لم تفارق بطاقة الهوية الإماراتية الخاصة بـ"أجوي جوزيف" يديه أبداً. ومع ذلك، يُزعم أن نسخة مزورة منها استُخدمت للحصول على ثلاث بطاقات ائتمان باسمه، تبلغ قيمة كل منها حوالي 30 ألف درهم.
ويزعم الوافد الهندي أنه لم يكن على علم بهذه البطاقات، ولم يكتشف الاحتيال إلا بعد انخفاض تصنيفه الائتماني، حيث أعاد المحتالون توجيه كشوف الحسابات المصرفية إلى بريد إلكتروني مزيف وكلمات مرور لمرة واحدة إلى رقم تحت سيطرتهم. حيث تحقق شرطة دبي الآن.
ولكن اللغز الحقيقي يكمن في كيفية إصدار البنوك لهذه البطاقات الائتمانية دون التحقق من هوية الشخص المتقدم للحصول عليها، وبالنسبة لجوزيف، لم تنته التحديات عند كشف عملية الاحتيال. فبدلاً من مساعدته، انقلبت البنوك عليه وطالبته بالسداد. وتضخم الدين إلى أكثر من 120 ألف درهم، مع تهديدات قانونية تلوح في الأفق. وبعد معركة قانونية استمرت ستة أشهر، رضخ بنكان أخيراً وتنازلا عن الرسوم ــ ولكن البنك الثالث ما زال صامداً.
للأسف، حالة جوزيف ليست استثنائية، ففي جميع أنحاء الإمارات، يواجه السكان زيادة مقلقة في عمليات الاحتيال الإلكتروني، حيث وجد البعض أنفسهم منبوذين من قبل بنوكهم. ومع تصاعد الهجمات الإلكترونية في الإمارات، تواجه الكيانات العامة الآن حوالي 50 ألف تهديد يومياً، وفقًا للدكتور محمد الكويتي، رئيس الأمن السيبراني. تتضمن هذه التهديدات التصيد الاحتيالي، وهجمات الحرمان من الخدمة الموزعة، وبرامج الفدية. البنوك ليست بمنأى عن هذه التهديدات؛ ففي وقت سابق من هذا العام، زعم أحد القراصنة على الويب المظلمة أنه تمكن من اختراق أنظمة أحد البنوك المحلية.
من إفراغ الحسابات دون استخدام كلمات المرور لمرة واحدة (OTP) إلى فرض رسوم على بطاقات الائتمان مقابل معاملات لم تتم مطلقًا، يجد بعض العملاء أنفسهم محاصرون، ويُلامون، ويطاردهم وكلاء الاسترداد - دون وجود من يستمع إليهم أو يعالج مخاوفهم.
وتزعم عائشة نسيم المقيمة في الشارقة أن بطاقتها الائتمانية استُخدمت بشكل احتيالي في قطر، رغم أنها لم تغادر الإمارات قط. وتقول "ساريكا ثاداني"، ربة منزل مقيمة في دبي، إن بطاقتها تم خصم رسوم منها حتى بعد أن قامت بحظرها. واكتشف عبد القادر، وهو سائق، أن حسابه قد تم مسحه دون التحقق من كلمة المرور لمرة واحدة، بينما وجد مهندس اللحام بورش أوتام أن بطاقته قد تم خصم رسوم منها دون أي إشعار. وتلقى مدير شركة الأدوية ياسين هاشم رموزًا لمرة واحدة لمعاملات احتيالية بعد يوم من حدوثها.
وفي كل هذه الحالات، كانت ردود أفعال البنوك متسقة إلى حد مثير للقلق. فبدلاً من تحمل المسؤولية، لجأت بعض البنوك إلى إلقاء اللوم على العملاء، وتهديدهم باتخاذ إجراءات قانونية، والسماح لوكلاء استرداد الأموال بمضايقة الضحايا بلا هوادة. وقد أثبتت الجهود المبذولة للوصول إلى أقسام مكافحة الاحتيال في هذه البنوك عدم جدواها، الأمر الذي ترك العديد من البنوك في مواجهة معركة شاقة من أجل تحقيق العدالة.
بالنسبة للكثيرين، فإن الطريق القانوني لاستعادة الأموال المسروقة واستعادة راحة البال طويل جدًا. قالت الممثلة الهندية روتشيكا باندي، التي خسرت 800 ألف درهم في عام 2018 بسبب احتيال مبادلة شريحة الهاتف، إن الأمر استغرق أكثر من أربع سنوات لحل قضيتها. وذكرت: "تم اختراق حسابي بسبب ضعف أمان البنك". 'رفض مدير البنك مخاوفي، قائلاً إن جرائم مبادلة شريحة الهاتف كانت شائعة وأن خسارتي كانت ضئيلة مقارنة بالآخرين. حتى أنهم فرضوا عليّ رسوماً مقابل كشف حسابي المصرفي عندما طلبته". ولم يعترف البنك بأي مسؤولية إلا بعد صدور حكم من المحكمة.
