Mimo, iż skimming istnieje już od połowy lat 90. i jest jednym z najpopularniejszych cyberprzestępstw z zakresu bankowości elektronicznej, w dalszym ciągu spora liczba osób nie wie, czym tak naprawdę jest (wg raportu Santander Consumer Bank z 2022 roku aż 77% Polaków) Przypis nr 1 https://www.santanderconsumer.pl/gfx/santander/userfiles/_public/raport_ppw_bezpieczni_na_e-zakupach_2022.pdf . Jeśli chcesz się dowiedzieć, na czym polega to przestępstwo, jak je rozpoznać i dlaczego zalicza się je do kategorii cyberprzestępstw – przeczytaj poniższy artykuł.
Czym jest skimming?
W polskim prawie karnym nie mamy legalnej definicji skimmingu. Nazwa omawianego przestępstwa pochodzi od angielskiego czasownika „skim”, które oznacza „zbierać”, „przeglądać” lub „musnąć” (np. powierzchnię). Zatem skimming będzie oznaczał „muśnięcie”.
Skimming charakteryzuje dynamiczny rozwój i zmienność form jakie przybiera, dlatego tak trudne jest jego jednoznaczne zdefiniowanie. W ścisłym, tradycyjnym znaczeniu skimming polega na nielegalnym skopiowaniu paska magnetycznego karty płatniczej. Używane są w tym celu urządzenia tzw. skimmery (ang. skimmer device – w dosłownym tłumaczeniu „urządzenia muskające”).
Angielska nazwa – skimming – idealnie oddaje charakter tego cyberprzestępstwa, ponieważ w momencie przesunięcia karty po głowicy skimmera, głowica elektromagnetyczna skimmera delikatnie dotyka paska magnetycznego karty w celu odczytania danych. Najważniejsze w skimmingu jest pozyskanie danych z drugiej ścieżki paska magnetycznego karty płatniczej. To na niej znajdują się interesujące sprawców (tzw. skimmerów) dane wykorzystywane przy transakcjach bezgotówkowych, tj.:
- numer karty,
- data jej ważności,
- informacja czy karta posiada chipa,
- kod serwisowy potrzebny do prawidłowej realizacji transakcji.
W najszerszym ujęciu skimming to nie tylko skopiowanie paska każdą możliwą metodą (za pomocą przygotowanych odpowiednich urządzeń), ale również przechwycenie numeru PIN, przetwarzanie tych informacji i ich wykorzystanie do m.in.:
- wypłaty pieniędzy z bankomatu posługując się tzw. „białym plastikiem” (kartą-klonem),
- dokonania transakcji w sieci bez użycia fizycznej karty w tzw. środowisku CNP (ang. card not present) lub transakcji typu MOTO (ang. Mail Order, Telephone Order),
- sprzedaży danych na czarnym rynku.
Sprawcy mogą zamontować skimmery w różnych miejscach:
- na bankomacie,
- w terminalach POS w punktach handlowo-usługowych (restauracje, stacje benzynowe),
- w innych terminalach płatniczych np. w parkomacie,
- na czytnikach pozbawionych funkcji płatniczych np. do otwierania drzwi wejściowych.
Zdarzają się również sytuacje, gdy sprawca skanuje kartę, np. włamując się do pomieszczenia, w którym karta jest przechowywana.
Rodzaje skimmingu
Jak już wcześniej wskazywałam, skimming jest przestępstwem niezwykle dynamicznym i przybiera różne formy w zależności od sposobu działania sprawców, co ma wpływ na pojawianie się nowych kategorii tego cyberprzestępstwa. Poniżej przedstawione zostały niektóre z nich.
Pod względem ilości uzyskanych danych możemy mieć do czynienia ze skimmingiem:
- pośrednim – sprawca za pomocą skimmera uzyskuje jedynie dane z paska magnetycznego karty płatniczej,
- pełnym – oprócz skimmera używa się kamery lub spreparowanej klawiatury, która rejestruje PIN przypisany do karty.
