Desátého května svítilo v Basileji slunce, ale v grandhotelu Tři králové na břehu Rýna bylo zamračeno až běda. V tamním salonku se sešli, snad aby to ladilo s názvem hotelu, tři prominentní muži světových financí: William Dudley, šéf newyorského Fedu; (o něco méně prominentní) boss bangladéšské centrální banky Fazle Kabir a Gottfried Leibbrandt, výkonný ředitel SWIFT, instituce, o níž bude řeč vzápětí. Všichni s sebou měli drahé právníky – a měli k tomu dobré důvody.
Řeč byla pochopitelně o penězích a ani jednomu z přítomných nebyla příjemná. Šlo o to, kdo zavinil, že letos v únoru se miliarda dolarů jen tak zničehonic rozhodla opustit účet Bangladesh Bank u newyorského Fedu s úmyslem zmizet kdesi na Filipínách.
Jen čirou náhodou se to povedlo pouze asi 81 milionům. Každý z trojice hlavních aktérů stál před delikátním úkolem – zajistit, aby se incident nemohl opakovat, a zároveň svalit vinu za něj na ostatní dva pány tak, aby jeho vlastní reputace neutrpěla. Jak se ukázalo, je to úkol obtížný i pro sebe dražší právníky.
Podfuk století
Ona neposedná miliarda dolarů samozřejmě nejednala o své újmě, nýbrž ji někdo k zaječím úmyslům navedl. Problém je dvojí. Zaprvé nikdo neví, kdo se jí to snažil z bezpečných účtů newyorské centrální banky lstivě vylákat; zadruhé nikdo nechápe, jak se to mohlo stát tak snadno, že se dotyčný neznámý ocitl velmi blízko nejlukrativnějšímu kousku dějin hackerství.
Naopak víme, že onen neznámý (nebo spíš neznámí) měl k dispozici velmi přesné informace o technickém fungování bankovního systému. Podstatně hůře se naopak orientoval v jeho obsahu, což ho nakonec prozradilo.
Kriminalita je ve financích běžná. Své mohou vyprávět na Wall Street:
Americké banky dělají detektivy. Povinně a zadarmo
Všichni, kdo se vyšetřováním později zabývali, potvrzovali, že příprava musela být důkladná, a to včetně načasování. Věci se daly do pohybu ve čtvrtek 4. února dopoledne (na východním pobřeží Spojených států; v Bangladéši byl tou dobou pozdní večer). Pomocí komunikačního kanálu SWIFT dorazil do newyorského Fedu platební příkaz: z účtu Bangladesh Bank, centrální banky chudé asijské země, mělo na soukromý účet na Šrí Lance odejít 20 milionů dolarů. Během následujících čtyř hodin dorazilo dalších 34 takových příkazů; celkem měly z téhož účtu odčerpat téměř miliardu dolarů a rozeslat na účty registrované v několika asijských zemích, především na Filipínách.
Za důležitým kontextem je nyní třeba vydat se oklikou (finanční experti naopak prominou vysvětlování zjevného). Mezi běžnými smrtelníky, uživateli bankovních služeb, je rozšířena matná představa, že mezinárodní bankovní transfer funguje jaksi automaticky a takřka dokonale, asi jako vypínač u lampičky. Namísto stisknutí knoflíku řeknete SWIFT – a je to, peníze jsou obratem ruky o půl planety dále.
Jak funguje SWIFT
Skutečnost je delikátnější. SWIFT (Society for Worldwide Interbank Financial Telecommunication) nikam žádné peníze nepřemisťuje; je pouhým médiem pro vzkazy. Místo něj by klidně mohl fungovat obyčejný email, nebýt rizika, že se do něj nějaký vykuk nabourá a bude krást jako straka.
Když banka takový vzkaz obdrží, může udělat několik věcí. Má-li u ní účet odesílatel i příjemce, je to nejjednodušší: banka prostě odepíše částku z jednoho účtu a na druhý ji připíše. Celková částka, kterou banka dluží (protože vložíte-li do banky tisícikorunu, banka vám ji de facto dluží), se nemění; všechno je jednoduché.
