Wojciech Boczoń
-
25.07.2016 (13:31) Mimo prób reanimacji systemu, aktywacja kont za pomocą przelewu może trafić na śmietnik historii. Opracowana przez KIR i ZBP baza rachunków będzie niekompletna, bo największe banki nie zamierzają przystępować do systemu. A wkrótce i tak pojawią się nowe narzędzia, które pozwolą potwierdzać tożsamość klienta.
Od 1 lipca obowiązują nowe wytyczne dotyczące otwierania kont przelewem. KNF zaleciła bankom, by sprawdzały czy konto, które służy do aktywowania nowego rachunku nie było przypadkiem w przeszłości otworzone za pomocą przelewu. Ma to uniemożliwić przestępcom klonowanie rachunków i wyłudzanie pożyczek w bankach. Na czym polega ten proceder pisałem już na łamach Bankier.pl i PRNews.pl wielokrotnie (na przykład tu).
ThetaStock
Ponieważ banki nie zdążyły z opracowaniem mechanizmów weryfikujących do 1 lipca, w większości instytucji wycofano możliwość aktywowania rachunków za pomocą przelewów. Związek Banków Polskich we współpracy z Krajową Izbą Rozliczeniową stworzył jednak bazę, której zadaniem jest agregowanie informacji na temat rachunków otwartych przelewem. Bank, w którym klient otwiera konto, wysyłałby do tej bazy zapytanie i sprawdzał, czy rachunek który ma służyć do potwierdzania operacji nie był już wcześniej aktywowany przelewem. Do bazy przystąpiło kilka mniejszych banków, np. Raiffeisen Polbank czy eurobank. Teoretycznie jest to dobry pomysł, ale co do praktycznego zastosowania można mieć zastrzeżenia.
Pierwszy problem, który się pojawia to liczba banków uczestniczących w projekcie. Niestety wszystko wskazuje na to, że do bazy nie wejdą większe instytucje. Nie znajdą się tam informacje o kontach otwieranych przelewem w PKO BP (bank w przeszłości udostępniał taką funkcjonalność), ING Banku Śląskim czy Banku Millennium. Do bazy nie będzie prawdopodobnie też przystępował Pekao, bo i tak nie oferował „kont na przelew”, a także niektórzy mniejsi gracze, np.: BPH czy Plus Bank.
Kilka banków dyplomatycznie odpowiedziało mi, że jeszcze się zastanawia (m.in. Credit Agricole, Getin Bank czy Deutsche Bank). Z kolei Pocztowy udostępnił do bazy spis kont, które klienci otworzyli przelewem, ale nadal nie uruchomił możliwości zakładania rachunków z wykorzystaniem tej metody. Z dużych graczy w bazie KIR i ZBP znalazł się mBank i wkrótce znajdzie się BZ WBK.
Co to oznacza w praktyce? Że baza będzie niekompletna. Nie znajdzie się tam tysiące (setki tysięcy?) rachunków otworzonych za pomocą przelewu, np. w ING, Millennium czy PKO BP. Co się stanie w sytuacji, gdy taki rachunek posłuży do aktywacji konta w kolejnym banku? Czy będzie traktowany jako prawidłowo zweryfikowany? Bo przecież nawet jeśli bank przyjmujący wniosek odpyta bazę, to nie znajdzie tam informacji na temat danego numeru.
W kuluarowych rozmowach bankowcy punktują kolejne wady rozwiązania. Na początek muszę jednak zastrzec, że informacje które tu podaję są bardzo nieoficjalne. Nie jestem też ich w stanie zweryfikować, bo nie mam dostępu do samej bazy i nie do końca znam techniczne szczegóły na temat jej działania. Pochodzą jednak od dobrze poinformowanych osób, które uczestniczyły w pracach nad projektem.
Zdaniem moich rozmówców, rozwiązanie nie wyklucza dalszego wykorzystywania aktywacji na przelew przez przestępców. Bo do bazy nie są dodawane dodatkowe informacje – np. o numerze PESEL czy adresie zamieszkania. Nieoficjalnie dowiedziałem się, że podczas tworzenia bazy ścierały się dwie koncepcje dodawania rachunków. Jedna miała wykorzystywać dodatkowe informacje, a druga – ta, która ostatecznie wygrała – tylko numer rachunku. Ponoć za tym drugim rozwiązaniem lobbowały banki współpracujące z Blue Media, a i sama firma „maczała” palce przy opracowaniu bazy w obecnej wersji.
Kolejny problem to konieczność stałej aktualizacji. Spis rachunków powinien być na bieżąco i automatycznie aktualizowany. Natychmiast, by potencjalny oszust nie zdążył aktywować kolejnego konta zanim do bazy zostaną wprowadzone dane o założonym rachunku. Dodatkowo z bazy powinny być kasowane numery kont klientów, którzy otworzyli rachunek online, ale później przyszli do placówki z dowodem i się zweryfikowali.
Ponadto pojawia się pytanie: co zrobić z subkontami do rachunku głównego otworzonego przelewem? Wystarczy że oszust wyłudzi dane i założy konto osobiste online, a następnie kilka kont oszczędnościowych. W większości banków takie konto otwiera się online w minutę jako subkonto. Taki rachunek nie trafi już do bazy, a za jego pomocą będzie można założyć kolejne konto przelewem weryfikacyjnym.
Właśnie z tego względu niektóre banki nie przystępują do systemu – konieczność szybkiego aktualizowania spisu kont to olbrzymie koszty. Tym bardziej, że bez „kont na przelew” można żyć. Rachunki aktywowane taką metodą to tylko niewielki procent ogółu wszystkich ROR-ów.
Ale to nie wszystko. Moi rozmówcy zastanawiają się też, czy jest sens inwestowania w nowe narzędzia pozwalające aktywować konta przelewem, skoro w ramach strategii „Paperless, cashless Poland” i tak powstaną cyfrowe identyfikatory tożsamości. Wówczas takie rozwiązania jak aktywowanie kont na przelew i tak przejdą do lamusa. Za pomocą cyfrowego identyfikatora klient będzie mógł nie tylko załatwiać sprawy urzędowe, ale także składać wnioski online w bankach – także o konto.
Last but not least. Pierwsze banki rozpoczęły już prace nad potwierdzaniem tożsamości klienta podczas rozmowy wideo. Żeby aktywować konto klient miałby pokazać swoją twarz i dowód osobisty. System ten z powodzeniem sprawdza się już m.in. w holenderskim banku bunq. Aplikacja mierzy cechy zdjęcia rozmówcy z danymi z dowodu (m.in. rozstaw oczu, uszu, etc) i jest to jeden z elementów weryfikujących tożsamość. Te same mechanizmy można zastosować w rozmowie wideo. Rozmowa jest nagrywana, więc nawet jeśli konto założyłby oszust na kradzione dane, to i tak bank miałby zdjęcie złodzieja, które później mógłby udostępnić policji.
