Wojciech Boczoń
-
25.03.2013 (09:10) Nigdy nie udostępniaj osobom trzecim identyfikatora ani hasła dostępu – to jedna z podstawowych zasad bezpiecznego korzystania z bankowości elektronicznej. Wbrew tej zasadzie, niektóre banki proszą klientów o podanie informacji dających dostęp do ROR-u w innym banku. ZBP ostrzega, że klient narusza w ten sposób regulamin banku.
Na naszym rynku działa kilka systemów, które wykorzystują login i hasło podany przez klienta, aby zalogować się automatycznie w jego imieniu na jego konto bankowe. Dzięki temu mają wgląd w historię konta klienta. Do niedawna tego typu proces wykorzystywały firmy niezwiązane bezpośrednio z sektorem bankowym, na przykład serwisy do zarządzania domowym budżetem (Kontomierz) czy opisywany już na naszych łamach Sofortbanking. Klient udzielał swoich danych na własną odpowiedzialność.
Od niedawna podobna praktyka jest stosowana w bankowości. Automatyczne zaciąganie historii z konta prowadzonego przez inny bank stosują Alior Sync i Idea Bank. Klient, który wnioskuje o kredyt w jednej z tych instytucji, podaje login i hasło do systemu bankowego, a bank automatycznie loguje się na konto i pobiera historię rachunku. Na jej podstawie może oszacować zdolność kredytową klienta i udzielić kredytu. Szczegółowo o procesie pisaliśmy na podstawie systemu Idea Banku. Alior Sync umożliwia ponadto agregowanie pod „jednym dachem” historii z innych banków w ramach menedżera finansów.
ZBP ostrzega bankowców
Niedawno zwracałem uwagę, że klient podający swój login i hasło dostępu podmiotowi zewnętrznemu łamie podstawową zasadę bezpieczeństwa: Nigdy nie udostępniaj osobom trzecim identyfikatora ani hasła dostępu. Praktyka niepokoi też przedstawicieli Związku Banków Polskich. Już w ubiegłym roku ZBP rekomendował klientom banków, by nie podawali swoich danych zewnętrznym podmiotom, zwłaszcza zajmującymi się szybkimi płatnościami. Zwracał uwagę, że ujawnianie takich danych może posłużyć do kradzieży tożsamości.
Niedawno prezes związku Krzysztof Pietraszkiewicz wystosował kolejny apel, tym razem już bezpośrednio do bankowców. Zwrócił uwagę, że procedura jest dość kontrowersyjna, i wypunktował wiążące się z nią ryzyka. W liście adresowanym do bankowców napisano między innymi:
„Powyższe praktyki zagrażają ponaddziesięcioletniej kampanii edukacyjnej kierowanej do klientów korzystających z usług bankowości elektronicznej, związanej ze standardem postępowania klienta w zakresie zabezpieczenia instrumentów uwierzytelniających wykorzystywanych w procesie logowania do serwisów transakcyjnych (…). W konsekwencji przedstawiona powyżej praktyka nie tylko negatywnie wpływa na proces edukacji klientów, ale również stanowi w istocie oczekiwanie naruszenia przez klienta regulaminowych zasad poufności niektórych informacji, mających wpływ na bezpieczeństwo powierzonych depozytów.”
„Istnieje ryzyko kradzieży tożsamości”
Prezes ZBP zwraca także uwagę na to, że banki prowadzące rachunki, których historia jest weryfikowana, nie posiadają żadnej kontroli nad tym procesem i nawet nie wiedzą, że w imieniu klienta loguje się automat. – W konsekwencji mogą zostać pociągnięte do odpowiedzialności za straty finansowe klientów, spowodowane nieodpowiednim zabezpieczeniem elementów uwierzytelniających dostęp do ich rachunków lub ujawnieniem danych stanowiących tajemnicę przedsiębiorstwa – czytamy w liście.
I dalej: – Brak możliwości nadzoru nad sposobem przetworzonych w ten sposób informacji, a tym samym brak możliwości weryfikacji zabezpieczeń, których stosowanie stanowi jeden z elementów przetwarzania pozyskanych danych, implikuje ryzyko wykorzystania tych danych w procesie m.in. phishingu lub kradzieży tożsamości.W związku z powyższym prawdopodobne jest, że dalsze stosowanie procesu może prowadzić do nieuprawnionego ujawnienia danych klientów objętych tajemnicą bankową (…).
Banki: systemy są absolutnie bezpieczne
Oba banki, które stosują tę metodę badania zdolności kredytowej klienta przekonują, że jest ona absolutnie bezpieczna i takie ryzyko nie istnieje.
– Zapewniamy, że przyjęte w Alior Banku rozwiązania gwarantują naszym klientom najwyższy poziom bezpieczeństwa, a także znacząco przyspieszają proces ubiegania się o produkty banku – mówi Julian Krzyżanowski, rzecznik prasowy Alior Banku.
Po pierwsze, należy podkreślić, że dane uwierzytelniające są w sposób w pełni automatyczny jednorazowo przekazywane przez system Alior Bank do systemu bankowości elektronicznej wnioskującego klienta w innym podmiocie.