Ve většině případů ale má každý ze subjektů účet v jiné bance, a je tedy třeba převod zařídit složitějším postupem. Existují dvě nejpoužívanější metody, jak takovou platbu technicky provést: buď mají banky u sebe navzájem otevřené účty (jsou spolu v korespondenčním vztahu, říkají bankéři), mezi kterými se platba odehraje. Druhá možnost je, že mají z bezpečnostních důvodů obě účet u centrální banky a tatáž transakce se uskuteční mezi nimi. První metodě se říká Deferred Net Settlement (zpožděné čisté vyrovnání), druhé Real Time Gross Settlement (okamžité hrubé vyrovnání, viz graf).
U mezinárodních plateb ale je pochopitelně běžné, že vaše banka korespondenční vztah s bankou vašeho klienta nemá. V takovém případě je třeba operaci zřetězit. Vaše banka má účet u banky XY, ta u banky ZZ a ta zase u banky vašeho klienta. Jediný swiftový příkaz takhle prožene zmínku o penězích – nikoli peníze samotné – přes několik institucí, než se dostanou k vám.
Každá banka, která dostane příkaz k platbě, jej z několika dobrých důvodů kontroluje. Jednak kvůli tomu, aby peníze došly do správných rukou; jednak kvůli neustále přibývajícím opatřením zaměřeným proti financování terorismu a praní peněz a také proto, aby bylo možné odhalit případný podvod.
Banka uvnitř banky
Na tomhle zdlouhavě popisovaném procesu by nebylo mnoho zvláštního – nebýt toho, že se denně odehrává v obrovských kvantech, zejména v případě centrálních bank. Jen newyorským Fedem takto každý den projde na 800 miliard dolarů. Jedna miliarda z Bangladéše v takové společnosti nepůsobí nijak prominentně.
Kontrolu příkazů provádí v prvním sledu software; když se mu něco nezdá, transakci označí a vrátí k manuálnímu přezkoumání. V newyorském Fedu vykonává posledně zmiňovaný úkon asi deset lidí, kteří tvoří čidla orgánu známého jako CBIAS (Central Bank and International Account Services). Zdroje agentury Reuters, která se kauze obšírně věnovala, ho popisují jako „banku uvnitř banky“.
Na úsudku oněch deseti lidí nesmírně záleží. Mají na starost především transakce centrálních bank a provádějí cosi jako ekonomickou diplomacii. Musejí odhadovat charakter důvěrných plateb od nesčetného množství subjektů, o nichž obvykle nic nevědí. Denně přezkoumají stovky takových transakcí.
Příkazy z Bangladéše byly podivné na první pohled. Ani jeden z celkem pětatřiceti neobsahoval názvy korespondenčních bank, jež tvořily logické mezičlánky převodů. Software je tedy nepředal k automatickému proplacení, nýbrž ke kontrole CBIAS. Tamní úředníci je všechny vrátili ke správnému formálnímu vyplnění, asi jako když vás pošlou na poště od přepážky vystát frontu ještě jednou kvůli nečitelné adrese odesílatele.
Pomohla náhoda
Kdesi na druhém konci světa hackeři viděli, že udělali botu. Ještě ve čtvrtek večer amerického času doplnili chybějící údaje a příkazy odeslali znovu. Pět plateb nyní prošlo automaticky; byly správně vypsané a systém SWIFT je identifikoval jako pravé. Více než 100 milionů dolarů opustilo newyorský Fed a zmizelo na účtech registrovaných u filipínského finančního domu Rizal Commercial Banking Corporation (RCBC); většina z nich nenávratně. U zbývajících třiceti plateb byl software z různých důvodů podezřívavý.
V tu chvíli zasáhla neuvěřitelná náhoda. Zmíněná banka RCBC je možná legitimním ústavem, možná slouží výhradně účelům ilegálním; zjistit to není ani v pravomoci mocného CBIAS. Sídlí ale v Manile na Jupiter Street – a to stálo hackery stamiliony dolarů. Jupiter je totiž zároveň jméno tankeru, o němž americké úřady věděly, že jej používají firmy podezřelé z porušování proti íránských sankcí. Názvu si všiml jeden z úředníků CBIAS; přimělo ho to podívat se na transakce blíž. Zjistil, že jde jen o náhodnou shodu jmen, zpozoroval však také leccos jiného.
Příkazy neodpovídaly obvyklému vzorci plateb z Bangladesh Bank. Během předcházejících osmi měsíců odešlo z této banky do newyorského Fedu 285 platebních příkazů, tedy zhruba dva denně; všemi příjemci byly instituce. Čtvrtého února pak přišlo příkazů 35 v jediný den, příjemci byli povětšinou individuální a poukázané částky vysoké (jejich přesnou výši později prozradili jinak tajnůstkářští policejní vyšetřovatelé z bangladéšské Dháky: od šesti do 25 milionů dolarů).
