Wojciech Boczoń
-
21.08.2014 (13:04) KNF zaleciła bankom, by przestały stosować tzw. screen scraping. Komunikat KNF podzielił środowisko bankowe. Argumentem za blokadą, są teoretycznie kwestie związane z bezpieczeństwem użytkowników bankowości elektronicznej i edukacją ekonomiczną. Problem polega na tym, że zalecenia odnoście bezpiecznego e-bankingu definiowano pod koniec lat 90., kiedy technika była na innym poziomie.
Treminem screen scraping określa się automatyczną metodę pobierania danych historii obrotów na rachunku użytkownika bankowości elektronicznej. Stosują ją trzy banki: mBank, T-Mobile Usługi Bankowe i Idea Bank. W praktyce działa to następująco: klient loguje się do systemu transakcyjnego banku A, a za jego pośrednictwem na swoje konto bankowe prowadzone w banku B. W tym celu musi podać swój login i hasło do banku B. Specjalny automat zaciąga historię obrotów na rachunku i importuje ją do banku A.
Dane poddawane są analizie przez komputer i na ich podstawie proponowane są klientowi nowe produkty, na przykład kredyty. W ten sposób można też przenieść rachunek z banku do banku. Banki stosujące screen scraping zapewniają, że jest to absolutnie bezpieczna metoda. Potwierdzają to niezależne firmy audytorskie – do tej pory nie odnotowano żadnego przypadku naruszenia zasad bezpieczeństwa. Twierdzą, że klienci chętnie korzystają z takiej procedury, bo nie muszą dostarczać szeregu dokumentów, a kredyt dostają w parę chwil.
Zasady z czasów Nokii 3310
W lipcu Komisja Nadzoru Finansowego wydała komunikat, w którym zakazała bankom stosować screen scraping. Jeszcze wcześniej głos w dyskusji zabrał Związek Banków Polskich. Koronnym argumentem walki ze screen scrapingiem jest zarzut dotyczący negatywnego wpływu na edukację klientów. Kwestią sporną jest podawanie loginu i hasła do swojego konta na stronie innego banku. Według ZBP i KNF jest to łamanie podstawowej zasady bezpiecznego korzystania z bankowości internetowej. Więcej na ten temat TUTAJ.
Źródło: nokia.com
Pewien problem polega jednak na tym, że obecne zasady bezpiecznego e-bankingu były definiowane pod koniec lat 90. ubiegłego wieku. Bankowość internetowa debiutowała w 1998 roku. Dwa lata przed pojawieniem się na rynku telefonu Nokia 3310, trzy lata przed premierą Windowsa XP, w czasach gdy na polskich ulicach królowały polonezy, a surfowanie po internecie wyglądało tak:
Może już czas edukować po nowemu?
W ubiegłym roku, kiedy Idea Bank wdrażał swój automat do screen scrapingu, zastanawiałem się, czy nie jest to już najwyższy czas by na nowo zdefiniować zasady bezpiecznego korzystania z bankowości elektronicznej. Teraz problem powraca ze zdwojoną siłą. Technologia poszła do przodu, pojawiły się nowe rozwiązania, o których 15 lat banki nawet nie śniły. Być może więc KNF i ZBP powinny zwrócić się do klientów z innym komunikatem. Zamiast zakazywać świadczenia usługi, wytłumaczyć użytkownikom jak korzystać z niej bezpiecznie.
Na przykład: „Pamiętajcie, by nie podawać danych do logowania do systemów e-bankingu innym podmiotom niż banki”. Banki z definicji dbają o bezpieczeństwo danych klienta, nie odnotowano żadnych nadużyć wykorzystania screen scrapingu. W ostatecznym rozrachunku klient nie jest zmuszany do podawania danych, udostępnia je, bo chce, bo na tym skorzysta. Dostanie szybki kredyt, tańsze konto, lepszą lokatę etc. etc.
Screen scraping do zamrażarki
Zdania bankowców na temat decyzji KNF są podzielone, a w kuluarach trwa żywa dyskusja. Można odnieść wrażenia, że rynek podzielił się na dwa obozy. Przedstawiciele dużych banków popierają decyzję nadzoru, przedstawiciele mniejszych uważają, że Komisja przesadziła. Podważają sens tej decyzji, twierdząc że nadchodząca unijna dyrektywa PSD2 uchyli zalecenie KNF. Dyrektywa mówi bowiem, że screen scraping będzie jak najbardziej dopuszczalnym sposobem świadczenia usług i to nie tylko przez banki, ale też inne kategorie dostawców, na przykład przez instytucje płatnicze. Dyrektywa ma obejmować usługi, które w obecnym momencie nie podlegają prawnej regulacji, podobnie jak to miało miejsce kilkanaście lat temu w przypadku tworzenia przepisów regulujących płatności kartami płatniczymi oraz pieniądzem elektronicznym.