W zależności od miejsca zamontowania skimmera możemy wyróżnić w szczególności:
- skimming handlowy – urządzenie jest umieszczane w terminalach POS w miejscach płatności za towary czy usługi, na przykład w sklepach, restauracjach, stacjach benzynowych czy hotelach,
- skimming cyfrowy – polega na kradzieży informacji o karcie kredytowej lub danych karty płatniczej od klientów sklepu internetowego. O nim więcej w kolejnym artykule z serii dot. skimmingu.
- skimming bankomatowy – sprawcy instalują skimmer na wejściu na kartę w bankomacie (lub wprowadzają go do środka), aby pozyskać dane z drugiej ścieżki paska magnetycznego karty. Dodatkowo w celu przechwycenia kodu PIN, skimmerzy umieszczają na klawiaturze fałszywą nakładkę albo montują kamerę wideo na bankomacie lub w jego pobliżu.
Trzy etapy skimmingu bankomatowego
Skimming bankomatowy jest najbardziej typowym i najczęściej spotykanym przykładem skimmingu. Dlatego na jego przykładzie prześledzimy, jakie działania są podejmowane przez cyberprzestępców.
1. Pozyskanie danych z paska magnetycznego karty oraz przejęcie kodu PIN
Faza ta jest najbardziej zróżnicowana oraz dynamiczna, ponieważ przestępcy stosują w niej rozmaite rodzaje urządzeń, które stale się zmieniają. Na przestrzeni lat sprzęt ten stał się lżejszy i mobilniejszy, a tym samym trudniejszy do namierzenia. Zmienił się również sposób ich produkcji, od prostych urządzeń tworzonych w warunkach domowych przez amatorów do specjalistycznych zakładów, które zajmują się ich wytwarzaniem. Zwiększono również pamięć skimmerów, a także jakość pozyskiwanych danych, minimalizując ilość błędów odczytu.
Bankomat
Najbardziej ryzykownym momentem w całym procederze jest zamontowanie skimmera oraz urządzenia do pozyskania PIN-u. Sprawcy jednak radzą sobie z tym i wykazują się sprawnością manualną, robiąc to na oczach kamer. W starszych wersjach skimmera, konieczne jest jego zdemontowanie, które również wymaga szybkości i dokładności.
Jakim kryterium kierują się cyberprzestępcy wybierając bankomat? Liczbą osób, która korzysta z danego urządzenia. Im więcej tym lepiej. Z tego powodu do skimmingu wykorzystywane są bankomaty usytuowane zarówno w oddziałach banku, jak i w centrach handlowych czy na stacjach benzynowych.
Skimmer
W przypadku skimmingu bankomatowego, zainstalowany skimmer pod względem koloru i formy wygląda bardzo podobnie do oryginalnego czytnika kart. Może być swego rodzaju nakładką, która przykrywa oryginalne urządzenie albo wewnętrznym gniazdem, w które karta zostaje wprowadzona. Poprzez wysoką jakość wykonania, wtapia się w fasadę bankomatu, stając się dla zwykłego posiadacza karty integralną częścią maszyny. Istotną różnicą jest kształt – oryginalny czytnik ma zazwyczaj wklęsły kształt (zakrzywiony do wewnątrz). Skimmer z kolei jest zazwyczaj wypukły (zakrzywiony na zewnątrz).
Mimo niewielkich rozmiarów wewnątrz skimmera znajdują się wszystkie potrzebne elementy, aby zebrać i przechować dane:
- magnetyczna głowica – sczytuje dane z paska magnetycznego karty płatniczej,
- pamięć stała lub wymienna – układ scalony przeznaczony do przechowywania danych,
- programowalny mikroprocesor – „mózg” skimmera,
- układ pośredniczący – służy do zamiany sygnału analogowego na cyfrowy,
- element zasilający – akumulator lub pakiet baterii,
- gniazda (wejściowe) – do odczytu danych i zasilania oraz okablowanie łączące poszczególne elementy,
- zegar i funkcję datowania lub zegar czasu rzeczywistego – zapewnia synchronizację danych zeskanowanych z karty oraz PIN-u uzyskanego w inny sposób.
