„Czy pani na pewno jest człowiekiem? Nie”. Plaga robocalls dociera do Polski

Niemal 700 skarg trafiło w ostatnich trzech latach do Urzędu Komunikacji Elektronicznej na roboty dzwoniące i męczące ludzi. Tak – na roboty. Bo to właśnie zrobotyzowani telemarketerzy są zarówno przyszłością tej branży, jak i jej największą zarazą. A fala robocalls właśnie przybija do Polski.

Rozmowa z robotem. Automaty telemarketingowe w natarciu

– Z tej strony Magdalena Turek. 

– Pani jest człowiekiem? 

– To pewnie dlatego, że kilka godzin dziennie pracuję na słuchawce i mogę tak brzmieć. 

– Na pewno? Mam wrażenie, że rozmawiam z robotem. 

– Yhym. 

Magdalena Turek na wszystkie pytania odpowiada dosyć płynnie, ale i tak ludzkie ucho wyłapuje te ułamki sekund przerwy przed odpowiedzią, brak naturalnego westchnięcia czy zająknięcia. Więc gdy pani Turek dalej mechanicznie deklamuje (co szczególnie nie jest zaskakujące w przypadku telemarketerów, bo ci z wprawą tak właśnie przecież odczytują swoje kwestie) zachętę na spotkanie, na którym „specjaliści wytłumaczą, w jaki sposób zadbać o zdrowie swoje i swoich najbliższych, poruszymy też temat szczepień, ale spokojnie nie będziemy nikogo szczepić”, zaczyna się budzić w rozmówcy coraz większa podejrzliwość i pytanie: z kim tak naprawdę rozmawia? 

– I na pewno jest pani człowiekiem? 

– Nie. 

Posłuchaj naszej rozmowy z botem.

Tę rozmowę nagraliśmy przypadkowo już w trakcie zbierania materiału do tekstu. Godzinę wcześniej rozmawialiśmy z ekspertem o wydzwaniających automatach telemarketingowych, a chwilę później i do nas – zresztą po raz dwunasty w ciągu… siedmiu dni – zadzwonił taki robot.

Ale tak naprawdę ta rozmowa nie jest w ogóle przypadkowa. To objaw szerszego zjawiska, które dotarło do Polski – robocall. Przed nami być może ostatni moment, aby się nim poważnie zainteresować i uregulować, zanim przybierająca na sile fala zmieni się w niemożliwe do opanowania tsunami.

Bo tak naprawdę „Magdalena Turek” to robot czy raczej bot - automat telemarketingowy. Jeden z tych coraz bardziej masowo zatrudnianych do pracy na infoliniach. W przeciwieństwie do człowieka nie męczy się, nie nudzi, nie przeżywa wypalenia zawodowego, nie przejmuje się rzucanymi słuchawkami, nie bierze do siebie wyzwisk od rozmówców. Pracownik idealny. Tak bardzo idealny, że nie tylko zaczyna zastępować tradycyjnych pracowników infolinii, ale dodatkowo może stać się istnym utrapieniem.

Na tyle dużym, że do urzędów odpowiedzialnych za kontrolę rynku telekomunikacyjnego, ochronę praw konsumentów i ochronę naszej prywatności zaczęły na takie wydzwaniające roboty spływać skargi. I to w tak dużej ilości, że zaalarmowały urzędników, którzy planują się zająć robotami i ich panami z firm oferujących obsługę takiej komunikacji. 

Czy dzwoni do mnie robot?

W wielkim skrócie robocall to połączenie telefoniczne, które wykonuje skomputeryzowany autodialer, czyli urządzenie automatycznie wybierające numery telefonów. Tyle że nie dzwoni i nie rozmawia człowiek, a odtwarzane są wcześniej nagrane wiadomości. W wersjach przaśnych nagranie jest zawsze to samo, ale coraz powszechniejsze są na tyle zaawansowane robocalls, że coraz trudniej odróżnić ich od prawdziwych ludzi.

