System sprzedaży limitów na emisję dwutlenku CO2 jest pełen dziur. Wykorzystują to hakerzy, którzy włamują się do komputerowych rejestrów i sprzedają skradzione uprawnienia.
W połowie stycznia pracownicy biura Jirziego Stastnego w Pradze usłyszeli z głośników komunikat o natychmiastowej ewakuacji. Powód: ostrzeżenie o podłożonej bombie. Policja obejrzała każdy zakamarek na siódmym piętrze, gdzie mieszczą się biura OTE – spółki, w której Stastny jest dyrektorem zarządzającym czeską częścią europejskiego systemu handlu uprawnieniami do emisji gazów cieplarnianych. Wszystko wydawało się w porządku.
Sygnał o problemach pojawił się następnego ranka. Zadzwonił jeden z klientów firmy z zawiadomieniem o zaginięciu należących do niego tysięcy przydziałów emisji CO2, przechowywanych w obsługiwanym przez OTE komputerowym rejestrze. Stastny zrozumiał, że alarm był częścią przemyślanego podstępu. Hakerzy wykorzystali zamieszanie, by włamać się do rejestru i ukraść przydziały. Potem wystarczyło kilka kliknięć myszką, by sprzedać je za miliony euro na wolnym rynku, zanim ktokolwiek zauważy kradzież.

CO2 cenny jak diamenty

– Ludzie oglądają kryminały, w których z sejfów są wykradane brylanty i pieniądze. Tu zdarzyło się to samo, tylko przedmiot kradzieży był niezwykły – mówi Alan Svoboda z CEZ Group, czeskiej spółki energetycznej, która straciła 700 tys. przydziałów o wartości ok. 10 mln euro.
Atak na OTE był jednym z sześciu włamań hakerów do unijnego systemu handlu uprawnieniami do emisji gazów cieplarnianych, do jakich doszło we wschodniej i w środkowej Europie w ciągu ostatnich trzech miesięcy. W sumie cyberprzestępcom udało się skraść przydziały o wartości 50 mln euro, zanim spanikowane władze w Brukseli wstrzymały handel nimi.
System handlu uprawnieniami ma zmobilizować 11 tys. zakładów w 27 krajach UE oraz Norwegii, Islandii i Liechtensteinie do zmniejszenia emisji gazów cieplarnianych. Bruksela z roku na rok ustala coraz bardziej rygorystyczne limity produkcji CO2 i przyznaje firmom uprawnienia do jego wyrzucania do atmosfery. Przedsiębiorstwa, które nie są w stanie spełnić wymogów, muszą kupować drogie pozwolenia na dodatkową emisję, by uniknąć jeszcze dotkliwszych kar za trucie środowiska. Z kolei efektywnie działające przedsiębiorstwa mogą np. odsprzedawać niewykorzystaną część swojego limitu.
Unijni politycy byli tak zachwyceni stworzonym systemem, że uznali go za europejskie rozwiązanie globalnego problemu, jakim jest ocieplanie się klimatu Ziemi. Z rozmów z pracownikami organów kontroli oraz przedstawicielami kierownictwa spółek handlujących limitami wynika jednak, że chęć udowodnienia efektywności rozwiązania przesłoniła znaczące braki w systemie zabezpieczeń. To dlatego mogło dojść do serii spektakularnych kradzieży praw do emisji CO2.
Pomimo ostatnich wydarzeń Connie Hedegaard, unijna komisarz ds. klimatu, broni obecnych rozwiązań. – Nikt przecież nie twierdzi, że sektor bankowy przestaje działać za każdym razem, kiedy ktoś obrabuje bank – podkreśla. Ale dodaje, że zmiany są konieczne: jedną z nich mogłoby być opóźnienie w otrzymywaniu kupionych uprawnień. Dziś są one dopisywane do limitów, którymi dysponuje kupujący, tuż po zakończeniu transakcji. Uprawnienia trafiają więc na jego konto natychmiast po zapłaceniu za prawo do emisji wykupionej ilosci CO2. To umożliwia przestępcom błyskawiczne pozbycie się limitów; w niektórych przypadkach skradzione aktywa zdążyły przejść przez kilka rachunków, zanim śledczym udało się je namierzyć. – Nie jestem specjalistką, ale wydaje mi się oczywiste, że funkcja opóźnienia mogłaby zniechęcić złodziei – mówi Hedegaard.
Do niedawna coś tak ulotnego jak dwutlenek węgla mało interesowało złodziei. Zmieniło się to w 2005 r., kiedy Unia Europejska stworzyła rynek emisji i wyznaczyła ich cenę. W 2009 r. europejscy decydenci z zadowoleniem odnotowali obroty na poziomie aż 90 mld euro.
Kiedy Bruksela ogłaszała sukces systemu, przestępcy już do niego przeniknęli. Niektóre oszustwa były proste: na Węgrzech do obrotu trafiały już raz wykorzystane przydziały. Inne sposoby były bardziej wyszukane. Najbardziej rozpowszechnione było kupowanie uprawnień w kraju, w którym limity nie były obłożone VAT, i sprzedawanie ich w innym, już z naliczonym podatkiem. Przestępcy przywłaszczali sobie różnicę, ogłaszali bankructwo i znikali. Według danych Interpolu oszustwa związane z rynkiem emisji kosztowały budżety państw Wspólnoty co najmniej 5 mld euro.