وقد تضخمت قيمة المعاملة الاحتيالية التي قامت بها عائشة نسيم من 15597 درهمًا إماراتيًا إلى 22705 درهمًا إماراتيًا بسبب رسوم التأخر في السداد، ورسوم تجاوز الحد الأقصى، والفائدة. وقالت: "لقد استشرت محامين، لكنهم طلبوا 25 ألف درهم إماراتي - وهو مبلغ أكبر مما أطالب به. يبدو الأمر وكأنني أهدر المال الجيد وراء السيئ"، معربة عن إحباطها من الرسوم المتزايدة والمضايقات من جانب الدائنين.
وقالت عائشة إنها توجهت إلى وحدة مكافحة الجرائم الإلكترونية في شرطة دبي، لكن قيل لها إن القضية خارج نطاق اختصاصها لأن المعاملات جرت في قطر. وفي ظل محدودية اللجوء إلى القضاء، يشعر العديد من الضحايا بأنهم محاصرون في نظام تعمل فيه البنوك كقاضي وهيئة محلفين وجلاد.
اكتشف ياسين هاشم عدة مدفوعات غير مصرح بها في كشف حساب بطاقته الائتمانية. وأوضح: "كل ما استطاعوا إخباري به هو أنها قضية احتيال لا يمكنهم المساعدة فيها". وعلى الرغم من حدوث جميع المعاملات الثماني في 14 مارس، لم يتم إرسال رموز المرور لمرة واحدة إلا في اليوم التالي. "عندما سألت عن سبب حدوث ذلك، أخبرني البنك ببساطة أنه لا يهم لأنهم أرسلوا رموز المرور لمرة واحدة".
وعلى نحو مماثل، فُوِّضت بطاقة عبد القادر الائتمانية بمبلغ 16055 درهماً إماراتياً لأربع معاملات بعد محاولته تقديم طلب عبر إعلان على فيسبوك لوجبات مخفضة من سلسلة مطاعم برجر شهيرة. وقال عبد القادر: "عندما اعترضت على الرسوم، قال البنك إنه راجع القضية ووجد أن المعاملات اكتملت باستخدام وضع عدم الاتصال، الذي تم تنشيطه من خلال كلمات مرور لمرة واحدة (OTP) مرسلة إلى هاتفي المحمول المسجل والبريد الإلكتروني".
وقال "أتحداهم أن يثبتوا لي أنهم أرسلوا لي كلمة مرور لمرة واحدة أو رسالة إلكترونية لأنني لم أتلق أي شيء. وإذا ادعوا ذلك، فعليهم أن يقدموا دليلاً". وانتقد البنك لفشله في تنبيهه بشأن أي نشاط مشبوه، مشيراً إلى أن أغلب الرسوم كانت في متجر للأجهزة المنزلية في بولندا. وتساءل "ألم يكن من الواجب عليهم الاتصال للتأكد؟".
وأشار عبيد الله كاظمي، مؤسس ومدير التكنولوجيا في شركة "كريدو" للأمن السيبراني، إلى أن تورط المطلعين قد يساهم في ارتفاع حالات الاحتيال. وقال كاظمي: "تحتاج البنوك إلى منع الخروقات السيبرانية بشكل استباقي"، مؤكدًا أن تبني التكنولوجيا المتقدمة يمكن أن يحسن الأمن بشكل كبير. ووفقًا له، يمكن لمنصات تنظيم الاحتيال التي تعمل بالذكاء الاصطناعي اكتشاف الاحتيال في الوقت الفعلي من خلال تحليل مجموعات بيانات كبيرة من قنوات متعددة. وقال: "يمكن لهذه المنصات التكيف على الفور مع التهديدات المتطورة، مما يمنح البنوك ميزة كبيرة في منع الاحتيال".
كما سلط كاظمي الضوء على فوائد التحقق من الهوية المستند إلى تقنية البلوك تشين وأطر الهوية السيادية الذاتية، موضحًا كيف تجعل هذه الأنظمة اللامركزية من الصعب للغاية على المحتالين تزوير أو التلاعب بالمعلومات الشخصية. وأضاف: "إن تنفيذ أدوات الكشف عن تبديل بطاقة SIM، بالتعاون مع مشغلي الاتصالات، هو طريقة أخرى يمكن للبنوك من خلالها حماية عملائها". بالإضافة إلى ذلك، يمكن أن تعمل القياسات الحيوية السلوكية، التي تحلل السلوكيات الفريدة للمستخدمين، كطبقة إضافية من الأمان، مما يجعل من الصعب على المحتالين النجاح.
وأكد كاظمي أن دمج التشفير وإدارة المفاتيح وإدارة الأسرار أمر بالغ الأهمية لحماية بيانات العملاء الحساسة، سواء أثناء النقل أو التخزين. وأشار إلى أن "التعاون بين البنوك ومقدمي خدمات الاتصالات والهيئات الحكومية وخبراء الأمن السيبراني أمر ضروري".