Po drugie, dane wykorzystywane do autoryzacji użytkownika w bankowości internetowej innych podmiotów nie są ujawnione pracownikom, a także nie są zapisywane w systemach informatycznych banku.
Po trzecie pobierane z systemu bankowości elektronicznej dane wnioskującego klienta (dane niezbędne do weryfikacji dochodu oraz weryfikacji tożsamości) są przetwarzane w systemie informatycznym Alior Banku i są zabezpieczone tak jak wszelkie inne dane podawane przez klienta we wniosku kredytowym zgodnie ze stosowanymi w Alior Banku standardami bezpieczeństwa spełniającymi wymagania przewidziane przepisami prawa.
Po czwarte, przed uruchomieniem produkcyjnym tego procesu bank przeprowadził wnikliwą kontrolę realizacji tych wymagań, a także zlecił specjalistycznej firmie zewnętrznej przeprowadzenie szczegółowego audytu technicznego – wyjaśnia Julian Krzyżanowski.
Wtóruje mu Kinga Łagowska z biura prasowego Idea Banku. – Przygotowane przez nas rozwiązanie jest w pełni bezpieczne. Zostało to potwierdzone audytem bezpieczeństwa, przeprowadzonym przez specjalistyczną firmę. Idea Bank pobiera wyłącznie historię operacji z kont, co można porównać do automatycznego pobierania wyciągu, który do tej pory klienci musieli przynosić w formie papierowej lub pobierać w oddziale w obecności pracownika banku. Hasła podane przez klienta nie są nigdzie zapisywane. Korzystamy z nich tylko w momencie łączenia się z zewnętrznym bankiem i natychmiast są „zapominane” – tłumaczy Łagowska.
Nie wszyscy są przekonani
Zdania banków kwestii tego typu procesów są podzielone. – W komunikacji zwracamy uwagę m.in. na to, aby klienci, starając się o produkt w innym banku, pamiętali, żeby nie podawać swojego numeru klienta i hasła jako narzędzia służącego weryfikacji danych online – mówi Karolina Tomczyk z biura prasowego PKO BP. – Udostępnienie tych danych osobom trzecim, w tym innym bankom, narusza zasady bezpiecznego korzystania z usług bankowości elektronicznej i obowiązujący wszystkich użytkowników regulamin rachunku oszczędnościowo-rozliczeniowego, usług bankowości elektronicznej oraz karty debetowej w PKO Banku Polskim – dodaje.
BNP Paribas Bank rozesłał do swoich klientów apel, w którym prosi o niepodawanie swoich loginów i haseł „serwisom nakładkom” w celu zweryfikowania historii kredytowej. Bank zwraca uwagę na fakt, że nie wiadomo jakie dane są pobierane, jak są przechowywane i gdzie mogą zostać wykorzystane. – Wiążą się z tym konkretne ryzyka – począwszy od potencjalnego ujawnienia poufnych danych dotyczących transakcji, na stratach finansowych skończywszy – mówi Beata Neumann, dyrektor Departamentu Bezpieczeństwa Informacji i Zapewnienia Ciągłości Działania w BNP Paribas Banku.
– Dlatego też bank, w trosce o bezpieczeństwo klienta, przestrzega go przed tego rodzaju praktykami, zobowiązując zapisami regulaminu do zachowywania danych w tajemnicy. W szczególności oznacza to nie posługiwanie się loginem, hasłem oraz danymi autoryzującymi transakcje, poza oficjalnymi stronami banku, co w zamyśle ma uniemożliwić ich przejęcie i nieautoryzowane wykorzystanie przez osoby trzecie – dodaje.
– Jako bank nie planujemy wysyłać tego typu komunikatów do grona naszych klientów – mówi z kolei -Ricardo Campos, Dyrektor Departamentu Bankowości Elektronicznej w Banku Millennium. – To zawsze klient, jako wolny uczestnik rynku, podejmuje decyzję o przekazaniu bądź nieprzekazaniu informacji o sobie instytucjom finansowym działającym legalnie na polskim rynku i dbającym, podobnie jak my, o najwyższy stopień zabezpieczenia transakcji. Z naszego i klienckiego punku widzenia ważne jest jedynie, by omijać instytucje parabankowe i te, do których nie mamy zaufania – dodaje.
Prezes ZBP Krzysztof Pietraszkiewicz zaapelował do sektora z prośbą o rozważenie możliwości podjęcia działań celem zminimalizowania ryzyk wskazanych w rozesłanym do banków dokumencie. Nieoficjalnie mówi się, że Idea Bank i Alior Sync to niejedyne banki, które chciały zastosować podobny proces, ale po apelu zrezygnowały z planów. Niewykluczone, że do tego grona należał Nowy mBank, który już w ubiegłym roku zapowiadał, że umożliwi klientom agregowanie danych o wydatkach realizowanych w innych bankach. Być może nowy system będzie jednak pozbawiony tej funkcjonalności.
Napisz do autora: [email protected]
//
