Proliferační financování je využití finančních prostředků a služeb k získání, vývoji nebo obchodu se zbraněmi hromadného ničení (weapons of mass destruction, WMD) a souvisejícími technologiemi. Severní Korea ho využívá k financování jaderného a raketového programu, Írán k vývoji balistických raket a obohacování uranu.
V praxi jde hlavně o dvě linie: generování příjmů pro sankcionované režimy a nákup citlivých technologií po celém světě.
Tradiční nástroje jsou dobře známé: schránkové firmy a prostředníci, tranzit přes třetí země, falšování klasifikace zboží, zamlžování skutečného vlastníka, kryptoměny a neformální bankovní sítě.
AI tyto metody nepřepisuje, ale dramaticky škáluje. Zvyšuje rychlost, objem a komplexitu operací a zároveň snižuje počet chyb, na kterých dnes stojí velká část compliance a forenzního šetření.
GenAI jako továrna na podvody
Generativní AI dnes umí masově produkovat kvalitní podvržené dokumenty: osobní doklady, výpisy z účtů, daňová přiznání, potvrzení o zaměstnání, registrace lodí či end-user certifikáty. Tam, kde dříve bylo nutné ruční photoshopování a improvizace, zvládají modely generovat stovky až tisíce variant, jazykově i vizuálně konzistentních s místním kontextem.
Další úroveň představují syntetické identity. Nejde jen o falešný pas, ale o kompletní digitální osobu: profil na LinkedInu, historii transakcí, rodiče v databázích, základní webovou stopu.
Tyto identity lze používat k otevírání účtů, zakládání firem, vstupu do dodavatelských řetězců nebo k obcházení sankcí na konkrétní osoby.
Chcete dostávat do mailu týdenní přehled článků z Computertrends? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
Studie RUSI popisuje vývoj severokorejských IT pracovníků po zákazu zahraničního zaměstnávání ze strany OSN. Po přechodu na remote model začal režim využívat GenAI k tvorbě životopisů, motivačních dopisů i online person – a deepfaky k maskování skutečné identity při videopohovorech.
Firmy v USA, Evropě i Asii tak často netuší, že najímají lidi napojené na severokorejský režim a pomáhají mu generovat příjmy.
Pro praxi KYC (know your customer – ověřování identity klientů) a onboardingu to znamená zásadní problém: systémy založené na kontrole dokumentů a základních biometrických prvků jsou zranitelné vůči kombinaci dobře připravených podvrhů a deepfake videa.
AI, shell companies a beneficial ownership 2.0
Jedním z limitů tradičních sankčních schémat byly lidské kapacity. Udržet při životě desítky schránkových firem, jejich dokumentaci a minimální tok transakcí je administrativně náročné – a lidské chyby bývají často prvním vodítkem pro vyšetřovatele.
AI tento limit zásadně posouvá. Generuje názvy, adresy, statutární orgány i mikroweby schránkových firem. Simuluje drobné, zdánlivě legitimní transakce pro vytvoření historie. Udržuje rozsáhlé sítě firem v hibernaci a aktivuje je podle potřeby – například po zavedení nových sankcí.
Ještě větší výzvou jsou vlastnické struktury. AI dokáže navrhovat multilayer řetězce napříč jurisdikcemi, kombinovat trusty, formální akcionáře (kteří pouze půjčují jméno, ale nemají reálnou kontrolu) a syntetické identity tak, aby byly vzájemně co nejméně korelované a statisticky co nejhůře odhalitelné.
Tradiční přístup compliance – hledat divné shody v adresách, telefonech nebo jménech ředitelů – zde začíná narážet na protivníka, který dělá mnohem méně chyb.
Kryptoměny, DeFi a dynamické praní peněz
Severní Korea využívá kryptoměny pro financování svého jaderného a raketového programu minimálně od ransomware kampaně WannaCry v roce 2017. Od té doby se přesunula k sofistikovanějším operacím, včetně velkých útoků na kryptoburzy a poskytovatele wallet služeb.
Jedna z nedávných operací spojených se skupinou Lazarus představovala největší kryptokrádež v historii, v objemu přes 1,5 miliardy dolarů.
Írán zase podle RUSI kombinuje kryptoměny, včetně stablecoinů typu Tether, se sítí neformálních bankovních subjektů, aby obcházel dolarové platby a dohled nad transakcemi spojenými s vojenským programem.
AI posouvá tyto praktiky na další úroveň. Dynamické mixování znamená, že AI v reálném čase analyzuje blockchain, rozkládá a skládá tok prostředků přes mixéry tak, aby minimalizovala šanci odhalení.
Mikrotransakce ve velkém pak představují tisíce až desetitisíce převodů přes desítky peněženek, různé blockchainy a tokeny v krátkém čase – nad možnost reálného lidského dohledu.
AI může také spravovat autonomní likviditní pooly v DeFi protokolech (decentralizované finance, které fungují bez bank a centrálních zprostředkovatelů), tvářit se jako běžný poskytovatel likvidity a současně prát prostředky sankcionovaných subjektů.
Pište pro Computertrends
Máte dobré nápady, máte co říct? Chcete se podělit o své znalosti se čtenáři Computertrends?
Je tu ideální příležitost. V redakci neustále hledáme externí autory, kteří rozšíří náš záběr. Nabízíme možnost publikací zajímavých článků nejen na webu, ale také v našem tištěném magazínu.
Pokud máte zájem, ozvěte se šéfredaktorovi na e-mail: radan.dolejs@iinfo.cz
Pro banky a regulované subjekty tu vzniká asymetrie: útočná AI má neomezený přístup k datům z úniků, dark webu a open source. Obranná AI je limitovaná regulačními rámci a často pracuje jen na úzkém výřezu globálního ekosystému.
