A więc w systemie bankowym była luka warta przynajmniej 6 mln złotych
Jak wynika z notatki policyjnej - wystarczyło trochę poklikać, by wyprowadzić z jednego z banków blisko 6 milionów złotych. "Trochę poklikać" oznacza w tym przypadku "143 internetowe transakcje" i wypłata gotówki. Policja pisze o tym, że sprawcy wykorzystali "lukę w systemie bankowości internetowej banku", a więc - przynajmniej zdaniem Policji - była "luka". Dwie osoby zatrzymano, trzecia jest poszukiwana listem gończym. I to wcale nie "pryszczaci hackerzy", tylko kobieta i dwóch mężczyzn, wszyscy w wieku 52 i 53 lata.
O sprawie można przeczytać na stronie Policji, w notatce Okradli bank na 6 milionów złotych. O sprawie piszą również inne media (zakładając, że strona Policji to również media), np. TVN24 w tekście Skradli sześć milionów przez internet. Dziś kontaktowały się ze mną różne osoby i pytały o to, czy można rzeczywiście ścigać ludzi, którzy po prostu skorzystali z "funkcjonalności oferowanej w internecie przez bank"? No, bo sprawcy nigdzie się nie włamali (ani fizycznie, ani też "przełamując lub omijając zabezpieczenia informatyczne"). Po prostu - jak się wydaje (a nie wiemy przecież zbyt wiele, poza tym, że "proceder był skomplikowany") - "grali czasem". Przypuszczam, że może chodzić o to, że systemy bankowe nie rozliczają się "w trybie rzeczywistym". Od czasu do czasu, chociaż regularnie, dokonują wzajemnych rozliczeń. Gdzieś jeszcze mogą być zaksięgowane środki finansowe, chociaż już je przelano na inne konto (sprawa - jeśli się nie mylę - dotyczyła Polbanku, a "luka" działała w związku z rozliczeniami dokonywanymi w weekend; tak to opisał Bankier.pl: Oscylator w Polbanku, czyli jak bez wysiłku zostać milionerem).
Skoro nikt się nigdzie nie włamywał, a jedynie klikał w okienko internetowe tak, jak robią to wszyscy użytkownicy bankowości internetowej, to zastanawiam się w związku z tym, czy możliwe było "wyprowadzenie" pieniędzy z banku ("którego system miał luki") w sposób całkowicie niezawiniony?
Policja pisze o tym, że sprawcy usłyszeli zarzuty "oszustwa i wyłudzenia mienia wielkiej wartości". Zgodnie z Kodeksem karnym - mieniem wielkiej wartości jest mienie, którego wartość w chwili popełnienia czynu zabronionego przekracza tysiąckrotną wysokość najniższego miesięcznego wynagrodzenia.
Przestępstwo wyłudzenia (oszustwa) w swojej podstawowej formie stypizowano w art. 286 § 1 Kodeksu karnego:
Kto, w celu osiągnięcia korzyści majątkowej, doprowadza inną osobę do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia jej w błąd albo wyzyskania błędu lub niezdolności do należytego pojmowania przedsiębranego działania, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
Czy klikanie w internetowym serwisie bankowym (bank jest profesjonalnym uczestnikiem rynku, a serwis internetowy działa automatycznie) może spełniać znamiona właśnie tego przestępstwa? Wprowadzenie w błąd? Wyzyskanie błędu? Wyzyskanie niezdolności do należytego przedsiębranego działania?
Zgodnie z art. 294 § 1. Kodeksu karnego:
Kto dopuszcza się przestępstwa określonego w art. 278 § 1 lub 2, art. 284 § 1 lub 2, art. 285 § 1, art. 286 § 1, art. 287 § 1, art. 288 § 1 lub 3, lub w art. 291 § 1, w stosunku do mienia znacznej wartości, podlega karze pozbawienia wolności od roku do lat 10.
Policja na swojej stronie pisze:
Około 6 mln złotych padło łupem oszustów, którzy przeprowadzając ponad 140 operacji w krótkim czasie wytransferowali na swoje rachunki kwoty od 5 do 150 tys. złotych. Policjanci z wydziału dw. z przestępczością gospodarczą KSP zatrzymali już organizatorkę procederu - 53-letnią Elizę S. i jej wspólnika 55-letniego Romana Ch. Do zatrzymania pozostał funkcjonariuszom jeszcze 52-letni Michał Sułkowski. Mężczyzna poszukiwany jest listem gończym. Za jego ukrywanie grozi 5 lat więzienia.