W nowszych wersjach, skimmer może funkcjonować również jako wkładka do czytnika kart.
Skopiowanie danych z paska magnetycznego
Jak zatem dochodzi do zeskanowania danych z paska magnetycznego karty?
Gdy konsument wsuwa kartę płatniczą w czytnik kart, zanim zostanie wprowadzona do maszyny, karta przechodzi przez nakładkę – skimmer. Wpierw prążki znajdujące się na pasku wzbudzają napięcie, w wyniku którego głowica odczytuje informacje zapisane na 2. ścieżce. Następnie zostają one przetworzone przez moduł skimmera i ostatecznie trafiają do pamięci urządzenia.
Wydobycie danych ze skimmera
Kolejnym wyzwaniem jakie stoi przed cyberprzestępcą jest wydobycie danych zapisanych w pamięci skimmera. Niekiedy sprawcy wracają po zamontowane przez nich urządzenia, z których dane przesyłane są za pomocą specjalnej aplikacji oraz zapisywane na dysku komputera. Jednak takie działanie naraża ich na schwytanie w miejscu dokonania przestępstwa.
Dlatego skimmerzy używają urządzeń pozwalających na przesyłanie danych na odległość. Wtedy sprawca nie umieszcza w skimmerze pamięci stałej. Znajduje się niedaleko bankomatu w samochodzie, gdzie wysyłane sygnały wyłapuje za pomocą przenośnego komputera.
Sprawcy korzystają np. w łączności radiowej. W skrócie: analogowy sygnał radiowy z głowicy magnetycznej zawierający zeskanowane dane jest przesyłany do odpowiedniego odbiornika i konwertowany na cyfrowe dane w mikroprocesorze. Istnieją również takie skimmery, których pamięć jest połączona z modułem nadawczo-odbiorczym częstotliwości radiowych. Kiedy połączenie pomiędzy skimmerem a urządzeniem nasłuchującym zostaje utworzone, dane z karty są przesyłane. Po zakończeniu, pamięć jest opróżniana lub zastępowana nowymi danymi. Skimmery funkcjonują również z modułem Bluetooth. Wówczas wystarczy telefon komórkowy albo laptop wyposażony w moduł Bluetooth i program do komunikacji szeregowej.
Tak zdobyte informacje nie są wystarczające by uzyskać dostęp do konta ofiary, ponieważ wśród umieszczonych na pasku magnetycznym danych nie ma kodu PIN, który stanowi klucz do rachunku posiadacza.
Pozyskanie kodu PIN
W celu uzyskania kodu PIN sprawcy stosują różne sposoby np.:
- podpatrują kod podczas wypłaty pieniędzy z bankomatu,
- instalują kamerę skierowaną na klawiaturę bankomatu:
- przymocowaną do bankomatu (np. listwa nad ekranem),
- w jego pobliżu (np. na lampie).
- umieszczają nakładkę na oryginalnej klawiaturze bankomatu – metoda ta zastępuje lub uzupełnia kamery. Wstukane kody PIN mogą zostać zarejestrowane np.:
- dzięki systemowi informatycznemu wewnątrz fałszywej klawiatury. Zapisuje on naciśnięcia klawiszy i przesyła w postaci dźwięków właściwych dla poszczególnych cyfr do umieszczonego w niewielkiej odległości czytnika, który je zapisuje w odpowiedniej kolejności,
- za pomocą płytki elektronicznej umieszczonej pomiędzy klawiaturą a oryginalną płytką, co pozwala przechwycić sygnał.
