KNF nakazała bankom wyłączyć tzw. screen scraping i ostrzegła klientów banków, by nie korzystali z podobnych usług. „Ostrzeżenia KNF stoją w sprzeczności z zasadą legalizmu oraz obowiązkiem zachowania lojalności wobec unijnego prawa” – uważa Sofort Banking, który stosuje na naszym rynku podobny mechanizm.
Screen scraping polega na automatycznym zaciąganiu danych klienta z jego macierzystego rachunku przez inny bank. Klient podaje swój login i hasło do konta, a inny bank w jego imieniu loguje się na rachunek i pobiera historię danych. Jest ona przetwarzana i na jej podstawie można zaproponować klientowi kredyt. Taka usługę oferowały w ramach bankowości internetowej trzy banki: Alior Bank, mBank i Idea Bank. Nie spodobało się to jednak Komisji Nadzoru Finansowego, która nakazała bankom zablokować te mechanizmy. Nadzór uważa bowiem, że taka usługa stoi w sprzeczności z podstawową zasadą bezpiecznego korzystania z bankowości internetowej: nie podawaj innym swojego loginu i hasła.
Screen scraping to rewolucja w przenoszeniu kont
Screen scraping podzielił branżę bankową. Duże banki są mu przeciwne, małe są za. Usługę można bowiem wykorzystać nie tylko do udzielania kredytów, ale także do automatyczniego przenoszenia ROR-ów. Klient mógłby w zasadzie w kilku klikach przenieść rachunek z jednego banku do drugiego, zachowując przy tym wszystkie ustawienia, historię itp. Dla dużych banków mogłoby to stanowić poważne zagrożenie, bo screen scraping doprowadziłby zapewne do ruchów migracyjnych i odpływu klientów.
O ile nadzór mógł wymusić blokadę usługi na bankach, to nie jest w stanie zmusić innych podmiotów do wyłączenia screen scrapingu. Nie jest tajemnicą, że poważnie o wykorzystaniu usługi myślą firmy pożyczkowe, którym ułatwiłoby proces udzielania szybkich chwilówek i zmniejszyło ryzyko wyłudzeń.
Nadzór nie może też zmusić do wyłączenia usługi w Sofort Bankingu, który wykorzystuje screen scraping. W tym przypadku służy on do inicjalizacji płatności w sklepach internetowych. Z taką metodą płatności można spotkać się na przykład w sklepach internetowych Deichmann czy OBI. W praktyce klient loguje się do swojego konta bankowego na stronie firmy Payment Network AG a nie na stronie swojego banku. Sofort nie podlega jednak pod nadzór KNF i nadal może świadczyć taką usługę. Nie podoba się to jednak nadzorcy, który już jakiś czas temu wystosował komunikat ostrzegający klientów przed korzystaniem z podobnych usług. Co prawda nie padła w nim bezpośrednio nazwa Sofort, ale jest to w zasadzie jedyny duży podmiot, który pasował do opisu.
Sofort: nasza usługa jest zgodna z prawem unijnym
Sofort jest oburzony ostrzeżeniami KNF. „Ostrzeżenia przeciwko korzystaniu z usług, które są zarazem bezpieczne i legalne stawia KNF w sprzeczności z zasadą legalizmu oraz obowiązkiem zachowania lojalności wobec unijnego prawa. Grozi to również podważeniem procedury legislacyjnej w odniesieniu do nowej dyrektywy Payment Service Directive („PSD II”)” – napisano w komunikacie przesłanym do naszej redakcji.
Dalej firma przedstawia swoje argumenty:
„Korzystanie z SOFORTu przez posiadacza konta bankowego jest zgodne z zapisami dotyczącymi obszaru usług płatniczych, zawartymi w dyrektywie Payment Service Directive (2007/64/EC, „PSD”). Odnosi się to także do transpozycji PSD w Polsce, pod postacią Ustawy o Usługach Płatniczych z 19 sierpnia 2011 r („APS”).