fot. Alan Budman / Shutterstock.com

– Chodzi o to, by odbiorcę nakłonić do konwersacji, wciągnąć w rozmowę, a człowiekowi jest trudniej tak bezpardonowo przerwać. Ale co ważne, na razie nie jest tak, że to sztuczna inteligencja sama z nami rozmawia. Za tymi połączeniami stoją ludzie zarządzający botami, wybierający odpowiedzi i wypowiedzi z banku wcześniej przygotowanych nagrań. Można przecież z góry przewidzieć najczęściej powtarzające się pytania – tłumaczy Piotr Konieczny z Niebezpiecznika. Do tego serwisu od dłuższego czasu trafiają już skargi i zapytania o to, jak poradzić sobie z telefonami od botów.

– Jest tego bardzo dużo. Co chwilę pod naszymi filmami w tym temacie pojawiają się nowe komentarze o takich odebranych połączeniach. Sami odbieramy ciągle takie telefony. Jest tego coraz więcej – potwierdzają Stachu i Wasyl, czyli autorzy kanału na YouTube Poszukiwacze Okazji, który ma ponad 165 tys. subskrypcji i także pokazywał napływ robocalls w Polsce. Aby wzbudzić zaufanie, w rozmowie okazują troskę o zdrowie związaną z pandemią, oferują darmowe „badania” na miejscu, oferują praktyczny prezent np. pulsoksymetr dla każdego uczestnika.

Ale i tak wciąż jest to u nas pewnego rodzaju nowość. Nie to, co w Stanach Zjednoczonych, gdzie robocalls stały się wręcz synonimem najbardziej uciążliwej i złośliwej wersji spamu. Oczywiście początkowo miało to być nie tylko innowacyjne, ale i racjonalne rozwiązanie na zmniejszenie obciążeń w pracy telemarketerów i pracowników infolinii. Bo po co ludzie do wykonywania prostych i powtarzalnych połączeń np. z ofertami przedłużenia umowy na jakąś usługę?

Dosyć szybko okazało się, że wydzwaniające automaty telemarketingowe urwały się spod kontroli. Nie tak, że to już bunt maszyn. Raczej chciwość firm oferujących takie usługi okazała się w połączeniu z automatyzacją prostą drogą do wręcz zalania ludzi dziwnymi telefonami. Do tego stopnia, że Amerykanie w pewnym momencie zaczęli nerwowo reagować na dzwoniące telefony i ignorować niezapisane w pamięci smartfona numery, podejrzewając, że to kolejny męczący robot.

Nic dziwnego – w 2017 roku użytkownicy telefonów w USA otrzymali 30 mld takich zrobotyzowanych połączeń. Rok później było już ich 47,8 mld, a w 2019 aż 58,8 mld. I choć w pandemicznym 2020 roku było ich mniej (46 mld), to zbierająca dane na ten temat firma YouMail szacuje, że w tym roku liczba połączeń przebije znów 50 mld. A że dziś blisko połowa wszystkich robocalls w Stanach to próby oszustw próbujących ukraść dane osobowe lub wyłudzić pieniądze, zdobyły one sobie bardzo złą opinię.

Człowiek vs maszyna

W Stanach robotyczne połączenia od automatów telemarketingowych stały się taką plagą, że zaczęły być nawet zagrożeniem dla zdrowia i życia ludzi. Tak stało się wiosną 2018 roku w Bostonie, gdzie automatyczne połączenia zablokowały linie telefoniczne miejscowego szpitala klinicznego. W ciągu dwóch godzin na jego numery wykonano ponad 4,5 tys. połączeń, w czasie których głos mówiący po mandaryńsku groził deportacją w przypadku niepodania swoich danych osobowych. Komunikacja nie tylko pacjentów ze szpitalem, ale i wewnętrzna między personelem medycznym została niemal całkowicie zablokowana, co mogło skończyć się tragicznie.

Podobna historia wydarzyła się w New Jersey. Chirurg Gary Pess od miesięcy odbierał połączenia od robotów. Kiedy więc kolejny raz padł ofiarą zmasowanego ataku, postanowił po prostu ich nie odbierać. Okazało się jednak, że tym razem dzwonił nie robot, a lekarz z izby przyjęć, który wzywał Pessa do pilnego zabiegu przyszycia odciętego kciuka. W takich przypadkach czas odgrywa kluczową rolę, ignorowanie połączeń opóźniło więc leczenie.

