Białoruski specjalista IT Sergey od ponad roku procesuje się z bankiem Pekao S.A. w sprawie blokady konta oraz «incydentu cybernetycznego», który doprowadził do zniknięcia środków. Historię opisuje kanał o finansach w Polsce Złoty dzik.
Białoruski specjalista IT Sergey od ponad roku procesuje się z bankiem Pekao S.A. w sprawie blokady konta oraz «incydentu cybernetycznego», który doprowadził do zniknięcia środków. Historię opisuje kanał o finansach w Polsce Złoty dzik.
Ponadto Sergey złożył oficjalne skargi do Urzędu Ochrony Danych Osobowych (UODO), Rzecznika Praw Obywatelskich (RPO) i Generalnego Inspektora Informacji Finansowej (GIIF).
Sergey i jego żona legalnie mieszkają w Polsce od 2021 roku. Oboje pracują w IT — na rynku międzynarodowym w sektorze fintech, w tym z klientami z USA. Wszystkie ich dochody są oficjalne, a podatki płacą w Polsce.
Jesienią 2022 roku bank Pekao jednostronnie zablokował najpierw osobiste, a następnie firmowe konto Sergeya, powołując się na «sankcje UE». Bank nie przedstawił jednak podstawy prawnej, ograniczając się do formalnego powiadomienia, że «działa w ramach środków ograniczających dla obywateli Białorusi i Rosji, których łączna kwota depozytów przekracza 100 tysięcy euro».
Sergey zauważa, że dokumenty sankcyjne UE dotyczą konkretnych osób i organizacji związanych z wspieraniem wojny, a on do tych kategorii nie należy. Ma też nagranie rozmowy z pracownikiem banku, który mówi, że instrukcja o blokadzie przyszła z centrali, a pracownicy oddziału nie mają informacji o przyczynach: «Po prostu otrzymaliśmy rozporządzenie, wykonujemy je. Wydrukowano nam tekst o sankcjach, który przekazujemy klientowi».
Według Sergeya, nagranie to potwierdza, że blokada została przeprowadzona bez indywidualnej weryfikacji, co stanowi naruszenie zasad legalności i przejrzystości przetwarzania danych zgodnie z RODO.
— Jestem wysoko wykwalifikowanym inżynierem. 100 000 euro to mniej niż mój roczny dochód, więc w praktyce takie ograniczenie faktycznie zabrania mi pracować w Polsce na rynek USA. Nie rozumiem logiki takiego ograniczenia. Kiedy studiowałem dokumenty sankcyjne, było tam wyraźnie wskazane, że sankcje są nakładane na konkretne organizacje i obywateli Białorusi i Rosji, którzy są bezpośrednio związani z wspieraniem wojny lub finansowaniem odpowiednich reżimów.
W moim przypadku sytuacja wygląda absurdalnie: polski rząd oficjalnie zaprosił mnie i moją żonę do pracy w Polsce na wizę Poland Business Harbour (PBH), a następnie pojawiły się ograniczenia, które faktycznie uniemożliwiają naszą działalność zawodową w Polsce.
Początkowo blokada nie wydawała się krytyczna: większość codziennych wydatków pokrywana była z konta żony — czynsz, szkoła, codzienne wydatki.
Jednak później Sergejowi skończyły się złotówki i napotkał problem z niemożnością opłacenia nawet paliwa na stacji. Bank zablokował możliwość wymiany waluty i przelewów między jego własnymi kontami w Pekao.
Sergey zaczął przelewać środki na konto żony, aby korzystać z pieniędzy i nie przekraczać limitu 100 000 euro, o którym bank pisał w powiadomieniach.
Właśnie w tym momencie doszło do ataku phishingowego. Oszuści uzyskali dostęp do konta żony Sergeya, poczekali, aż wpłynie na nie znaczna suma, i w ciągu dwóch dni wyprowadzili około 200 tysięcy złotych.
Sergey i jego żona wcześniej pracowali w firmie dostarczającej rozwiązania oparte na sztucznej inteligencji dla dużych amerykańskich banków i dobrze znają zasady działania systemów antyfraudowych.
System bezpieczeństwa Pekao powinien był zadziałać natychmiast:
— Już na etapie gwałtownego zwiększenia limitów konto powinno zostać automatycznie zablokowane i powinno rozpocząć się sprawdzanie. Nawet jeśli to się nie wydarzyło, po rozpoczęciu nienaturalnych transakcji system antifraud był zobowiązany zatrzymać operacje — mówi Sergey.
Wcześniej, jak twierdzi, przy próbie zmiany limitów nawet na małe kwoty, dział bezpieczeństwa zawsze dzwonił i wymagał potwierdzenia. W przypadku jego żony nie było żadnych telefonów.
Według Sergeya, schemat wyglądał tak: gdy zaczął przelewać pieniądze, jego żona zaczęła otrzymywać SMS-y o rzekomej potrzebie odprawy celnej przesyłek. Rzeczywiście zamawiała drobne towary na AliExpress, a kwoty w wiadomościach pokrywały się z jej prawdziwymi wydatkami.
— Żona zamawiała drobne rzeczy na AliExpress — głównie nici i inne niedrogie drobiazgi na kwoty rzędu 5-10 złotych. Dopiero niedawno przeprowadziliśmy się do Polski i słabo rozumieliśmy, jak tutaj działają procedury dostawy i odprawy celnej. W pewnym momencie otrzymała wiadomość, że aby odebrać paczkę, musi przejść procedurę odprawy celnej i zapłacić odpowiednią opłatę. Pojawia się tu osobne pytanie: skąd oszuści mieli informacje pozwalające zbudować atak socjotechniczny tak, aby kwoty w wiadomościach zgadzały się z rzeczywistymi wydatkami żony. Na to pytanie może odpowiedzieć tylko kontrola ze strony UODO — w kontekście tego, jak działał system bezpieczeństwa i kto miał dostęp do danych.