Komisja Europejska w 2012 roku stwierdziła, (sprawa 39786 – EPC online payments) , że użycie oprogramowania PIS – serwisów inicjujących płatność, nie stanowi „nieautoryzowanego użycia” w rozumieniu dyrektywy PSD, więc w związku z tym art. 56 PSD nie zezwala na zakazanie korzystania z serwisów inicjujących płatność – PIS, w rozumieniu zasad i warunków zawartych w regulaminach banków. Na tej samej podstawie (w odniesieniu do krajowej transpozycji dyrektywy PSD), niemiecki urząd antymonopolowy, uznał, że banki nie mogą zakazywać stosowania serwisów inicjujących płatność – PIS (sprawa B4-71/10) i w związku z tym są zobligowane do implementacji niedyskryminujących standardów rynkowych, umożlwiających dostęp do rynku bezpiecznym i certyfikowanym serwisom inicjujących płatność, takim jak SOFORT.
Ponadto w trakcie trwającego obecnie procesu legislacyjnego dyrektywy PSD II, Komisja Europejska i Parlament Europejski, jako jedne z wielu podmiotów, obstawały przy tym, że bezpieczne i efektywne serwisy inicjujące płatność – PIS, które są obecnie aktywne na rynkach europejskich nie mogą być utrudniane – ani poprzez unilateralne działania administracyjne, ani w związku ze zorganizowaną polityką banków (…).
Wdrożenie przepisów dyrektywy PSD na polski rynek w sposób nieunikniony prowadzi do konkluzji podobnej, to znaczy, że korzystanie z serwisów inicjujących płatność nie stanowi „nieuprawnionego użycia” w sensie art. art. 42 Ustawy o usługach płatniczych (APS). Polscy konsumenci mają pełne prawo do korzystania z serwisów inicjujących płatność, takich jak SOFORT.”
Banki liczą na dyrektywę PSD II
Sofort wytacza ciężkie argumenty. Wszystko jednak wskazuje na to, że dyrektywa PSD II w swoim ostatecznym kształcie dozwoli na stosowanie screen scrapingu. Wówczas Komisja będzie musiała odblokować możliwość świadczenia takiej usługi również i bankom. Nieoficjalnie niektórzy bankowcy mówią, że jest to tylko zamrożenie projektu, który i tak wcześniej czy później znajdzie masowe zastosowanie. Mają też żal do KNF, że stracą kilkanaście miesięcy, które wykorzystają inne podmioty wdrażając podobne mechanizmy. Banki argumentują, że nikt klientów nie zmusza do korzystania z usługi, robią to dobrowolnie. Podkreślają, że ich systemy gwarantują najwyższy poziom bezpieczeństwa. Przeciwnicy screen scrapingu zwracają jednak uwagę, że klient nie ma gwarancji, jakie dane pobiera automat logujący się w imieniu klienta na jego konto. Muszą wierzyć na słowo, że tylko historię obrotów.
Także firma Sofort też podkreśla, że jej systemy są absolutnie bezpieczne. Obecnie Sofort inicjuje ponad 3 miliony transakcji miesięcznie, w ponad 30 000 sklepach w Europie. „W żadnej z tych sytuacji, nie zdarzył się ani jeden przypadek fraudu, skutkujący szkodą na rzecz klienta końcowego.” – czytamy w komunikacie.
Sofort: KNF powinna zachować neutralność w poszanowaniu zasad prawnych
„W odniesieniu do zachowania (jednostronnego lub zorganizowanego) stojącego w sprzeczności ze swobodą polskich konsumentów, kontynuujemy dyskusję z Komisją Europejską, polskim Bankiem Centralnym, polskim Ministerstwem Finansów oraz KNF. W tym kontekście nalegamy, aby KNF zachowała neutralność w poszanowaniu zasad prawnych oraz lojalności wobec Unii Europejskiej. Jako przedstawiciele SOFORTu czujemy się zawiedzeni dyskryminującym i jednostronnym podejściem KNF.” – możemy przeczytać dalej.
Nie da się ukryć, że screen scraping budzi kontrowersje, a już zwłaszcza jeśli jest stosowany przez podmioty niebankowe. Zrywa z żelazną zasadą mówiącą, by nie udostępniać nikomu swoich danych do logowania. Niedawno zwracałem jednak uwagę, że być może pojawienie się nowych mechanizmów powinno skłonić do zastanowienia, czy nie jest to najwyższa pora by nieco zmodyfikować podejście i inaczej edukować klientów. W ostatecznym rozrachunku to klient decyduje, czy chce korzystać z takiej usługi. Powinien mieć jednak świadomość, jak taka usługa działa i czy wiążą się z nią jakieś ryzyka. A banki i inne podmioty powinny dać gwarancję, że ich mechanizmy są w stu procentach bezpieczne.