Väärinkäytösriskit nousussa Suomessa ja Euroopassa

Erilaisten tietoverkkopetosten ja -huijausten määrä on kasvanut vuodesta toiseen. Viime vuonna huijauksia tehtailtiin Suomessa tiettävästi yhteensä melkein 80 miljoonan euron arvosta. Suomalaisten menetykset huijareille oli yli puolet tästä: 44 miljoonaa euroa. Vaikka pankkien estämien tappioiden määrä kasvoi huomattavasti, myös toteutuneet tappiot olivat merkittävässä kasvussa. Suomessa tapahtuvien petosten lisäksi suomalaisiin kohdennettuja huijauksia tehdään ulkomailla asti. Helsingin poliisilaitos varoitti maaliskuussa 2024 ilmiöstä, jossa huijauspuheluita on soitettu Norjassa ja Tanskassa asuville suomenkielisille vanhuksille poliisina toimivan henkilön nimissä.

Suomi ei ole asiassa yksin. Huhtikuussa 2024 Europol julkaisi uuden raportin, jonka mukaan petokset vaikuttavat miljooniin ihmisiin EU:ssa päivittäin. Raportin mukaan petokset, ja erityisesti verkkopetokset, ovat EU:n sisällä toimivien rikollisverkostojen toiseksi yleisin rikos. Muista pohjoismaista esimerkiksi Tanskassa raportoitujen petosten määrä on kasvussa ja Suomen tavoin myös Norjassa petosrikollisuuden epäillään olevan huomattavasti raportoitua suurempaa.

Ruotsissa petosrikosten on raportoitu olevan nopeimmin kasvava rikostyyppi, ja erityisesti järjestäytyneiden rikollisryhmien organisoimat vanhuksiin kohdistuvat petosrikokset ovat lisääntyneet niin merkittävästi, että pääministeri hallituksineen vaatii pikaisia toimia tilanteeseen puuttumiseksi. Ensin hallitus velvoitti loppuvuonna 2023 Ruotsin posti- ja televiestintäalan laatimaan ehdotuksia puhelinnumeroiden väärentämisen (nk. spoofing) ja muiden televiestintää hyödyntävien petosten estämiseksi, ja hiljattain pankit ja poliisiviranomaiset kutsuttiin koolle tavoitteena vahvistaa niiden välistä yhteistyötä ja pankkialan roolia petosten ehkäisyssä.

Teknologia mahdollistaa ja haastaa

Teknologioiden myötä moni asia on vaivattomampaa — ja niin on myös petosten tehtailu. Vahvasti digitaalinen maksupalvelusektori on haavoittuvainen väärinkäytöksille. Alati kehittyvien teknologioiden myötä petosilmiöt muuttavat muotoaan hyödyntäen tehokkaasti kulloinkin havaittuja heikkouksia. Toimijoiden kontrolleineen on pysyttävä ilmiöissä mukana ja jopa pyrittävä olemaan askeleen huijareita edellä. Toisaalta asiakkaat kuitenkin odottavat saumatonta palvelua ja viiveettömiä maksutapahtumia turvallisuudesta tinkimättä — toisinaan vajavaisella tietoisuudella oman toiminnan merkityksestä ja pahimmillaan jopa sokealla luotolla palveluntarjoajiin.

Vaikka jokainen tapaus arvioidaan erikseen, ratkaisukäytäntö osoittaa maksupalveluiden tarjoajien korvausvelvollisuuden olevan laaja: rima sille, että asiakkaan tulkitaan toimineen törkeän huolimattomasti on varsin korkealla, eikä pelkästään varomaton tai tavallisen huolimaton toiminta siirrä korvausvastuuta asiakkaalle. Toimijoilla onkin kasvava vastuu ehkäistä petoksia, ja tätä linjaa vahvistaa myös suunniteltu maksupalveluasetus.