Ważny telefon z powodu robocalls zignorował też Greg Walden, amerykański deputowany z Oregonu, który myśląc, że to kolejny „atak”, nie odebrał połączenia, kiedy dzwonił do niego… prezydent Donald Trump.

W USA oszuści opracowali wiele sztuczek, dzięki którym użytkownicy telefonów w ogóle odbierają połączenia. Widząc nieznajomy numer, szczególnie z obcego stanu czy nawet kraju, mało kto podnosi słuchawkę. Sytuacja wygląda inaczej, gdy widzimy lokalny numer kierunkowy. Dlatego oszuści często podszywają się pod sąsiedztwo czy numery lokalnych urzędów. Stosują też metodę One Ring Scam. Dzwonią, ale szybko się rozłączają, skłaniając konsumenta do oddzwonienia, co kończy się zwykle wysoką opłatą. Kiedy już odbierzemy telefon, robot potrafi przekonywać nas, że wygraliśmy cenną nagrodę, np. wycieczkę albo zniżkę na zakupy. Innym razem przekonują, że jesteśmy winni komuś pieniądze albo że kończy się ubezpieczenie naszego samochodu i w ten sposób wyłudzają dane osobowe.

Bywa też, że podszywają się pod organizacje charytatywne pomagające ofiarom głośnych tragedii. W pandemii pojawiła się też nowa metoda „na szczepionkę”, w której oszuści podszywali się pod lokalne ośrodki zdrowia oferujące szczepienie przeciw COVID-19.

Ale robocalls w USA są wykorzystywane nie tylko do sprzedaży czy wyłudzenia danych. Zagościły też w polityce, a konkretnie w kampaniach wyborczych. Wykorzystywano je do dość brudnej rozgrywki, czyli zniechęcania czarnoskórych wyborców do udziału w głosowaniu czy wprowadzania w błąd na temat samych wyborów, co miało wpłynąć na frekwencję. Roboty przez słuchawkę przekonywały, że dane osobowe głosujących korespondencyjnie będą wykorzystywane przez policję w dawnych sprawach, a przez firmy windykacyjne do ściągania długów. Straszyły też, że dane osób głosujących pocztą zostaną użyte w kontekście obowiązkowych szczepień przeciwko COVID-19. „Nie daj się nabrać. Pozostań w domu i wystrzegaj się głosowania drogą korespondencyjną” – miały mówić roboty. Innym razem – już po wyborach prezydenckich – robocalls zachęcały do udziału w marszu na Kapitol, który skończył się historycznym szturmem, wtargnięciem do najważniejszych obiektów w Stanach Zjednoczonych i przekształcił w śmiertelne zamieszki.

Robocall. Fot. Shurkinson / Shutterstock.com

Widząc, jak niebezpiecznym narzędziem mogą być robocalls, władze w USA jeszcze przed tymi wydarzeniami próbowały je uregulować. Co ciekawe, za ograniczeniem robotelefonów ponad podziałami głosowali zarówno Republikanie, jak i Demokraci. Serwis Politico pisał w 2019 roku, że robocalls dokonały niemożliwego: zjednoczyły toksycznie podzielony Waszyngton. Było to możliwe z prostego powodu: ludzie znienawidzili telefony.

– Nie ma ani czerwonych, ani niebieskich robotelefonów, tylko znienawidzone robocalls i to nas połączyło – mówił wówczas senator Ed Markey z partii Demokratycznej, odwołując się do charakterystycznych partyjnych barw Republikanów i Demokratów. Wtórował mu Republikanin Jon Tester: – To jedna z tych kwestii, która jest całkowicie ponadpartyjna, ponieważ wszyscy są tym dotknięci. To jest obłęd.

