Onko EU-lainsäädäntö suitsimassa vai edistämässä rikollisuutta?

Saitko tekstiviestin, jossa sinua kehotettiin vahvistamaan pankkitunnuksilla tietosi, jotta sinulle voidaan toimittaa paketti? Löytyikö some-virrastasi mahtava tuotetarjous? Tai vielä parempaa, saitko henkilökohtaisen sähköpostiviestin, jossa sinulle tarjottiin ainutlaatuista tilaisuutta kasvattaa varallisuuttasi sijoittamalla todella tuottoisasti? Nämä ovat tyypillisiä esimerkkejä huijausyrityksistä, joilla roistot pyrkivät pääsemään käsiksi rahoihimme.

Vuonna 2022 suomalaiset menettivät pankeilta kerättyjen tietojen mukaan digihuijareille yhteensä 32,4 miljoonaa euroa, vuonna 2023 jo yli 44 miljoonaa, todennäköisesti enemmänkin, koska kaikki huijaukset eivät tule pankkien tietoon. Huijaukset ovat siis nopeasti kasvava ja varsin tuottoisa teollisuudenala, ja kehitys on samansuuntainen kaikkialla Euroopassa. Onpa puhuttu jopa siitä, että huijaustehtailu on noussut huumerikollisuuden ohi kannattavuudessa.

Euroopan komissio on jo vuonna 2019 voimaan tulleessa toisessa maksupalveludirektiivissä ottanut yhdeksi tavoitteekseen maksamiseen kohdistuvien rikosten ehkäisemisen. Suurin tähän liittyvä muutos oli, että sähköisessä maksamisessa otettiin käyttöön vahva tunnistautuminen. Korttitietojen vääriin käsiin joutumisesta johtuvat huijaukset ovatkin olennaisesti vähentyneet.

======
Pahimmillaan rikolliset tekevät myös uhristaan osallisen rikokseen.
======

Kun yksi ovi sulkeutuu, etsivät rikolliset uusia – ja niitä näyttää todellakin löytyneen. Toteutustapoja on monenlaisia: osassa asiakas itse huijauksen uhrina toteuttaa maksut, toisissa rikolliset tekevät maksut urkituilla pankkitunnuksilla. Pahimmillaan rikolliset tekevät myös uhristaan osallisen rikokseen alkamalla kierrättää rikoksella saatuja varoja tämän tilin kautta, jolloin uhrista tulee niin sanottu rahamuuli.

Euroopan komissio on käynnissä olevan maksupalveludirektiivin uudelleentarkastelun yhteydessä ehdottanut uusia keinoja rikosten torjumiseen. Ensinnäkin maksupalveluntarjoajille tarjotaan mahdollisuutta jakaa tietoa epäillyistä huijauksiin käytetyistä tileistä. Tämä on erittäin toivottavaa, mutta tiedon jakamisen edellytyksenä oleva kahden asiakkaan ilmoitus uhkaa kutistaa tämän keinon tehokkuutta, ja lopulliset mahdollisuudet tietojen jakamiseen näyttäisivät jäävän kansallisten tietosuojaviranomaisten tulkintojen varaan.

======
Tietoa ja valppautta meiltä asiakkailta todella tarvitaan.
======

Komissio on myös ehdottanut, että asiakkaiden tietoisuutta huijauksista tulisi lisätä ja myös jäsenvaltioiden tulisi osallistua tähän tiedonjakoon. Tämäkin on hyvin kannatettavaa; pankit tiedottavat jo nyt kaikissa käytettävissään olevissa kanavissa ja valtion mukaantulo esimerkiksi television tietoiskuilla voisi huomattavasti tehostaa tiedon perille menoa. Tietoa ja valppautta meiltä asiakkailta todella tarvitaan, tapahtuvathan huijaukset nykyään pääasiassa niin, että asiakas erehdytetään joko antamaan pankkitietonsa tai suorastaan suorittamaan itse maksut huijareille.

Asiakkaan turvaksi komissio esittää, että tilisiirroissa tulee ennen sen tekemistä kertoa maksajalle, vastaako tämän antama saajan nimi saajan pankissa olevaa tilinomistajan nimeä. Tämä vaatimus otettiin sittemmin mukaan pikaisesti läpivietyyn pikamaksamista koskevaan asetukseen ja velvoite tarkistukseen tulee sen myötä voimaan jo loppuvuodesta 2025.