Podsumowanie
Pierwszy z etapów skimmingu polega na zebraniu potrzebnych danych z 2 ścieżki paska magnetycznego oraz zdobycia kodu PIN. Dane te, po zebraniu, muszą być do siebie dopasowane. Nie zawsze udaje się uzyskać wszystkie potrzebne dane np. poprzez wadliwe zamontowanie skimmera czy zasłonięcie klawiatury podczas wprowadzania numeru PIN. Można stwierdzić, iż jest to najbardziej ryzykowny, pracochłonny i skomplikowany technologicznie etap.
2. Produkcja fałszywej karty
Po zgromadzeniu, odczytaniu i selekcji uzyskanych danych, sprawcy mogą przejść do kolejnego etapu skimmingu, czyli wytwarzania fałszywych kart.
Do zakodowania nowych kart potrzebny jest: specjalny zestaw pasków magnetycznych, oprogramowanie ID zdolne do kodowania oraz drukarka kart identyfikacyjnych z modułem kodowania magnetycznego.
Nowa, fałszywa karta może być:
- wierną kopią oryginału pod względem wyglądu i danych,
- oryginalną kartą (nie musi być płatnicza), na której pasku nagrywane są zdobyte dane,
- „białym plastikiem” (ang. white plastic), to karta najczęściej koloru białego, z paskiem magnetycznym, w przypadku której proces kopiowania kończy się na zapisaniu danych na pasku,
- innym nośnikiem informacji, na którym koduje się zebrane dane (np. karton rozmiarów zwykłej karty płatniczej, na który naklejona została taśma VHS).
Detektyw Bob Watts z Newport Beach PD proces wytworzenia falsyfikatu karty dzieli na dwa etapy. W pierwszym przestępca używa drukarki do kart. Po włożeniu do podajnika, na karcie wytłaczane są wypukłe dane, które następnie pokrywane są srebrną farbą. Po wprowadzeniu hologramów, te wytwarzane są metodą nadruku na folii odblaskowej przy użyciu specjalnych farb. W drugim etapie zgromadzone dane na pamięci komputera, wprowadza się do programu, gdzie zostają zapisane na 2. ścieżce paska magnetycznego. Dalej nową kartę przesuwa się przez czytnik podłączony do laptopa – raz dla odczytu, a powtórnie – w celu automatycznego zapisania danych na jej pasku magnetycznym. Na sam koniec takiej karcie przypisuje się kod PIN.
Cała operacja trwa zaledwie minutę (w zależności od sprzętu i oprogramowania), co pozwala przestępcom w bardzo krótkim czasie wyprodukować sporą liczbę nowych kart – duplikatów.
Podsumowanie
W przypadku przestępstwa skimmingu drugi etap stanowi ostatnią „przeszkodę” w dostępie do konta oryginalnego posiadacza karty. Aczkolwiek biorąc pod uwagę łatwość dostępu do potrzebnych urządzeń i mechanizmów (można je kupić przez Internet), oraz porad na forach ogólnodostępnych, drugi etap jest znacznie łatwiejszy do zrealizowania niż pierwszy. Jednocześnie jest bardziej kosztowny, ale biorąc pod uwagę potencjalne zyski, kapitał włożony w potrzebną aparaturę jest znikomy.
3. Wykorzystanie „nowej” karty – realizacja transakcji
Ostatnim etapem skimmingu jest wykorzystanie uzyskanych danych i nowej karty poprzez:
- wypłatę dowolnej kwoty z rachunku posiadacza karty – najczęściej w bankomatach poza granicami kraju, w którym doszło do skopiowania danych kart. Aby się uchronić przed ewentualnym schwytaniem na tym etapie, skimmerzy zlecają to osobom trzecim tzw. „mułom”,
- użycie do zakupu towarów lub usług w sieci – bez użycia fizycznej karty w tzw. środowisku CNP (ang. card not present) lub transakcji typu MOTO (ang. Mail Order, Telephone Order),
- sprzedaż na czarnym rynku,
- przekazanie uzyskanych środków na wspieranie działalności terrorystycznej.
