Tavaly több hónap alatt mintegy 23 millió dollárt loptak el kiberbűnözők a Revolut amerikai leányvállalatától. Az ügyfelek szempontjából jó hír, hogy a pénz nem az ügyfelek számlájáról tűnt el, hanem a Revolut saját pénzeszközeiből. A Financial Times értesülése szerint a támadók Revolut fizetési rendszerének egy hibája használták ki (paywall). Mint a brit üzleti lap írja, a vállalatnak rosszkor jött az incidens, mivel például az Egyesült Királyságban szeretne banki licencet szerezni.

A támadók egy az európai és az amerikai fizetési rendszerek közötti különbséget használtak ki, állítják a lap informátora. Amikor bizonyos tranzakciókat elutasítottak, a Revolut automatikusan visszatérítette az összeget, csakhogy ilyenkor lényegében a saját pénzét utalta vissza. Szervezett bűnözői csoportok a csalásba bevontak gyanútlan magánszemélyeket is, akiket rávettek, hogy nagy összegű vásárlásokat hajtsanak végre. Majd a tranzakciót elutasították, és ATM-ből megpróbálták felvenni az összeget. (Az a Financial Times beszámolójából nem derül ki, hogy mindezt hogyan tudták megtenni.)

A Revolut valószínűleg azért hallgatott, mert megpróbálta visszaszerezni a pénzt. Az informátorok szerint azonban csak töredékét sikerült, így a pénzügyi szolgáltatót összességében kb. 20 millió dollár veszteség érte. Ez az amerikai leányvállalat 2021-es nettó nyereségének közel kétharmada.

Van azonban egy különösen aggasztó eleme a sztorinak: nem a Revolut rendszerei szúrták ki a tömeges csalást. Egy amerikai partnerbank értesítette őket, hogy a túl kevés pénz van a számlájukon. Csak ekkor, 2022 tavaszán azonosították a problémát, és kezdték el kijavítani a rendszerben lévő hibákat. A hiányzó pénzt pedig az anyavállalat pótolta több millió dolláros tőkeinjekcióval.

Rosszkor jött az incidens

A fintechnek nagyon rosszkor jött az ügy, ugyanis több mint két éve vár arra, hogy megkapja a banki licencet az Egyesült Királyságban – a kérelmet 2021 januárjában adták be. Mint a Financial Times írja, egy ilyen kérelem elbíráslásának átlagos átfutási ideje egy év. Tavasszal a cég egyik alapítója, Nik Storonsky vezérigazgató még azt nyilatkozta a lapnak, hogy hamarosan megkapják a banki engedélyt, aminek megadása azért húzódott el, mert a Silicon Valley Bank és a Credit Suisse körüli ügyek miatt a szabályzó hatóságok rendkívül óvatossá váltak.

A brit felügyeleti szervezetet, az FCA-t (Financial Conduct Authority) azonban más is aggaszthatta. 2020-ban, tehát a banki engedély iránti kérelem beadása előtt elrendelte a Revolut pénzügyi bűncselekmények megelőzésére és felderítésére irányuló szabályzatának a felülvizsgálatát.

De más gondok is lehetnek a cég háza táján. A 2021-es rekord nyereséggel kapcsolatban a cég auditora, a BDO azt nyilatkozta, hogy lényeges tévedések lehetnek a 2021-es bevételek számításában. Ezt az akkor még pénzügyi vezetőként dolgozó Mikko Salovaara azzal magyarázta, hogy a komplex IT-rendszerek nem tudnak lépést tartani a cég gyors növekedésével.

Jelzésértékű lehet, hogy az elmúlt hónapokban több fontos vezető távozott: márciusban a brit operációt vezető James Radford, akit májusban Mikko Salovaara is követett. És még nincs vége: megy Joel Kass banki termékekért felelős vezető is, aki korábban Bank of Englandnél az új bankok felügyelőjeként is dolgozott. Az sem jó üzenete, hogy a Revolut két befektetője, a Molten Ventures nevű VC és a Schroders vagyonkezelő jelentősen leértékelte a Revolutban lévő részesedését.