Další vlna: adversarial AI a autonomní agenti
Zatímco dnešní AI ve finanční kriminalitě často jen automatizuje jednotlivé úlohy, RUSI upozorňuje na rychlý nástup dvou typů hrozeb.
Adversarial AI (útočná umělá inteligence) představuje systémy, které aktivně testují detekční mechanismy bank, celních úřadů a zpravodajských služeb. Například systematicky posílají transakce či dokumenty různé kvality, mapují, co projde kontrolou, a podle toho se adaptují. U exportů mohou automaticky volit takovou klasifikaci zboží, která má v dané trase nejnižší pravděpodobnost kontroly.
Agentní sítě (agentic AI) pak představují soustavy autonomních AI agentů, které mají společný cíl – například převést určitou částku ze sankcionovaného subjektu do bezpečné jurisdikce – a jsou schopny samostatně plánovat a vykonávat dílčí kroky.
Jde o zakládání firem, sjednávání kontraktů, přesuny peněz, vytváření a odesílání dokumentů, přípravu deepfake komunikace.
Klíčovým rozhraním se stávají API (application programming interface – programové rozhraní pro komunikaci mezi systémy) a nově také Model Context Protocol (MCP) – otevřený standard, který umožňuje AI modelům snadno se napojit na externí datové zdroje a služby.
Video ke kávě
Máte čas na rychlé a informativní video?
Banky, fintechy i SaaS služby otevírají API pro platební operace, onboardování klientů či správu účtů. MCP umožňuje AI modelům tyto zdroje relativně snadno zapojit bez ručního programování. To vše je skvělé pro inovace – a stejně atraktivní pro sofistikované protivníky.
Tím se rozpadá tradiční paradigma vyšetřování, které stojí na identifikaci a neutralizaci klíčových lidských uzlů v síti – broker, trustový právník, hlava skupiny. V agentní síti jsou uzly software – replikovatelný, škálovatelný a odolný vůči klasickým zásahům.
Regulační paradox: mezi GDPR a darknetem
RUSI ostře popisuje regulační paradox. Útočná AI může trénovat na masách unesených a uniklých dat, open-source zdrojích a kriminálních knowledge base. Obranná AI v bankách je omezená ochranou osobních údajů, bankovním tajemstvím a jurisdikční fragmentací.
Banky často nemohou sdílet transakční data ani uvnitř jednoho regionu, natož globálně.
EU volí přísnější přístup prostřednictvím AI Act, který klade důraz na ochranu práv a vysvětlitelnost AI systémů. USA a UK se deklarovaně staví jako pro-inovační. Výsledkem je patchwork pravidel, kde část institucí je zdrženlivá v nasazování komplexních modelů kvůli obavám z regulátora a jiné trhy fungují bez pevného rámce a spoléhají na dobrovolné standardy, jako je NIST Cyber AI Profile.
Další bariérou je vysvětlitelnost. Nejlepší modely na detekci komplexních schémat jsou často tzv. black box – systémy, jejichž vnitřní logiku rozhodování nelze snadno vysvětlit.
Banky se obávají, že nedokážou regulátorům dostatečně vysvětlit, proč systém označil danou transakci jako rizikovou – a raději zůstávají u jednodušších, pravidlových přístupů.
Co doporučuje RUSI
RUSI navrhuje pro státy zavést právní ochranu (safe harbour) pro použití pokročilých AI modelů v oblasti boje proti praní peněz (AML – anti-money laundering) a proliferačnímu financování (CPF – counterproliferation financing), pokud splňují stanovené bezpečnostní a privacy standardy.
Dále doporučuje vytvořit National Security Data Enclave – chráněný prostor, kde mohou finanční instituce sdílet pseudonymizovaná data pro trénink obranných AI modelů.
Státy by také měly zavést compute-KYC, tedy ověřování identity klientů, kteří využívají velké výpočetní kapacity v cloudu, a odpovědnost pro poskytovatele cloudových služeb. A měly by vyžadovat periodické adversarial red-teaming testy AI systémů ve velkých institucích – tedy simulované útoky na vlastní systémy za účelem odhalení zranitelností.
Pro mezinárodní organizace RUSI doporučuje aktualizovat doporučení FATF (Financial Action Task Force – mezinárodní orgán pro boj proti praní peněz) tak, aby explicitně řešila autonomní AI agenty a AI-enabled proliferační financování. Dále připravit modelové zákony pro kriminalizaci AI-enabled finanční kriminality a vytvořit know-your-API (KYA) standardy pro AI agenty přistupující k finančním rozhraním.
Pro banky, fintechy a poskytovatele technologií pak navrhuje posílit KYC a onboarding o obranu proti deepfakům – kombinace více faktorů, behaviorální biometrie, aktivní liveness testy. Dále nasadit obrannou AI pro semantickou kontrolu trade dokumentů, která analyzuje, zda váha, typ zboží a trasy odpovídají obvyklým obchodním vzorcům. A přecházet od čistě pravidlových AML systémů k behaviorálním a prediktivním modelům, které dokážou detekovat netypické vzorce i u dosud čistých klientů.
Computertrends si můžete objednat i jako klasický časopis. Je jediným odborným magazínem na českém a slovenském trhu zaměreným na profesionály v oblasti informačních a komunikačních technologií (ICT). Díky silnému zázemí přináší aktuální zpravodajství, analýzy, komentáře a přehledy nejnovejších technologií dříve a na vyšší odborné úrovni, než ostatní periodika na tuzemském trhu.
Obsah Computertrends je určen odborníkům a manažerům z firem a institucí, kteří se podílejí na rozhodovacím procesu při nákupu ICT technologií. Jednotlivá čísla si můžete objednat i v digitální podobě.
PŘEDPLATNÉ
ČLÁNKY DO MAILU