Tämä on neljäs ja tällä erää viimeinen kirjoitukseni todennuksen ja verkkopankkien turvallisuudesta.
Pistää vihaksi, että huijarit tyhjentävät vanhusten elinikäiset säästöt, eikä kukaan voi tehdä mitään. Tuoreen Ylen uutisen mukaan poliisi saa 200-500 ilmoitusta kuukaudessa kalasteluista, joissa menetetään 2-4 miljoonaa euroa.
Tuore esimerkki on Kokkolasta, jossa 88-vuotiaan lääkärin tililtä vietiin 88 409,09 euroa. Uhri oli erehtynyt syöttämään S-pankin tunnukset kalastelusivulle, jolloin rosvot saivat asennettua verkkopankin omaan puhelimeensa ja tyhjensivät tilin yön aikana yli sadalla erillisellä siirrolla. Eikä pankki huomannut mitään.
Uuden päätelaitteen käyttöönotto ja heti seuraavana yönä tilin tyhjentäminen on niin selvä merkki rikoksesta kuin vain voi olla. Sen tunnistamiseen ei tarvita edes tekoälyä, muutama IF-lause riittää. Jos pankin valvonta ei havaitse näin räikeää tekoa, pankki on itse toiminut huolimattomasti.
Miksi uhri hyväksyi rikollisten tunnistuspyynnön? Hän oli samaan aikaan itse asioimassa verkkopankissa, jolloin huijauspyynnöt sekoittuivat aitoihin kuittauksiin. Tällainen moka voi sattua kenelle tahansa.
On helppo neuvoa pankkeja ja vaatia niiltä parempia suojauksia tai tekoälyn tehokkaampaa käyttöä. Teknisten muutosten tekeminen pankin järjestelmiin on kuitenkin iso ja raskas operaatio. Muutokset tuottavat aina vääriä hälytyksiä ja kuormittavat asiakaspalvelua. Siksi pankit pyrkivät viimeiseen asti ratkaisemaan ongelmat sisäistä valvontaa tehostamalla. Se ei vain näytä riittävän.
Huijaukset ja niiden yritykset kuormittavat jo nykyisellään raskaasti pankkien asiakaspalvelua. Lisäksi parempien suojausten tarjoaminen, vaikka asiakkaat eivät niitä ottaisikaan, olisi pankeille keino välttää omaa vastuuta tyyliin ”me tarjosimme kyllä tällaista viivästettyä tilimuotoa/turvatiliä, mutta asiakas ei sitä ottanut”. Operaattorit ovat tehneet turvallisuudesta kilpailuedun, pankkien pitäisi toimia samoin.
Olen esitellyt lukuisia ideoita turvallisuuden parantamiseen: viivästetyt siirrot, hyväksynnän vaatiminen uhrin sijaan luottohenkilöltä, ulkomaanestot, toimintaan kytketyt värit ja äänimerkit, puhelinsoiton vaatiminen asennettaessa mobiilipankkiohjelmaa uuteen päätelaitteeseen, pankkien yhteinen 24/7 puhelinpalvelu ja niin edelleen. Näitä voisi keksiä lisääkin, jos pankit kertoisivat, miten onnistuneet huijaukset tapahtuvat. Turvallisuuteen ja yksityisyydensuojaan vedoten tapauksia ei avata, joten tiedollinen ylivoima ja velvollisuus toimia jää niille itselleen. Me ulkopuoliset voimme vain spekuloida.
Spekuloidaan siis. Voisiko pankkitunnusten protokollaan jotenkin lisätä tiedon siitä, mistä ip-osoitteesta yhteys on lähtenyt tai mihin url-osoitteeseen se liittyy? Pankkitunnusten luvallisilla hyödyntäjillä pitää olla sopimus pankin kanssa, koska he maksavat jokaisesta tunnistamisesta. Auttaisiko tämä tunnistamaan kalastelusivuja?
Myös käyttäjällä on vastuu rahojensa turvallisuudesta. Miksi ihmiset seisottavat isojakin rahasummia tavallisilla tileillä, jotka on helppo yhdistää ja siirtää ulos? Mikään siirtoraja tai ulkomaanesto ei auta, jos asiakas voi itse asettaa ja rosvo yhtä helposti poistaa sen. Pakollisen aikaviiveen lisääminen näihin ei olisi pankille vaikeaa.
Vaarassa ovat varsinkin vanhemmat ihmiset, joille on kertynyt eläkesäästöjä. Mikä olisi sellainen turvatili, johon varat voisi siirtää ilman pelkoa tyhjennyksestä? Kaikki eivät halua sijoittaa säästöjään osakkeisiin tai rahastoihin, joiden arvo voi myös laskea. Rahojen palautus turvatililtä kestäisi esimerkiksi kolme pankkipäivää, mikä oli pankin oman edun mukaista.
Voisiko pankki oma-aloitteisesti tarjota turvatiliä iäkkäämmille asiakkailleen, joilla on esimerkiksi yli 10 000 euroa tilillä? Tai voisiko osan tavallisen käyttötilin varoista jäädyttää niin, ettei uhri itse voisi tyhjentää kaikkia varoja, ei edes usealla pienellä siirrolla? Jonkinlainen minimisaldon vaatimus, siis. Tässäkin olisi tuotekehityksen paikka.
("Turvatili" -nimitys on tässä tarkoituksella, mutta sekaannusvaaran vuoksi pankin ei itse kannata nimetä turvatiliään juuri näin.)
