Skráð fjársvik hjá kortaútgefendum vegna notkunar greiðslukorta fyrir fyrstu sex mánuði ársins 2023 námu mörg hundruð milljónum króna. Fjárhæð þessara fjársvika rúmlega fimmfaldaðist ef bornir eru saman þessir sex mánuðir og síðari sex mánuðir ársins 2022.
Þetta kemur fram í svari Seðlabanka Íslands við fyrirspurn mbl.is og byggja upplýsingarnar á innsendum skráðum gögnum fjármálastofnana.
Um er að ræða svik gagnvart bæði einstaklingum og fyrirtækjum.
Í svarinu segir að innsend gögn frá greiðsluþjónustuveitendum til fjármálaeftirlits bankans um fjársvik bendi til þess að umfang fjársvika hafi aukist umtalsvert síðustu ár.
Fjöldi skráðra tilvika vegna kortasvika hjá kortaútgefendum nam tæplega 10 þúsundum á hvoru tímabili fyrir sig, þ.e. annars vegar fyrstu sex mánuði ársins 2023 og hins vegar síðari sex mánuði ársins 2022. Þar er átt við fjölda færslna en sami einstaklingur eða fyrirtæki geta lent í því að peningum er stolið í mörgum færslum.
Miðað við að færslurnar eru álíka margar á tímabilunum tveimur er ljóst að upphæðir fjársvikanna eru mun hærri á því síðara í ljósi þess að þær rúmlega fimmfölduðust á milli tímabila.
Ekki er eingöngu um netsvik að ræða, þótt ætla mætti að mikið af þeim hafi átt sér stað á netinu. Dæmi um annars konar svik eru stolin- eða afrituð kort sem notuð eru til að svíkja færslur sem annað hvort eru undir PIN-mörkum eða yfir þeim, þ.e. ef óprúttinn aðili hefur komist yfir PIN-númer kortsins.
Spurð segir Björk Sigurgísladóttir, varaseðlabankastjóri fjármálaeftirlits, að ábendingum frá viðskiptavinum vegna netsvika hafi fjölgað að undanförnu.
„Við sjáum það bæði á þessum ábendingum og eins fáum við upplýsingar með öðrum hætti,” svarar hún.
Björk segir netsvik vera af ýmsum toga. „Það er gegnumgangandi verið að reyna að blekkja fólk til þess að veita upplýsingar, til þess að komast inn í kerfi og nota stolin gögn til svika,” segir hún.
„Þetta virðist vera viðvarandi verkefni, þessi barátta við netsvindl og það þarf sífellt að aðlaga vinnuna til að bregðast við þessum aðferðum sem aðilar eru að nota. Mikil vinna er hjá eftirlitsskyldum aðilum en einnig þarf almenningur að vera vakandi fyrir mögulegum svikum og ekki treysta um of á einhver gylliboð sem berast og svo framvegis, hvort sem er á samfélagsmiðlum eða í tölvupóstum og eins að almenningur láti þjónustuveitandann alltaf vita ef hann verður var við eitthvað óeðlilegt,” bætir Björk við.
Hún kveðst ekki vera með upplýsingar um það hvort netsvikin komi aðallega erlendis frá en segir dæmi um að Íslendingar hafi gerst sekir um þau. Bendir hún jafnframt á að sama þróun varðandi aukningu netsvika eigi sér stað í nágrannaríkjum Íslands. Þar takist eftirlitsaðilar á við sömu vandamál.
„Það endurspeglar okkar áherslum og aukningu á sérhæfingu að við höfum talið okkur þurfa að auka áherslu á þennan málaflokk. Við sjáum hjá evrópskum eftirlitsstofnunum og nágrannaríkjum að þetta er áhersla hjá flestöllum eða öllum,” heldur hún áfram og nefnir að Seðlabankinn framkvæmi áhættumat sem hluta af reglubundnu eftirliti.
Björk segir Seðlabankann vinna náið með eftirlitsskyldum aðilum þegar kemur að svikavörnum og nefnir að öryggisstjórar bankanna og annarra eftirlitsskyldra aðila, starfsmenn fjármálaeftirlits Seðlabankans, ásamt fulltrúum frá netöryggissveitinni CERT-IS og Auðkenni fundi reglulega til að ræða mál sem snúa að netglæpum og netöryggi. Bendir hún jafnframt á að ábyrgðin á vörnunum liggi fyrst og fremst hjá eftirlitsskylda aðilanum.
„Það má finna í ýmsum lögum og reglum ákvæði þar sem gerðar eru kröfur til eftirlitsskyldra aðila að stýra áhættu. Þar á meðal er þessi net- og upplýsingatækniáhætta og það er svo hlutverk fjármálaeftirlits Seðlabankans að hafa eftirlit með því að aðilar fari að þessum kröfum,“ bætir hún við, en hér má lesa nánar um eftirlits- og upplýsingaþjónustu bankans.
Varðandi netsvik segir Björk að Seðlabankinn bregðist við þeim atvikum og málum sem koma inn á borð bankans og geta þau bæði komið frá eftirlitsskyldum aðila eða frá neytendum.
„Þá bendum við þeim á að fyrsta skrefið er alltaf það að hafa samband við sinn greiðsluþjónustuveitanda ef þau hafa ekki gert það nú þegar. Svo bendum við neytendum á þau úrræði sem standa þeim til boða. Það getur verið úrskurðarnefnd eða kæra til lögreglu,“ greinir hún frá.
Björk nefnir til sögunnar DORA-reglugerðina sem tekur gildi í ríkjum Evrópusambandsins í byrjun næsta árs og til stendur að innleiða einnig hér á landi. Hún snýst um stafrænan viðnámsþrótt á markaði og er ætlað að bregðast við aukinni áhættu með þvi að setja á fót strangara regluverk. Reglugerðin mun meðal annars gagnast í baráttunni gegn netsvikum.
Auknar kröfur verða gerðar út frá áhættustýringu. Samræmd tilkynningaskylda verður fyrir hendi um atvik sem koma upp sem tengjast net- og upplýsingakerfum og verða fyrirtæki skylduð til að gera einfaldar og ógnarmiðaðar netöryggisprófanir. Stærstu tækniþjónustuveitendurnir munu lúta beinu eftirliti evrópskra eftirlitsstofnana en slíkt hefur fram að þessu ekki verið fyrir hendi, að sögn Bjarkar.
„Fyrirhuguð lög munu leiða til heildstæðari og samræmdari framkvæmdar áhættustýringar í starfsemi ólíkra aðila á fjármálamarkaði, þar á meðal gagnvart ytri tækniþjónustuveitendum, ásamt því að leiða til bættrar yfirsýnar og skilvirkara viðeigandi aðhalds og þar með aukinni neytendavernd og fjármálastöðugleika,“ segir í skjali fjármála- og efnahagsráðuneytisins í samráðsgátt stjórnvalda.
„Skylt verður að tilkynna Fjármálaeftirliti Seðlabanka Íslands um öll alvarleg atvik tengd net- og upplýsingakerfum í starfsemi aðila á fjármálamarkaði sem falla munu undir gildissvið fyrirhugaðra laga. Fyrirhuguð lög til innleiðingar DORA hér á landi munu stuðla að frekari samhæfingu innan stjórnkerfisins, öflugri öryggismenningu og vitund um áhættu og þar með viðnámsþrótti/áfallaþoli fjármálamarkaðar,“ segir þar einnig.