32 miliony łupem pracowników banku

Data: 10 sierpnia 2012 | Autor: Mikołaj Rutkowski | Brak komentarzy »

Opisywane na łamach Fraud IQ przypadki nadużyć gospodarczych rzadko miały swoje polskie odpowiedniki, przynajmniej w kwestii wartości sprzeniewierzonych środków. Tymczasem w dniu dzisiejszym media obiegła wiadomość o wyprowadzeniu z jednego z banków gigantycznej kwoty 32 milionów złotych, czyli ponad 10 milionów dolarów!

O sprawie nie wiemy niestety zbyt dużo, bo wszystkie relacje medialne bazują na informacjach ujawnionych przez policję, a te – jak można się domyślić – są dla dobra śledztwa dawkowane stosunkowo oszczędnie. Ujawniono jednak, że zatrzymano w sprawie już 3 osoby (z czego 2 powędrowały do aresztu), kolejna jest poszukiwana, a niewykluczone są dalsze aresztowania.

Zgodnie z informacjami Komendy Stołecznej Policji oszustwo polegało na jednoczesnym wykorzystywaniu sfałszowanych dokumentów kredytowych oraz przesyłania środków na finansowanie tych kredytów używając wykradzionych danych uwierzytelniających do systemu bankowego. Wprawdzie w ostatnich wiadomościach telewizyjnych dziennikarze z rozpędu podali, że okradane były konta klientów, ale tę wersję można śmiało wykluczyć i przyjąć, że transferowane były środki wprawdzie oczywiście należące do klientów, ale nie  były one wyprowadzane z ich rachunków, ale z kont samego banku.

Po kolei: Przedsiębiorca Adam B. składał w oddziale banku wnioski kredytowe w imieniu swojej firmy. Współpracująca z nim pracownica oddziału Ewa B. (interesujące jest to, czy zbieżność inicjałów jest tutaj jedynie przypadkowa) fałszowała wewnętrzną dokumentację kredytową banku w celu stworzenia wrażenia, że kredyty zostały przeprocesowane zgodnie z obowiązującymi procedurami. Dokumentacja ta była zatwierdzana (czyli kredyt przyznawany a środki zatwierdzane do wypłaty) przez dyrektora oddziału Leszka Z., mającego odpowiednie umocowanie.

Problemem pozostawało fizyczne uruchomienie kredytów. W większości instytucji finansowych ta czynność jest bowiem oddzielona od przyjmowania i rozpatrywania wniosków kredytowych, zgodnie z zasadą racjonalnego podziału obowiązków. KSP nie podała tego wprost (mówiono jedynie o „kradzieży haseł), ale wszystko wskazuje na to, że Ewie B. udało się wejść w posiadanie danych dostępowych do systemu, należących do pracownika uprawnionego do uruchamiania środków pieniężnych w ramach kredytów. Dzięki temu była w stanie wykonać szereg przelewów, odzwierciedlających kwoty w podrobionej dokumentacji na konto firmy Andrzeja B. Jak podały media, największy z przelewów przekroczył 20 milionów złotych! Jest to co najmniej zastanawiające, że nikt z osób uzgadniających transakcje nie zwrócił na to uwagi, zwłaszcza że można śmiało założyć, że całość sfałszowanej dokumentacji pozostawała w oddziale…

Wszystko zatem wygląda na stosunkowo proste – mamy do czynienia ze zmową pracowników, dzięki czemu uniknięto konieczności fałszerstwa akceptacji przyznanie kredytu. Następnie mamy do czynienia z kradzieżą danych uwierzytelniających, dzięki czemu kredyty można było uruchomić. Nadal jednak pozostaje zagadką, dlaczego ten bądź co bądź misternie przygotowany plan nie został wykryty przez kontrolę wewnętrzną banku. Na gorąco przychodzą mi do głowy co najmniej dwie rzeczy, które powinny pobudzić odpowiedzialne osoby do myślenia. Zazwyczaj uruchamianiem kredytów zajmuje się centrala, a nie pracownicy oddziałów – oznacza to, że dokumentacja kredytowa powinna zostać tam fizycznie przesłana przed uruchomieniem. Zakładam, że tak się nie stało (nie ma na ten temat informacji), więc powinno to – w połączeniu z dziennym uzgadnianiem uruchomień – wzbudzić podejrzenia. Druga natomiast rzecz to IP komputera, z którego zalogowano się do systemu i uruchomiono środki – wysoce wątpliwe, żeby służby bezpieczeństwa IT nie odnotowały, że pracownik logujący się zawsze w centrali nagle zalogował się z oddziału. Oczywiście to wszystko tylko domysły i spekulacje, niemniej jednak na bazie mojej znajomości procesów bankowych, wydaje mi się, że są uzasadnione. Najprawdopodobniej nie doczekamy się już dalszych szczegółów w tej sprawie, poza może informacjami o ogłoszonym wyroku. Szkoda – pozwoliłoby to uczyć się na błędach innych i zminimalizować ryzyko wystąpienia tego typu sytuacji w innej instytucji.

---