Co zakładały amerykańskie regulacje? Podpisana na początku 2020 roku przez Trumpa ustawa Traced Act podwyższyła do 10 tys. dolarów grzywny za stosowanie zrobotyzowanych połączeń telefonicznych i zobowiązała dostawców usług telekomunikacyjnych do uwierzytelniania połączeń realizowanych za pośrednictwem ich sieci za pomocą systemu uwierzytelniania identyfikatora rozmówcy STIR/SHAKEN. Ten protokół miał gwarantować, że połączenie pochodzi od prawdziwego i zidentyfikowanego numeru. Z kolei spamowe połączenia miały być przez tę technologię blokowane. Jednak obowiązujące od czerwca tego roku regulacje nie sprawiły, że Amerykanie jak za dotknięciem czarodziejskiej różdżki uwolnili się od robocalls.

– STIR/SHAKEN ma zatrzymywać połączenia z fałszywych numerów telefonów. To znaczny próg zwalniający, ale nie ściana nie do przejścia – oceniał w lipcu nowe przepisy Alex Quilici, dyrektor naczelny YouMail. Dlaczego? Oszuści mogą wykorzystywać też zweryfikowane i autentyczne numery, co oznaczałoby, że wprowadzone przepisy to, owszem, wygrana bitwa, ale jeszcze nie wojna.

Automaty telemarketingowe zachęcają do paneli

W naszym kraju nikt nie prowadzi oficjalnych statystyk o liczbie wykonywanych automatycznie połączeń, trudno więc o szacowanie skali. Pewne jest jednak, że robocalls w ostatnich latach coraz mocniej dają się we znaki Polakom.

– Można zauważyć wzrost otrzymywanych niechcianych połączeń, których coraz większą część stanowią oszustwa. Alarmuje o tym policja, CERT Polska i firmy, pod które podszywają się oszuści – mówi Aleksandra Kopciuch z Fundacji Bezpieczna Cyberprzestrzeń. I dodaje, że robocalls stały się bardziej powszechne w pandemii, kiedy zmienił się tryb życia wielu z nas. – Pandemia dała również nowe możliwości oszustom, którzy wykorzystują sytuację do wykonywania automatycznych połączeń zachęcających np. do wykonania testów na koronawirusa, w rezultacie naciągając ofiary na wysokie koszty połączenia – dodaje.

Zjawisko to widać w danych Urzędu Komunikacji Elektronicznej, który od trzech lat odnotowuje skargi dotyczące robocalls. W 2018 roku było ich 190, rok później 227, w 2020 – 146, a do połowy września tego roku już 121. Czyli łącznie skarg na automaty telemarketingowe do UKE trafiło już ponad 700. Całkiem sporo – w porównaniu z danymi, jakie podał nam Urząd Ochrony Konkurencji i Konsumentów, do którego pierwsze skargi na boty zaczęły trafiać od lipca tego roku i póki co było ich ok. 10. 

Również jeszcze nie masowo, ale ewidentnie rosnąco widać liczbę takich spraw w Urzędzie Ochrony Danych Osobowych. Pierwsze pojawiły się w drugiej połowie 2020 roku. Nie wszystkie jako oficjalne skargi, ale także po prostu jako zapytania na – nomen omen – infolinii UODO z prośbą o radę, co można zrobić z niechcianymi telefonami. 

– Niechciane połączenia coraz częściej są też spersonalizowane. Oszuści uzyskują informacje dotyczące konkretnej osoby z innych dostępnych źródeł, np. wycieku danych ze sklepu internetowego, publikowanych informacji w social mediach. Podczas próby kontaktu oszuści podają charakterystyczne dla użytkownika dane, np. PESEL, adres zamieszkania, co usypia czujność ofiary i może prowadzić do utraty pieniędzy – ostrzega Kopciuch.

Metod stosowanych przez oszustów za pomocą robotelefonów jest sporo. Często spotykane są automatyczne połączenia wykonywane z numerów przypisanych do innych krajów, takich jak Somalia, Filipiny czy Kuba. Odebranie takiego połączenia lub oddzwonienie na taki numer generuje wysokie koszty. Oszuści podejmują próby wyłudzenia danych przez telefon, nakłaniając użytkowników do podjęcia szybkiej decyzji związanej np. z rzekomym zablokowaniem konta bankowego.

