Czy w Getin Banku szwankuje potwierdzanie tożsamości przelewem?

Obowiązkiem banku przyjmującego od klienta pieniądze w depozyt jest zweryfikowanie jego tożsamości. W tradycyjnej bankowości służył do tego dowód osobisty. W bankowości nowoczesnej, „zdalnej”, proces ten uproszczono. Zdecydowano, że wystarczy przelew z innego banku, który już wcześniej zweryfikował tożsamość klienta. W przelewie przychodzącym są bowiem wszystkie niezbędne dane posiadacza rachunku.

Dzięki temu klienci mogą korzystać z niektórych produktów bankowych, na przykład lokat, niezwłocznie i bez potrzeby podpisywania tradycyjnych umów. Wystarczy, że złożą wniosek na stronie internetowej, a wskazany rachunek zasilą przelewem z własnego konta. Wówczas bank przyjmujący depozyt będzie miał pewność, że Kowalski to rzeczywiście Kowalski.

Czy system szwankuje w Getinie?

Lokaty internetowe dla klientów zewnętrznych oferuje 8 banków. Niestety, nie w każdym z nich mechanizm weryfikacji tożsamości tą drogą działa bez zarzutu. Czytelnicy poinformowali nas, że luki występują w Getin Noble Banku (przyjmującym depozyty pod markami Getin Online i Open Online). Z materiału, który zebraliśmy, wynika, że w Open Online lokatę internetową założoną na nazwisko Kowalskiego może zasilić ze swojego konta Nowak.

Wystarczy, że zgadza się kwota lokaty i numer wniosku podany w tytule przelewu. Pozostałe dane mogą się różnić. Środki z lokaty można wycofać na dowolnie wskazane konto – na przykład do osoby trzeciej. Tu także bank nie weryfikuje, dokąd „wypływają” pieniądze, i wierzy klientowi na słowo honoru, że jest to jego konto. Sprawdziliśmy także, że możliwe było zasilenie lokaty wpłatą gotówki w okienku pocztowym bez weryfikacji tożsamości osoby wpłacającej z dowodem osobistym (!).

Bank: to bzdura!

W listopadzie poinformowaliśmy bank o lukach, które wzbudziły nasze wątpliwości. Mieliśmy obawy, że bank działa nie tylko wbrew własnemu regulaminowi, ale także w sprzeczności z prawem bankowym i ustawą o przeciwdziałaniu praniu pieniędzy. Rzecznik banku, Wojciech Sury, zdecydowanie zaprzeczył naszym doniesieniom. W mailu przesłanym do redakcji napisał m.in.: „Okresowe analizy wpływów, które są regularnie prowadzone przez bank, pokazują bardzo znikome występowanie sytuacji, które opisał Pan w swoim mailu. System AML (Anti-money laundering, czyli system zapobiegający praniu pieniędzy – red.) wdrożony w obszarze bankowości internetowej zapobiega tego typu zjawiskom”.

Wojciech Sury zaprzeczył także sugestiom o możliwej wpłacie na lokatę środków w gotówce przez anonimowego nadawcę: „W podanym przez Pana przypadku dokonania wpłaty na poczcie klient okazuje dokument tożsamości, w związku z tym wiemy, kto wpłaca pieniądze.”

Poczta: wpłata w gotówce bez dowodu jest możliwa

– Identyfikacja tożsamości osoby wpłacającej z dowodem tożsamości jest przeprowadzana w placówce pocztowej przy rejestracji transakcji progowych, powiązanych oraz podejrzanych – wyjaśnia Zbigniew Baranowski, rzecznik Poczty Polskiej. – W przypadku realizacji transakcji w kwocie przekraczającej równowartość 1000 euro przeprowadzana jest weryfikacja danych zleceniodawcy polegająca na porównaniu danych osoby wpłacającej (na podstawie dokumentu tożsamości) z danymi na blankiecie transakcji – dodaje.

A to oznacza, że przelewy na niższe kwoty, rzędu do 2-3 tysięcy złotych nie muszą być zlecane z dowodem osobistym. I faktycznie - do zlecenia przelewu na lokatę na 500 zł nie było potrzeby identyfikowania osoby zlecającej dyspozycję z dowodem osobistym.

KNF: sprzeczność z prawem bankowym i ustawą „antypralniczą”

Zapytaliśmy Łukasza Dajnowicza, rzecznika Komisji Nadzoru Finansowego, o to „co by było, gdyby” w jednym z banków potwierdzanie tożsamości przelewem nie było do końca skuteczne. – Ważna byłaby analiza konkretnego przypadku, ale ogólnie sytuacja (…) byłaby naruszeniem prawa (ustawy o przeciwdziałaniu praniu brudnych pieniędzy – red.), a za naruszenie prawa bankowi grożą sankcje przewidziane w Prawie bankowym – mówi Dajnowicz.

Dodaje także: – Wydaje się też, że może być sprzeczność z art. 65 Prawa bankowego (…). Mowa w tym przepisie o wypłatach, nie o wpłatach, ale przy wypłacie z rachunku należałoby ustalić, kto jest jego posiadaczem, a rozumiemy, że wszystko odbywa się przez internet, zatem już na etapie zakładania lokaty (czyli rachunku bankowego) nie mamy pewności w zakresie tożsamości strony tej umowy.

Incydent czy luka w systemie?

Dowody, które udało nam się zebrać przy pomocy naszych czytelników, nie pozostawiają wątpliwości – księgowanie na lokatach przelewów z kont nienależących do osoby wnioskującej o lokatę było możliwe. Założona kilka dni temu lokata także została zaksięgowana, mimo że przelew przyszedł z konta innej osoby.

Nie jest wykluczone, że były to incydentalne przypadki. Jednak żaden ze zleconych w ramach testów przelewów nie został „odbity” i nie wrócił do nadawcy. Nie wyłączając wpłaty gotówki w okienku pocztowym. Nasze wątpliwości potwierdził także znaleziony na jednym z blogów poradnik dotyczący zakładania lokat na członków rodziny (ominięcie limitu jednej wysokooprocentowanej lokaty na osobę). To może oznaczać, że luka była wykorzystywana od dawna.

O co tyle szumu?

Bez względu na skalę, nieszczelny system weryfikowania tożsamości klienta nie powinien być tolerowany i bagatelizowany. Można sobie bowiem wyobrazić, że ktoś zechce użyć takiej lokaty w celach niezgodnych z prawem. Wariantów i scenariuszy może być wiele. Wystarczy, że złotówki wpłacone na poczcie bez dowodu osobistego zostaną wycofane z lokaty na podarunkową kartę pre-paid, która fizycznie będzie się znajdować za granicą, i wypłacone np. jako euro.

Również organy nadzorcze powinny bliżej przyjrzeć się systemom weryfikowania tożsamości klientów w pozostałych bankach. Już teraz można tak zakładać nie tylko lokaty, ale i konta. A grono instytucji wdrażających podobne rozwiązania stale rośnie – kolejne banki już zapowiadają stosowanie uproszczonych procesów identyfikacji klienta. Jeden z nich, by przyspieszyć cały proces zakładania konta, zamierza wkrótce weryfikować tożsamość klientów podczas rozmowy wideo. Czy taka weryfikacja może być skuteczna? Zobaczymy.