Tu Sofortbanking, poproszę o dane dostępu do konta

Facebook0 Twitter0 Wykop Google+ Linked in0

Michał Kisiel Michał Kisiel - 23.05.2012 (07:33)

Firma Payment Network AG nie jest jeszcze znana na polskim rynku e-płatności. Na dobre zadebiutowała na nim zaledwie miesiąc temu, a jej pierwszym dużym klientem-detalistą stała się sieć Deichmann. Wygląda jednak na to, że obsługiwany przez nią system Sofortbanking szybko zyska rozgłos. Mechanizm płatności wykorzystywany przez niemieckie przedsięwzięcie jest na tyle nietypowy, że ma potencjał by stać się medialną sensacją… i to raczej nie w pozytywnym tego słowa znaczeniu.

Na czym polega niezwykłość Sofortbanking? Otóż klient, który w internetowym sklepie wybierze ten kanał płatności trafia na stronę, na której obok szczegółów zamówienia pojawia się lista polskich banków. Po wybraniu banku, w którym posiada rachunek, proszony jest o podanie loginu i hasła do serwisu bankowości internetowej, a następnie hasła jednorazowego wysłanego na telefon komórkowy przez bank. Całość procesu, co należy podkreślić, odbywa się na stronie Sofortbanking.

Co niektórzy mogą w tym momencie zacząć rwać włosy z głów. Przecież od lat banki, starając się uodpornić klientów na zakusy phishingowych przestępców, przypominają o tym, że pod żadnym pozorem nie należy podawać (nigdzie!) danych umożliwiających dostęp do rachunku. A tu nie tylko należy wystawić je na tacy, ale dodatkowo przyprawić jednorazowym hasłem SMS.

Nie jest trudno domyślić się, w jaki sposób funkcjonuje mechanizm Sofortbanking. Skrypt, działając w imieniu zlecającego płatność, loguje się w serwisie bankowości internetowej, wypełnia formatkę przelewu i zatwierdza operację jednorazowym hasłem. Coś jakby pay-by-link, tylko że „za zasłonką”, niewidoczny dla użytkownika. Ale skoro to przelew, to czy nie można go anulować?

15 minut sławy

W momencie, gdy piszę te słowa, w serwisie Wykop.pl sukcesy święci opublikowany na blogu „Teoria dziur” wpis zatytułowany „Jak za darmo dostać buty w Deichmannie?”. Autor w barwny i szczegółowy sposób opisuje jak działa Sofortbanking (nie szczędząc przy tym słów grozy) i pokazuje jednocześnie, że możliwe jest odwołanie złożonego w ten sposób zlecenia, pod warunkiem, że nie zostało ono już przekazane do systemu Elixir. W tekście pojawia się także kilka interesujących szczegółów technicznych, w tym informacja o tym, że Sofortbanking korzysta z serwerów proxy podczas pobierania danych. Czy ma to służyć uniemożliwieniu blokowania dostępu przez poddawane screen scrapingowi instytucje? Niestety nie wiadomo – przedstawiciel Payment Network AG nie odpowiedział do tej pory na zadane przeze mnie e-mailem pytania.

Można spodziewać się, że temat podchwycą wkrótce inne media. Wpis na temat niemieckiej innowacji pojawił się już w kilku innych serwisach, w tym na śledzącym różnego rodzaju informatyczne zagrożenia niebezpiecznik.pl. PR-owy kryzys zaraz po wejściu na rynek? Biorąc pod uwagę opieszałą reakcję firmy, to chyba zasłużona kara.

Dziwne niemieckie zwyczaje czy polskie uprzedzenia?

Spójrzmy jednak na sprawę z dystansu, bo ma ona, pomijając kwestię ewentualnych fraudów, co najmniej kilka innych interesujących wątków. Wynalazek Payment Network nie jest nowy, z powodzeniem działa od kilku lat w wielu krajach. Jego główną konkurencyjną przewagą jest szybkość, łatwość obsługi z punktu widzenia użytkownika i niski koszt transferu środków. Prowizja poniżej 1% od kwoty transakcji, to dla sprzedawców bardzo kusząca propozycja, zwłaszcza jeśli porównać ją z kosztami akceptacji płatności kartowych.

 Sofortueberweisung jest jedną z najczęściej wykorzystywanych metod płatności w sieci u naszych zachodnich sąsiadów, a znani z ostrożności Niemcy nie obawiają się w taki sposób płacić za internetowe zakupy. Dlaczego rozwiązanie zaszokowało zatem Polaków?

Na pewno nie pomaga fakt, że dostawca usługi nie jest w Polsce znany, a kampania informacyjna towarzysząca wejściu na lokalny rynek ograniczyła przede wszystkim do komunikatów prasowych. Niespolonizowany w stu procentach serwis internetowy także nie sprawia najlepszego wrażenia. Szczególnie brakuje na nim jakiegokolwiek odniesienia do krajowych realiów. Informacja, że system „odpowiada wysokim standardom bezpieczeństwa bankowości internetowej i dysponuje wysokimi standardami ochrony danych osobowych, które zostały uznane przez TÜV” nie mówi zbyt wiele klientowi, który pierwszy raz słyszy o Technischer Überwachungsverein. Niemcy chyba zbyt niedbale potraktowali konieczność wzbudzenia zaufania, a branża, w której działają wymaga tego w szczególnym stopniu.

