Tworzy kod dla banków. Mówi, jak chronione są pieniądze Polaków

Liczba cyberataków na polskie konta bankowe rośnie w zastraszającym tempie: według danych Związku Banków Polskich i raportu CERT Polska tylko w pierwszym półroczu 2025 r. odnotowano ponad 18 mln podejrzanych transakcji, co oznacza średnio ponad 98 tys. prób oszustw dziennie w całym sektorze. To wzrost o niemal 40 proc. rok do roku.

Przestępcy stosują coraz bardziej wyrafinowane metody: spoofing, deepfake’i głosowe, przejmowanie sesji przez zdalny pulpit czy klasyczne wyłudzanie kodów Blik pod pretekstem "pilnej pomocy bliskiej osobie". Mimo to większość społeczeństwa wciąż nie zdaje sobie sprawy, ile z tych ataków jest w ogóle podejmowanych - słyszymy wyłącznie o tych nielicznych, które się przebiją. W rzeczywistości polskie banki, dzięki systemom opartym na sztucznej inteligencji i biometrii behawioralnej, codziennie blokują dziesiątki tysięcy takich operacji, zanim pieniądze znikną z konta.

O szczegółach rozmawiamy z Wojciechem Nowakiem, dyrektorem ds. Rozwoju Oprogramowania w Asseco Poland, firmy, która tworzy oprogramowanie dla wielu banków.

Robert Kędzierski, money.pl: Jak sztuczna inteligencja zmieniła walkę z oszustwami finansowymi? Czy widać poprawę w statystykach nieautoryzowanych płatności?

Wojciech Nowak, Asseco: Sztuczna inteligencja jest podstawą systemów wykrywania oszustw, które działają w bankach od lat. Mówimy tu jednak o modelach machine learningowych, które istnieją na rynku od dziesięcioleci, a nie o generatywnej sztucznej inteligencji, która z racji szumu medialnego stała się synonimem pojęcia sztuczna inteligencja będąc wyłącznie jednym z jej podzbiorów. Banki są jednymi z instytucji, które takich rozwiązań używają naprawdę od dawna. Te systemy potrafią wykrywać różnice w schematach wykonywania operacji płatniczych i działają w tle.

Prawdziwą nowością, która pojawiła się stosunkowo niedawno, jest weryfikacja behawioralna. To mechanizm badający wzorzec zachowania klienta i budujący jego unikalny profil cyfrowy. System szczegółowo analizuje sposób, w jaki konkretny użytkownik wchodzi w interakcję z aplikacją mobilną czy przeglądarką internetową. Każdy z nas ma swój charakterystyczny sposób poruszania się po interfejsie, klikania, przewijania, wpisywania danych.

Ten profil behawioralny jest na tyle precyzyjny, że dzięki niemu system potrafi z wysoką skutecznością rozpoznać ataki wykorzystujące przejęcie dostępu do bankowości elektronicznej poprzez zdalny pulpit. To niestety wciąż bardzo popularny typ oszustwa. Jeśli atakujący nakłania klienta do wykonania czegoś przez zdalny pulpit i sam przejmuje kontrolę nad kontem, biometria behawioralna natychmiast wykrywa różnicę w zachowaniu. Ruch myszką, tempo klikania, sposób nawigacji - wszystko to różni się od normalnych nawyków prawdziwego właściciela konta.

Czy większość dużych banków już to wdrożyła?

Tak, większość banków w Polsce ma już takie systemy. To działa, choć niestety liczba samych prób ataków wciąż rośnie. Przestępcy nie rezygnują, tylko zmieniają metody.

Dlaczego mimo rozwoju technologii wciąż zdarzają się spektakularne przypadki wyłudzeń? Scenariusz jest często podobny: ktoś loguje się z nowego urządzenia, zaciąga kredyt, przelewa wszystkie lokaty na obce konto. Wydawałoby się, że to oczywisty sygnał alarmowy dla systemu.

