Finanční podvody zaměřené na slabší lidi způsobí sociální problém, říká Martin Rehák z firmy Resistant AI

Firma Resistant AI pomáhá bankám či pojišťovnám odhalovat podvodníky, kteří se je snaží připravit o peníze. V boji s finančními kyberzločinci používá stejnou zbraň jako jejich nepřítel – umělou inteligenci. Zakladatel start‑upu Martin Rehák o svém byznysu nedávno hovořil na kyberbezpečnostní konferenci Future Secured, kterou v pražském Karlíně pořádal T‑Mobile. Po svém vystoupení poskytl HN rozhovor, v němž vysvětluje, jak AI usnadňuje podvodníkům život, proč je česká byrokracie při odrazení zločinců účinná nebo jakých podvodníků si cení víc než ostatních.

Kolik peněz se každý rok protočí v kyber­zločinu zaměřeném na finanční instituce?

Ve finanční kriminalitě, která se páchá pomocí umělé inteligence, jsou to stovky miliard dolarů. A v praní špinavých peněz je to jeden až dva biliony.

Jak tento objem narostl ve chvíli, kdy se k podvodům začala ve větší míře využívat AI?

Od covidu to narostlo zhruba o 100 až 200 miliard dolarů. Objem peněz ve finanční kriminalitě se tak za poslední tři roky zdvojnásobil.

Jak AI mění efektivitu kyberzločinců?

Na vyšší úrovni dnes zločinec funguje jako organizace. Nepracuje v obývacím pokoji, ale někde, kde má firmu a své dodavatele. Z nich si potom dává dohromady nějakou výtěžnost. AI mu umožnila snížit kvalitu lidí, které potřebuje k přesvědčování potenciálních obětí. U spousty zločinů je totiž klíčové přesvědčit člověka, aby něco udělal. K tomu, abyste přesvědčil někoho z USA, jste potřeboval Američana nebo někoho, kdo umí velmi dobře anglicky. Dnes můžete využít i lidi, kteří anglicky neumí. Použijí umělou inteligenci, která z jejich projevu, jenž je původně třeba čínský, udělá perfektní anglickou větu či dopis. Existují už i nástroje, které vám umožní duplikovat hlas kohokoliv na světě.

Kromě vyšší efektivity AI rovněž kyberzločincům snižuje náklady.

V běžné firmě máte velký problém s tím, že pokud chcete nasadit umělou inteligenci, pozornost se soustředí na procento případů, kdy AI udělá nějakou chybu. Často se pak na internetu dočtete o případech, kdy se firmě při nasazování AI stala nějaká nepříjemnost, a každý se jí pak směje. Zatímco když jste zločinec, tak vám to nevadí. Je to, jako byste měl třeba call centrum, v němž zaměstnanci obvolávají lidi – a jen jejich efektivitu vynásobíte pěti. Mají totiž například větší konverzi, protože se jim lidi daří díky AI snáze přesvědčit, dokážou vystupovat sofistikovaněji a vydávat se třeba i za podnikatele. Najednou tak můžete páchat větší zločiny, větší rychlostí a s menší pravděpodobností odhalení.

Ve své prezentaci v rámci konference Future Secured jste zmínil, že řada gangů vyrostla na covidových grantech. Jak jste to myslel?

Za covidu rozdělovaly jednotlivé vlády kvůli záchraně ekonomiky mezi podnikatele peníze. Dnes se uvádí, že jen v USA si zhruba 200 miliard dolarů vzaly jiné firmy a organizace, než pro které byla pomoc určena. Klasický podvod vypadal tak, že nějaký podnik, typicky z Nigérie, se vydával za amerického podnikatele, přihlásil se do vládních programů podpory, zfalšoval dokumenty, které potřeboval k prokázání totožnosti, a na základě toho dostal peníze na účet. Potom se vydával za někoho jiného a udělal to znovu.

Takové případy byly i v EU, případně Česku?

V Česku to pro ně bylo těžší, protože jednak ty programy nebyly tak intenzivní, jednak zde byla bariéra češtiny. V dnešní době ale už pomocí umělé inteligence v překladačích a generování slov tato bariéra odpadá.

Je to tedy problém, na který by stát do budoucna při rozdělování podpor a dotací měl dávat velký pozor?

Určitě ano. Ale v Česku je státní sektor obecně pomalejší v reakci na tyto hrozby, a navíc zde rizika nejsou tak vysoká. Na Západě si společnosti obecně více důvěřují, takže to, co v Česku dokládáte mnoha dokumenty, se tam dělá bez papírů, ale s daleko větším rizikem.

