Kilka dni temu testowałem doładowanie portmonetki PayPal za pomocą narzędzia Trustly. Po doładowaniu przez Inteligo, bank zablokował mi dostęp do rachunku ze względów bezpieczeństwa. A jeśli banki w przyszłości właśnie tak będą utrudniać innym podmiotom korzystanie ze screen scrapingu?
W ubiegłym tygodniu pisałem o Trustly – nowej metodzie doładowań portmonetki PayPal. Narzędzie prosi o dane do logowania do bankowości internetowej mojego banku, by wykorzystać je do wejścia na rachunek i zlecić w moim imieniu przelew zasilający konto PayPal. W żargonie bankowym taka metoda określana jest mianem screen scrapingu. Banki nie mogą jej stosować, bo zabroniła im tego Komisja Nadzoru Finansowego. Zdaniem nadzoru jest to sprzeczne z regulaminami bankowymi, które mówią że nie wolno podawać loginów i haseł innym podmiotom. KNF nie ma jednak mocy, by zabronić stosowania screen scrapingu firmom prywatnym. I one screen scraping stosują.
Konto przez Trustly doładowałem z poziomu mBanku i Inteligo. Doładowanie przez mBank ujawniło lukę w systemie – okazało się, że można zasilać PayPala, a później odwoływać przelew. Czekam na stanowisko firmy, w którym wyjaśni mi (mam nadzieję), jak zamierza bronić się przed takim procederem stosowanym przez nieuczciwych użytkowników. Równie ciekawy wynik dało zasilenie konta z poziomu Inteligo – bank zablokował mi dostęp do rachunku.
Konta w Inteligo nie używam na co dzień i nie trzymam tam pieniędzy. Jest to rachunek do testów, więc loguję się tam sporadycznie. Po doładowaniu konta w Trustly już tam nie zaglądałem. Dziś chciałem sprawdzić, czy w Inteligo będzie dostępna zakładka umożliwiająca logowanie do PUE ZUS i okazało się, że mam zablokowany dostęp do rachunku. Na infolinii dowiedziałem się, że rachunek został zablokowany, bo wykryto podejrzaną aktywność. Nie odnotowano trzykrotnej próby logowania błędnym hasłem, nałożono blokadę ze względów bezpieczeństwa.
Zapytałem czy chodzi o doładowanie konta PayPal za pomocą Trustly. Odpowiedź była twierdząca. Zostałem pouczony przez panią konsultantkę, że nie wolno nikomu udostępniać loginu i hasła, odpytany na okoliczność innych prób wyłudzenia pieniędzy, „zmuszony” do przeskanowania komputera antywirusem i obiecania poprawy 😉
Wszystko wskazuje więc na to, że systemy antyfraudowe banku odczytały logowanie przez Trustly jako podejrzaną aktywność. To ciekawa informacja w kontekście zmian, które czekają rynek po wejściu dyrektywy PSD2. Dokument ten dopuszcza stosowanie screen scrapingu przez podmioty trzecie. Jak pokazuje opisany wyżej przykład, banki mogą się jednak „buntować” działaniom „robotów” zaglądających na rachunek i nakładać blokadę zasłaniając się względami bezpieczeństwa.
Żeby odblokować konto, klient będzie musiał przejść całą uciążliwą procedurę na infolinii, a to szybko zniechęci go do korzystania ze screen scrapingu. A przecież KNF nie zaleci bankom, by poluzowały zasady bezpieczeństwa tylko po to, by dopuścić inne podmioty do swoich systemów. Zapowiada się więc ciekawa batalia na rynku usług płatniczych, bo bankom wcale nie zależy na udostępnianiu danych konkurentom.