Branżowa dyskusja o praktykach nakłaniania klientów do używania swoich loginów i haseł do bankowości internetowej w innych serwisach internetowych przedarła się już do szerokiej świadomości mediów. Nie tylko finansowi blogerzy, ale i gazety papierowe zajęły się tym tematem. Temat jest jednak wart nieco dłuższego omówienia. Zagadnienie ma kilka aspektów, które czynią je interesującym także dla ludzi spoza sektora. Zawiera w sobie element innowacji, ryzyka i bezpieczeństwa, a także kontrowersji.
Skrajne różne opinie samych banków, a także zdecydowane stanowisko Nadzorcy, być może kolidujące z unijnym kierunkiem regulacyjnym – to wszystko razem wzięte tworzy obiecujący materiał dziennikarski.
Z praktycznego punktu widzenia cały proceder można podzielić według miejsca podawania haseł i loginów:
- w serwisach transakcyjnych innych banków, gdzie podlega regulacji KNF i zostało obecnie zahamowane
- w serwisach podmiotów niebankowych, gdzie moc Regulatora nie sięga, a jednocześnie wpływ na wizerunek sektora bankowego jest mniejsz lub ze względu na cel, dla którego klient zachęcany jest do użycia swoich danych do logowania:
- wykonanie płatności natychmiastowej, przykład ciekawy, ale marginalny przy obecnej dominacji przelewów internetowych w polskim e-commerce
- pobranie danych dla celów informacyjnych, używanych w agregatorach informacji finansowej typu PFM (Personal Finance Manager), najstarsza historycznie, ale również mało popularna usługa
- uzyskanie kredytu w trybie on-line, gdzie pobrane z innego banku dane służą do oceny kredytowej klienta, proces stosunkowo nowy, z potencjałem, obecnie dopiero zyskujący na popularności
Najważniejszy jest szybki kredyt on-line
Dla banków promujących ideę, że nakłanianie klienta do podania loginu i hasła, w celu zalogowania się poza jego kontrolą na jego rachunki, jest dopuszczalne, a nawet pożądane, najistotniejszy jest ten ostatni powód – szybkie i wygodne kredytowanie klientów, przez internet. Spotyka się głosy, że oparty na screen scrappingu proces kredytowy to jedna z najważniejszych innowacji w bankowości, skokowy wzrost zadowolenia klienta, zwiększenie równowagi konkurencyjnej itp. Banki niechętne popularyzacji tego procederu, jak również krajowy Regulator, kierują się głównie chęcią utrzymania obecnego stanu bezpieczeństwa bankowości internetowej. Podsumowując, dyskusja toczy się wokół dopuszczalności i bezpieczeństwa procesu udzielania kredytu on-line z wykorzystaniem logowania na konta klienta w innych bankach, przez nakłonienie go do użycia swoich haseł i loginów z tych właśnie banków w serwisie banku – potencjalnego kredytodawcy.
Jeśli to innowacja – to należy się bać
Spójrzmy więc na ten najczęściej dyskutowany proces i argumenty jego zwolenników. Po pierwsze innowacja nie polega tu na udzieleniu kredytu on-line, ani na zastosowaniu screenscrappingu. Jako uczestnik zespołu projektowego Multiportu (prowadzonego przez ówczesny BRE Bank SA) byłem świadkiem i współrealizatorem importu tej koncepcji ze Stanów Zjednoczonych, ponad dziesięć lat temu. W internecie to cała epoka. Innowacja, jeśli w ogóle można o niej mówić w tym przypadku, leży w mechanizmie scoringowym i wskaźniku przyznawalności pożyczki. Do tej pory szybkie kredyty, przyznawane bez fizycznej obecności w placówce, cechowały się niskim wskaźnikiem akceptacji oraz ograniczeniem do małych kwot.
Nowe podejście, wykorzystujące podawanie danych do logowania, pobieranie danych przez screenscrapping, odpytanie innych źródeł informacji o kliencie i przyznanie natychmiastowe nawet istotnych sum to rzeczywiście zmiana. Historia bankowości ostatnich dekad wskazuje, że podobne„wynalazki” znacząco zwiększające dostęp do pożyczek konsumpcyjnych lubią po pewnym czasie owocować niechcianym plonem rezerw i kredytów straconych.Można się więc zgodzić, że usługa ma cechy innowacji, ale jednocześnie pamiętać o tym, że innowacji dokonano w najmniej fortunnym miejscu. To nie rozwój technologii, a zmiana w podejściu do oceny zdolności kredytowej wydają się głównym motorem dotychczasowego rozwoju pożyczek on-line.
Kolejnym elementem budzącym niepokój jest potencjalne zagrożenie związane z połączeniem screenscrappingu z procederem zakładania kont na podstawione osoby. Takie konta istnieją, a połączenie z procesem oceny zdolności opartym na analizie historii rachunku on-line otwiera nową możliwość ich przestępczego wykorzystania. Do błyskawicznego, masowego i zdalnego wyłudzania kredytów. Pisał o tym niedawno Wojciech Boczoń.