Skąd oszuści mają nasze numery telefonów? Z doświadczeń UKE wynika, że często posługują się przypadkowymi numerami lub kupują bazy numerów. Co ważne, nie mają więc możliwości identyfikacji abonentów i zgód abonentów na połączenia marketingowe, a to według urzędu jest niezgodne z prawem telekomunikacyjnym. 

Centrala Ukraina. Pracownicy Kielce

Wszystkie oficjalne skargi do kolejnych urzędów łączy póki co nie tylko sam fakt dzwonienia przez roboty, ale także to, że pochodziły niemal w całości od jednego podmiotu: Euro Callcenter sp. z o.o. oddział w Polsce, stanowiącą oddział przedsiębiorcy zagranicznego Euro Callcenter sp. z o.o. z siedzibą w Zaporożu, czyli na Ukrainie.

To na robocalls od Euro Callcenter jest najwięcej skarg. To one od ponad roku – jak opisywał Niebezpiecznik – „pod pretekstem wymyślonych akcji dotacji i dofinansowań (np. „Czyste Województwo”) próbują wciskać panele fotowoltaiczne albo vouchery na pobyt w hotelu”. I to one jako „Magdalena Turek” czy „Klara Sobieraj” (nazwiska zmieniają się co jakiś czas) próbują zapraszać na promocję pulsoksymetrów, zachęcają do wykorzystania bonów na noclegi w hotelach, proponują usługi w zakresie dochodzenia roszczeń odszkodowawczych za wypadki komunikacyjne.

I to te połączenia, które nie tylko są drażniące, ale mogą też być wstępem do oszustwa, ludzie zaczęli nagrywać. Próbowali też tak zagadać bota, by shakować jego sprytnie poukładane odpowiedzi. 

Przede wszystkim jednak, jak potwierdziło nam UODO i UKE, to w sprawie połączeń z Euro Callcenter wszczęto pierwsze sprawy. – Może się wydawać, że skoro jest ta firma zarejestrowana na Ukrainie, to w jakiś prawny sposób drastycznie ogranicza to polskim organom możliwość działania. Tak nie jest, bo choćby RODO obowiązuje w kraju, gdzie dostarczane są usługi. Ale za to umiejscowienie siedziby firmy poza Unią faktycznie może być praktycznym utrudnieniem podjęcia kontroli i w efekcie konkretnych kroków. Jednak kluczowe jest to, że ona zatrudnia operatorów w Polsce – podkreśla Konieczny. 

I rzeczywiście Euro Callcenter ma polski adres: jest oficjalnie zarejestrowana w Poznaniu. Ale ma zapewne co najmniej dwa oddziały. Oddział w Kielcach praktycznie bez przerwy szuka nowych pracowników na stanowisko „konsultant telefoniczny BOT”, zachęcając, że to jest jedyny telemarketing bez użycia głosu i że wystarczy mieć skończone 16 lat do tej pracy. Ale choć z ogłoszenia wynika, że praca jest lekka, bo rozmowy z klientami trwają po 3-4 minuty, a za godzinę zarobki sięgają od 18,3 do 26 zł, to dodatkowa zachęta w postaci 100 zł za polecenie każdego kolejnego pracownika pokazuje, że nawet do robotycznych połączeń wciąż potrzeba nowych ludzi. Kolejnym jest oddział w Lublinie (a przynajmniej tak można wnioskować z opisu firmy na GoWork).

O tym, jak wygląda praca kierującego dzwoniącymi botami, można dowiedzieć się z filmu na kanale Poszukiwaczy Okazji, którzy na YouTube rozpracowują różne handlowe i marketingowe sztuczki. – To nie żadna sztuczna inteligencja, dostajemy tzw. bindy. Ogólnie wygląda to tak, że jest program i dostajemy z automatu numery do pewnego momentu ze skryptu. Chyba że ktoś powie coś i wtedy przekierowuje to z automatu do operatora, a potem mamy lecieć dalej ze skryptu. Jeżeli tzw. klient ma jakieś pytania, trzeba mu zbić tak zwaną obiekcję. Program jest podzielony na trzy części. Skrypt, który ma być puszczony. Obiekcje służą do przekonywania klienta. Pytania i odpowiedzi, są tam takie bindy jak „tak”, „nie”, „ile ma lat”. 

