Michał Czuma
Lista oszustw, na jakie narażeni są właściciele hoteli i ich klienci, a pośrednio także banki obsługujące transakcje hotelowe, jest długa. Zmieniły się metody działania oszustów, pojawiły się też zupełnie nowe zagrożenia.
Banki jakiś czas temu borykały się z ogromnym problemem oszustw. Jeszcze 15 lat temu uważano, że obecność strażnika w banku działa odstraszająco. Dzisiaj strażnicy zaczęli być sukcesywnie zastępowani przez technikę. Obecnie klient banku nawet nie wie, ile ukrytych systemów dyskretnie czuwa nad bezpieczeństwem jego pieniędzy – czy jest w oddziale banku, czy sięga po telefon, by dokonać przelewu za pomocą aplikacji bankowej. To właśnie oszuści spowodowali, że banki zaczęły w końcu inwestować w systemy zmniejszające ryzyko oszustw, dokonując skoku technologicznego. Dzięki temu mogą oferować usługi, o jakich jeszcze kilka lat temu nawet nie myślano.
Oszuści spędzają sen z powiek nie tylko bankom. Branża turystyczna, w tym usługi hotelarskie, to obok sektora finansowo-bankowego, handlu i telekomunikacji ich główny cel. Hotelarze mogą podać liczne przykłady nieuczciwych zachowań w hotelach. W mediach opisano historię bezdomnego Davida Price’a, który przez dwa lata mieszkał na ulicy Orlando. Wpadł on jednak na oryginalny pomysł. Stwierdził, że mógłby mieszkać w… hotelach. Opracował sposób na podglądanie listy gości hotelowych i pilnował dat, kiedy ci opuszczają hotel. Obserwował, kiedy dana osoba się wyprowadza, by zająć jej miejsce. Jeśli udało mu się wejść do zwolnionego pokoju, dzwonił z hotelowego telefonu na recepcję i w imieniu poprzedniego gościa dokonywał przedłużenia pobytu. Wybierał prestiżowe hotele, toteż do niektórych jego ofiar po pewnym czasie zaczęły przychodzić rachunki na wiele tysięcy dolarów.
Price stosował proste zabiegi socjotechniczne, dzięki którym mógł mieszkać na koszt wymeldowanych i korzystać z zasobów na ich kartach. Goście hoteli, otrzymując informacje o zadłużeniu swoich kart, reklamowali zwiększone wydatki związane z ich fikcyjnym pobytem. Po ujawnieniu przestępstwa banki zwróciły pobrane niesłusznie środki. David Price przez wiele miesięcy skutecznie oszukiwał hotele, wybierając na cel ekskluzywne sieci, takie jak Ritz czy Hard Rock. Prawdopodobnie korzystał z faktu, że obsługa nie może być zbyt natarczywa i wścibska wobec bogatych gości. Jego proceder został przerwany – schwytano go i znalazł schronienie w więzieniu.
Zmorą hoteli są też osoby, które nie płacą za pobyt, stosując znane obsłudze środki i metody. Dla wielu mieszkanie na koszt hotelu stało się sposobem na życie. Narażeni na oszustwa są też klienci hotelu, np. kuszeni atrakcyjnymi ofertami oferowanymi w sieci w celu wyłudzenia przedpłat. Wiosną tego roku głośno było o nowym hotelu w Toruniu. Na Booking.com, popularnym serwisie do internetowej rezerwacji noclegów, konto założył Riess Palace, reklamujący się jako pierwszy pięciogwiazdkowy obiekt w mieście. Pod wskazanym adresem mieści się dawny pałac królewskiego poczmistrza Jakuba Teodora Riessa, który później służył jako placówka PZU. Ubezpieczyciel sprzedał go, a nowy właściciel rozpoczął remont. Zdjęcia na Booking.com prezentowały budynek z zewnątrz, a także wyposażenie pokoi: meble w starym stylu, gustowne tapety, porcelana dekorująca ściany. Właściciele hotelu zachwalali, że obsługa włada czterema językami. Pierwszych gości miał przyjąć 20 kwietnia. Najtańszy pokój dwuosobowy kosztował 549 zł, trzyosobowy – 722 zł. Szybko sprzedano rezerwację, pozostały tylko droższe apartamenty, od 1850 zł do 2200 zł za dobę. W kolejny piątek, 27 kwietnia, ceny spadły – za pokój życzono sobie od 400 zł.
