Pangad teevad finantskurjategija elu lihtsamaks

Paar kuud tagasi pöördus Narlexi advokaadibüroo poole välisfirma, kes jäi äpardunud pangaülekande tõttu ilma 180 000 USA dollarist. Makse saajaks oli märgitud üks Prantsusmaa ettevõte, kelle konto on SEBs. Esimeses maksekorralduses saaja nimi ja arveldusarve ei klappinud ja makse tuli tagasi. Tehti uus ülekanne. See läks läbi, kuid konto number ei olnud selgi korral nimega vastavuses. Enam pank raha tagasi ei kandnud ja keegi kolmas osapool sai 180 000 dollarit jõukamaks. Raha võeti samal päeval sulas välja.

Andres Vinkeli sõnul soovib klient juhtumiga SEB vastu kohtusse minna.

Miks nime ja konto klappimist enam ei kontrollita?

2014. aastal läksid Eesti pangad üle SEPA-tingimustele vastavatele euromaksetele – tulenevalt Euroopa Liidu otsekohalduvast määrusest. Juba toona oli päevakorral teema, et maksekorraldusse märgitava nime ja kontonumbri vastavuse kontroll on pankadele vabatahtlik. Sellest aastast on uuendus ametlik ja kirjas võlaõigusseaduses – pangaülekande tegemiseks on vaja ainult IBAN-tunnuskoodi, saaja nime lahter võib jääda tühjaks.

„Maksjad kaebasid, et pangad saadavad makseid tagasi, kuna saajate (võõr)nimed on valesti kirjutatud. Seetõttu paljud pangad loobusid kontrollist,“ põhjendas Eesti Panga makse- ja arveldussüsteemide osakonna juhtivspetsialist Rainer Olti.

Ühtlasi on otsus kaasa toonud ka finantskuritegude arvu tubli kasvu. Rahapesu andmebüroo tuvastas aasta jooksul kuni 30 juhtumit, kus välisriikides välja petetud raha on jõudnud Eestis avatud arvelduskontodele. Kahjusummaks ca 6 miljonit eurot.

„Olukord, kus makse saaja ja kontonumbri kokkulangevust enne makse kontole lubamist ei kontrollita, on soodustav asjaolu pettuste toimepanemisel,“ sõnas rahapesu andmebüroo juht Madis Reimand. Sama kinnitasid Eesti Pank ja SEB.

Eriti kasutatakse süsteemi nõrkusi ära nn BEC- (Business Email Compromise) pettuste puhul. Küberkelmid häkivad sisse ettevõtete kirjavahetusse ja teevad kindlaks äripartnerid, kellega e-posti teel arveid vahetatakse. Edasi esineb kurjategija mõne ettevõtte juhina, et tellida kaupa või müüa tooteid. Raha lastakse kanda enda pangakontole, kust see liigub edasi eraisikutele ja ettevõtetele eri riikides. Seejärel võetakse sularaha välja. 

Reimandi kinnitusel hoogustus 2017. aastal Eestiski ettevõtete arvelduskontode ärakasutamine kui võimalus kanaliseerida pettustega saadud raha. BEC-pettuste toimepanemises osales möödunud aastal  vähemalt 12 Eesti väikeettevõtet. Meie pankades avatud arvelduskontodele saadeti üle 2,5 miljoni euro, millest rahapesu andmebüroo suutis pankade abil kinni pidada ligi 700 000 eurot. 

„Pettustes osalenud ettevõtete jaoks olid saabunud pettusemaksed väga erinevad nende tavapärasest majandustegevusest nii summade suuruse kui ka makse sisu poolest,“ iseloomustas Reimand uurimistööle ärgitanud tehinguid.

Petturid pangasüsteemis sees?

Loo alguses mainitud välisfirma juhtumi muudab pentsikuks, et kuigi tehingu esimene ülekanne adressaadi nime ja IBANi ebakõla tõttu blokeeriti, siis teisel juhul läks raha läbi, kuigi nimi ja kood ei kattunud ka siis.