في حين أن الابتكارات التكنولوجية مثل blockchain ومنع الاحتيال المدعوم بالذكاء الاصطناعي أمر بالغ الأهمية، فإن المساءلة القانونية للبنوك عندما تفشل هذه الأنظمة مهمة بنفس القدر.
روى حسام زكريا من شركة الاستشارات HZ Legal ومقرها دبي حالة تعرض فيها أحد البنوك الكبرى لهجوم إلكتروني، مما أدى إلى كشف بيانات العملاء الحساسة، بما في ذلك أرقام الحسابات وكلمات المرور. وقال: "أدى هذا الاختراق إلى معاملات غير مصرح بها، مما أدى إلى خسائر مالية للعديد من العملاء. وقد تم تحميل البنك المسؤولية عن فشله في حماية بيانات العملاء وطُلب منه تعويض المتضررين". وشملت حادثة أخرى عملية احتيال تصيد حيث تلقى العملاء رسائل بريد إلكتروني احتيالية متنكرة في هيئة اتصالات مصرفية.
وقد كشف العديد منهم عن غير قصد عن بيانات تسجيل الدخول الخاصة بهم، مما أدى إلى معاملات غير مصرح بها. وأشار زكريا إلى أن "البنك وجد مهملاً لعدم تثقيف العملاء بشأن مخاطر التصيد الاحتيالي، وطُلب منه تعويضهم". وفي حالة ثالثة، أدى خلل فني في النظام الإلكتروني للبنك إلى وصول غير مصرح به إلى حسابات العملاء. وعلى الرغم من أن البنك عالج المشكلة، إلا أنه لا يزال مسؤولاً عن الخسائر التي تكبدها العملاء. وحدد زكريا ثلاثة سيناريوهات رئيسية حيث قد تكون البنوك مسؤولة عن تعويض العملاء. أولاً، إذا فشل البنك في تنفيذ تدابير أمنية كافية مثل التشفير والمصادقة متعددة العوامل، فقد يتحمل المسؤولية عن الخروقات.
ثانياً، قد تتحمل البنوك المسؤولية إذا تورط أحد موظفيها في عمليات احتيال من الداخل. وأخيراً، إذا لم يخطر البنك العملاء على الفور بالمعاملات غير المصرح بها، فقد يتحمل المسؤولية عن أي خسائر مالية ناجمة عن ذلك.
وقال زكريا "إن البنوك في الإمارات العربية المتحدة لديها واجب رعاية لحماية عملائها". يجب على ضحايا خروقات الحسابات طلب المشورة القانونية لفهم حقوقهم وخيارات التعويض.
وكجزء من الجهود المبذولة لتعزيز الأمن السيبراني في القطاع المالي، أجرى البنك المركزي لدولة الإمارات العربية المتحدة مؤخرًا تمرين محاكاة هجوم إلكتروني في الوقت الفعلي لاختبار مرونة القطاع المصرفي في الإمارات العربية المتحدة ضد التهديدات المحتملة. بالإضافة إلى ذلك، نظم اتحاد مصارف الإمارات العربية المتحدة RaCE، وهي ندوة عبر الإنترنت للأمن السيبراني لمدة يومين تركز على أفضل الممارسات في خصوصية البيانات وحمايتها مع تكيف الشركات مع بيئات العمل الهجينة. ومع ذلك، لا يزال العديد من الضحايا ينتظرون الحل. هذا الميل إلى تحويل اللوم على العملاء بدلاً من الاعتراف بالنواقص ليس بالأمر غير المألوف بين البنوك. في الواقع، ثبت أن البنوك يمكن أن تكون مسؤولة عن مثل هذه الاحتيالات. في قضية عام 2019، أمر بنك مقره الإمارات العربية المتحدة بتعويض عميل خسر أكثر من 4.5 مليون درهم بسبب عملية احتيال لمبادلة بطاقة SIM. وفي عام 2022، قضت محكمة التمييز في دبي بتعويض عميل آخر بمبلغ 9.5 مليون درهم عن حادثة مماثلة. ولكن كم عدد الضحايا الذين يستطيعون تحمل تكاليف اللجوء إلى القضاء؟
معالجة المعاملات غير المصرح بها على حساب العميل.
الفشل في تأمين بيانات العملاء، مما يؤدي إلى سرقة الهوية.
تأخير الإخطار بالنشاط المشبوه في حساب العميل.
إهمال حماية معلومات العملاء من الهجمات الإلكترونية.
إساءة استخدام أموال العملاء من خلال تصرفات موظفي البنك.
عدم توفير إجراءات أمنية كافية للمعاملات المصرفية عبر الإنترنت.
الإبلاغ عن أرصدة الحسابات بشكل غير دقيق، مما يؤدي إلى خسائر مالية.
السماح بالوصول غير المصرح به إلى حسابات العملاء من قبل أطراف ثالثة.
الفشل في التحقيق في شكاوى العملاء بشأن خروقات الحسابات وحلها.
انتهاك حقوق خصوصية العملاء، مما يسبب ضررًا ماليًا.