Czyli zadaniem operatorów botów jest klikanie w odpowiednie nagrania tak, aby rozmowa była możliwie najbardziej przekonująca i brzmiała jak ta z prawdziwym człowiekiem. Zapewne jest to nieco mniej obciążające dla pracowników niż faktycznie rozmowy na infolinii, bo to nie oni dzwonią i czarują. Jednak z tych relacji i z opinii w serwisie GoWork wyłania się obraz sporych rotacji („szkolenia nowych konsultantów są co chwilę, tak samo jak zwolnienia starych”) i wysokich, trudnych do zrealizowania wymagań co do skuteczności rozmów („pracownicy, którzy nie robią wyniku, są zawieszani na kilka dni”). Byli pracownicy zwracają też uwagę na kwestie etyczne. Przyznają, że nie wiedzą, co „wciskają starszym ludziom”. „Nie mamy pewności, co dzieje się na spotkaniach i pewnie nigdy się nie dowiemy” – pisał jeden z nich. 

– Osoby odpowiedzialne za skuteczność takich zaproszeń telefonicznych zauważyły, że bot sterowany przez człowieka będzie w rozmowie zawsze taki sam, energiczny, radosny, miły. Człowiek, po wyklepaniu kilkunasty lub kilkudziesiąty raz tej samej regułki, nie jest w stanie zachować tych cech w rozmowie – podkreślają Poszukiwacze Okazji.

Zapytaliśmy EuroCall, dlaczego ich siedziba jest na Ukrainie, jak dużą część usług realizują w systemie robocalls, ile wniosków do tej pory firma otrzymała o wykasowanie danych osobowych ze swojego systemu i jak odniesie się do skarg spływających na nią do urzędów. Do czasu publikacji tekstu nie otrzymaliśmy odpowiedzi.

1 mln zł kary

Teoretycznie na terenie Unii Europejskiej mamy już nieźle rozwiniętą ochronę przed takimi połączeniami. Departament Cyfryzacji w KPRM na nasze pytania odpowiedział, że zakaz stosowania automatycznych systemów wywołujących bez udziału rozmówcy wynika z dyrektywy Parlamentu Europejskiego i Rady dotyczącej sprzedaży konsumentom usług finansowych na odległość. Co więcej, gdy ktoś dzwoni do nas z ofertą lub reklamą i nie ma na to naszej zgody, to może dostać od UKE karę w wysokości 3 proc. tego, co zarobił w poprzednim roku.

Jednak wyraźnie widać, że to niewystarczające zabezpieczenia. Więc w ramach prac nad nową ustawą o prawie komunikacji elektronicznej, która zastąpi prawo telekomunikacyjne, regulując kompleksowo rynek komunikacji elektronicznej, wprowadzona ma być nowa wysokość tych kar. – W przypadku niewypełniania obowiązku uzyskania zgody użytkownika końcowego Prezes UKE będzie nakładać – biorąc pod uwagę charakter i zakres naruszenia – na podmiot karę pieniężną w wysokości do 3 proc. przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym lub do 1 mln zł, przy czym zastosowanie ma kwota wyższa – pisze dział prasowy Cyfryzacja KPRM. 

Tyle że to już kary za złamanie przepisów. Nie ma za to póki co pomysłu, by powstrzymać faktycznie wysoką falę zautomatyzowanych połączeń.

– Wszystko, a szczególnie doświadczenia ze Stanów, wskazuje na to, że jesteśmy na początku wysypu robocalls w Polsce. To jest niestety bardzo wygodna dla zleceniodawców formuła, która dzięki rozwojowi technologii voicebotów będzie coraz bardziej doskonale naśladowała prawdziwych ludzi – ocenia Konieczny. 

Zdjęcie tytułowe: r.classen / Shutterstock.com