Ocena dotychczasowych standardów AML/CFT i ich wdrożenia

Data: 24 kwietnia 2014 | Autor: | Brak komentarzy »

Interesujący raport dotyczący kwestii przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu ujrzał światło dzienne w I kwartale tego roku. Zatytułowany jest „Global Surveillance of Dirty Money – Assessing Assessments of Regimes to Control Money Laundering and Combat the Financing of Terrorism” (w wolnym tłumaczeniu: “Globalny nadzór nad brudnymi pieniędzmi – ocena ocen systemów prawnych mających na celu kontrolę prania pieniędzy oraz zwalczanie finansowania terroryzmu”). Jego autorem są członkowie Centrum Prawa i Globalizacji, będącego swoistym think-tankiem Wydziału Prawa Uniwersytetu Illinois oraz American Bar Foundation.

Autorzy przeanalizowali ewaluacje systemów AML/CFT w 150 krajach z lat 2004-2013, dokonywane głównie przez Międzynarodowy Fundusz Walutowy, ale także jego partnerów (w tym Financial Action Task Force), próbując odpowiedzieć na pytanie, jaką rzeczywistą wartość dodaną niosły ze sobą działania weryfikacyjne MFW. Wprawdzie konkretne ustalenia z zawartości raportu można interpretować różnie, ale bez dwóch zdań końcowa ocena nie jest dla ekspertów Funduszu pozytywna. Dlaczego?

Przeczytaj całość wpisu »


Once a fraudster, forever a fraudster

Data: 16 kwietnia 2014 | Autor: | Brak komentarzy »

Kto raz ukradnie, ten na zawsze pozostaje złodziejem, jak mawiają Amerykanie (Once a thief, forever a thief). Teorię tę potwierdza opisany dzisiaj przypadek, który miał miejsce za naszą południową granicą, w Czechach. Historia jest bardzo barwna, może nie nadaje się na pełnometrażowy film, ale na odcinek serialu detektywistycznego na pewno.

Za początek historii należy uznać odkrycie dyrektor Państwowego Muzeum Rolnictwa w Pradze, że na kontach tej instytucji brakuje ponad 10 milionów koron (ponad 1,5 mln PLN). Z uwagi na skalę braku – niemal 1/3 rocznego budżetu muzeum – jego szefowa nie próbowała podejmować żadnych własnych działań wyjaśniających, ale od razu powiadomiła policję.

Przeczytaj całość wpisu »


O grzechu zaniechania

Data: 8 kwietnia 2014 | Autor: | Brak komentarzy »

Każdy przypadek nadużycia, zwłaszcza wewnętrznego, powinien być dogłębnie i fachowo przeanalizowany i zbadany. Tyle dobre praktyki zarządzania ryzykiem nadużyć. A jak wygląda praktyka codzienna? Cóż… Najwłaściwszą odpowiedzią będzie zapewne: „różnie”.

Nie jest jednak tajemnicą, że wiele firm rezygnuje z przeprowadzenia postępowania wyjaśniającego, szczególnie jeśli w takim przypadku muszą uciekać się do wsparcia ekspertów zewnętrznych. Powodów takiego postępowania jest mnóstwo, poczynając od tych rzeczywistych („ponieśliśmy stratę i jeszcze mamy wydawać kolejne środki”, „jak pójdziemy do sądu, to będzie to trwało”), poprzez średnio wiarygodne („teraz już wiemy, na co zwracać uwagę”), na kompletnie wydumanych kończąc („wyczerpaliśmy limit pecha”, „to tylko jedna czarna owca”).

Przeczytaj całość wpisu »


Bity, bajty, kilobajty, nadużycia…

Data: 31 marca 2014 | Autor: | Brak komentarzy »

Ponieważ już w co najmniej kilku wpisach podawałem przykłady, w których osoby zajmujące się oficjalnie zwalczaniem nadużyć okazywały się ich sprawcami, pora na wrzucenie kamyczka do ogrodu nieco innej profesji. Okazja nadarza się sama, ponieważ w ostatnich tygodniach na karę 7 lat więzienia skazano byłego kierownika działu bezpieczeństwa IT Barclays Banku, który w ciągu 5 lat pracy sprzeniewierzył ponad 2,1 mln funtów.

John Skermer został zatrudniony w Barclays w 2008 r. jako inżynier-programista. Wśród projektów, nad którymi pracował znajdowała się aplikacja „porządkująca” rachunki bankowe. Jej zadaniem było przeczesywanie baz systemu bankowego w poszukiwaniu przede wszystkim dwóch typów rachunków. Pierwszym były rachunki „osierocone”, to jest takie, które nie posiadały przypisanego właściciela – były bowiem np. używane do księgowań technicznych, przejściowej alokacji funduszy, czy też omyłkowo pozostawionych po zamknięciu rachunku podstawowego kont rozliczeniowych, kredytowych czy depozytowych. Drugą grupę stanowiły rachunki „uśpione”, to jest takie, z których od dłuższego czasu nie korzystał ich właściciel i poza naliczaniem opłat i odsetek nie odbywały się na nich żadne inne operacje. Tego rodzaju rachunki występują w praktycznie każdym banku z uwagi np. na śmierć czy długotrwałą chorobę posiadacza rachunku, a wcale nie tak rzadko klienci o nich po prostu zapominają…

Przeczytaj całość wpisu »


Koszty wiary na słowo

Data: 21 marca 2014 | Autor: | Brak komentarzy »

W ostatnich dniach kanadyjskie media ujawniły interesujący przypadek kompromitacji zabezpieczeń serwera internetowego, na którym pracowała kanadyjska platforma obrotu bitcoinami Canadian Bitcoins. Formalnie wypadałoby powiedzieć, iż przestępca uzyskał dostęp do serwera za pomocą narzędzi socjotechnicznych zastosowanych wobec pracownika wsparcia technicznego firmy hostingowej Granite Networks. Niestety zapis rozmowy nie jest dostępny, więc nie jest jasne, jakich sztuczek użył oszustw, ale z pewnością miał niezwykły dar przekonywania…

Ale po kolei. Opiszmy najpierw, co – zgodnie z wypowiedzią prezesa Canadian Bitcoins – musi zrobić pracownik tej firmy, aby zarządzać serwerem. Opcje są dwie. Po pierwsze – dostęp zdalny, możliwy wyłącznie z jednego adresu IP, z którego korzystają pracownicy biura głównego platformy, połączony oczywiście z dodatkowym uwierzytelnieniem użytkownika (nie ujawniono, na czym bazujący i ilu składnikowy). Drugą opcją jest osobista wizyta w firmie Granite Networks i praca na terminalu lokalnym. Jest ona jednak nieco bardziej kłopotliwa… Co najmniej 2 godziny przed fizycznym pojawieniem się na miejscu należy powiadomić o tym ochronę. Następnie, po przybyciu, należy użyć karty dostępowej aby wejść do budynku, zarejestrować się na ochronie, przejść przez skaner siatkówki, pokonać jeszcze dwie pary drzwi z kontrolą dostępu, a wreszcie podać kod numeryczny, aby dostać się do tej części serwerowni, w której stoją maszyny użytkowane przez Canadian Bitcoins.

Przeczytaj całość wpisu »