Toimi huolellisesti - varmista korttimaksamisen sujuvuus Esite turvallisesta korttimaksamisesta

• Etusivu
  • Tietoa KRP:stä »
    • Organisaatio
    • Henkilöstö
    • Rekrytointi
    • Arvot ja visio
    • Toiminnan suunnittelu ja seuranta
    • Rikosmuseo
    • Julkaisut ja raportit
    • Uhrintunnistus
    • Asiakirjahinnasto
  • Rikostorjunta »
    • Järjestäytynyt rikollisuus
    • Talousrikokset
    • Tietotekniikkarikokset »
      • Tietotekniikkarikosten tunnusmerkistöjä
      • Nettivinkki
    • Huumausainerikollisuus
    • Huijaukset
    • Ihmiskauppa
    • Lapsipornografiasivuille pääsyn estäminen
    • WinCapita »
      • Kysymyksiä ja vastauksia WinCapitasta
      • WinCapita-pöytäkirjan tilaaminen
  • Rikosilmiöitä »
    • Muuli-ilmiö
    • Romanialaisrikollisuus Suomessa
    • Maksukorttirikollisuus
    • Tietorikoksia
  • Rahanpesun torjunta »
    • Rahanpesun selvittelykeskus
    • Rahanpesuilmoituksen tekeminen »
      • Ilmoitusvelvolliset
      • XML-skeema
    • Kansainvälinen yhteistyö
    • Julkaisut »
      • Vuosikertomukset
    • Linkit
  • Kansainvälinen toiminta »
    • Oikeus- ja virka-apu
    • Kansainväliset yhteistyökanavat »
      • Infra-Red
    • Poliisin yhdyshenkilöt
  • Rikostekninen laboratorio
  • Yhteystiedot »
  • Yritysturvallisuus »
    • Toimintamalli
    • Kysymyssarja

Maksukorttirikollisuus on kasvava rikosilmiö

Yhä useammat ostokset maksetaan erilaisilla maksukorteilla. Korttien käytön lisääntyessä kasvaa myös kortteihin kohdistuva rikollisuus. Sen keinot ovat monet, mutta tavoitteena on aina saada haltuun kortilla olevat tiedot, joiden avulla rikolliset pääsevät käsiksi kortinhaltijan pankkitilillä oleviin rahoihin.

Maksukortit ovat teknisesti ajateltuna datan- eli tiedonsiirtovälineitä. Maksukorteiksi luetaan esimerkiksi luottokortit, maksuaikakortit, pankkikortit, käteisautomaattikortit ja debit-kortit. Niiden käyttö maksuvälineenä perustuu siihen, että jokaisessa kortissa on sen yksilölliseksi tekevä numerosarja. Kortilla tehdyt ostokset tai käteisnostot velottavat korttiin liitettyä pankki- tai luottotiliä.

Useimmissa maksukorteissa on ainakin kaksi rinnakkain olevaa teknistä sovellusta, jotka välittävät maksutapahtumaan tarvittavaa kortin yksilöivää datasisältöä:

1. Kortin takapuolella oleva magneettijuova
2. Kortin etupuolella oleva mikrosiru
3. Kortin etupuolelle painettu kortin numero kohokirjoituksella (ei enää uusimmissa korteissa)

Magneettijuova on vanhaa tekniikkaa, siru uudempaa. Magneettijuovan suojaus kopiointia vastaan on olematon – sirua sen sijaan ei ole tiettävästi kukaan onnistunut kopioimaan. Teknologiaa hyväksikäyttävä rikollisuus ja sen torjunta onkin usein kuin kilpajuoksua; rikolliset yrittävät keksiä teknologisia porsaanreikiä ja maksuliikenneturvallisuutta ylläpitävät tahot yrittävät tukkia niitä. Uusien teknisten sovellusten turvallisuus testataan aina tahtomattakin viime kädessä rikollisten toimesta; löytävätkö rikolliset näitä porsaanreikiä tai tietoturva-aukkoja. Sirun osalta tällaisia ei ole vielä löytynyt. Magneettijuova sen sijaan on vanhana teknisenä sovelluksena varsin haavoittuva.