Oferta ta okazała się oszustwem. Nowy właściciel nieruchomości budował w nim apartamenty, a nie hotel. Zdjęcia wnętrz pochodziły z oferty hotelu w Paryżu. Uważna analiza oferty mogła budzić zastrzeżenia. Telefon wskazany do kontaktu nie należał do bazy hotelu (dzwoniący dowiadywał się, że to pomyłka), w odróżnienia od innych hoteli trzeba było z góry zapłacić za cały pobyt.
Tu dotykamy kolejnego tematu, jakim są zabezpieczenia portali pośredniczących w oferowaniu rezerwacji w hotelach. Booking.com posiada profesjonalny zespół antyfraudowy. Jako wiodąca firma e-commerce na Booking.com stale optymalizujemy silne środki bezpieczeństwa, które mają chronić klientów i partnerów – podało biuro prasowe. – Zgodnie z najwyższymi standardami technicznymi nasze zespoły ds. bezpieczeństwa i oszustw monitorują działalność 24 godziny na dobę przez siedem dni w tygodniu, wykorzystując indywidualne, najnowocześniejsze narzędzia do szybkiego wykrywania i rozwiązywania wszelkich potencjalnie podejrzanych aktywności.
W tym rzadkim i szczególnym przypadku nieruchomość została usunięta z Booking.com, a wszyscy klienci, których dotyczy problem, przeniesieni do alternatywnej lokalizacji przez nasz zespół obsługi klienta. Innymi słowy, nawet sprawny system nie zadziałał prewencyjnie wystarczająco wcześnie – kilku klientów zostało oszukanych. Nie wiadomo, czy organy ścigania złapały oszustów.
Latem tego roku pojawił się nowy rodzaj oszustw. Tym razem to znane tureckie hotele w Bodrum, Fethiye i w regionie Antalyi padły ofiarą oszustów internetowych, którzy uruchomili strony internetowe do złudzenia przypominające oryginalne. Przestępcy stworzyli kopie serwisów wybranych, drogich obiektów i przyjmowali od turystów rezerwacje. Sprawa wyszła na jaw, kiedy jeden z klientów zadzwonił do hotelu Sianji w Bodrum, chcąc zamówić przejazd z lotniska. Wtedy okazało się, że nie ma on rezerwacji. Menedżer ds. marketingu hotelu zadzwonił pod numer telefonu podany na fałszywej stronie internetowej, który – jak się okazało – był zarejestrowany za granicą. Rozmówca zażądał 100 tys. bitcoinów za dezaktywację 50 stron opartych na nazwie obiektu.
Kolejne oszustwa dotyczą konkursów organizowanych na portalach społecznościowych, oferujących w nagrodę pobyt w ekskluzywnych hotelach. W ostatnim czasie pojawiły się nowe formy naciągania. Jedna z nich polega na wysyłaniu e-maila z następującą informacją: Dzięki swojej ostatniej aktywności na portalach podróżniczych zostałeś wytypowany do wzięcia udziału w Badaniu Preferencji Turystycznych. W zamian za poświęcony czas mamy dla Ciebie voucher na 3 noclegi dla 2 osób w wybranym przez Ciebie hotelu spośród naszej bazy niemal 1000 obiektów. Badanie Preferencji Turystycznych to kilkuminutowa anonimowa ankieta, której wyniki pozwolą polepszyć funkcjonowanie rynku turystyki indywidualnej i dostosować oferty do oczekiwań turystów. Możesz bezpośrednio przyczynić się do poprawy jakości usług turystycznych w Europie, w zamian za poświęcony czas oferujemy Ci voucher na darmowe noclegi.
Ankieta jest tylko jednym z elementów mających uwiarygodnić pomysł wyłudzenia. W następnych etapach odbiorca takiej wiadomości albo zostaje zachęcony do wykupienia członkostwa w klubie, dzięki któremu może skorzystać z tysięcy atrakcyjnych lokalizacji w atrakcyjnej cenie, albo w innej wersji zachęca do wybrania hotelu, w którym może zamieszkać w dogodnym czasie pod warunkiem wykupienia voucherów obiadowych lub śniadaniowych (droższych niż doba w danym hotelu). Najmniejszy problem, jeśli będzie się to wiązać tylko z przepłaceniem za ofertę. Gorzej, jeśli na miejscu klient dowiaduje się, że o jego pobycie w danym hotelu nikt nic nie wie.
