Prihodnost zločina

Pred točno 12 leti je vsa Slovenija govorila o spektakularnem ropu banke SKB v Ljubljani. Ta se je zgodil 1. novembra, toda podrobnosti dogodka so javnost razburjale še več mesecev. Policija je mrzlično iskala storilce, ki so vdrli v banko, zvezali varnostnika in se odpiranja sefov lotili z ukrivljenimi jeklenimi palicami. V slogu hollywoodskih akcionerjev so poskakali v ukraden kombi in odbrzeli po ljubljanskih ulicah; policiste, ki so se pognali za njimi, so ustavili z ovirami iz skupaj zvarjenih žebljev, ki so jim jih med pregonom zmetali pod kolesa. Lov je bil končan, roparji so izginili v noč, skupaj z njimi pa za 32 milijonov evrov plena. Tudi več kot desetletje kasneje primer še zmeraj ni zaključen. Od petih roparjev sta doslej za zapahi končala le dva, večina ukradenih dragocenosti je izgubljena za zmeraj.

Prejšnji teden pa je Slovenija doživela nov »rop desetletja«, ki je dosti bolj zapleten in skrivnosten od tistega v banki SKB. Predvsem pa je izginilo še precej več denarja. Gre za hekerski vdor v strežnike slovenske spletne menjalnice NiceHash, iz katere so napadalci na svoje račune pretočili približno 4700 bitcoinov, danes vrednih več kot 70 milijonov evrov. Dogodek je zbudil pozornost po vsem svetu, o njem so poročali tudi CNN, Guardian in Reuters. Označuje namreč vrh novega obdobja v zgodovini kriminala. Čas strašenja s pištolami, šarjenja po sefih, tlačenja denarja v vreče in divjanja po ulicah je pri koncu. Ali kot pravijo v centru za računalniško preiskovanje pri kriminalistični policiji, ki skupaj z nacionalnim odzivnim centrom za spletne incidente SI-CERT preiskuje vdor v NiceHash: »Kibernetska kriminaliteta in s tem kazniva dejanja, povezana z internetom, elektronskimi napravami in sodobnimi IT-storitvami, so nenehno v porastu, v svetu in tudi pri nas ... Zaradi lastnosti kriptovalut, kot so na primer decentralizacija in velika stopnja anonimnosti, je za odkrivanje storilcev ključnega pomena sodelovanje z drugimi organi pregona, mednarodnimi organizacijami in zasebnim sektorjem.«

Na lovu za duhovi

Ključna razlika med primerom NiceHasha in tradicionalnimi ropi je v plenu, ki so ga odnesli napadalci. Bitcoin je prva in najdragocenejša med kriptovalutami, ki veljajo za denar prihodnosti. Gre za svojevrstna potrdila, ki jih za reševanje zapletenih transakcij drug drugemu podeljujejo računalniki, udeleženi pri teh operacijah. Preprosteje povedano, ta »denar« nastaja iz zraka in obstaja samo na računalniškem zaslonu, zanj pa ne jamči nobena centralna banka. To pomeni, da je transakcije s temi valutami izjemno težko nadzirati, vlagatelji in trgovci z virtualnim denarjem pa so skoraj povsem anonimni. Nobenih osebnih podatkov in dokumentov, nobenih prstnih odtisov in nobenih imen. Lastniki elektronskega denarja tega nalagajo v virtualne denarnice, te pa niso nič drugega kot z množico gesel in kod zaščiteni programi, ki si zapomnijo stanje iz zraka potegnjenih zneskov. A preden se ti podatki pretočijo v omenjene aplikacije, so naloženi na strežnikih spletnih trgovcev, kot je NiceHash. Prav te so napadli hekerji.

Vdor v NiceHash označuje vrh novega obdobja v zgodovini kriminala. Čas strašenja s pištolami, šarjenja po sefih, tlačenja denarja v vreče in divjanja po ulicah je pri koncu.

