FinanceEstonia ja LexisNexis Risk Solutions seminaril arutasid eksperdid, kuidas pettusi ja rahapesu tõhusamalt ennetada. Millised on suurimad riskid, millised lahendused juba töötavad ning mis roll on igal osapoolel – nii inimesel, ettevõttel kui ka riigil?
Arutelu juhtinud Aivar Paul (Wallester) nimetas pettuseid tänapäeva digimaailma pandeemiaks – nähtuseks, mis sai hoogu koos koroonaga, kuid on sellest ajast peale jätkuvalt kasvanud. Ta tõdes, et pettust ei pea enam sooritama näost näkku, tänapäeval toimub kõik digitaalselt ning sobivad tööriistad on kõigile lihtsalt kättesaadavad.
Sotsiaalmeedia kui petturite platvorm
Oliver Steinerti (LHV) sõnul saab suur osa pettustest alguse sotsiaalmeediast – Facebook, Instagram ja WhatsApp on kurjategijate lemmik tööriistad. “Revoluti andmetel on üle poole kõigist tuvastatud pettustest seotud Meta kanalitega. Kurjategijad oskavad sihtida – nad teevad näiteks Facebook Marketplace’is suunatud rünnakuid, kus koguvad ohvri kohta infot, saadavad näiliselt usaldusväärseid linke ja viivad ohvri lõpuks kiire ning kahjuliku tehinguni,” kirjeldas ta.
Investeerimispettused moodustavad olulise osa tänasest skeemimaastikust. Tüüpilised lubadused kiiresti ja suurelt rikastumisest muudavad inimesed vastuvõtlikuks ja haavatavaks. Probleemi süvendab fakt, et kord ohvriks langenud inimene satub sageli uuesti pettuse võrku – Euroopas koguni 40% juhtudest.
Variisikute ja muulade ajastu
Kui varasemalt olid nn muulad ehk rahakandjad pigem eraisikud, siis avaldumas on uus murekoht – järjest rohkem kasutatakse muulanduses ettevõtteid, eeskätt riiulifirmasid. Janar Stamm (Change) jagas näiteid, kus muulad on edukalt läbinud mitme krediidiasutuse kontrollid. See viitab probleemile mitte niivõrd ühes süsteemis, vaid kogu sektori koostöö ja andmevahetuse puudulikkuses.
Arutelu käigus tõdeti, et kuigi krüptorahasid peetakse tihti kõrge riskiga valdkonnaks ja krüpto valdkond ei ole probleemidest prii, siis enamik skeeme, mida Change oma töös näeb, on seotud klassikaliste pangapettuste ja muuladega, mitte niivõrd krüptorahadega. Samas võib nii MiCA regulatsioon kui ka tugevam sisekontroll krüptosektoris luua eeldused riskide paremaks ohjamiseks.
Kas karistused mõjuvad või mitte?
Üks teravamaid küsimusi tekkis karistuste teemal. Oliver Steinert viitas sellele, et Eestis on kelmuse eest võimalik maksimaalselt nelja-aastane vangistus – muulade jaoks ei ole see piisav heidutus. Hannes Kelt (Põhja prefektuur) nõustus, et see võib tunduda leebe, kuid juhtis tähelepanu suurele pildile: “Narkokuritegude eest on maksimumkaristus 15 aastat ja ometi need ei kao. Karistused võivad olla karmid, aga kui kuriteo toimepanijad ei asu Eestis ja me ei saa neid seetõttu kätte, siis ei ole karmimatest karistustest kasu.”
Kelt rõhutas, et ainult karistusõiguse peale lootma jääda ei saa. Kuritegelik skeem on jaotunud paljudeks lülideks ja toimib sageli rahvusvaheliselt. Ühe muula kinnipidamine ei mõjuta suuremat pilti. Seetõttu tuleks keskenduda sellele, kuidas muuta Eesti digikeskkond kurjategijatele ebamugavaks ja ebaatraktiivseks. Kuna pettused on enamasti rahvusvahelised ning ohvrid, kurjategijad ja variisikud kõik võivad olla eri riikidest, siis kohaliku riigi (näiteks Eesti) karistuste rangus ei pruugi mõjutada toimepanijate otsuseid.
Vastutuse piirid ja andmete kasutamine
Terve arutelu jooksul kõlas korduvalt küsimus, kelle vastutus on pettuste ärahoidmine. Kas see on panga, inimese, teenusepakkuja või politsei ülesanne? Osalejad leidsid ühiselt, et ühele osapoolele kogu vastutust lükata ei saa – tegemist on jagatud kohustusega, kus iga lüli peab toimima.