Hyötymekanismi

Maksukorttirikollisuudessa hyötymismekanismina on maksukorteilla olevan maksuliikennettä ja korttien identiteettiä yksilöivän datan hankkiminen ja väärinkäyttö. Rikollisia kiinnostavat nimenomaan maksukorttien sisältämät tiedot. Korttidataa rikolliset hankkivat muun muassa Internetissä haittaohjelmilla (virukset, vakoiluohjelmat) sekä reaalimaailmassa maksukorttiautomaatteja manipuloimalla.

Haltuunsa saamallaan maksukorttidatalla tai korttinumeroilla rikolliset voivat valmistaa väärennettyjä luottokortteja, joilla voidaan tehdä ostoksia tai käteisnostoja. Maksukorttirikollisuus on osoittautunut rikollisille erittäin houkuttelevaksi alaksi, jonka on arvioitu lisääntyvän edelleen lähitulevaisuudessa. Valtioiden rajat ylittävän rikollistaktiikan ja huomattavien hyötymismahdollisuuksien vuoksi maksukorttirikollisuuden toimijat kuuluvat lähes poikkeuksetta organisoituihin rikollisryhmiin.

Motiivina raha

Raha on järjestäytyneen rikollisuuden ensisijainen kiinnostuksen kohde. Maksukortit kiinnostavat rikollisia, sillä ne ovat suora linkki rahaan. Neljä yleisintä maksukorttien väärinkäyttötapaa ovat:

1. Maksukorttien numeroiden ja muiden tunnistetietojen kopioiminen haittaohjelmilla internetissä. Korteilla tilataan nettikaupoista helposti rahaksi muutettavaa tavaraa tai lentolippuja.
2. Maksukorttien magneettinauhoja kopioidaan korttiautomaateilla. Toimintaa kutsutaan skimmaukseksi. Skimmatuilla korteilla yritetään nostaa käteistä rahaa.
3. Kopioiduista korttitiedoista tehdään aidon näköisiä luottokorttiväärennöksiä, joilla ostetaan tavaraa kaupan tiskillä.
4. Automaatilla asioivan kansalaisen PIN-koodi kurkitaan olan yli hänen sitä näppäillessään ja tämän jälkeen hänen maksukorttinsa varastetaan hämäystä käyttämällä. Varastetulla kortilla nostetaan käteistä automaatilta.

Järjestäytyneen maksukorttirikollisuuden ymmärtämisessä, analysoimisessa ja torjunnassa on tärkeätä ottaa huomioon ilmiön kansainvälinen, rajat ylittävä luonne. Useimmat maksu- ja luottokortit ovat kansainvälisiä maksuvälineitä, jotka on kehitetty sitä varten, että korttien haltijat voisivat käyttää niitä maksuvälineinä lähes missä tahansa. Usein luottokorttia käytetään pääasiallisena maksuvälineenä esimerkiksi ulkomaille suuntautuvilla matkoilla. Tällöin jokaiseen korttiostokseen liittyvä korttidata kulkee usean valtionrajan yli.

Maksukorttirikolliset käyttävät hyväkseen kansallisen viranomaistoiminnan hitautta ja lainsäädäntöjen eroja. Maksukorttidata kiertää maapallon muutamassa sekunnissa, mutta jälkikäteen ilmitulleen maksukorttirikoksen kansallisessa tutkinnassa tarvittavat tiedot ovat usein pankkisalaisuuden piirissä, ja niiden saaminen toisesta maasta edellyttää usein vähintäänkin oikeusapupyyntöä.

Datavuodot

Suurin osa vääriin käsiin joutuneesta maksukorttidatasta kaapataan tietoverkoista haittaohjelmilla tai suorilla tunkeutumisilla (hakkerointi eli hacking) johonkin dataa sisältävään palvelimeen. Etenkin kassapalvelimet ja erilaiset nettipalvelujen käyttäjätilit ovat olleet viime vuosina rikollisten kohteena.

Datakaappauksien ehkäisemiseksi onkin otettu käyttöön uusi tietoturvastandardi PCI DSS (Payment Card Industry Data Security Standard), joka tekee aiemmat rikosten tekotavat mahdottomiksi. Standardi määrittelee tarkasti missä ja millaisessa muodossa maksukorttidataa saa säilyttää. Käytännössä data on kryptattua, eli se ei vääriin käsiin joutuessaankaan ole käyttökelpoista.

