Zamiana operatora doładowań portmonetki nie wyszła PayPalowi na dobre. Już tylko cztery banki umożliwiają szybkie doładowania przez Trustly. Co ciekawe, banki zablokowały Trustly, ale i tak pozwalają swoim klientom korzystać z podobnych usług.
O Trustly zrobiło się głośno pod koniec kwietnia, kiedy to operator zastąpił w serwisie PayPal firmę Blue Media. Do tej pory to za jej pośrednictwem klienci mogli szybko doładowywać portmonetkę. Wdrożenie Trustly nie spodobało się klientom, bo firma żąda od nich danych do logowania na ich prywatne rachunki (wykorzystuje screen scraping). Okazuje się też, że i same banki zdecydowały się zablokować usługę. Pierwszy zrobił to PKO Bank Polski, a chwilę później mBank. Niewykluczone, że przedstawiciele mBanku zdecydowali się wyłączyć doładowania przez Trustly także z tego względu, że proces zawierał pewną lukę. Można było zasilić konto PayPal przelewem bankowym, a następnie wycofać ten przelew. Pieniądze nie znikały jednak z portmonetki.
Dziś już tylko cztery banki udostępniają możliwość doładowania konta za pomocą Trustly. To Bank Millennium, Bank Pekao, Getin Bank i ING Bank Śląski.
– Aktualnie analizujemy zaistniałą sytuacja i uważnie monitorujemy działalność serwisów płatniczych stosujących tzw. screen scraping – powiedział mi Artur Newecki z biura prasowego Getin Banku. – Bank umieścił również na ekranie logowania do bankowości internetowej komunikat, przypominający klientom podstawowe zasady bezpieczeństwa, w tym o nieudostępnianiu osobom trzecim swoich danych do logowania – dodał.
Pozostałe banki nie skomentowały sprawy.
Firma Trustly broni się argumentując, że jest licencjonowaną instytucją płatniczą, a jej usługi są bezpieczne. – Przetwarzamy ponad 1,7 mln płatności miesięcznie na 29 rynkach i nie mieliśmy ani jednego przypadku wycieku danych logowania lub danych osobowych. Działamy w Polsce i Europe od lat, podobnie jak firma Sofort. W ciągu ostatnich dni nic się pod tym względem nie zmieniło, tymczasem banki nagle banki zaczęły blokować nasze usługi – czytamy w komunikacie przesłanym do redakcji.
Sytuacja jest o tyle ciekawa, że zablokowano tylko Trustly. Nadal możliwe jest jednak stosowanie screen scrapingu w innych serwisach, np. w Soforcie. – Co do zasady, nasze podejście w tym zakresie jest jednakowe w stosunku do wszystkich podmiotów, które stosując tego rodzaju mechanizm narażają klientów na ryzyko przejęcia kontroli nad kontem przez osoby niepowołane – powiedziała mi Magdalena Lejman z biura prasowego PKO Banku Polskiego.
Niemniej jednak Trustly nie daje za wygraną. – Przesyłanie danych konsumenta przez oprogramowanie firm trzecich nie jest zjawiskiem nowym. Za każdym razem gdy konsument loguje się oraz korzysta ze swojego banku internetowego, jednocześnie transmituje swoje kody logowania przez szereg programów firm trzecich, takich jak np. system operacyjny czy przeglądarka internetowa. Trustly jest kolejną warstwą oprogramowania, z którego konsument może skorzystać, aby zainicjować płatność. Jeśli konsument nie mógłby przesłać swoich kodów logowania przez oprogramowanie dostarczone przez firmy zewnętrzne wobec banku (takie jak przeglądarka, czy też interfejs Trustly) nie mógłby on zalogować się do bankowości internetowej w ogóle – czytamy w komunikacie Trustly.
Dziś banki blokują screen scraping, ale sytuacja ta w przyszłości ulegnie zmianie. Europejska Dyrektywa w sprawie Usług Płatniczych (PSD 2), która weszła w życie 12 stycznia 2016 r., ma być wdrożona do polskiego prawa do stycznia 2018 r. Dokument ten dopuszcza stosowanie screen scrapingu w usługach inicjujących płatności. Co więcej, zakłada że działający już dostawcy usług inicjowania płatności mają prawo do kontynuowania swojej działalności w okresie przejściowym, do czasu transpozycji dyrektywy do prawa lokalnego, a banki nie mogą utrudniać świadczenia takich usług.
– Jakiekolwiek działanie blokujące usługę inicjowania płatności świadczoną przez Trustly jest zatem niezgodne z intencją regulatora wyrażoną w Dyrektywie a także blokuje polskim konsumentom możliwość korzystania z metody płatności, z której korzystają miliony konsumentow w całej Europie – argumentuje firma Trustly.
Nie oznacza to jednak, że w przyszłości nie pojawią się kolejne problemy. Usługi takie jak Trustly mogą być bowiem blokowane przez systemy bezpieczeństwa banków. Kilka dni temu pisałem, że po doładowaniu portmonetki z konta w Inteligo, bank zablokował mi dostęp do rachunku. Na infolinii dowiedziałem się, że wykryto podejrzaną aktywność i bank ze względów bezpieczeństwa zablokował możliwość logowania do systemu. Żeby odblokować konto musiałem zadzwonić na infolinię i zmienić hasło dostępu do rachunku. Trudno sobie wyobrazić, że w przyszłości KNF nakaże bankom poluzować systemy bezpieczeństwa tylko po to, by dopuścić screen scraping.