Janar Stamm tõi välja, et tarbija hoolsus on võtmetähtsusega. “Kui inimene jagab PIN-koode või kaardiandmeid, siis ei saa kogu vastutust kanda finantsasutus. Viimane peaks kliendi ees vastutust kandma üksnes juhul, kui on rikkunud enda hoolsuskohustust ja klient seeläbi kahju kandnud,” ütles ta.
Mitmed osalejad rõhutasid, et koostöö on võtmetähtsusega. Oliver Steinert märkis, et andmete krüpteeritud jagamine võiks olla üks viis, kuidas sektor saaks koostööd teha ilma isikuandmete kaitset rikkumata. Paraku on täna olukord, kus infot jagatakse vaid juhtumipõhiselt ja see ei ole piisav süsteemse probleemi lahendamiseks.
Samuti tõdeti, et kuigi Eestis on rahapesu tõkestamise süsteemid hästi reguleeritud, siis pettuste ennetamise osas puuduvad veel selged standardid ja järelevalvemehhanismid. Õhku visati küsimus, et kui praegu ei saa ükski pank trahvi puuduva pettuste tuvastamise süsteemi pärast, siis kas tulevikus hakkab järelevalve pettuste valkonda reguleerima ja monitoorima sama põhjalikult kui täna rahapesuvastast võitlust.
Teet Tamme (EY) lisas, et andmepõhiste seoste loomisel ja pettuse mustri äratundmisel on Eesti ettevõtetel veel arenguruumi. “Paljudes arenenud riikides kasutatakse juba mitmest allikast pärit andmete ühendamist, et ennetavalt seoseid tuvastada. Eestis on liikumine selles suunas alles algusjärgus, kuid see on selgelt õige tee,” märkis ta. Tema sõnul peaksid ettevõtted vaatama andmestikku mitte kui kohustust, vaid kui väärtuslikku tööriista, mille abil kliente paremini mõista ja kaitsta.
Kuhu edasi? Kolmest vaatenurgast lahenduseni
Seminari lõpuringis jagasid osalejad mitmeid mõtteid ja soovitusi, millest joonistus välja kolm läbivat arusaama.
Esiteks tuleb igaühel – olgu tegu panga, ettevõtte või avaliku sektori asutusega – mõista oma riskimaastikku. Pettus ei ole üldine nähtus, vaid koosneb kümnetest erinevatest skeemidest, millel on erinevad käitumismustrid, tööriistad ja sihtmärgid. Enne kui saab ennetada, peab teadma, mis liiki skeemid ohustavad just sinu süsteemi, kliente või ärimudelit. Riskihinnang ettevõtte pettustega seotud riskidele tasub teha sarnaselt AML riskihinnangule.
Teiseks tuleb üle saada liigse vastutuskoorma lükkamisest ühele osapoolele, eriti ohvrile. Petuskeemide olemus on see, et inimene viiakse eksitusse ja ta teeb ennast kahjustava otsuse. See ei saa olla ainult tema süü. Samas ei saa ka kogu vastutust panna finantsasutustele. Igal osapoolel on roll ning selles rollis tuleb tegutseda.
Kolmandaks vajab pettustevastane võitlus süsteemset ja andmepõhist koostööd. Tehnoloogia võimaldab täna rohkem, kui suudame seadusandlikult ja seniste koostöömehhanismide kaudu rakendada. Tuleb jõuda sinnani, et ettevõtted, teenusepakkujad ja ka politsei tunnevad end mugavalt infot kogudes, jagades ja kasutades. Selleks võib vaja minna seadusemuudatusi, kuid veelgi enam – mõttemustri muutust. Täna tundub andmekaitse olevat kõige olulisem ja alles seejärel tuleb vajadus võidelda pettuste ja rahapesuga. Samuti nenditi arutelul, et AML-tööriistad ei pruugi pettuste tuvastamisel olla efektiivsed ja vaja on kasutada spetsiaalselt selleks mõeldud tarkvara. Pettuste tuvastamisel on võimalik oluliselt rohkem kasutada ka erinevaid andmepunkte (näiteks telefoni asend ehk kas tegemist on käes hoitava või laual asuva telefoniga, kas laadimisava hoitakse kaldega üleval või tavapäraselt).
Seminarilt jäi kõlama üks oluline soovitus: tegevusetus maksab lõpuks rohkem kui ennetus. Pettuste ennetamine ei ole enam “tore lisateenus”, vaid küsimus laiemalt usaldusväärsusest ja tulevikus ka eksistentsist. Tuleb tegutseda täna, mitte homme, mil kurjategija on juba ukse taga (või kontol sees). Kui täna ei ole hakatud mõtlema veel AI-lahendustele, siis on viimane aeg sellega alustada.