Pred preiskovalci vdora je težka naloga, težja kot pred 12 leti v primeru SKB. Tokrat za roparji niso ostale strgane rokavice in sledovi DNK ali posnetki varnostnih kamer. Jasno je, da so v strežnike NiceHasha vdrli strokovnjaki, ki do potankosti obvladajo tehnologijo skrivalnic, kakršne omogočajo kriptovalute. Kljub temu lahko računalniški strokovnjaki sledijo ukradenim bitcoinom po prostranstvih svetovnega spleta, pojasnjuje vodja centra SI-CERT Gorazd Božič: »Drugače od drugih kriptovalut je pri bitcoinu mogoče rekonstruirati opravljene transakcije. Kriminalisti vedo, v katere virtualne denarnice so tatovi naložili plen. Sedaj napeto spremljajo te denarnice in čakajo, kam bodo šli NiceHashevi bitcoini.«

Spletni ravbarji in žandarji

A kot rečeno, osebo, ki stoji za virtualno denarnico, je težko odkriti, saj je skrita za abstraktnimi uporabniškimi imeni in zapletenimi gesli. Poleg tega tudi naslovi računalnikov, iz katerih je bil izpeljan napad in ki so jih takoj po vdoru pridobili NiceHashevi skrbniki, niso dovolj za razkritje identitet tistih, ki so delovali prek njih. Vse, kar je iz njih mogoče ugotoviti, je, da ti računalniki niso bili nameščeni na območju EU. Kljub temu Božič – ki je kriminalistom pomagal uspešno rešiti že nekaj primerov spletnega kriminala – meni, da napadalci na NiceHash niso zunaj dosega preiskave. »Počakati je treba, za kaj bodo plen porabili. Bitcoin namreč sam zase nima nobene vrednosti, če stoji v virtualni denarnici.« Tatovi bi plen lahko zapravili tudi za nakup orožja ali mamil na skrivnostnih borzah »temnega spleta«, kjer se srečujejo kriminalci. Vendar so policijske akcije, kot je racija FBI na razvpiti platformi Svilna pot, pokazale, da tudi te borze niso več varne pred zakonom. »Večja težava bo, če bodo ukradene bitcoine zamenjali za katero od valut, ki so resnično neizsledljive, na primer monero. Ali če so rop izpeljali prek katere od držav, ki ne sporočajo podatkov drugim, na primer prek Rusije in Nigerije.«

Kljub eksploziji vrednosti bitcoina in naraščajoči predrznosti hekerjev pa se prostor, v katerega se lahko skrijejo spletni roparji, počasi, a zanesljivo krči. Evropska unija in Velika Britanija sta pred kratkim napovedali velikopotezen načrt, s katerim bi bitcoin postal dosegljiv državnemu nadzoru in s katerim bi odpravili anonimnost njegovih lastnikov. Kitajska pa je celo prepovedala pridobivanje prve med kriptovalutami. Hkrati policije po vsem svetu po znanju dohitevajo hekerje – tudi naša. V kriminalističnem centru za računalniško preiskovanje so zatrdili, da »slovenska policija pridobiva potrebna znanja in ustrezno prilagaja svoje postopke za učinkovitejše preiskovanje kaznivih dejanj, pri katerih so udeležene kriptovalute. Pri tem med drugim sodeluje tudi z drugimi državami, Europolom in Interpolom, slovenskimi podjetji na tem področju ter se redno udeležuje usposabljanj tudi s področja kriptovalut.«

Pravniki v zadregi

Napredku policije pa ne sledi razvoj ustrezne zakonodaje; ta ostaja zastarela in skoraj povsem nedorečena glede kriptovalut. Edini predpis, ki vključuje definicijo teh, je pred dobrim letom sprejeti zakon o preprečevanju pranja denarja. V njem so bitcoin in druščina opredeljeni kot »digitalni zapis vrednosti, izdan s strani fizične ali pravne osebe, ki ni centralna banka ali javna institucija, uporabljen kot sredstvo za menjavo, ki se lahko elektronsko prenese, hrani ali izmenjuje, in ki ni nujno vezan na tradicionalne (fiat) valute ter lahko predstavlja neposredno plačilno sredstvo med subjekti, ki ga sprejmejo«. A kot kaže praksa, slovenske institucije še zmeraj ne vedo, kako naj si pomagajo s to definicijo. Bitcoin zanje ni ne tič ne miš. »Virtualne valute (tudi kriptovalute) se ne štejejo za denarno sredstvo (...) Prav tako se virtualne valute ne štejejo za finančni instrument,« so zapisali pri finančni upravi (Furs) v dokumentu, s katerim so javnosti skušali pojasniti, zakaj transakcije z bitcoini niso obdavčene.

Ujeta roparja banke SBK sta bila obsojena vsak na 14 let zapora, napadalci na NiceHash pa bi lahko v najboljšem primeru dobili nekajkrat nižjo kazen.