Takže u nás je byrokracie tak velká, že odradí i podvodníky?

Ano, nás chrání dvě nevýhody, které Česko má, tedy čeština a naše byrokracie. Kvůli těmto překážkám u nás tyto organizace ani nechtějí krást.

V čem jsou útočníci na finanční instituce specifičtí?

Existují dvě kategorie útočníků. První kradou identitu třetích osob, za něž se pak vydávají a kradou prostředky bankám, pojišťovnám a dalším. To je ta férovější praktika. Z mého pohledu jdou proti silnému protivníkovi (banky či pojišťovny), který má schopnosti se bránit a má nastaveny bezpečnostní procesy. Pokud se útočník dokáže dostat skrz tyto systémy, je to nějaký výkon, za který je odměněn tím, co si nakradl. Je to samozřejmě špatně, ale do jisté míry je to férový souboj se silným soupeřem.

Na opačném konci spektra jsou útočníci, kteří zneužívají důvěry slabších členů společnosti. To jsou podvodníci, kteří se zaměřují třeba na seniory nebo na lidi s nižším intelektem. Navážou s nimi přátelský kontakt, aby z nich postupně vysáli peníze. V budoucnu tohle bude potenciál­ně velký sociální problém. Právě v této oblasti jsou už dnes poměrně velké finanční ztráty.

Počítám, že právě té druhé kategorii podvodníků pomáhá digitalizace bankovnictví.

Přesně tak. V minulosti, když jste třeba přesvědčili staršího pána, že jste jeho budoucí milenka a potřebujete peníze na let z Thajska, což je reálný případ, pán šel do banky, sdělil to bankéři, s kterým se znal 25 let, a ten mu vysvětlil, že se pravděpodobně stal obětí podvodu. Dnes je banka institucí, kde nikoho neznáte. Většinou jednáte s aplikací a na příkaz k převodu peněz se prakticky nikdo nepodívá. Takže pravděpodobnost, že někdo zasáhne, je nízká. Na druhou stranu jsou i případy, že banka zasáhne a klienta upozorní na riziko podvodu, ale ten si to nechce připustit a trvá na tom, že je to legitimní transakce, a peníze chce i tak poslat. Banka se dostává do neřešitelné situace. Ví, že jde o podvod, a ví, že i když na to klienta upozorní, tak mu podle nedávno schváleného britského zákona stejně musí peníze následně vrátit. To se chystá i pro evropské banky. Stejně ale nakonec musí transakci povolit.

Vaše společnost se snaží být před útočníky vždy alespoň o krok napřed. Jak je to náročné?

Je to hodně těžké a nevyhráváme pořád. Ale většinou prohráváme v situacích, kdy zákazník přijímá vědomé riziko. Pokud je banka v dnešní době ochotna akceptovat screenshoty z mobilních telefonů nebo počítačů, je pravděpodobné, že budou obsahovat určité procento podvodů. Každé rozhodnutí s sebou nese určitá rizika. Ta rozhodnutí pak definují naši šanci na úspěch.

Pokud například pojišťovna chce po povodních dostat peníze co nejrychleji k co největšímu počtu obětí, je takový postup naprosto legitimní. Když ale někdo začne tento proces zneužívat a krást peníze, musí pojišťovny zavést větší a přísnější kontrolu. Je to tedy neustále živé nastavování procesů.

Jak se vám daří získávat nové klienty? Je snazší ke spolupráci na kybernetické ochraně přesvědčovat banky než třeba podniky z výrobního sektoru?

Ano, tyto firmy si jsou dobře vědomy rizika. Navíc se nám většinou nestává, že by zákazník nebyl spokojen a že by měl nízkou návratnost. Klient nám platí na základě toho, že se mu investice vrátí, tedy kolik procent podvodů díky nám zastaví a kolik by ho tyto podvody stály peněz. Naše systémy tedy ve většině případů šetří víc peněz, než kolik stojí. Typicky je to pěti‑ až desetinásobně víc.

Uvažujete, že byste své služby nabídli i firmám a institucím mimo finanční sektor?

Děláme na tom, už máme první vlaštovky. Jde o telekomunikační společnosti nebo firmy, které potřebují řídit svůj dodavatelský řetězec tak, aby zabránily firmám prodávat zboží jménem někoho jiného. Tito podvodníci využívají pověst známé firmy a v řadě případů jim to projde. V dnešní době ale máme stále 99 procent zákazníků z finančních institucí.

Text vznikl ve spolupráci se společností T‑Mobile.