Najgroźniejsze jest podważanie reguł bezpieczeństwa w sieci
Oczywiście wspomniane ryzyka mogą długo pozostać jeszcze hipotetyczne. Banki zapewniają, że nie przechowują przekazanych im haseł, że pobierają jedynie niezbędne dane, w minimalnym zakresie i, oczywiście, w całkowicie szyfrowanych, bezpiecznych połączeniach. Czy rzeczywiście w tym przypadku będziemy świadkami niezwykłego fenomenu stuprocentowo bezpiecznego procesu informatycznego pokaże czas. Na razie jednak pozostaje wątpliwość związana z dotychczasowym doświadczeniem, które udowadnia, że nie ma zabezpieczeń nie do złamania. Dla banków sceptycznych do całej idei (w jej obecnym kształcie) najważniejsze jest jednak, jak się wydaje, inne zagrożenie. Otóż pojawia się sytuacja, w której jeden bank namawia swojego klienta, aby ten użył swojego loginu i hasła do innego banku nie na właściwej stronie logowania, a w innym serwisie. Mamy tu bezpośredni konflikt autorytetów. Ten sam bank myśląc o swoim systemie transakcyjnym edukuje klienta, by używał hasła i loginu tylko na stronie logowania i jednocześnie mówi do klienta – zasada ta nie dotyczy loginów i haseł konkurencji. Taka praktyka grozi zaprzepaszczeniem wieloletniej akcji edukacyjnej do tej pory wspólnie prowadzonej przez wszystkie banki, a także inne instytucje, takie jak NBP czy ZBP. Pisałem już o tym wielokrotnie i jeszcze nikt nie podważył realności tego zagrożenia. Co najwyżej, w dyskusjach na różnych forach, zwolennicy screenscrappingu minimalizowali jego praktyczne znaczenie lub odwoływali się do nieuchronności postępu.
To zagrożenie jest bardzo istotne w okresie narastających prób wyłudzania danych osobowych, opartych na coraz bardziej wyrafinowanych technikach psychologicznych. O ile łatwiej będzie przestępcom skłonić klienta do powierzania tego typu danych na rozmaitych stronach, skoro same banki do tego namawiają, przekonując o innowacyjności i wygodzie a także bezpieczeństwie (!) takich działań. I nie przekonują mnie argumenty o tym, że klient rozróżnia sytuację, gdy podaje hasło w systemie bankowym od incydentu phishingowego. Znacznie łatwiej jest klientowi przekazać regułę: „podaję login i hasło tylko na stronie logowania” niż wymagać od niego subtelnych rozróżnień i świadomości, na jakiego typu stronie aktualnie się znajduje. Skoro zwolennicy screenscrappingu powołują się na wygodę, to dlaczego chcą teraz obarczać klienta takim obowiązkiem? To przecież ani praktyczne, ani wygodne, ani bezpieczne.
Czas na lepsze rozwiązanie
Nic więc dziwnego, że postawione między potrzebą innowacji (niebezpiecznej, ale wymuszanej między innymi przez nieregulowanych uczestników rynku) i koniecznością zachowania bezpieczeństwa na, co najmniej, dotychczasowym poziomie, banki, mimo dzielących je różnic, zdecydowały się na wspólne działanie. Prace pod patronatem Związku Banków Polskich zmierzają do opracowania takiego procesu przekazywania danych bankowych w czasie rzeczywistym, aby umożliwić klientowi łatwe przekazywanie swoich danych finansowych pomiędzy różnymi bankami bez konieczności podawania danych wrażliwych, służących do logowania. Co więcej, cały proces musi być bezpieczny i efektywny, obejmować wszystkie potrzebne (ale tylko te rzeczywiście potrzebne) dane do procedury przyznania kredytu i być równie szybki jak obecny, bazujący na logowaniu do interfejsu bankowości internetowej. Dane uzyskane w ten sposób powinny być (rzecz bardzo ważna dla banków – kredytodawców) wiarygodne i jednocześnie świadomie udostępniane przez Klienta, w uzgodnionym przez niego zakresie (rzecz istotna dla banków udostępniających dane).
Dynamika wspomnianych prac, w których mam zaszczyt uczestniczyć, pozwala mieć nadzieję na ich szybkie i właściwe zakończenie. Wspólnie uzgodniony i zaakceptowany standard wymiany danych pomiędzy bankami rozwiąże problem zagrożeń związanych z niewłaściwym posługiwaniem się loginem i hasłem oraz spełni oczekiwania tych banków, które zdecydowały się na proces kredytowania on-line na podstawie danych z innych banków. Moim zdaniem to właśnie produkcyjne wdrożenie procesów opartych na takim standardzie będzie prawdziwą przełomową innowacją zmieniającą bankowość internetową, ponieważ pozwoli na błyskawiczne, szybkie, bezpieczne i wygodne dla klientów zaspokajanie potrzeb kredytowych.
Wojciech Bolanowski,
doradca Prezesa Zarządu PKO Banku Polskiego