Od momentu zdobycia danych i utworzenia nowego ich nośnika w postaci fałszywej karty (lub nie), przestępcy muszą działać szybko, zanim środki na karcie się wyczerpią lub oszustwo zostanie wykryte przez pierwotnego posiadacza karty. Jest to motywowane przede wszystkim celem całego przedsięwzięcia jakim jest skimming – wzbogaceniem się.
Skimming jako typ cyberprzestępstwa
Na początek musimy odpowiedzieć sobie na pytanie czym jest cyberprzestępstwo.
Nie ma jednej, legalnej definicji cyberprzestępstwa. Nie ma dedykowanej ustawy a w kodeksie karnym brak osobnego rozdziału poświęconego cyberprzestępczości. Przedrostek „cyber-” wskazuje bezpośrednio na powiązanie z nowymi technologiami.
Najogólniej cyberprzestępstwo można określić jako czyn zabroniony popełniony w cyberprzestrzeni (ang. cyberspace). To złożone środowisko rozumiane jako miejsce niematerialne, mające odbicie w świecie rzeczywistym i wpływające na ludzi. Składają się na nią m.in. systemy teleinformatyczne, tj. urządzenia (hardware) i oprogramowanie (software) oraz interakcje między urządzeniami a ich użytkownikami.
Ze względu na specyfikę skimmingu i jego cechy, z powodzeniem zalicza się go do kategorii cyberprzestępstw, ponieważ:
- sprawcy wykorzystują urządzenia teleinformatyczne do popełnienia przestępstwa,
- czas potrzebny do realizacji skimmingu jest stosunkowo krótki,
- sprawcy, jeśli nie zostaną wykryci, pozostają anonimowi,
- ma wymiar międzynarodowy – każdy z etapów może się odbyć w innym miejscu na świecie,
- stanowi zorganizowane oraz wyspecjalizowane działanie (głównie ze względu na zaawansowanie technologiczne skimmingu),
- często ofiary nie wiedzą o byciu podmiotem nielegalnego procederu,
- jego dokonanie daje wysokie korzyści przy stosunkowo niskich kosztach
Case study
W 2016 r. w nocy z 29 na 30 maja doszło do nielegalnych transakcji z rachunków posiadaczy kart mieszkających na os. Gwiazd w Katowicach. Wypłat dokonano w Nowym Jorku (USA), podczas gdy oryginalni właściciele przebywali w Polsce. Z konta jednego z mieszkańców katowickiego osiedla zniknęło łącznie 654 zł (dwie wypłaty: 248 zł i 406 zł) w wyniku transakcji o tytule: 261 MADISON AVE NEW YORK. Z kolei jego sąsiadka została okradziona na kwotę 2,5 tys. zł. Jednak nie byli to jedyni poszkodowani.
Gdy posiadacze zorientowali się, że środki pieniężne zostały pobrane z ich kont, natychmiast powiadomili bank – ten zablokował ich karty. W niektórych przypadkach instytucje finansowe, podejrzewając, że nowe transakcje są nieautoryzowane – samodzielnie blokowały karty i zawiadamiały ich właścicieli.
Ponieważ ofiarami byli mieszkańcy jednego osiedla, podejrzewano, że dane z ich kart zostały zeskanowane przez skimmery zamontowane na osiedlowym bankomacie (al. Roździeńskiego 88, urządzenie firmy Euronet).
Skimming w kodeksie karnym
Techniczne aspekty skimmingu zostały przeze mnie opisane nie bez przyczyny. Ich znajomość pozwala precyzyjnie określić, jakim czynem zabronionym jest przestępstwo skimmingu.