Od kilku miesięcy policjanci z wydziału dw. z przestępczością gospodarczą KSP prowadzili pod nadzorem prokuratury rejonowej na Śródmieściu śledztwo w sprawie oszustwa na szkodę jednego z banków. Łupem sprawców padło około 6 mln złotych.
Z zebranych dotychczas materiałów wynikało, że sprawcy wykorzystując lukę w systemie bankowości internetowej banku w krótkim czasie wytransferowali na swoje rachunki w wyniku kilkudziesięciu operacji około sześciu milionów złotych. Pieniądze były prane poprzez kolejne rachunki aż do wypłaty w gotówce. Tu ślad się urywał. Bank z uwagi na wyrafinowany sposób działania sprawców dość późno odkrył oszustwo i powiadomił organy ścigania.
Funkcjonariusze w trakcie prowadzonego postępowania ustalili metodę działania sprawców, a analiza historii rachunków bankowych i historia logowań do systemu informatycznego banku pozwoliła im namierzyć osoby biorące udział w oszustwie. W ten sposób w ręce Policji wpadła organizatorka procederu - 53-letnia Eliza S. oraz członek grupy - 55-letni Roman Ch. Oboje usłyszeli już zarzuty oszustwa i wyłudzenia mienia wielkiej wartości, a sąd zdecydował o aresztowaniu kobiety, prokuratura zaś o policyjnym dozorze wobec mężczyzny. Grozi im do 10 lat więzienia.
W trakcie analizy dokonanych przez sprawców operacji bankowych ustalono, że dokonali oni 143 transakcje na łączną kwotę 5.898.198 złotych. Kwoty operacji wynosiły od 5.000 do 150.000 złotych. Wszystko wskazuje na to, że sprawcy zdążyli wyzbyć się większości majątku. Policjanci mimo to w toku działań odkryli mienie możliwe do zajęcia na poczet kar.
Nadal na wolności pozostaje współorganizator procederu - 52-letni Michał S. z Poznania. Mężczyzna poszukiwany jest listem gończym. Prokurator Rejonowy na Śródmieściu wyraził zgodę na publikację danych osobowych i wizerunku mężczyzny. Osoby mogące pomóc w ustaleniu jego miejsca pobytu proszone są o kontakt z wydziałem dw. z przestępczością gospodarczą KSP, tel. 0-22 603-54-04 lub z najbliższą jednostką Policji. Jednocześnie informujemy, że za udzielanie pomocy lub ukrywanie Michała Sułkowskiego grozi od 3 miesięcy do 5 lat pozbawienia wolności.
Pytanie za sto punktów: kto wykonał system bankowy, który miał takie luki i czy te osoby również usłyszą zarzuty? A czy w banku ten system ktoś odebrał po jego przygotowaniu? Hmm?
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Wyłudzenie mienia?
Wg mnie przedstawioną tu sytuację można porównać do leżących na ulicy pieniędzy. Trzeba się po nie jedynie schylić, ewentualnie podnieść papierowy karton, który je przykrywa.
Jeśli nie przełamali zabezpieczeń, tylko wykorzystali funkcjonalności systemu dokonując normalnych operacji bankowych, to nie ma tu przestępstwa.
To, że system zezwala na takie operacje, to już wina twórców, projektantów, i tych którzy ten projekt odebrali.
Jeśli leży na ulicy, to nie znaczy, że niczyje
Nie od końca. Jeśli jest to np. oscylator, to raczej nie można domniemywać, że intencją banku nie jest pozorne (choć realnie oprocentowane) mnożenie pieniędzy na moim rachunku. Taka usługa nie jest przez bank sprzedawana. To trochę tak, jakby twierdzić, że każdy otwarty samochód, który nie ma tablic rejestracyjnych jest niczyj. Albo leżący na ulicy portfel z pieniędzmi i dokumentami wskazującymi na tożsamość właściciela.
O ile się orientuję to jest nienależne świadczenie.
Historie z Polbankiem.
Nie jest to pierwszy przypadek, kiedy Polbank miał kłopoty z księgowaniem transakcji (przynajmniej medialnie).