W praktyce zablokowanie screen scrapingu może się więc okazać schowaniem projektu do zamrażarki. Za kilkanaście miesięcy nowe prawo pozwoli odblokować mechanizmy. Co więcej, doprowadzi to sytuacji, w której banki podlegając pod KNF nie będą mogły obecnie stosować screen scrapingu, ale już firmy pożyczkowe czy inni dostawcy tak. Taką metodę powszechnie stosuje na przykład Sofort Banking, który nie podlega pod KNF, a działa na naszym rynku.
KNF dała bankom stosującym screen scraping czas do końca sierpnia 2014 r. na zaprzestanie praktyki. – Bank wdroży niezbędne zmiany zgodnie z zaleceniem KNF we wskazanym terminie – powiedział nam Krzysztof Olszewski z biura prasowego mBanku. Takie samo stanowisko przekazał nam Alior Bank. – Bank zamierza dostosować się do oczekiwań KNF określonych w treści zalecenia w terminie zgodnym z oczekiwaniami Komisji – powiedział Michała Hucał, Wiceprezes Zarządu Alior Banku. Przedstawiciele Idea Banku nie chcieli komentować sprawy.
Chodzi o edukację, czy o uwolnienie danych?
Cała sprawa ze screen scrapingiem może mieć drugie dno. Możliwe, że batalia toczy się także o uwolnienie danych klientów. Jeszcze nie wszyscy zdają sobie sprawę, że historia naszego konta jest naszym „aktywem”. Pokazuje prawdziwe obroty na rachunku, może być przepustką do lepszego kredytu, szybszej obsługi klienta. Warto w tym miejscu przywołać chociażby ostatnią kampanię Biura Informacji Kredytowej, które udostępniło klientom możliwość pobierania tzw. BIK Passa. Taki paszport miałby im otwierać drogę do lepszych warunków dla produktów w różnych instytucjach finansowych. Historia rachunku to w pewnym sensie też taki paszport.
Puśćmy na chwile wodze fantazji, wyobraźmy sobie, że wszystkie banki wdrażają automaty do screen scrapingu. Klienci mogą dowolnie sprawdzać sobie oferty w różnych bankach podając swoje loginy. W wielu bankach dostają lepsze propozycje. Na jeden klik, bez formalności, mogą przenieść swoje konto, historię, ustawienia rachunku. Rozpoczyna się wielka migracja klientów między bankami. Klienci uciekają w poszukiwaniu oszczędności (lepsze lokaty, tańsze konta), lepszej oferty (moneyback u konkurencji), szybszego kredytu. Kto oferuje lepsze produkty? Zazwyczaj małe banki, bo one muszą konkurować ceną. Duże banki oferują słabe lokaty, przeciętne kredyty, często stawiają dodatkowe warunki w ramach kont osobistych. Im niekoniecznie może zależeć na tym, by upowszechnić screen scraping.
Historia obrotów powinna być własnością klienta, nie banku
W mediach pojawiły się informacje, że Związek Banków Polskich pracuje nad rozwiązaniem mającym stanowić alternatywę dla screen scrapingu. Szkopuł jednak polega na tym, że nie będzie to rozwiązanie obligatoryjne. Banki będą mogły się podpiąć do systemu, albo nie. Już teraz można podejrzewać, że niektórym bankom nie będzie zależało, by uwolnić dane klientów.
W całej dyskusji nad screen scrapingiem warto wziąć przede wszystkim potrzeby klientów. Dane o historii obrotów powinny być własnością klienta, a nie banku. To klient powinien decydować, czy chce je udostępnić dalej. Jeśli nie chce, nie korzysta z automatu i sprawa jest zamknięta. Jeśli chce, bank powinien mu umożliwić podzielenie się historią z innymi instytucjami i jej dalszą obróbką przez automaty. Jeśli obawia się o bezpieczeństwo danych, na czas importu może sobie zmienić hasło. Teoretycznie klient może podzielić się danymi z innymi bankami już teraz, ale robi to na własne ryzyko. Łamie regulamin prowadzenia ROR, ustawę o usługach płatniczych a w końcu traci prawo do ewentualnych reklamacji.
