W ramach strategii budowania cyfrowej bramy do e-administracji Idea Bank umożliwił klientom logowanie się do ZUS-u za pomocą bankowości internetowej. System Idea Cloud nie wykorzystuje jednak loginu i hasła bankowego, a dane profilu zaufanego ePUAP. A to nie podoba się Ministerstwu Cyfryzacji.
Obecnie cztery banki udostępniają klientom możliwość zalogowania się do PUE ZUS z poziomu bankowości internetowej. To PKO BP, Inteligo, BOŚ i Idea Bank. Banki „państwowe” umożliwiają logowanie do elektronicznej platformy ZUS-u za pomocą loginu i hasła stosowanego w bankowości internetowej. Inaczej system działa w Idea Banku. W tym przypadku klient loguje się za pomocą profilu zaufanego do ePUAP. Z naszych informacji wynika, że ta metoda nie spodobała się Ministerstwu Cyfryzacji, które skierowało do banku prośbę, by zrezygnował z tego mechanizmu. Potwierdza to rzecznik resortu Karol Manys.
– Jesteśmy jak najbardziej za tym, by banki umożliwiały swoim klientom możliwość przejścia z e-bankowości do PUE ZUS czy innych elektronicznych usług oferowanych przez administrację. Doskonale się to sprawdziło przy okazji składania wniosków o wypłatę świadczenia 500+ drogą on-line. Ale powinno to następować po spełnieniu pewnych warunków. Również tych dotyczących bezpieczeństwa. Dlatego zależy nam, by banki stosowały jednolity standard w tym zakresie i nie powinno się to odbywać poza kontrolą – wyjaśnia Manys.
Katarzyna Siwek, rzecznik prasowy Idea Banku, przyznaje, że bank pracuje już nad wdrożeniem mechanizmu podobnego jak w PKO BP. Klient będzie się mógł logować do PUE ZUS za pomocą loginu i hasła do Idea Cloud. – Jesteśmy w trakcie przechodzenia z jednego modelu na drugi. Jednocześnie pracujemy z Ministerstwem Rozwoju nad połączeniem Idea Cloud z CEIDG też w modelu API – dodaje.
Sprawa może mieć jednak drugie dno. Nieoficjalnie dowiedziałem się, że nie wszystkim podobał się pomysł stosowania screen scrapingu i przechowywania danych. Zgodnie z regulaminem usługi, bank może przechowywać dane profilu zaufanego ePUAP, a następnie wykorzystywać je np. do logowania się na konto klienta w ZUS-ie. Dane te wykorzystuje na przykład podczas procedury oceny zdolności kredytowej klienta. W regulaminie usługi czytamy: „O ile Użytkownik wyrazi zgodę, Bank może pobierać Raporty Scoringowe na potrzeby oceny sytuacji finansowej Użytkownika oraz oceny jego zdolności kredytowej bez odrębnej zgody lub wniosku Użytkownika.”.
Okazuje się, że użytkownik może wyrazić tę zgodę przez przypadek. Mianowicie podczas logowania przez Idea Cloud do PUE ZUS system ma domyślnie zaznaczoną zgodę „Chcę zapamiętać dane do logowania do ZUS online”. I rzeczywiście, podczas pierwszego logowania do PUE ZUS i ja sam dałem się na to złapać. A wyrażenie tej zgody oznacza zapisanie danych w systemie, akceptację regulaminu i zgodę na automatyczne logowanie w imieniu klienta.
Resort miał ponoć uwagi do jeszcze jednej kwestii. Logowanie z wykorzystaniem danych ePUAP nie jest do końca zgodne z rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 5 czerwca 2014 r. w sprawie zasad potwierdzania, przedłużania ważności, unieważniania oraz wykorzystania profilu zaufanego elektronicznej platformy usług administracji publicznej. W paragrafie szóstym możemy tam przeczytać, że osoba posiadająca ważny profil zaufany ePUAP powinna w celu jego bezpiecznego wykorzystywania:
1) zapewnić poufność danych, które mogłyby być wykorzystane do złożenia podpisu potwierdzonego profilem zaufanym ePUAP przez osoby trzecie;
2) nie udostępniać konta użytkownika osobom trzecim;
3) niezwłocznie unieważnić profil zaufany ePUAP w przypadku utraty kontroli nad kontem użytkownika.
Obecnie stosowana przez Idea Bank metoda wykorzystuje mechanizm screen scrapingu. Komisja Nadzoru Finansowego wymusiła na bankach zaprzestania stosowania tej metody np. podczas procedury oceny zdolności kredytowej. W bankowości screen scraping powróci w momencie wdrożenia dyrektywy PSD 2, która dopuszcza możliwość udostępniania danych podmiotom trzecim.