Viime vuonna suomalaiset menettivät pankkien tietoon tulleissa huijauksissa yhteensä 44 miljoonaa euroa, kertoo Finanssialan tuore tilasto. Huijausten volyymi on ollut kovassa kasvussa.
Tietoturva-asiantuntija Petteri Järvinen vaati äskettäin, että pankkipalveluista on tehtävä turvallisempia kaikille. Esimerkkeinä oli pari ikäihmisiin kohdistunutta tapausta, joissa menetykset olivat suuria. Toisessa tililtä oli saatu kertaluonteisesti nostettua uhrin kerryttämä eläkesäästöpotti.
Saajapuolella taas jopa muutaman kympin ”Havannan terveiset” voivat jäädä jumiin. Järvinen peräänkuulutti pankkien vastuuta myös lähtevistä maksuista.
Verkkouutiset kysyi usealta pankilta, sekä pankkeja ja vakuutuslaitoksia edustavalta Finanssialalta niiden näkemyksiä huijausilmiöstä sekä keinoista suitsia sitä.
Pankit muistuttavat, että niiden edellytetään tuntevan asiakkaansa ja esimerkiksi rahanpesu-, ja pakotelainsäädäntö vaativat selvittämään saapuvien rahojen alkuperää.
– Hyvinkin pieni maksu voi silloin jäädä kiinni ja asiakas ei aina ymmärrä mistä se johtuu. Rahat voivat olla peräisin esimerkiksi pankin näkökulmasta korkean riskin maasta, kertoo Handelsbankenin head of financial crime prevention Annika Nordström.
Myös tileiltä lähteviä maksuja monitoroidaan ja maksusta saattaa tulla lisävahvistuspyyntö. Nyrkkisääntönä voidaan pitää, että asiakkaan tai yrityksen profiiliin nähden poikkeukselliset tapahtumat herättävät huomion. Varakkaalla eläkeläisellä isot siirrot voivat olla normaalia pankkiasiointia ja suomalaiset ostavat loma-asuntoja ulkomailta.
– Pankeilla on lakiin perustuva velvoite välittää asiakkaan maksutoimeksiantoja, eivätkä pankit voi mielivaltaisesti estää tai viivästyttää maksujen välittymistä, sanoo Säästöpankin markkinointi- ja viestintäjohtaja Laine Spellman.
OP Ryhmän väärinkäytösten hallinnan päällikön Kim Sirénin mielestä on kuitenkin ”ihan hyvä pointti”, miksi lähtevistä maksuista ei kysytä yhtä lailla. Kyse on toisaalta myös asiakaskokemuksesta. Turhat selvityspyynnötkin hermostuttavat ihmisiä.
Ääritapauksissa verkkopankkitunnukset voidaan sulkea, jos niiden epäillään päätyneen vääriin käsiin.
– Dilemma on balanssin löytäminen turvallisuuden kokemuksen ja asiakaskokemuksen välillä. Toimia tehdään aina riippuen siitä, mikä arvioitu riskin aste on. Kaikkia tilejä emme voi sulkeakaan, koska silloinkin oltaisiin lehdistössä, Sirén kiteyttää.
Myös S-Pankin fraud-kehityspäällikkö Jouni Määttä toteaa, että epäilyttäviltä vaikuttavista maksuista kysytään asiakkaalta. Kaikkia huijauksia ei kuitenkaan voida estää, vaikka riskiä minimoidaan.
– Esimeriksi kryptovaluuttatoimijoita on paljon, ja marginaalinen määrä niistä on huijauksia, Määttä sanoo.
Nordean petostorjunnan asiantuntija Sara Helin ei allekirjoita Petteri Järvisen näkemystä siitä, että pankit toteuttaisivat ahkerasti lähinnä lakisääteisiä velvoitteitaan.
– Pankit tekevät omaehtoisesti todella paljon. Meiltä ollaan asiakkaisiin yhteydessä aivan päivittäin niin kortti- kuin tilitapahtumienkin osalta, Helin sanoo.
”Tyypillistä uhria ei ole”
Kaksivaiheinen tunnistautuminenkaan ei aina pelasta. Järvisen esimerkkitapauksissa toisessa uhrin tiedot valesivustolla kalastellut huijari asensi tunnistautumissovelluksen omaan puhelimeensa. Toisessa huijari soitti uhrille ja sai tämän hyväksymään maksun mobiilivarmenteellaan.