Lista oszustw, na które narażeni są i właściciele hoteli, i ich klienci, a pośrednio także banki obsługujące transakcje hotelowe, jest długa. Do niej można dopisać nieuczciwe firmy obsługujące hotele, fikcyjne lub nieuczciwe biura podróży czy pośredników kierujących do hoteli grupy, za które później nie płacą.
Jak się przed tym bronić?
Portale społecznościowe oraz świadczące usługi turystyczne czy pośredniczące w rezerwacji hoteli i sprzedaży usług hotelowych powinny stosować zaawansowane systemy antyfraudowe i działać prewencyjnie, weryfikując dane i oferty hoteli, zanim dopuszczą je do sprzedaży – bez tego mogą nie tylko ponieść stratę, ale także utracić reputację. Takie rozwiązania nie są tanie, ale minimalizują ryzyko oszukania ich klientów. Korzystając z Internetu do poszukiwania atrakcyjnych ofert, hoteli czy innych usług turystycznych, warto weryfikować informacje przed uregulowaniem należności. Dostawcy usług powinni współpracować z hotelami i wymieniać się informacjami o różnego rodzaju modus operandi stosowanymi przez oszustów.
Niestety większość właścicieli sieci hotelowych i hoteli dotknęły konsekwencje wprowadzenia regulacji w zakresie ochrony danych osobowych. Jedynie sektor finansowy otrzymał zgodę na wymianę informacji o oszustach (art. 6 ust. 1 lit. f Ogólnego Rozporządzenia o Ochronie Danych Osobowych) i w swoich regulaminach przedstawianych do akceptacji przez klientów umieszcza klauzulę, że może przetwarzać dane gromadzone do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią na podstawie wskazanego artykułu tego Rozporządzenia, za które administrator uznaje m.in. marketing bezpośredni, dochodzenie i obronę przed roszczeniami, zapobieganie oszustwom, prowadzenie statystyk i analiz, zapewnienie bezpieczeństwa środowiska teleinformatycznego, stosowanie systemów kontroli wewnętrznej. Mimo że nieformalnie hotele i sieci wymieniają między sobą ostrzeżenia o oszustach, to jednak brak regulacji w tym zakresie sprawia, że oszuści stają się coraz bardziej bezczelni, a koszty ponoszone przez hotele rosną.
Czy można legalnie, bez lęku bronić się przed oszustwami?
Jest to możliwe, ale wymaga sięgnięcia po pewne rozwiązania systemowe, których koszt szybko się zwraca. Słabym punktem oszusta jest to, że nie potrafi on zmienić swoich zachowań i przyzwyczajeń, a najbardziej zuchwały schemat oszustwa można rozpoznać. Weźmy np. proste oszustwo, jakich setki opisów można znaleźć w sieci. Oszust dokonuje rezerwacji w sieci, ale mając do wyboru wniesienie opłaty poprzez dokonanie preautoryzacji, przelewem z konta bankowego, usługi płatnicze lub transakcję kartą debetową lub kredytową, wybiera opcję przelewu z konta. Hotel, wiedząc, że oszust ma różne możliwości dokonania oszustwa (od przedstawienia sfałszowanego dowodu przelewu poprzez wskazanie, iż przelew wpłynie na konto hotelu w trakcie pobytu w hotelu), może założyć, że tylko potwierdzony przez bank dowód przelewu albo wpływ na konto jest podstawą do realizacji usługi. Oszuści, stosując metody socjotechniczne, manipulują obsługą w celu uzyskania tego, na czym im zależy. Mając tego świadomość, hotele powinny tworzyć profile predykcyjne takich zachowań i rozpoznawać te, które stwarzają ryzyko, że mają do czynienia nie ze zmęczonym klientem, ale z oszustem.
Hotel stosujący system rezerwacji korzysta z narzędzi udostępnionych przez operatorów pośredniczących w bukowaniu miejsc hotelowych, a ponadto monitoruje zachowania nie tylko pracowników, ale także gości np. w celu podniesienia jakości oferowanych usług. Każdy taki system monitorujący, każda informacja o tym, co klient robi, jakie usługi kupuje, co zamawia, pozwala również rozpoznać tych, którzy przygotowują się do oszustwa. Dzisiaj hotele stają się budynkami inteligentnymi, z dyskretnymi systemami zarządzania jakością usług i systemami generującymi leady pozwalające systemom rozpoznającym oszustwa na podjęcie działań uniemożliwiających skuteczne wyłudzenia. Taka inwestycja szybko się zwraca. Z chwilą, gdy klient wkracza do hotelu, jego bezpieczeństwo jest chronione, monitorowane są również działania oszustów. Dzięki zastosowanym technologiom może uzyskać dostęp do wielu usług i możliwości, takich jak otwieranie pokoju własnym smartfonem, zamawianie usług z hotelowego tabletu, taksówki, dań z innych źródeł niż hotelowa restauracja, biletów do muzeów czy kin albo pomocy konsjerża, a nawet skorzystanie z pomocy recepcji także poza hotelem.