Skimmaus

Magneettinauhoilla olevaa korttidataa hankkiakseen rikolliset asentavat maksukorttiautomaatteihin myös niin sanottuja skimmauslaitteita. Skimmaus tulee englanninkielen sanasta skimming, joka viittaa luottokortin magneettinauhan kopioimiseen ja siihen, että kortinlukijan lukupää liukuu pitkin magneettinauhaa lukiessaan nauhalla olevaa korttidataa.

Rikolliset asentavat skimmauslaitteita etenkin vilkkailla paikoilla oleviin käteisautomaatteihin tai miehittämättömien polttoainejakelupisteiden maksukorttiautomaatteihin. Skimmauslaitteilla rikolliset pyrkivät saamaan haltuun asiakkaiden luottokorttien magneettijuovatiedon ja tunnusluvun. Skimmauslaitteiden suunnittelu ja valmistus on ammattimaista rikollista toimintaa Itä- ja Kaakkois-Euroopassa.

Korttiautomaattien skimmauksissa on kyse siitä, että tekijöillä on etukäteen suunniteltu ja valmistettu sähkötekninen laite tai laitekokonaisuus, joka asennetaan pankkiautomaattiin alkuperäisten komponenttien päälle manipuloimatta alkuperäistä laitteistoa.

Skimmauslaitteen tarkoitus on kopioida pankkiautomaatissa käytettävän maksukortin magneettijuovan tiedot sekä näppäilty tunnusluku. Skimmauslaitteeseen tallentuneilla tiedoilla tekijät ovat pystyneet valmistamaan väärennettyjä korttikopioita, joilla on tehty käteisnostoja ulkomailla etenkin EU-alueen ulkopuolella.

Tämä johtuu EU:n alueella käytössä olevasta turvallisesta sirutekniikasta ja sirukorttiyhteensopivista käteisautomaateista. Uudet automaatit ja kortit ovat teknisesti erittäin turvallisia, mutta EU:n ulkopuolella käytössä olevat pelkkää kortin magneettijuovaa lukevat käteisautomaatit mahdollistavat tällä hetkellä Euroopassa kopioitujen magneettijuovien käytön käteisnostoihin. Rikollisryhmät suorittavatkin suurimman osan Euroopassa kopioiduilla korteilla tehdyistä käteisnostoista Atlantin toisella puolella, etenkin Yhdysvalloissa.

Korttiväärinkäytön siirtymisestä pois EU-alueelta käytetään ilmaisua fraud migration.
Skimmaus on Suomessa toistaiseksi harvinaisempaa kuin muualla Euroopassa. Trendi näyttää kuitenkin olevan, että laajassa mittakaavassa skimmaus on vähentymässä EU-alueella mutta lisääntyy Yhdysvalloissa. Tämä johtuu pääosin Euroopassa käyttöön otettujen sirukorttien ja -automaattien paremmasta turvallisuudesta.

Toiminnan luonne

Laillisen yritystoiminnan piiristä opitut riskien hajauttamisen periaatteet toimivat myös rikollismaailmassa. Korttidatan väärinkäyttäjä on usein eri henkilö kuin sen kaappaaja ja datan väärinkäyttö tapahtuu eri maassa kuin mistä se on kaapattu. Näin pyritään hankaloittamaan rikosten torjuntaa.

Maksukorttirikollisuudessa on kyse suurimittaisesta rikollisesta toiminnasta. Europolin vuonna 2010 tekemän arvion mukaan maksukorttirikollisuus aiheuttaa Euroopan unionin alueella noin 1,5 miljardin euron tappiot vuosittain.

EU-maiden kansalaisten ja rahoituslaitosten kokonaistappioita on vaikea tietää tarkasti, koska merkittävä osa maksukorttirikollisuudesta on piilorikollisuutta. Esimerkiksi käteisautomaatteja hallinnoivien tahojen perustama järjestö EAST (European ATM Security Team) ilmoittaa pelkästään käteisautomaatteihin kohdistuvan järjestäytyneen rikollisuuden aiheuttamiksi tappioiksi noin 425 miljoonaa euroa vuosittain. Lukuun ei ole laskettu esimerkiksi korttien uusimisen tuottamia kustannuksia. Esimerkiksi sirullisen luottokortin jouduttua väärinkäytön kohteeksi sen uusiminen maksaa pankille noin 10 euroa kortilta. Tämän lisäksi pankille koituu kortin uusimisesta ja postittamisesta asiakkaalle muitakin juoksevia kuluja.