Sääntely-ympäristö tiukentuu

Finanssivalvonta julkaisi maaliskuussa maksamisen turvallisuutta koskevan kyselynsä johtopäätökset todeten nykytilassa olevan parantamisen varaa. Finanssivalvonta ehdotti myös konkreettisia toimia turvallisuuden parantamiseksi. Tällaisiksi toimiksi nostettiin muun muassa käyttäjälähtöiset turvarajoitukset, aiemmasta maksuhistoriasta poikkeavien maksujen pysäyttäminen entistä tehokkaammin ja tarkemmin sekä eri huijaustavoista tiedottaminen. Toukokuussa 2024 Finanssiala käynnisti tiedotuskampanjan, jonka tavoitteena on lisätä ihmisten tietoisuutta huijauksista ja opastaa heitä, miten välttyä huijauksilta ja mitä tehdä, jos joutuu petoksen uhriksi.

Finanssivalvonnan suositukset heijastelevat ja ennakoivat tulevia EU-tason muutoksia. Neuvoston hiljattain hyväksymän pikamaksuasetuksen myötä ”raha siirtyy tililtä toiselle kymmenessä sekunnissa mihin vuorokaudenaikaan tahansa, myös tavanomaisen työajan ulkopuolella ja toiseen EU-maahan”. Vastapainona viiveettömiin maksutapahtumiin asetus vaatii pikamaksupalvelujen tarjoajien tarkistavan, että maksunsaajan IBAN-tilinumero ja nimi vastaavat toisiaan. Samaa vaatii myös kaavailtu maksupalveluasetus. Lisäksi maksupalveluasetus muun muassa laajentaa edelleen maksupalvelun tarjoajien korvausvastuuta esimerkiksi spoofing-tapauksissa ja edellyttää asiakkaiden tiedottamista petosriskeistä.

Huomioitavaa toimijoille

Petosriskien tehokas hallitseminen nykyisen ja tulevan lainsäädännön vaatimalla tavalla edellyttää maksupalvelun tarjoajilta sekä teknisiä että hallinnollisia valmiuksia. Koska toimintaympäristö monimutkaistuu jatkuvasti, on palveluntarjoajien omalta osaltaan toimittava hyvissä ajoin ennen tilanteen kärjistymistä. Samalla palveluntarjoajien on varmistettava, että he tarjoavat asiakkaille edelleen yhtä saumatonta ja nopeaa palvelua, jota he odottavat saavansa. Ruotsin kokemukset ja sääntely-ympäristön vaateet huomioiden, valistuneidenkin maksupalvelun tarjoajien kannattaa kiinnittää huomiota erityisesti seuraaviin osa-alueisiin:

• Fraud-strategia: Pidemmän tähtäimen kehitysstrategian laadinta ja ilmiön tehokkaiden puuttumiskeinojen tunnistaminen ja niiden mahdollinen pikainenkin kommunikointi lainsäätäjälle tai valvojalle esimerkiksi Ruotsin kaltaisessa tilanteessa.
• Tekniset kyvykkyydet: Valmiudet tunnistaa petoksia muun muassa asiakkaan aiempaan tilihistoriaan perustuen ja haarukoida tietyt maksut pysäytettäviksi maksupalveluasetuksen mukaisesti.
• Väärinkäytöksiin vastaaminen ("Incident Response"): Viiveetön reagointi väärinkäytösilmoituksiin sekä asiakkaan ja organisaation vahinkojen minimointi
• Asiakasviestintä ja koulutus: Tiedotuskampanjojen järjestäminen ja asiakkaiden, varsinkin iäkkäiden tai heikommassa asemassa olevien, riskitietoisuuden lisääminen muilla keinoin. Rahoituslaitokset ovat järjestäneet podcasteja petosten tunnistamisesta, ja joillakin on muun muassa petosasioita varten omistettu asiakaspalvelupuhelinnumero.
• Tiiviimpi yhteistyö: Pankkien, Traficomin ja operaattoreiden yhteistyön lisääminen petostentorjunnassa.