PayPal zmienił integratora płatności pozwalającego szybko doładować portmonetkę. Zamiast popularnych pay-by-linków oferuje teraz metodę Trustly. System działa jak Sofort – żąda loginu i hasła. Wygląda na to, że jest jednak pewna luka – można doładować konto w PayPalu, a później cofnąć bankowy przelew.
Konto w PayPalu można doładować na dwa sposoby – klasycznym przelewem lub za pomocą Trustly. To nowe rozwiązanie, które pojawiło się w miejsce jednego z integratorów szybkich płatności (bodajże Blue Media) umożliwiającego realizowanie przelewów pay-by-link. Trustly działa na podobnej zasadzie jak znany już w Polsce Sofort – wykorzystuje screen scraping. Żeby doładować konto-portmonetkę użytkownik musi podać swój login i hasło do bankowości internetowej. W jego imieniu na rachunek loguje się „robot”, który przygotowuje przelew i zleca operację.
Metoda ta jest kontrowersyjna i w bankach została zablokowana przez Komisję Nadzoru Finansowego. Zdaniem nadzoru narusza bowiem zasady prowadzonej przez laty kampanii edukacyjnej. Zgodnie z nimi, użytkownik bankowości internetowej nie powinien nikomu podawać swojego loginu i hasła. Zakaz KNF nie dotyczy jednak prywatnych firm, które mogą oferować takie rozwiązania. Korzysta z tego m.in. Sofort, który prosi klientów banków o login i hasło. Te samą metodę wykorzystuje właśnie Trustly.
Poniższe zrzuty ekranu pokazują krok po kroku jak można zasilić rachunek za pomocą Trustly:
Jak się jednak okazuje proces ten nie jest bez wad. Pomijam już kwestie dotyczące udostępniania danych do logowania podmiotom trzecim, bo to temat na odrębny tekst. Wygląda na to, że za pomocą Trustly można zasilić konto w PayPal, a następnie odwołać przelew. Środki zostaną w banku, a saldo w PayPalu się zwiększy. Przetestowałem to akurat na przykładzie mBanku, ale być może „luka” ta działa też w innych bankach. Po zleceniu dyspozycji doładowania przez Trustly wystarczy zalogować się do systemu transakcyjnego mBanku, wejść w zakładkę operacje zaplanowane i usunąć oczekujący tam przelew. Cała sztuka polega na tym, by zrobić to zanim rozpocznie się księgowanie sesji Elixir. Pieniądze zostaną w banku, a saldo w PayPalu się i tak zwiększy.
Oczywiście odradzam korzystanie z takiego „doładowania” konta PayPal – nie próbujcie tego w domu 😉 Jeśli zlecicie, a później odwołacie taki przelew, to zapewne po jakimś czasie PayPal zorientuje się, że coś tu nie gra i upomni się o środki – ma przecież Wasze dane. Nietrudno sobie jednak wyobrazić, że tę metodę mogą wykorzystać oszuści. Wystarczy im jedno konto bankowe założone na słupa. Wpłacą na ROR środki, doładują konto przez Trustly i cofną przelew. Następnie zrobią zakupy w internecie lub przeleją środki na inne konto. A potem znikną.
Screen scraping może i jest wygodny, ale chyba wymaga jeszcze dopracowania.