Dzisiaj klucz hotelowy to jednocześnie elektroniczna portmonetka, identyfikator umożliwiający dostęp do usług i miejsc dostępnych tylko dla klientów hotelu. We wszystkich drzwiach i przejściach stosowane są pętle indukcyjne pozwalające zlokalizować gościa i każdego pracownika hotelu. Dzięki tym i wielu innym rozwiązaniom ryzyko, iż hotel lub jego gość zostaną oszukani, a usługi i pieniądze wyłudzone, spada. Nie można też rezygnować ze szkoleń dla personelu, które są jedną z metod rozpoznawania oszustw i sposobów reagowania na nie.
Inwestowanie w bezpieczeństwo banków sprawia, że oszukanie instytucji finansowych, które stosują nowoczesne systemy zabezpieczeń, jest mało prawdopodobne. Jeśli jednak udaje się oszukać bank, wykorzystuje się do tego słabe punkty każdego systemu, jakim są ludzie. To człowiek – nieprzeszkolony, wprowadzony w błąd przez oszusta lub przez niego szantażowany – może sprawić, że oszustwo się powiedzie. Najlepsze systemy antyfraudowe są jednak na to przygotowane, jeśli jedną z metod rozpoznawania oszustwa są dobrze sprofilowane modele predykcyjne oparte na analizie behawioralnej. Stosując nawet w mniejszej skali proste systemy zabezpieczeń oraz znając modus operandi oszustów, średniej wielkości hotele, a także większe mogą z sukcesem chronić się przed oszustwami. Trudno byłoby uwierzyć, że są dzisiaj hotele, które nie broniłyby się przed oszustami – chociażby ukrytym na portierni skanerem sprawdzającym autentyczność banknotów i dokumentów tożsamości. To wydatek kilkuset złotych. Oszczędzanie na bezpieczeństwie jest proszeniem się o kłopoty i wystawianiem na poważne ryzyko.
W roku 2012 r. straty wynikające z oszustw dokonywanych w sektorze hotelarskim w Wielkiej Brytanii oszacowano na 2 mld funtów brytyjskich. W raporcie The Resilience to Fraud of the UK Hotel Sector przygotowanym przez firmę doradczą PKF i uniwersytet w Portsmouth m.in. wskazano, że kwota strat odpowiada 5,7 proc. łącznych przychodów branży, które wynoszą ok. 40 mld funtów brytyjskich rocznie. Według autorów raportu sektor hotelarski należy do najmniej odpornych na oszustwa. – Oszustwa są poważnym problemem dla hoteli i mają wpływ nie tylko na kondycję branży, ale także na jakość i ceny usług, z których korzystają klienci. Zmniejszenie strat wynikających z oszustw jest jedną z najmniej bolesnych metod zminimalizowania wydatków firm w obecnej sytuacji gospodarczej, tym bardziej że koszty nadużyć finansowych – w odróżnieniu od wydatków związanych z personelem, towarami i wyposażeniem oraz obsługą nieruchomości – są niepotrzebne i bezproduktywne – uważa Stuart Collins, National Hotel Partner w firmie PKF.
Można zakładać, że na naszym kształtującym się dopiero rynku, gdy większość obiektów nie ma jeszcze doświadczenia i odpowiednich procedur, odsetek strat spowodowanych oszustwami jest większy niż w Wielkiej Brytanii. Może to być 150–200 mln zł, gdyż hotele nie ujawniają wartości strat. Wydaje się, że nie jest to nawet kwota szacunkowa, ale raczej pokazująca rząd wielkości. Inwestycje w bezpieczeństwo i działania antyfraudowe, które zmniejszają straty nawet o 50–60%, są warte zainwestowania środków.
Michał Czuma
Niezależny ekspert, wcześniej wiceprezes i współwłaściciel G+C Kancelaria Doradców Biznesowych. Stworzył i zarządzał pierwszymi w kraju Biurami Antyfraudowymi w spółkach grupy PKO BP. Były wieloletni z-ca dyrektora Departamentu Bezpieczeństwa PKO BP.