Rikoslajin kehitys Suomessa

Poliisille maksukorttirikokset ilmoitetaan rikoslain 37. luvun kriminalisoimilla rikosnimikkeillä, jotka ovat

1. maksuvälinepetos 
2. lievä maksuvälinepetos 
3. törkeä maksuvälinepetos 
4. maksuvälinepetoksen valmistelu.

Maksuvälinepetoksiin kuuluu toki muitakin tekotapoja kuin korttirikoksia, esimerkiksi shekkien väärentäminen. Shekkien käyttö – ja varsinkin väärinkäyttö – on Suomessa kuitenkin sen verran vähäistä, että tilastosta voidaan päätellä nimenomaan maksukorttirikosten kehitystä.

Oheisesta kuvasta käyvät ilmi poliisin kirjaamien maksuvälinepetosten määrät kuukausittain vuosina 2007 - 2011. Määrä oli noin 300 ilmoitusta kevääseen 2009 asti, jolloin se hetkellisesti nousi. Vuonna 2011 määrä kasvoi selvästi keväästä lähtien koko loppuvuoden. Nousut näkyvät myös vuosittain ilmoitettujen petosten kokonaismäärissä, jotka ovat nousseet alle 4 000:sta yli 5 000 ilmoituksen tasolle.

Poliisille ilmoitetut maksuvälinepetokset kuukausittain vuosina 2007- 2011

Vuosittaiset kokonaismäärät 2007 - 2011

2007	3784
2008	3835
2009	5166
2010	4517
2011	5670

Tilastonousuihin – sekä hetkelliseen että pidempiaikaiseen - vaikuttaa niin rikollisten, poliisien kuin kansalaistenkin aktiivisuus. Rikosilmoituksia kirjataan sekä kansalaisten ilmoittamana että poliisin omassa tutkinnassa selvinneenä - riippuu kumpi taho asian ensin huomaa. Ilmoitusten määrä ei siis suoraan heijasta rikosten määrää, vaan kuvaa enemmänkin eri tahojen aktiivisuutta. Rikollisten aktiivisuus heijastuu välittömänä poliisien aktiivisuutena. Rikoksista kertovat poliisin lehdistötiedotteet puolestaan heijastuvat usein kansalaisten aktiivisuutena.

Vuonna 2011 lisääntyivät etenkin skimmaus ja korttivarkaudet. Tekijöinä oli pääasiassa ulkomaisten järjestäytyneiden rikollisryhmien jäseniä, joista poliisi sai kiinni valtaosan. Hyvän tuloksen takana on aktiivinen turvallisuusyhteistyö muiden EU-maiden, muiden viranomaisten, erityisesti Rajavartioston ja Tullin, sekä yksityissektorin kanssa.

Kortinhaltijan huolellisuus tärkeää

• Paras suojautumiskeino niin skimmaukselta kuin muiltakin koodivarkailta on se, että aina PIN-koodia näppäillessään peittää näppäilevän käden toisella kädellä, lompakolla tai millä tahansa, mikä estää kuvaamasta näppäilyä tai kurkkimasta sivusta koodia. 


• Debit-kortille voi säätää päivittäisen nostorajan. Se kannattaa valita todellisen käteisentarpeen perusteella. Harva meistä tarvitsee yli 100 euroa käteistä päivässä.


• Jos havaitsee maksukorttiautomaatilla jotain outoa, kannattaa ottaa yhteys automaatissa näkyvään päivystysnumeroon. Usein kyse on väärästä hälytyksestä, mutta asian ilmoittaminen ei silti haittaa.

On hyvä muistaa, että skimmaus on kuitenkin harvinainen rikos. Paljon todennäköisempää on, että kortti katoaa tai se varastetaan. Kortin katoamisesta kannattaa ilmoittaa samantien kortinmyöntäjän sulkupalvelunumeroon, jonka löytää mm. oman pankin nettisivulta.