Nähtäväksi jää, millaisiin huijauksiin tämä keino tepsii ja kuinka suuri vaikutus sillä on. Ainakaan niissä tapauksissa, joissa huijarit ovat saaneet käsiinsä asiakkaan pankkitunnukset ja pystyvät niiden avulla itse tekemään maksut, tämä tuskin auttaa. Huijarihan tasan tarkkaan tietää, kenelle on rahoja siirtämässä. Tehoa voi epäillä myös manipulaatiotyyppisissä rikoksissa. Esimerkiksi rakkaushuijauksissa uhrin pää on ehkä saatu pyörälle niin taitavasti, että tämän on helppoa uskoa selitys siitä, miksi tilin omistajan nimi onkin joku muu kuin sen komean amerikkalaisen lentäjän, jolle rahat ovat menossa. 

======
Muutos vahvan tunnistamisen määritelmään on askel taaksepäin turvallisuudessa.
======

Esitykseen sisältyvä muutos vahvan tunnistamisen määritelmään näyttäisi olevan askel taaksepäin turvallisuudessa. Edellisellä sääntelykierroksella käyttöön otettu turvamekanismi määriteltiin niin, että maksujen vahvistusprosessissa tulee käyttää kahta tunnistustekijää, jotka ovat eri luokista. Mahdollisia luokkia ovat jotakin, jonka asiakas tietää (esim. salasana), jota vain asiakkaalla on (esim. sormenjälki) tai joka asiakkaalla on hallussaan (esim. matkapuhelin).  

Vähän yllättäen komissio ehdottaa nyt, että tunnistamistekijät voisivat olla samasta luokasta, eli vahvaksi katsottaisiin esimerkiksi kahteen salasanaan perustuva tunnistautuminen. Asiantuntijoiden mielestä sellainen ei olisi vahvaa laisinkaan eikä muutos edistäisi turvallisuutta millään tavalla. Tässä kohtaa komissio lieneekin ajatellut toista tavoitettaan, eli maksamisen helppoutta. Valitettava tosiasia kuitenkin on, että helppous ja turvallisuus ovat usein saman janan eri päissä. Voisi toivoa lainsäätäjänkin priorisoivan jälkimmäistä.

Lainsäätäjän motiiviristiriita näkyy selkeästi myös pikamaksuasetuksessa. Maksamisesta halutaan tehdä supernopeaa eli maksujen pitää olla perillä saajalla 10 sekunnissa. Nopeuskaan ei välttämättä ole turvallisuuden synonyymi, minkä vuoksi säädettiin jo edellä mainitsemani nimen ja tilinumeron vertailu hillitsemään huijauksia.

Toisenlaisen rikollisuuden eli rahanpesun ja terrorismin ehkäisemisen vaatimat pakotelistatarkistukset olisivat hidastaneet maksamista lainsäätäjän mielestä tarpeettomasti, joten niiden tekeminen maksukohtaisesti on nyt pankeilta sakon uhalla kielletty. Rikollisuutta vastaan taisteleminen toki on lainsäätäjänkin mielestä edelleen tarpeen, joten asiakasrekisteriin kohdistuvat pakotelistatarkistukset voidaan edelleen tehdä.

=====
Vahingonkorvaukset uhreille eivät vähennä rikollisuutta – päinvastoin.
=====

Maksamisen turvallisuutta lisäävänä keinona maksupalveluehdotus nostaa pankkien korvausvastuun laajentamisen pankkien nimissä tehtyihin impersonaatiorikoksiin. Impersonaatiorikoksessa rikollinen esiintyy pankin nimissä esimerkiksi puhelimessa ja saa asiakkaan siirtämään rahat, olisi pankki velvollinen korvaamaan huijauksesta aiheutuvat menetykset, ellei asiakkaan katsota toimineen tilanteessa törkeän huolimattomasti.

Tällä hetkellä asiakas voi saada korvausta ainoastaan niin sanotuista oikeudettomista maksuista, eli tapauksissa, joissa asiakkaan pankkitunnukset ovat joutuneet roistojen haltuun. Jo tämänhetkinen tilanne on vahingonkorvauksen perusperiaatteiden valossa erikoinen, kun vahingonkorvausvelvollisuus on määrätty pankille, joka ei ole rikokseen osallinen.