Bruksela pozostaje bezsilna

Wśród uczciwych uczestników rynku zapanowała panika – bali się, że ktoś sprzeda im skradzione przydziały, które potem zostaną zarekwirowane. Bank Morgan Stanley zaczął żądać prawnych gwarancji, że wszystkie sprzedawane mu przydziały pochodzą z rządowych aukcji, a nie od stron trzecich. Barclays Capital w ogóle zrezygnował z udziału w rynku wtórnym. – Handel w dużej mierze ustał, jeszcze zanim rejestry zostały zamknięte. Nikt nie był pewien, że nie ma do czynienia ze skradzionym towarem – mówi Olivia Hartridge z Morgan Stanley.
Tymczasem złodzieje działali. 10 stycznia, na tydzień przed kradzieżą w Czechach, włamali się do rejestru krajowego – tym razem w Austrii. Zdążyli przelać prawie pół miliona przydziałów z rezerwy rejestru na rachunki w Szwecji i Liechtensteinie, zanim władze zamroziły transakcje.
Bezczelność przestępców zasiała niepokój w Brukseli, bo teoretycznie to Komisja Europejska ma największą kontrolę nad systemem – zarządza Niezależnym Dziennikiem Transakcji, który jest połączony z każdym z 30 krajowych rejestrów. Po ataku w Austrii szef Dyrektoriatu KE ds. Klimatu Jos Delbeke stworzył grupę, która miała często aktualizować dane. Ale jak to bywa w sprawach unijnych, władze Wspólnoty od razu zaznaczyły, że nie są w stanie nic zrobić w przypadku wykrycia kradzieży. Nie mając własnych organów ścigania, mogą jedynie zawiadamiać o podejrzeniu popełnienia przestępstwa krajowe policje oraz Interpol.
Bezsilność Komisji Europejskiej ma swoje korzenie w samej podstawie systemu handlu przydziałami, który był tworzony dekadę temu. Państwa członkowskie wymogły wówczas na Brukseli, że to one będą kontrolować krajowe rejestry, a nie eurobiurokraci. Poza instytucjonalną rywalizacją żądanie to tłumaczono też względami praktycznymi. Każde z państw członkowskich podpisało protokół z Kioto i zobowiązało się do samodzielnego ograniczenia emisji gazów cieplarnianych. Dlatego, jak argumentowano, rozsądne było utrzymywanie oddzielnych rejestrów, by móc wypełnić te indywidualne zobowiązania.
Jakość systemów bezpieczeństwa 30 rejestrów jest bardzo różna i hakerzy szybko znaleźli słabe ogniwa. Co gorsza, kilka państw wschodniej i środkowej Europy zignorowało apel Delbekego o wzmocnienie środków bezpieczeństwa. – Nie wzięły pod uwagę tego, jak wyszukanymi metodami potrafią się posługiwać cyberprzestępcy – podkreśla Olivia Hartridge.
Sytuacja może się poprawić w przyszłym roku, kiedy KE ma otworzyć centralny rejestr, którym sama będzie zarządzać – reforma ta była planowana jeszcze przed falą kradzieży. Jednak nawet to nie gwarantuje bezpieczeństwa – nowej instytucji będzie bardzo daleko do standardów bezpieczeństwa przyjętych w bankowości.
Większe bezpieczeństwo nie rozwiąże też problemów, z którymi boryka się rynek. Alan Svoboda z Pragi mówi, że przydziały skradzione CEZ Group udało się zlokalizować, ale są one w rękach ludzi niemających nic wspólnego z kradzieżą. Jego firma uważa, że straty powinna zrekompensować OTE, ta jednak nie chce o tym słyszeć. – Wygląda na to, że nasze pieniądze przepadły – wzdycha Alan Svoboda.