– Jos henkilö on luovuttanut omat pankkitunnuksensa, niin pankin päähän se näyttää siltä, että sovelluksen käyttöönotto on laillinen. On ihan tavallista, että asiakkaan puhelin menee rikki tai henkilö vaihtaa puhelinta, jolloin uuteen laitteeseen asennetaan pankin sovellus, S-Pankin Määttä kommentoi yleisesti.
Myös OP:n Sirén toteaa, että vaikka taustalla on paljon tekniikkaa, kaikissa tilanteissa pankin ei ole mahdollista varmistua asiakkaan toimista. Ei esimerkiksi silloin, jos tällä on haittaohjelma laitteellaan.
Pankkien mielestä julkisuudessa on korostunut liikaa käsitys, että huijausten kohderyhmä olisi erityisesti tai vain vanhukset.
– Meidän kokemuksemme on, että ikääntyneet ovat hyvinkin osaavia digiasioissa. Rikollinen löytää kyllä oman kohderyhmänsä ja tietää mitä metodeja heihin pitää käyttää, Nordean Helin määrittelee.
– Tyypillistä uhria ei ole. He voivat olla haavoittuvassa asemassa ja heissä on esimerkiksi 80-90-vuotiaita, mutta tilastoissa on erittäin paljon myös keski-ikäisiä, Sirén sanoo.
– Eri ikäiset ovat alttiita erilaisille huijauksille. Pankkiasioinnin turvallisuus ei ole kiinni ihmisen iästä kiinni, kuittaa Määttä.
”Saman tien luuri käteen”
Jos tulee huijatuksi, mikä on todennäköisyys saada rahoja takaisin, mikäli ne ovat päätyneet ulkomaille? Määtän mukaan todennäköisyys on heikko.
– Häviävän pieni, sanoo Sirén suoraan.
Hän on työskennellyt pankkiturvallisuuden parissa 16 vuotta ja kertoo aloittaneensa ruohonjuuritasolta, tapahtumien virran seulonnasta ja hälytysten käsittelystä.
Kaikki pankit tähdentävät, että olennaista tapausten selvittämisessä on nopeus.
– Saman tien luuri käteen. Mitä vähemmän aikaa kuluu, sitä helpompi on saada ketju poikki, neuvoo Annika Nordström, jonka mukaan väärinkäytöksissä huijattuja rahoja saadaan kuitenkin hyvin myös takaisin.
Toimiin ryhdytään pankissa välittömästi, kun väärinkäytös havaitaan itse tai siitä tulee ilmoitus. Aikaa voi kuitenkin olla vain minuutteja.
– Huijarit pyrkivät käyttämään monimutkaisia rahanpesukuvioita useissa eri maissa estääkseen palauttamasta varoja, mutta meillä on useita tapauksia, joissa olemme pystyneet palauttamaan varat osittain tai kokonaan asiakkaalle, kertoo Danske Bankin talousrikollisuuden torjunnan Suomen yksikön johtaja Sira Nieminen.
Hyvässä tapauksessa Kim Sirénin mukaan siirron vastaanottavan pankin oma monitorointi on hälyttänyt ja maksu on jäänyt heillä haaviin.
– Mutta usein, kun on menty siihen pisteeseen, että rahat ovat ulkomailla, on takaisin saaminen tuuripeliä. Eikä ole automaatio, että vaikka Saksassa pankki vastaa suomalaisen pankin yhteydenottoon, ainakaan kovin nopeasti. Kun elämme SEPA-pikamaksumaailmassa, jossa maksun pitää olla perillä Euroopassa 10 sekunnissa, niin peli on todella nopeaa. Myös rikolliset tietävät tämän. He seuraavat, että raha tuli nyt ja samalla hetkellä se lähtee, joko toiselle tilille tai nostetaan ulos barcelonalaiselta automaatilta, Sirén kuvailee.
Sara Helin muistuttaa kellon ympäri auki olevasta korttien ja pankkitunnusten sulkupalvelusta.
– Kortit pystyy itse sulkemaan myös Nordean mobiilipankissa, vaikka väliaikaisesti, jos epäilee hukanneensa, hän painottaa.
Useasta pankista korostetaan ennaltaehkäiseviä toimia, joita asiakas voi tehdä omassa verkkopankissaan, kuten käyttörajojen asettamista tai pankkikortin toiminnan estämistä ulkomailla. Tosin jos pankkitunnukset ovat päätyneet rikolliselle, tämä voi käydä napsauttamassa rajoitukset pois päältä.
Raha siirtyy lähes reaaliajassa
Monen pankin mainitsema SEPA on euroalueen yhtenäinen maksujärjestelmä. Se on sujuvoittanut maksamista, mutta kääntöpuolena myös väärinkäytökset tapahtuvat vauhdilla.