Zapis, objavljen avgusta 2017, osem let po nastanku bitcoina, odraža temeljno zadrego, pred katero so se sedaj, pri preiskovanju ropa v NiceHashu, znašli organi pregona. Pri ropu SKB je šlo za denar, zlate palice, vrednostne papirje in dragulje. Kako pa opredeliš, kaj šele raziščeš tatvino nečesa, za kar zakon ne ve točno, kaj sploh je? Ker bitcoini, ki so jih za stranke hranili pri NiceHashu, po ekonomski in pravni logiki ne veljajo za premoženje, pri vdoru v njegove strežnike ne gre za klasični rop. Edini členi kazenskega zakonika, na katere se je v tem primeru mogoče sklicevati, so določbe, ki govorijo o vdoru v informacijski sistem in o zlorabi tega. Predvidena kazen zanj znaša do pet let zapora, trikrat manj od najvišje kazni za roparsko tatvino. Paradoks je očiten: ujeta roparja banke SBK sta bila obsojena vsak na 14 let zapora, napadalci na NiceHash, ki so ukradli dvakrat večjo vrednost, pa bi lahko bili obsojeni na nekajkrat nižjo kazen. Seveda, če bodo kdaj sploh prišli v roke policiji.

Temna plat svobode

Medtem se v kriptovalutah pretaka vedno več denarja, od katerega država nima nič. Prek spletnih menjalnic, kot sta NiceHash in še dosti večji Bitstamp, ki ga prek Luksemburga nadzirata kriptomilijonarja Damijan Merlak in Nejc Kodrič, je mogoče s starimi dobrimi evri in dolarji kupiti bitcoin in druge virtualne kovance. Vendar zaradi nedorečenosti slovenskih predpisov denar, naložen v kriptovalute, ostaja zunaj dosega sistema. »Deležniki shem virtualnih valut, ki v Sloveniji omogočajo nakup (npr. menjalne platforme), hranjenje (npr. ponudniki digitalnih denarnic) in trgovanje z virtualnimi valutami, niso sistemsko regulirani in nadzorovani,« je pred dvema mesecema v javnem opozorilu vlagateljem priznal odbor za finančno stabilnost (OFS), ki ga sestavljajo članice agencija za trg vrednostnih papirjev, agencija za zavarovalni nadzor, Banka Slovenije in ministrstvo za finance. Med neregulirane deležnike seveda spada tudi NiceHash, ki mu je takšen status verjetno povsem ustrezal, dokler je pomenil več dobička. Sedaj, ko je ta dobiček izpuhtel v zrak, pa se je izkazalo, da ima odsotnost državnega nadzora, na katero stavijo trgovci z bitcoinom in vlagatelji, tudi slabe plati. To so stranke NiceHasha občutile na svoji koži, saj so čez noč ostale brez bitcoinov.

Možnost, da jih bodo kadarkoli dobile nazaj, je majhna. Zaradi izmuzljivosti in nepredvidljivosti s kriptovalutami nima težav le država, temveč tudi zavarovalnice. V Sloveniji tako ne deluje nobena, ki bi bila pripravljena zavarovati takšne posle in poplačati škodo, nastalo zaradi tatvine. Le iz Zavarovalnice Sava so sporočili, da »razvijajo določena zavarovanja na področju kibernetske varnosti, ki jih bomo zavarovancem ponudili v letu 2018«. NiceHasheva sredstva naj bi tako bila zavarovana pri ameriški družbi BitGo, ki pa je že leta 2016 opustila zavarovalni program in se raje posvetila izpopolnjevanju tehnologije za preprečevanje hekerskih napadov. Edino zavarovanje, ki ga še ponuja, je vezano na uporabo njenih »varnih« virtualnih denarnic. Odškodnina bi torej bržkone bila izplačana le, če so bili ukradeni bitcoini naloženi v njih. Vendar niso bili, temveč so jih hranili strežniki NiceHasha; tako so vsaj sporočili iz tega. Tudi zato se oškodovani vlagatelji prek spletnih platform, kot je Reddit, že zbirajo in načrtujejo tožbe proti slovenski menjalnici. To je povsem drugače kot pri prejšnjem »ropu desetletja«, ko so zavarovalnice oškodovancem v primeru SKB brez težav odobrile veliko večino zahtevkov. A tisto je že neki drug čas. In neki drug denar.