W kodeksie karnym nie został dotychczas wyodrębniony przepis bezpośrednio penalizujący skimming. Nie oznacza to jednak, że sprawcy pozostają bezkarni. Spróbujmy spojrzeć na cały proceder z perspektywy kolejnych etapów omawianego cyberprzestępstwa.
Etap 1 – przygotowanie do skimmingu
Art. 310 k.k. dot. przestępstwa fałszerstwa kart płatniczych (np. debetowych, kredytowych). Możemy posługiwać się nimi zamiast pieniędzmi, dlatego zostały zaliczone do kategorii „innych środków płatniczych”.
Celem skimmerów jest dotarcie do danych znajdujących się na karcie. Dlatego ich działania zmierzające do popełnienia przestępstwa również będą karalne. Mowa o tym w treści art. 310 § 4 k.k.: „Kto czyni przygotowania do popełnienia przestępstwa określonego w § 1 lub 2, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”.
Jakie działania w zakresie przygotowania do fałszerstwa karty będą karalne?
- nabycie urządzeń skimmujących w celu kopiowania kart w bankomacie,
- przechowywanie sprzętu technicznego mającego posłużyć do dokonania przestępstwa,
- zamontowanie na bankomacie skimmera i urządzenia do przechwytywania kodów PIN,
- nieuprawnione gromadzenie, posiadanie czy przekazywanie zeskimmowanych danych, tj. numerów kart płatniczych i przyporządkowanych im PIN-ów, jeżeli miały one posłużyć do wyprodukowania fałszywej karty,
- zaopatrzenie się w program komputerowy umożliwiający modyfikację i szyfrowanie danych na ścieżce magnetycznej karty w celu jej sfałszowania.
W praktyce spotykane są również przypadki, gdy pierwszy etap skimmingu zostaje zakwalifikowany jako przestępstwo z art. 267 § 3 k.k. Przepis ten penalizuje bezprawne uzyskanie dostępu do informacji, do której dana osoba nie jest uprawniona (w tym wypadku danych zapisanych na pasku magnetycznym i numerów PIN), za pomocą m.in. urządzeń służących do rejestracji obrazu lub dedykowanego oprogramowania. W przypadku przestępstwa skimmingu będą to m.in. skimmer i mikrokamera wyposażone w odpowiedni program komputerowy lub moduł sterujący do przechwytywania informacji nieprzeznaczonej dla sprawcy.
W praktyce odpowiedzialność karna z art. 267 § 3 k.k. będzie przypisana za:
- przechwycenie danych wprowadzanych przy użyciu klawiatury bankomatu,
- stosowanie metod umożliwiających przejęcie drogą radiową numerów kart.
Etap 2 – wytworzenie fałszywej karty płatniczej
Po zgromadzeniu, odczytaniu i selekcji uzyskanych danych, skimmerzy przechodzą do zakodowania nowych kart. Również za działania podjęte na tym etapie sprawcy będą podlegać odpowiedzialności karnej.
W art. 310 § 1 k.k. zostały wymienione czynności wykonawcze omawianego przestępstwa: „Kto podrabia albo przerabia […] inny środek płatniczy […] podlega karze pozbawienia wolności od lat 5 do 25.”.
Podrabianie oznacza produkcję zupełnie nowej karty, w oparciu o zdobyte wcześniej dane z prawdziwej karty. Przerabianie z kolei polega na zastąpieniu informacji znajdujących się na zgubionej, skradzionej lub nieważnej karty (a takie też mogą zostać użyte przez skimmerów), danymi innej sztuki będącej w obiegu.
Niekiedy pojawiają się głosy, że jeżeli te działania zostaną podjęte w odniesieniu do karty innej niż płatnicza będziemy mieli do czynienia z przestępstwem z art. 270 § 1 k.k. (fałszerstwo materialne dokumentu).
