Komisja Nadzoru Finansowego wzięła pod lupę banki, które proszą klientów konkurencji o podanie loginów i haseł dostępowych do systemu bankowości internetowej. KNF przypomina klientom udostępniającym wrażliwe dane, że łamią warunki umowy z bankiem i tracą prawo do reklamacji.
Kilka banków stosuje w swoich systemach automaty do zaciągania historii obrotów na rachunku z konkurencyjnego banku. Zainteresowany kredytem klient podaje dane do logowania na swój własny rachunek prowadzony w innej instytucji, a automat loguje się i zaciąga historię. Na jej podstawie oblicza zdolność kredytową i proponuje mu kredyt.
Banki proszą o login i hasło
Pisałem już na łamach PRNews.pl niejednokrotnie, że taka praktyka jest kontrowersyjna. Skłania bowiem klientów banków do złamania jednej z podstawowych zasad bezpiecznego korzystania z bankowości internetowej: nigdy nie podawaj podmiotom trzecim swoich danych dostępowych. Banki stosujące takie procedury (T-Mobile Usługi Bankowe, Idea Bank i mBank) zapewniają, że automaty są absolutnie bezpieczne, ale konkurencja ma poważne wątpliwości. W ubiegłym roku BNP Paribas ostrzegał wprost swoich klientów przed korzystaniem z takich serwisów. Także prezes ZBP apelował do banków by zaniechały owej praktyki.
Teraz sprawie przygląda się Komisja Nadzoru Finansowego. W opublikowanym dziś komunikacie napisano: „W ostatnim czasie nadzór zidentyfikował przypadki, w których banki proszą potencjalnych klientów w procesie wnioskowania o kredyt o podanie danych logowania do rachunków tych klientów prowadzonych przez inne banki (login/identyfikator oraz hasło). Umożliwia to m.in. dostęp do historii rachunku danej osoby w innym banku. Niektóre banki udostępniają też klientom funkcjonalność pozwalającą na wprowadzenie danych logowania do kont w innych bankach, pod hasłem wglądu we wszystkie rachunki w jednym miejscu.”
Nadzór przyjrzy się bankom
Takie praktyki banków budzą zaniepokojenie Urzędu Komisji Nadzoru Finansowego. W związku z tym, wobec banków stosujących kwestionowane praktyki podjęte zostały indywidualne działania nadzorcze zmierzające do zmiany postępowania tych banków.
Dodatkowo jednak, publikując niniejszy komunikat, KNF zwraca klientom oraz bankom uwagę, że podawanie przez klientów danych logowania do bankowości internetowej w sposób wyżej opisany wiąże się z następującymi czynnikami ryzyka:
- W przypadku, gdy logowanie do serwisu bankowości internetowej banku prowadzącego rachunek klienta realizowane jest w jego zastępstwie przez inny bank, zaś klient przy użyciu tego kanału ma możliwość realizacji zleceń płatniczych, prowadzi to do złamania przez klienta przepisów art. 42 ust. 2 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych oraz warunków umownych dotyczących korzystania z bankowości internetowej w zakresie konieczności zachowania poufności danych logowania. Wiąże się to z ryzykiem utraty prawa do reklamacji ewentualnych nieautoryzowanych transakcji.
O takie informacje prosił automat mBanku:
- Niezależnie od sposobu realizacji przedmiotowych praktyk należy podkreślić, że podstawową zasadą bezpiecznego korzystania z usług bankowych i płatniczych z wykorzystaniem elektronicznych kanałów dostępu jest podawanie nazwy użytkownika i hasła do konta jedynie na stronie internetowej banku prowadzącego dany rachunek lub w udostępnianej przez niego aplikacji (np. instalowanej na telefonie). Praktyka niektórych banków zachęca klientów do łamania tej zasady.
Nowe ataki na klientów banków
- Takie postępowanie może zaprzepaścić wieloletnie działania edukacyjne środowiska bankowego uświadamiające klientom banków istotność powyższej zasady. Jest prawdopodobne, że spowoduje to zmniejszenie czujności klientów w odniesieniu do miejsc, w których wprowadzają oni swoje dane logowania, co może przyczynić się do wzrostu skuteczności ataków typu phishing i pojawienia się nowych scenariuszy ataków tego rodzaju. Niepożądanym pośrednim efektem może być zmniejszenie zaufania klientów do korzystania z usług bankowych i płatniczych świadczonych przez Internet.
Nadzór przypomina, że w ramach Związku Banków Polskich podejmowane są już działania mające na celu wypracowanie rozwiązań pozwalających na bezpieczną, autoryzowaną przez wszystkie zaangażowane strony wymianę danych klientów.
Banki powinny mieć wspólny system
Warto w tym miejscu zwrócić uwagę, że obok swoich wad, takie automatyczne rozwiązania mają też swoje zalety. Jeśli ufać bankom, które udostępniają oprogramowanie, procedura jest całkowicie bezpieczna i znacząco przyspiesza proces wnioskowania i wypłaty kredytu. Możliwe jest też szybkie przeniesienie konta razem z ustawieniami z jednego banku do drugiego. Być może wystarczyłoby więc zmienić tylko sposób pobierania danych, tak by nie żądać od klienta wrażliwych informacji.
Banki powinny pomyśleć o jednym, wystandaryzowanym systemie wymiany informacji na temat historii obrotów na kontach. Klient mógłby na przykład przesyłać między bankami plik z zaszyfrowaną bazą danych zawierającą historię obrotów na rachunku. Nie udostępniałby wówczas wrażliwych informacji, a bank mógłby przeanalizować obroty na rachunku i podjąć decyzję.
Wojciech Boczoń