie w każdym banku tak jest. Po drugie - banki nie wymieniają się pewnymi informacjami. Po trzecie - w ramach jednego banku często osobnym bytem jest komórka AML, a osobnym komórka odpowiedzialna za cyberbezpieczeństwo. Często nie wymieniają się danymi i każda skoncentrowana jest na własnym zadaniu. Uważam, że banki też mają lekcję do odrobienia. Z niektórymi współpraca jest bardzo dobra - bardzo im zależy, żeby eliminować rachunki słupów. Zdarzało się też jednak, że czekaliśmy na dane objęte tajemnicą bankową ponad miesiąc od przesłania postanowienia, a bank reagował dopiero po ponagleniu albo nałożeniu kary finansowej za nieudzielenie odpowiedzi. Trzeba usprawnić procedury po obydwu stronach: organów ścigania i banków.

Jak wygląda współpraca z operatorami telekomunikacyjnymi?

Ja mam legitymację z podpisem elektronicznym i mogę podpisać pismo do innej prokuratury. Nie mogę jednak podpisać elektronicznie postanowienia o uchyleniu tajemnicy bankowej do banku, choć dotarłoby wówczas tego samego dnia, oszczędzając pieniądze i czas.

Mamy natomiast prawie w pełni elektroniczną wymianę danych z operatorami telekomunikacyjnymi. Prawie. Absurd polega na tym, że system prokuratury i operatora mają połączenia przez API, jednak prokurator postanowienie o zwolnieniu z tajemnicy telekomunikacyjnej musi wydać w postaci papierowej. Trzeba podpisać, przybić pieczęć, potem trzeba to zeskanować, znowu wprowadzić do systemu i wysłać. To wszystko przez brak regulacji dotyczących elektronicznych czynności procesowych i dokumentów elektronicznych w postępowaniu karnym.

Ale chyba papieru nie wysyłacie do operatorów?

Oni go ani nie potrzebują, ani nie chcą. Wymiana z operatorami jest zresztą bardzo sprawna. Postanowienie, w którym zwracamy się o pełen pakiet danych telekomunikacyjnych dla danego numeru telefonu, zawiera również kody QR. Po drugiej stronie zaszyte w nim dane sczytuje automat. W ubiegłym roku 200 tys. postanowień zostało obsłużonych elektronicznie.

Nie da się tego powtórzyć z bankami?

Pracujemy nad tym, żeby podłączyć do systemu przynajmniej jeden duży bank. Ale generalnie jest to kilkupoziomowy problem, bo dużych operatorów telekomunikacyjnych jest czterech, a banków?

Ponad 500, jeśli liczyć spółdzielcze.

No właśnie. Dobrze by było, gdyby był podmiot, który pełniłby rolę jednego punktu integracji. Z uwagi na jego brak, będziemy zapewniać elektroniczną wymianę danych z kolejnymi gotowymi na to bankami. Z jednym z banków już prowadzimy prace w tym kierunku. Najpierw trzeba ustalić procedury, ujednolicić wzory postanowień, bo prokuratorzy różnie formułują to samo żądanie. A dla banku transakcja to nie to samo co przelew. W postanowieniach konieczna jest precyzja. Jesteśmy na ostatniej prostej standaryzacji wzoru postanowienia.

Czy z takimi procedurami i poziomem cyfryzacji jesteśmy w stanie nadążyć za przestępcami?

Żeby nadążyć, musielibyśmy rzeczywiście zaangażować dużo sił i środków i zupełnie inaczej spojrzeć na ich model postępowania.

Może powinniśmy, skoro z Polski, z kieszeni polskich obywateli, podatników oficjalnie znika pół miliarda złotych rocznie plus zapewne nieujawnione drugie tyle.

Problem rzeczywiście ma charakter społeczny, o czym świadczy rosnąca liczba postępowań, a społeczeństwo charakteryzuje się niską odpornością na cyberprzestępczość. Z badań Eurostatu wynika, że tylko 16 proc. Polaków weryfikuje informacje znalezione online. Jesteśmy dużo bardziej bezkrytyczni niż przeciętny obywatel UE. Kształtowanie cyberodporności społeczeństwa to podstawa, od której powinniśmy zacząć. Czyli powinniśmy mówić, jak działają przestępcy i co zrobić, żeby nie paść ich ofiarą.

Musimy też budować wyspecjalizowany pion zwalczania cyberprzestępczości. To skomplikowane postępowania o charakterze transgranicznym, wymagające specyficznych kompetencji. Jednocześnie musimy dążyć do tego, żeby każdy policjant i prokurator znał podstawy zwalczania cyberprzestępczości. Dodatkowo konieczna jest postępująca informatyzacja organów ścigania i wymiaru sprawiedliwości, bo bez tego nie będziemy szybsi. I wreszcie trzeba ułatwić zwalczanie cyberprzestępczości, zmieniając regulacje. Inaczej walka z przestępcami będzie po prostu niemożliwa.