Poprzedni, o jakim wiem, dotyczył anulowania tranzakcji, które w istocie zostały już wykonane (czyli pieniądze wychodziły z rachunku klienta i były transferowane na rachunek docelowy, ale w wyniku anulacji polecenia, nie były z niego wyksięgowywane).
cikawostka
Ciekawe spostrzeżenie. Wprowadzili bank w błąd! Albo lepiej:
Wyzyskali niezdolność Banku do należytego pojmowania przedsiębranego działania. Buahahaha. Błagam o wykop! Sam się za to wezmę.
Czy posługiwanie się błędnie skonstruowaną stroną transakcyjną można kwalifikować tak jednoznacznie, jak zrobiła to policja. W mojej ocenie przeczytanego pobieżnie tekstu, jeśli "sprawcy" nie dokonywali żadnych ingerencji, mieli chyba prawo przyjąć, że bank wykonał stronę zgodnie ze swoimi intencjami.
Oczywiście nie znamy szczegółów, bank o to zadba. Bank powinien być ubezpieczony na wypadek takich operacji i ubezpieczyciele będą pewnie ostro działać. Zarówno Bank jak i "pochłaniacze ryzyka", skoro niekompetencja banku wyszła na światło dnia, zrobią wszystko, żeby odwalić pokazowy lincz.
A wszystko przez Policję, co się chciała pochwalić. Gdyby nie chciała, Bank zachowałby twarz i mógłby dogadać się ze "sprawcami".
-- piotrg --
Czy posługiwanie się
Czy posługiwanie się błędnie skonstruowaną stroną transakcyjną można kwalifikować tak jednoznacznie, jak zrobiła to policja. W mojej ocenie przeczytanego pobieżnie tekstu, jeśli "sprawcy" nie dokonywali żadnych ingerencji, mieli chyba prawo przyjąć, że bank wykonał stronę zgodnie ze swoimi intencjami.
A może wysnujmy od razu wniosek, że bank wykonał w tak zakamuflowany sposób darowiznę-niespodziankę? Przecież każdy dorosły człowiek tego własnie spodziewa sie po banku :)
Dodatkowa wartość informacyjna tej wiadomości
Bardzo ładnie się złożyło, że kwestia luki w systemie bankowym pojawiła się w serwisie Vagli obok projektu ustawy o podpisach elektronicznych.
Zauważcie iż policja w trakcie prowadzonego postępowania analizowała historię rachunków bankowych i historię logowań do systemu informatycznego banku co pozwoliło namierzyć osoby biorące udział w oszustwie. Dowody bez podpisów elektronicznych i bez znakowania czasem - a jednak dowody. Zapewne jeśli będą przedstawiane w sądzie to albo jako wydruk albo na przenośnym nośniku który zostanie dołączony do akt. Oczywiście wydruk będzie podpisany odręcznie a dane na nośniku może nawet elektronicznie.
I takie postępowanie mnie nie dziwi bo wszak przestępcy (?) chcą zatrzeć ślady jak tylko mogą i dlatego nie zostawiają swoich podpisów. A jednak można ich namierzyć.
I tym kontekście dziwi mnie to, że jeśli urzędnik pisze do urzędnika (a to jest baaaardzo częste) i bynajmniej nie ukrywają oni spraw urzędowych tylko rejestrują je zgodnie z ustalonymi procedurami, to wg wielu potrzeba do tego albo papieru albo podpisu elektronicznego. Tak więc taki nomen-omen projekt ustawy o podpisach elektronicznych, albo o informatyzacji trafić może i trzy razy:
1. mejlem (żeby było szybciej)
2. faksem (bo tak wysyłają bo ... bo tak)
3. listem (no bo musi być w końcu jakiś papier)
Na razie nikomu nie przychodzi do głowy żeby wysłać taki projekt na elektroniczną skrzynkę podawczą bo nie do tego zostały skrzynki pomyślane, żeby z rozdzielnika na nie wysyłać.
Przyznam się że zawsze uważałem że w takich sprawach można spokojnie tylko mejlować i nie tworzyć niepotrzebnej góry papierów, albo wchodzić osobno do ESP każdego z adresatów korzystając przy tym z ICH wzorów... Przecież ewentualne oszustwo i podszywanie się przestępców bardzo łatwo wyszłoby na jaw, co udowadnia nam policja.
--
Kazimierz Schmidt