– Euroalueen yhteinen sääntely edellyttää, että maksut tapahtuvat reaaliajassa. Toisaalta yhä useammassa huijauksessa rahat siirretään ensin tilille Suomeen, Jouni Määttä kertoo.
Suomessa pankkien yhteistyö toimii, joten huijauksiin menetetyt rahat on todennäköisempää saada takaisin.
Kim Sirén ei panisi pahakseen keskustelua pikamaksujen tarpeellisuudesta.
– Itse pohtisin, olisinko valmis hyväksymään hitaamman maksun, jos sen avulla maksuliikenne olisi turvallisempaa, sanoo Sirén, jonka mukaan pikamaksuja tarvitsevat ensisijaisesti yritykset.
Petteri Järvinen on esittänyt yhdeksi keinoksi suojata ikäihmisiä sitä, että henkilö voisi vapaaehtoisesti nimetä toisen osapuolen, esimerkiksi aikuisen lapsensa hyväksymään maksut.
Handelsbankenin Nordströmin ja S-Pankin Määtän mielestä käytäntö törmäisi yksityisyydensuojaan ja itsemääräämisoikeuteen.
– Mielenkiintoinen nosto, pyörittelee puolestaan Sirén.
– Jos katsotaan yrityspuolta, niin tunnetaanhan sielläkin neljän silmän periaate, jossa toisen henkilön yrityksessä on hyväksyttävä maksu, ennen kuin esimerkiksi satatonnia lähtee Sveitsiin. Eli sinänsä tämä ei kuulosta hassulta, mutta toki vaatisi kehittämistä pankkisalaisuutta ajatellen. Valtuutuksen toiselle antaneen henkilön pitäisi ymmärtää, että valtuutettu myös näkee hänen maksuliikenteensä, Sirén pohtii.
Finanssialan petos- ja rikostorjunnasta vastaava johtaja Niko Saxholm sanoo, että ideasta virisi keskustelua pohjoismaisten pankkiasiantuntijoiden tapaamisessa, mutta mahdollisia riskejä tunnistettiin useita.
– Joissain tapauksissa läheinen on se rikollinen, hän toteaa.
– Näitä ehdotuksia monesti tehdään miettimättä niitä sen kummemmin. Mutta jos oikeustoimikelpoinen ja täysi-ikäinen henkilö antaisi esimerkiksi aikuiselle lapselleen oikeuden hyväksyä maksut, ja jostain maksusta tuleekin sitten riitaa, niin miten se oikeus otetaan pois? Jo nykyisissä huijauksissakin annetaan monesti valtuudet huijareille, Saxholm jatkaa.
Tekoäly tuo uusia uhkia
Tekoäly video- ja ääniväärennöksineen on mullistamassa myös petosten kenttää. Pankeissa ennakoidaan, että huijausten määrät lisääntyvät ja ne muuttuvat yhä monimutkaisemmiksi ja vaikeammiksi tunnistaa. Jatkossa esimerkiksi rahapyyntö ”lapselta” voi tulla kloonatulla, aidonkuuloisella äänellä.
Dansken Sira Nieminen sanoo, että uusiin järjestelmiin investoidaan jatkuvasti ja vanhoja kontrollimenetelmiä päivitetään.
– Uskon ja väitän, että jokainen pankki seuraa ja kehittää työkaluja parhaansa mukaan, kommentoi myös Jouni Määttä.
Sirénin mielestä on selvää, että tekoälyyn täytyy satsata myös pankeissa ja viranomaisissa, kuten jo tehdäänkin.
– Onhan tämä sellaista kissa ja hiiri -leikkiä ja välillä miettii, kumpi itse on, kuvailee Sirén, jonka mukaan myös lainsäädäntöä tulee kehittää.
Handelsbankenin Nordström arvioi, että lainsäädäntöä tullaan kehittämään siltä pohjalta, missä törkeän huolimattomuuden raja kulkee, sillä se ratkaisee, korvaako pankki asiakkaan menettämiä rahoja.
– Näin suojeltaisiin vähän paremmin asiakasta ja etenkin heikommassa asemassa olevia.
Kim Sirén sanoo, että myös pankkien tulee miettiä, mitä lisäkontrollia maksamiseen tarvitaan.
– Sitä täytyy täydentää ja täydennetäänkin. Ilman muuta matkaa on tässä pankeillakin.
LUE MYÖS:
Miten huijauksen tunnistaa helpoiten – yksi asia korostuu pankkien neuvoissa
Huijari tyhjensi vanhuksen tililtä 40000 euroa – ”Palveluista pitää tehdä turvallisempia kaikille”