Wiadomość zawierała link. Żona kliknęła w niego. W tym momencie system oszustów otrzymał sygnał, że pojawił się «aktywny klient» i kolejny atak został uruchomiony — otworzyła się strona phishingowa.
Następnie oszuści zainstalowali u siebie aplikację Pekao i rozpoczęli procedurę podłączenia jej konta. Potem zadzwonili do niej rzekomo «z banku» i poprosili o podanie kodu. Z powodu słabej znajomości języka polskiego, wprowadziła kod na fałszywej stronie. W ten sposób oszuści uzyskali pełny dostęp, wyłączyli powiadomienia, zwiększyli limity i czekali, aż na konto wpłynie duża kwota. Następnie w ciągu dwóch dni środki zostały wyprowadzone.
Żona dowiedziała się o kradzieży dopiero, gdy próbowała zapłacić — karty były już zablokowane. Nie było żadnych powiadomień z banku. W rezultacie złożono zawiadomienie na policji.
Obecnie toczą się dwie sprawy: karna — dotycząca oszustwa oraz cywilna — przeciwko bankowi Pekao z powodu możliwego zaniedbania, która jest rozpatrywana przez sąd w Gdańsku już ponad rok.
Po tych wydarzeniach Sergey faktycznie na rok zawiesił działalność zawodową. Nie zawierał kontraktów i odmówił pracy, ponieważ nie rozumiał swojego statusu prawnego i ryzyka. Jest to, jak mówi, klasyczny przykład efektu mrożącego (chilling effect), gdy człowiek jest zmuszony zrezygnować z realizacji swoich legalnych praw z powodu niepewności prawnej i strachu przed konsekwencjami.
— Jeśli do skradzionych 200 tysięcy złotych dodać utracony dochód, całkowita szkoda ekonomiczna wynosi od 600 do 800 tysięcy złotych.
Po wszystkich wydarzeniach Sergey i jego żona zamknęli konta w Pekao i przeszli do banku PKO. Jednak nawet na tym etapie pojawiły się problemy.
Przy podpisywaniu dokumentów o zamknięciu kont Pekao odmówił samodzielnego przelania pozostałych środków i zobowiązał do wykonania przelewu przez bankowość internetową. Na kontach została niewielka kwota — nieprzelana pozostałość kilku złotych, której technicznie nie można było przelać ze względu na minimalny limit operacji.
Pomimo podpisanego wniosku o zamknięcie konta, bank nie zamykał go przez około miesiąc i nadal naliczał opłaty za obsługę, ponieważ na kontach pozostawało kilka złotych. W rezultacie powstało saldo ujemne i Sergey zaczął otrzymywać wiadomości z żądaniami spłaty zadłużenia.
Później bank po prostu zamknął konto bez jakichkolwiek powiadomień.
— Сhcieliśmy z żoną kupić mieszkanie i trochę nam brakowało — trzeba było brać kredyt. Pekao odmówił nam tego kredytu, ale pieniądze pozostały na kontach. A potem, gdy zdarzyło się to wszystko, naszą pierwszą myślą było opuszczenie terytorium Polski. Ale z tym też mieliśmy problem, bo były kwestie legalizacji i edukacji dzieci.
Sergey nie twierdzi, że bank bezpośrednio uczestniczył w kradzieży, ale uważa, że suma faktów wskazuje co najmniej na rażące zaniedbanie:
— Zmiana krytycznych parametrów, wyłączenie powiadomień, logowanie z nowego urządzenia, operacje nocne — wszystko to w każdym systemie bankowym powinno automatycznie powodować blokadę. Tutaj nic nie zadziałało.
Według niego, to właśnie to (oraz nieuzasadniona blokada kont) stało się przyczyną pozwu cywilnego przeciwko Pekao i skarg do organów nadzorczych.
— Do oceny sytuacji przydatne są raporty FATF o systemach przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, a także własne listy banków (UHRC) krajów o podwyższonym ryzyku. Klienci z takich krajów mogą napotykać ograniczenia przy nawiązywaniu relacji z bankami z powodu sankcji, ryzyka geopolitycznego, słabej regulacji lub niestabilnej sytuacji.
Generalny Inspektor Informacji Finansowej wydał Komunikat nr 73, w którym podkreślił, że odmowa nawiązania lub zakończenie relacji nie może opierać się wyłącznie na przynależności klienta do «grupy podwyższonego ryzyka». Zgodnie z wytycznymi Europejskiego Urzędu Nadzoru Bankowego, procedury zostały złagodzone dla uchodźców z krajów trzecich, a każda decyzja banku powinna opierać się na indywidualnej ocenie ryzyka klienta.
Europejskie i polskie przepisy wymagają, aby banki przeprowadzały indywidualną ocenę ryzyka dla wszystkich klientów. W przypadku odmowy klient może zwrócić się do GIIF.
RPO informuje, że z powodu licznych skarg klientów, którym banki odmawiały nawiązania relacji, kwestia została przekazana do GIIF w celu wyjaśnienia środków przeciwko automatycznym decyzjom. Rzecznik nie może ingerować w działalność prywatnych banków, ale monitoruje przestrzeganie praw obywateli i informuje organy nadzorcze o problemach.
Banki są zobowiązane do stosowania środków bezpieczeństwa finansowego zgodnie z Ustawą AML i dyrektywą UE 2015/849, podejmując decyzje na podstawie indywidualnej analizy, a nie automatycznych list krajów.