Vahingonkorvaukset uhreille eivät millään tavalla vähennä rikollisuutta. Päinvastoin; brittiläinen huijausrikollisuuden estämiseen erikoistuneita tekoälyratkaisuja toimittava Featurespace on todennut, että mitä laajemmin pankki korvaa rikosvahinkoja, sitä enemmän onnistuneita rikoksia sen asiakkaisiin kohdistuu. Selityksenä tähän on meidän ihmisten varsin yleinen tapa suhteuttaa toimintaamme riskeihin. Pieni taloudellinen riski ollaan yleensä valmiimpia ottamaan kuin suurempi, ja pankilta tuleva korvaus pienentää huijauksista aiheutuvien vahinkojen riskiä. Ajatus siitä, että kasvavien korvausten myötä rikollisten onnistumisprosentti vain kasvaa ja rahaa valuu yhä enemmän heidän taskuihinsa, on pelottava.

======
Meidän asiakkaiden tulee kehittää omaa valppauttamme huijausyritysten havaitsemiseksi.
======

Tehokkaita keinoja rikosten ehkäisemiseen kaivataan kaikilla tasoilla. Pankkien on kehitettävä kyvykkyyttään potentiaalisten rikosten havaitsemisessa. Suomessa pankit ovat onnistuneet parantamaan juoksuaan; siinä missä tietoon tulleiden huijausten määrä kasvoi vuoden 2022 ja 2023 välillä noin 80 prosenttia (huima luku tämäkin!), onnistuivat pankit kasvattamaan pysäytettyjen ja palautettujen varojen määrää lähes 140 prosenttia. Meidän asiakkaiden taas tulee kehittää omaa valppauttamme huijausyritysten havaitsemiseksi.

Pankit ja asiakkaat voivat kuitenkin vain reagoida, tai olla reagoimatta, eri kanavista vyöryviin huijausyrityksiin. Tärkeää olisi kohdistaa huomiota myös rikosten alkupäähän eli kaikkiin niihin kanaviin, joita pitkin rikolliset meitä lähestyvät.

Huijaus lähtee usein liikkeelle tekstiviestistä, sähköpostista tai somealustalta. EU:ssa komissiota yritettiin tähän asiaan herätellä ennen maksupalvelusääntelyehdotuksen antamista, mutta ehdotus jäi laimeaksi sisältäen vain teleoperaattoreita koskevan epämääräisen velvoitteen toimia yhteistyössä pankkien kanssa huijausten ehkäisemiseksi.

Suomessa on jo menty pitemmälle ja operaattoreille on asetettu velvoite estää puhelinnumeroiden väärentäminen niin, että puhelut ja tekstiviestit näyttäisivät tulevan tunnetun toimijan numerosta. Operaattorit kertovatkin estävänsä merkittävän määrän, jopa yli 10 000 huijauspuhelua ja -tekstiviestiä päivässä. Tuntuma pankeissa kuitenkin on, että aukkoja, joista rikolliset pääsevät läpi, on edelleen liikaa eikä tämän vuoden tilastoista ole tulossa yhtään kauniimpia kuin edellisistä.

Kaikki asiaan vihkiytyneet, osin myös lainsäätäjät, tuntuvat olevan tietoisia siitä, että rikollisten käyttämiin välineisiin eli viestintäkanaviin puuttuminen olisi tärkeää. Ongelmaksi näyttää muodostuvan komission siiloutuneisuus. Maksupalvelusääntelystä vastaava pääosasto DG FISMA kokee voivansa säädellä ainoastaan maksupalveluntarjoajia, kun taas viestintäkanavista vastaava DG CONNECT ei näytä tuntevan tarvetta puuttua toisen pääosaston alueella ilmenevään ongelmaan sen ilmeisestä lähtöpisteestä huolimatta.

Komission ehdotusta maksupalvelusääntelyn uudistamiseksi käsitellään tällä hetkellä neuvostossa eli jäsenmaiden välisissä neuvotteluissa, minkä jälkeen se siirtyy parlamentin, komission ja neuvoston välisiin trilogeihin. Voimme vain toivoa, että lainsäätäjiltä löytyisi riittävää ymmärrystä kokonaisuudesta niin, että tulevilla ratkaisuilla autettaisiin rikosten ehkäisemistä sen sijaan, että ongelma yritettäisiin ratkaista vierittämällä yhä suurempi osa taloudellisesta vastuusta pankeille. Pankkienkaan holvit eivät ole pohjattomia – toisin kuin rikollisten taskut.