Dobrze zestrojony system powinien coś takiego wykryć i pierwszym działaniem powinno być co najmniej wstrzymanie transakcji i dodatkowa weryfikacja zleceniodawcy. I to właśnie działa w zdecydowanej większości przypadków, tylko niestety nie jest to 100 proc. przypadków. Problem polega na tym, że słyszymy wyłącznie o przypadkach, które się przebiły, a nikt nie rozmawia o tysiącach dziennie próbach ataków w całej Polsce, które są zatrzymywane.

To naprawdę tysiące prób dziennie w skali całego kraju. Te systemy bazują na sztucznej inteligencji, która jest niedeterministyczna. To nie jest klasyczny algorytm, który wykona zawsze tę samą operację. AI uczy się na podstawie wzorców, ale nie jest w stanie wykryć absolutnie 100 proc. wszystkich przypadków oszustw. Przynajmniej przy dostępnej dzisiaj technologii zawsze będzie jakiś margines błędu.

A co z czynnikiem ludzkim?

To właśnie największy problem - psychologia. Atakujący potrafi tak zmanipulować osobą, że jakich zabezpieczeń technicznych banki by nie budowały, to ta osoba i tak da się złowić. Nie chodzi o to, żeby obwiniać ofiary - one są nieświadome tych mechanizmów, nie znają się na technologii, są pod presją emocjonalną. Ale to właśnie psychologiczna manipulacja jest kluczem do sukcesu przestępców.

Wspomniał pan, że sam doświadczył takiej blokady.

Tak, osobiście zostałem zablokowany przy dużej transakcji kartowej wieczorem podczas wyjścia zespołowego. Nie dość, że sama transakcja została odrzucona, to moje konto i wszystkie karty zostały całkowicie zablokowane. Nie mogłem ich użyć w żaden sposób. Z mojej perspektywy jako osoby, która zna mechanizmy działania tych systemów, to było właściwe działanie. Przyjąłem to bez żadnego zdenerwowania, pomimo że utrudniło mi to życie tego wieczoru.

Czy przestępcy też wykorzystują AI?

Oczywiście. Jest druga strona medalu, o której trzeba mówić. Wszystkie deepfake'i – fałszywe nagrania wideo, podrabianie głosu. Dzisiaj atakujący może na podstawie zaledwie dziesięciosekundowej próbki stworzyć syntetyczny głos, który będzie brzmiał jak ktoś bliski z rodziny ofiary. Wyobraźmy sobie telefon, w którym słyszymy głos własnej żony czy męża proszących o pilny przelew. To może być kompletnie sztuczny głos wygenerowany przez AI.

To będzie tylko postępować. Technologie deepfake są coraz bardziej dostępne i coraz lepsze. To ciągły wyścig zbrojeń między bankami budującymi zabezpieczenia a przestępcami szukającymi nowych metod ataku.

Jak na tle innych branż wyglądają banki pod względem bezpieczeństwa?

Z perspektywy kogoś, kto tworzy oprogramowanie dla różnych sektorów, mogę powiedzieć wprost: banki to jedne z najlepiej zabezpieczonych instytucji, jakie znam. My jako Asseco produkujemy oprogramowanie dla wielu sektorów i banki wyraźnie się wyróżniają.

Nawet gdybyśmy jako dostawca nie próbowali wymusić na nich dbałości o bezpieczeństwo, banki i tak same to robią z własnej inicjatywy. Standardy bezpieczeństwa w polskim sektorze bankowym są naprawdę bardzo wysokie.

Oczywiście, ze względu na to, że bank ma nasze pieniądze, przypadki, gdzie te systemy zawiodą, są najbardziej drastyczne i najbardziej widoczne medialnie. Natomiast są to najbezpieczniejsze miejsca w systemie finansowym do przechowywania pieniędzy, jakie mamy do dyspozycji.

Co Asseco oferuje bankom w kontekście obsługi przedsiębiorców?

To, co chcieliśmy podkreślić na konferencji w Lizbonie, to że jest ogromna potrzeba wsparcia banków w oprogramowaniu do obsługi klientów firmowych. Może się wydawać, że duże banki, o których mówiliśmy w kontekście innowacji, mają już praktycznie wszystko, ale właśnie w tym obszarze jeszcze wiele można zrobić.