Najważniejszym problemem jest oczywiście fakt, że usługa wymaga podania danych, które są powszechnie uznawane za wrażliwe. Do tej pory podobny mechanizm wykorzystywały tylko serwisy PFM korzystające z agregacji informacji z rachunków bankowych. Pionierski Kontomierz.pl spotkał się, i spotyka nadal, z podobną nieufnością. Nikła popularność serwisów wspomagających zarządzanie domowym budżetem sprawiła jednak, że większość polskich internautów nie zetknęła się dotąd z ideą „otwarcia drzwi” do bankowego rachunku zewnętrznemu podmiotowi. Fakt, że w Polsce nie pojawił się odpowiednik amerykańskiego Yodlee (podmiotu agregującego dane z instytucji finansowych) sprawił także, że nie dyskutowano szerzej prawnych konsekwencji udostępnienia loginu i hasła do rachunku niebankowym usługodawcom.

Wątek prawny jest tu szczególnie istotny. Dzielenie się danymi dostępowymi do rachunku może pociągać za sobą poważne konsekwencje. Część banków wprost zabrania takich kroków w swoich regulaminach, a zapisy w ustawie o usługach płatniczych  mówią o „rażącym niedbalstwie” użytkownika, które może pozbawić go ochrony przed konsekwencjami nieautoryzowanych transakcji. Uchylony art. 32 ustawy o elektronicznych instrumentach płatniczych przedstawiał sprawę jeszcze dobitniej – „Posiadacz jest obowiązany do nieujawniania informacji o działaniu elektronicznego instrumentu płatniczego udostępnionego w ramach umowy o usługi bankowości elektronicznej, których ujawnienie może spowodować brak skuteczności mechanizmów zapewniających bezpieczeństwo zlecanych operacji”.  Czy korzystanie z usług takich jak Sofortbanking jest zatem prawnie ryzykowne? I tu zaczyna się drugie dno sprawy…

Overlay services – zakazać czy bronić?

Tak zwane overlay services, czyli usługi korzystające ze schematu inicjowania płatności poprzez podanie danych dostępu do rachunku bankowego stały się już kilka lat temu obiektem zainteresowania Komitetu ds. Płatności Komisji Europejskiej. Eksperci stwierdzili, że nie wchodzą one w zakres regulacji dyrektywy o usługach płatniczych (PSD), na której bazuje polska ustawa o usługach płatniczych. Funkcjonują zatem w legislacyjnej próżni.

Co więcej, w 2009 roku nasz bohater, czyli Payment Network AG został pozwany przez niemiecki system Giropay. Niemiecki operator płatności elektronicznych powiązany z bankami zarzucił Sofortueberweisung nieuczciwą konkurencję i narażanie na niebezpieczeństwo systemów bankowości internetowej. Sprawa sięgnęła jeszcze dalej, bowiem w 2011 r. zainteresował się nią niemiecki urząd antymonopolowy. Głównym pytaniem, które zadał sobie Bundeskartellamt była kwestia, czy banki broniąc się przed dostępem do rachunków przez zewnętrznych usługodawców, nie zamykają w ten sposób dostępu do rynku nowym, innowacyjnym graczom. Opinia przedstawiona przez urząd sądowi w Kolonii wskazywała, że zachowanie banków ma charakter działania nastawionego na blokowanie konkurencji i jednocześnie podważała zasadność reguł bezpieczeństwa narzucanych przez banki swoim klientom.

Gdzieś w tle całej sprawy majaczy niezwykle ważna, wręcz fundamentalna dla przyszłości banków kwestia. Czy mają one otworzyć się na „pasożyty” w rodzaju Yodlee lub Sofortbanking, które będą mogły budować nowe usługi korzystając z dostarczanej przez banki infrastruktury? Czy może stracą w ten sposób kiedyś kontakt z klientami i staną się dostawcami zunifikowanych, podstawowych usług, na których inni budują „wartość dodaną”? Ciekawe zagadnienie, ale to raczej temat na osobne rozważania.

Czy jest się czym emocjonować?

Czy Sofortbanking wzbudzi w Polsce równie gwałtowne emocje?  Można w to wątpić. Przede wszystkim trudno spodziewać się, że jako narzędzie e-płatności zdobędzie duży udział w rynku. W najbliższym czasie nie zagrozi raczej szybkim internetowym przelewom pay-by-link, a za rogiem czekają już przyspieszone przelewy międzybankowe, których na próżno szukać za zachodnią granicą. Może jednak przy okazji solidnej dyskusji doczeka się kwestia bezpieczeństwa prawnego i technicznego podobnych rozwiązań. Byłoby to korzystne dla wszystkich uczestników rynku, bo być może gdzieś powstaje już kolejna „overlay’owa” innowacja…

Michał Kisiel
analityk Bankier.pl

Źródło: PR News