Przestępstwo z art. 310 § 1 k.k. zostanie dokonane z chwilą wytworzenia choćby jednego falsyfikatu karty w postaci umożliwiającej uznanie go za autentyczny, niezależnie od tego czy została wykorzystana do dalszych działań Przypis nr 2 Wyrok Sądu Najwyższego z 5.1.1982 r., sygn. akt IV KR 283/81, Legalis .
Jakie działania będą karane na tym etapie?
- Przeniesienie zawartości drugiej ścieżki oryginalnego paska magnetycznego na czystą kartę.
- Wytworzenie w całości nowego egzemplarza karty przy użyciu wyspecjalizowanych urządzeń, m.in. drukarek laserowych, komputerów wyposażonych w program do kodowania danych.
Co ciekawe nawet jeżeli ktoś bezpośrednio nie uczestniczył w czynnościach związanych z podrabianiem lub przerabianiem karty płatniczej również będzie odpowiadał z art. 310 § 1 k.k. Wystarczające jest np.
- dokonanie zakupów przy jej użyciu, wiedząc i akceptując to, że karta jest sfałszowana a
- zgoda danej osoby na wytworzenie fałszywych kart kredytowych zawierających jej dane personalne. Przypis nr 3 Uzasadnienie do wyroku Sądu Apelacyjnego w Warszawie z 11.12.2012 r., sygn. akt II AKa 293/12, Legalis
Jeżeli sprawcy dokonają fałszerstwa karty innej niż płatnicza będziemy mieli do czynienia z czynem z art. 270 § 1 k.k. (fałszerstwo materialne dokumentu).
Etap 3 – wykorzystanie sfałszowanej karty, realizacja transakcji
Ostatni etap skimmingu będzie polegał na wykorzystaniu uzyskanych danych i sfałszowanych kart celem wzbogacenia się.
Jaka będzie kwalifikacja prawna działań skimmerów podejmowanych na ostatnim etapie omawianego cyberprzestępstwa?
Wypłata pieniędzy z bankomatu za pomocą fałszywej karty płatniczej jest przykładem usunięcia przeszkody w formie zabezpieczenia elektronicznego maszyny. Dlatego będzie to kradzież z włamaniem (art. 310 § 2 i art. 279 § 1 k.k. w zw. z art. 11 § 2 k.k.) Przypis nr 4 Wyrok Sądu Najwyższego z 11.9.2002 r., sygn. akt V KKN 9/01, OSNKW 2002, Nr 11–12, s. 102 , za którą grozi kara pozbawienia wolności od roku do lat 10.
Będziemy mieli do czynienia z usiłowaniem nieudolnym, jeżeli:
- karta zostanie skutecznie zablokowana przed próbą nielegalnej wypłaty,
- nie będzie można dokonać transakcji ze względu na przekroczenie dziennych limitów wypłaty pieniędzy,
- sprawca spróbuje wypłacić pieniądze z rachunku bankowego, na którym nie znajdują się żadne środki finansowe.
Wynika to z treści art. 13 § 2 k.k., ponieważ w ww. sytuacjach sprawca nie ma świadomości, że wypłata nie jest możliwa albo ze względu m.in. na użycie środka, który nie nadaje się do popełnienia czynu zabronionego (np. zablokowana karta).
Dokonanie transakcji podrobioną kartą np. w sklepowych terminalach POS będzie stanowiło przestępstwo oszustwa z art. 286 § 1 k.k., zagrożone karą pozbawienia wolności od 6 miesięcy do lat 8. W tym przypadku osoba obsługująca terminal POS zostaje przez sprawcę wprowadzona w błąd, co do jego uprawnienia do korzystania z karty płatniczej. Wskutek czego dochodzi do niekorzystnego rozporządzenia mieniem – środkami pieniężnymi znajdującymi się na rachunku oryginalnego właściciela karty. Celem działań sprawcy jest korzyść majątkowa, a przestępstwo zostaje dokonane niezależnie od tego czy sprawca ją uzyskał.