O víkendu se nepracuje
To stačilo, aby CBIAS odeslal do Dháky prostřednictvím SWIFT kontrolní dotaz. Pořád ještě byl čtvrtek večer, v Bangladéši pátek nad ránem. Protože ale na ten den připadal v Bangladéši svátek, byl v bance v práci jediný zaměstnanec. Chtěl si podle úředního postupu nejprve vytisknout všechny příkazy SWIFT, ale nešla mu tiskárna. Netušil, že to není běžná mechanická závada, nýbrž dílo mimořádně prozíravých hackerů.
V sobotu kdosi bankovní tiskárnu opravil a zaměstnanci viděli kontrolní dotaz z New Yorku poprvé. Okamžitě prověřili stav věcí, zjistili, že SWIFT jim nefunguje, a hledali, jak by se s lidmi z Fedu spojili.
Útoky hackerů poznala i virtuální měna. Čtěte:
Hackeři útočí na bitcoin, ukradli 1,5 miliardy z velké burzy
Nakonec našli na stránkách Fedu emailovou adresu, na kterou sám tehdejší guvernér Atiur Rahman (kvůli kauze později odstoupil) odeslal naléhavý vzkaz o tom, že příkazy jsou padělky: „Prosíme, nechte si poslat zpět veškeré platby, které jste případně odeslali.“ Takový vzkaz by na newyorský Fed „zapůsobil jako bomba“, řekli později listu The New York Times lidé s během banky obeznámení. Nestalo se ale. Bangladéšští bankéři ke své smůle použili adresu, která nebyla připojena na telefon žádného ze zaměstnanců a nebyla považována za prioritní kanál pro sdílení naléhavých informací. Buď jak buď, zpráva zůstala nepovšimnuta.
Zprovoznit SWIFT se Rahmanovi a spol. podařilo až v pondělí v jedenáct hodin dopoledne. Odeslali tedy zprávu a čekali, že zhruba za šest a půl hodiny, až lidé z CBIAS přijdou do práce, Fed zareaguje. Z různých důvodů, které jsou dnes předmětem intenzivního vyšetřování, ale newyorská banka uvědomila své partnery o podvodu až v pondělí večer (v Bangladéši v úterý ráno, tedy čtyři dny po útoku).
Kdo za to může
Mezitím 68 milionů z již odeslaných 101 milionů zmizelo ve filipínských kasinech. (Zbývajících 13 milionů, které z Fedu odešly, zachytila Deutsche Bank, která si všimla, že v názvu příjemce je chyba: fundation namísto foundation, „nadace“. To Němcům stačilo, aby platbu pozdrželi.) Domy hazardu mají, jak napsal list The Washington Post, trochu neuvěřitelnou výjimku z tamního zákona proti praní peněz, takže co v nich jednou zmizí, je nedohledatelné. Všechna jména příjemců byla samozřejmě smyšlená.
Když všem zúčastněným došlo, co se stalo, začalo svalování viny z jednoho na druhého. Bangladesh Bank viní Fed z laxnosti v komunikaci (podle dostupných faktů ne zcela neprávem) a Newyorčané oplácejí nařčením z chabé bezpečnosti uvnitř banky (protože cestu k podvodu hackerům umožnilo nejspíš heslo některého z jejích zaměstnanců).
Obě banky pak viní z nedostatečného zabezpečení SWIFT, ovšem ani jedna příliš nahlas, protože bezpečnost SWIFT je součástí jejich důvěryhodnosti nebo toho, co teď místo důvěryhodnosti mají. Kromě toho oba finanční ústavy patří k vlastníkům SWIFT (jenž je organizován podle belgických zákonů jako družstvo; vlastní jej rovným dílem všech zhruba devět tisíc členů).
Květnová schůzka šéfů všech tří institucí v basilejském hotelu přinesla jen omezenou míru shody na tom, co se počátkem února skutečně stalo; detaily drží všichni aktéři pochopitelně pod pokličkou. Na září je naplánovaná další schůzka, tentokrát do New Yorku. Jistotu mají všichni bankéři jedinou: hackerský útok na účet Bangladesh Bank jistě nebyl posledním.