„Kumb arvetest siis õige oli? Võib-olla ikkagi esimene, lihtsalt SEBs oli mõni kurjategija, kes ütles, et midagi ei klapi ja tuleb uus arve teha,“ teoretiseeris Vinkel võimaluste üle, kuidas võiksid kelmid pangasüsteemis sees kurja teha.

Teise näitena tõi advokaat möödunud aastal elu üle järele mõtlema saadetud kasiinosõltlase Elle Eskussoni juhtumi. Teiste seas Tuuli Roosma firmale raamatupidamisteenust osutanud naine esitas ligi kahekümne kliendi nimel ettemaksu tagastamise avaldusi, kuid märkis kontodena enda firmadega seotud arvenumbrid. Pettuste kogusumma ulatus üle 1,3 miljoni euro ja trall kestis aastaid, enne kui prouale käsipidurit tõmmati. Selliste tükkide tegemine on nüüdsest veel lihtsam.

Vinkeli sõnul tuleks rakendada juba alates 15 000 eurosest ülekandest ranget kontrolli. „Meie juhtumi puhul läks läbi ligi 200 000,“ rõhutas ta.

SEB kommunikatsioonijuht Silver Vohu ei osanud soovitada muud kui rohkem valvsust raamatupidajatele. „Pank saab aidata nii palju, et küsib raha tagasi,“ sõnas Vohu. Hästi arenenud reageerimisvõime puhul on võimalik ka panka helistada ja tehing peatada.

Rahapesu andmebüroo hinnangul oleks pangapoolne kontroll vajalik. Kuid kindlasti mitte absoluutne. „Kontrolli tingimused peaksid olema mõnevõrra paindlikumad ning riskipõhised. Näiteks ei peaks ettevõtte nimes tähevea tegemine tingima makse tagasisaatmist,“ leidis Reimand.

Tahtmatute apsakate eest on IBAN-põhine süsteem kaitstud. Pole ohtu, et lohisevat kontonumbrit ümber trükkides teed vea ja raha haihtub või raamatupidaja näpuka tõttu tuleb järgmise palgapäevani  kaalikat nosida. Selliste triviaalsuste eest on maksekorraldused turvatud ja pank lihtsalt ei lase ülekannet teha.

Teavitustöö puudulik

Vinkel tõlgendas praegust olukorda klassikalise panganduse lõpuna. Identifikaatorite taandamine tühjadele numbrikombinatsioonidele on võrreldav alternatiivpankadega nagu PayPal või MoneyWeb, kus piisab isiku tuvastamiseks personaalsest märgikombinatsioonist, näiteks e-postiaadressist. Loobumine isiku- ja firmanimedest teeb sama välja. „Enam pole nime lahtri ja makse selgituse vahel mingit erinevust. Mõlemasse võib kirjutada mis tahes umbluu,“ kommenteeris ta.

Pealegi, kus on teavitustöö? Vandeadvokaadi hinnangul on pankade kampaaniad nii kontorites kui ka veebis olnud tühised. Asjaajamise ümberkorraldamiseks on vaja nii suurtest muutustest ette teavitada.

Olti kinnitusel on Eesti Pank maksejuhiste aktsepteerimise tingimustes täpsustanud, et kui juhis ei väljenda selgelt maksja tahet, peab saajapank teavitama sellest hiljemalt järgmisel arvelduspäeval makse algatajat või tema panka. „Tahte selgust on saaja pangal võimalik kontrollida ainult maksejuhisel märgitud saaja nime ja kontonumbri vastavuse võrdlemisega oma süsteemis,“ lisas Olt.

Eesti Pangaliidu sõnul on erinevad pangad rakendanud erinevaid kontrollimehhanisme. Kui enamik pankasid on vastutusest loobunud, siis näiteks Swedbank kasutab automaatkontrolli lahendust. Ülekande õnnestumiseks on vaja kirjutada endiselt nii saaja nimi kui ka IBAN. Hoidmaks ära tehingute takerdumist keelelistesse eripäradesse, on saaja nimes lubatud teatud arv kirjavigu.

Kui raha petetakse mõne välisriigi panga arvele, siis ei piisa kontrolli rakendamisest Eesti pankades. Meie ettevõtetel tuleb eelkõige ise hoolikas olla.