Dlaczego akurat tu są problemy?

Firma to naprawdę zupełnie inny poziom złożoności niż obsługa klienta indywidualnego. Budowa produktów dla firm, obsługa tych produktów, obsługa procesów posprzedażowych - to wszystko jest znacznie bardziej skomplikowane. I w tym obszarze banki, nawet te największe, które można by uważać za firmy technologiczne, mogą jeszcze sporo zrobić. A przecież mowa o instytucjach, które mają już bardzo dużo różnych rozwiązań.

Problem w tym, że te rozwiązania są rozproszone. Można je bardzo dobrze zintegrować, zbudować do tego dobre procesy cyfrowe i wspomóc pracowników. To właśnie robimy. Klient bezpośrednio tego nie zobaczy, ale pośrednio odczuje różnicę.

Jakie konkretnie problemy to rozwiązuje?

Przykład z życia. Wczoraj rozmawialiśmy tu z koleżanką, która ma kartę firmową w jednym z dużych banków. Zapomniała PIN do karty. My jako klienci indywidualni zmieniamy PIN dzisiaj praktycznie w każdym banku od ręki w aplikacji. Nie ma problemu, zajmuje to minutę. A karta firmowa? Okazało się, że nie da się tego zrobić elektronicznie. Nowy PIN pocztą, za dwa tygodnie.

To absurd dla osoby prowadzącej biznes. Nie można czekać dwa tygodnie na możliwość płacenia służbową kartą. To bardzo duża przestrzeń do zdigitalizowania. Trzeba dostarczyć rozwiązania, które połączą to, co banki już mają, bo mają naprawdę mnóstwo danych i mnóstwo systemów.

Naszym zadaniem jest połączyć to wszystko i zbudować takie procesy, które pomogą bankierowi obsługiwać klienta firmowego szybko i sprawnie. A my jako przedsiębiorcy nie będziemy musieli czekać na proste rzeczy dniami czy tygodniami. W większości przypadków system powinien automatycznie załatwiać takie sprawy za bank czy za pracownika.

Wspomniał pan też o odciążeniu przedsiębiorcy.

To kolejny ważny wątek. Mamy dziś mnóstwo systemów i rozwiązań technologicznych. Dlaczego więc w interakcji z bankiem przedsiębiorca wciąż musi wypełniać formularze na setki pól? To naprawdę bardzo rozbudowane dokumenty w niektórych przypadkach. To nie ma sensu w dzisiejszych czasach.

Mamy przecież dostęp do baz publicznych, w których jest naprawdę mnóstwo informacji potrzebnych bankowi. Każda firma musi sporządzać ogromne ilości oficjalnej dokumentacji, sprawozdań, raportów. Bank te dokumenty już ma lub może je łatwo pozyskać. Wystarczy je wykorzystać.

A w praktyce? Co AI może zmienić?

Wiele. To nie jest tak proste jak np. formularz o zwykły przelew. Mówimy o analizie skomplikowanych raportów finansowych firmy. Często nie ma jednego standardowego formatu tych dokumentów. Bez sztucznej inteligencji nie jesteśmy w stanie automatycznie znaleźć w nich danych, które bank potrzebuje.

Dzisiaj, dzięki AI, zamiast kazać przedsiębiorcy ręcznie wpisywać wszystkie te dane, możemy zrobić to automatycznie. System potrafi przeanalizować dokumenty od firmy, znaleźć w nich potrzebne informacje i wyciągnąć je automatycznie. Mówimy tu o danych potrzebnych na przykład do udzielenia lub przedłużenia linii kredytowej.

To oszczędza przedsiębiorcy mnóstwo czasu i frustracji. Zamiast godzin spędzonych na wypełnianiu formularzy cały proces może zająć minuty. A bank ma pewność, że dane są dokładne, bo pochodzą bezpośrednio z oficjalnych dokumentów firmy.

Rozmawiał Robert Kędzierski, dziennikarz money.pl