Użycie numerów cudzych kart płatniczych w celu wyłudzenia towaru czy usługi (ang. carding) – jeżeli doszło do wprowadzenia w błąd konkretnej osoby fizycznej, również będzie stanowiło przestępstwo oszustwa.
Skimmerzy mogą użyć skopiowanych z karty płatniczej danych (bez potrzeby wytwarzania fizycznego falsyfikatu) w transakcjach internetowych, wykorzystując je do opłacenia zakupu towarów lub usług. Wówczas będziemy mieli do czynienia z oszustwem komputerowym, o którym mowa w art. 287 § 1 k.k. Sprawca w tym wypadku oddziałuje na urządzenia i procesy techniczne związane z automatycznym przetwarzaniem informacji, nie na psychikę danej osoby. Przestępstwo to podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
Art. 310 k.k. będzie miał zastosowanie również na ostatnim etapie skimmingu. W treści art. 310 § 2 kk czytamy: „Kto […] inny środek płatniczy […] puszcza w obieg albo go w takim celu przyjmuje, przechowuje, przewozi, przenosi, przesyła albo pomaga do jego zbycia lub ukrycia, podlega karze pozbawienia wolności od roku do lat 10”.
Sformułowanie „puszczenie w obieg” należy rozumieć jako moment przekazania sfałszowanej karty płatniczej innej osobie w jakiejkolwiek formie. Chodzi o jej:
- zbycie (np. sprzedaż na czarnym rynku, zamiana),
- wydanie,
- przekazanie odpłatnie lub nieodpłatnie (np. w formie prezentu).
Sprawca może przekazać taką kartę zarówno swojemu pośrednikowi, który przyjmuje ją, mając świadomość jej fałszywości, jak i bezpośrednio do osoby, która o tym nie wie i posługuje się nią tak, jak prawdziwą kartą. Skutkuje to wprowadzeniem sfałszowanej karty płatniczej w obieg.
Niezbędne jest, aby sprawca przyjmując kartę wiedział, że jest fałszywa i miał zamiar puścić ją w obieg. Tylko wówczas można przypisać mu odpowiedzialność karną. Aby doszło do popełnienia tego przestępstwa wystarczy, że sprawca przewiduje taką możliwość i godzi się na to.
Podsumowanie
Jak widać skimming to dynamiczne i złożone cyberprzestępstwo, w ramach którego poszczególne osoby realizują inne czynności na kolejnych etapach tego procederu, często w różnych miejscach globu.
Przestępstwo skimmingu może popełnić każda osoba fizyczna, która może odpowiadać karnie tj co do zasady skończyła 17 lat w momencie popełnienia czynu zabronionego. Ponadto sprawca musi chcieć popełnić dane przestępstwo lub mając ku temu możliwość, godzić się na to (umyślność). Dla odpowiedzialności karnej sprawcy nie ma znaczenia, czy posiada specjalistyczne kwalifikacje albo czy miał nie dopuścić do fałszerstwa.
Potrzebujesz wsparcia prawnika w sprawie dotyczącej skimmingu? Doskonale trafiłeś! Cyberprzestępczość to bowiem jedna z moich specjalizacji łącząca prawo karne i nowe technologie. Klientów zainteresowanych współpracą z adwokatem, który zajmie się obroną ich interesów na każdym etapie postępowania – zapraszam do kontaktu!
Źródło zdjęcia: Eduardo Soares
Zdjęcia nr 1-12 [dostęp: 26.03.2024]
Teksty umieszczone na Linkedin lub mojej stronie internetowej mają charakter wyłącznie edukacyjny. Proszę nie traktuj ich jako porady prawnej w konkretnej sprawie. Sposób stosowania przepisów może się znacznie różnić w zależności od danej sytuacji. Informacje zawarte w artykułach nie dotyczą konkretnej sprawy a każdy stan faktyczny wymaga odrębnej analizy prawnej.