Pośpiech wysoce niewskazany. KNF ostrzega przed udostępnianiem danych autoryzacyjnych pośrednikom płatnościowym
Niektóre formy płatności za towary i usługi oferowane przez sektor e-commerce wiążą się z koniecznością udostępnienia podmiotowi trzeciemu danych dostępowych do bankowego systemu transakcyjnego – ostrzega Komisja Nadzoru Finansowego. Zdaniem nadzoru, korzystanie z takich form zapłaty rodzi dla klienta rozliczne ryzyka – od przechwycenia danych osobowych przez osoby nieupoważnione aż po nieuznanie przez bank reklamacji na nieautoryzowane transakcje.
Kupując towary w Internecie z reguły oczekujemy, by paczka z wymarzonym smartfonem czy butami dotarła do nas jak najszybciej. Niestety – wiele firm działających w branży e-commerce, pomnych doświadczeń z niesolidnymi klientami nieodbierającymi przesyłek pobraniowych, zrezygnowało z tej korzystnej dla adresata formy zapłaty. Nabywając produkty oferowane przez e-sklepy, należy zatem uprzednio dokonać płatności – a towar zostanie wysłany dopiero po uznaniu środków na koncie sprzedawcy. W skrajnym przypadku (na przykład przed weekendem) może to oznaczać nawet kilka dodatkowych dni oczekiwania. Podobnie wygląda sytuacja w przypadku zamawiania online biletów kolejowych, autobusowych czy lotniczych – które nierzadko kupujemy dzień przed planowaną podróżą. Nic dziwnego, że firmy oferujące swe usługi i produkty w sieci wprowadzają różnego rodzaju schematy szybkiej płatności. Jedną z takich form jest zapłata online kartą bankową – bezpieczeństwo tego rozwiązania zostało w ostatnim czasie poważnie wzmocnione, a to dzięki powszechnemu wdrożeniu przez banki modelu autoryzacyjnego 3D-Secure, wymagającego od użytkownika podania dodatkowego hasła (na przykład jednorazowego kodu wysyłanego SMS-em na telefon posiadacza konta).
Inną formą szybkich płatności jest dokonywanie przelewu z udziałem tzw. pośredników płatnościowych. Jak działa taka transakcja? Klient przekierowywany jest na stronę pośrednika, na której wybiera swój bank i przy użyciu danych autoryzujących loguje się do rachunku. W tym momencie dostęp do rachunku bankowego klienta uzyskuje pośrednik płatnościowy. To właśnie firma zewnętrzna wystawia zlecenie przelewu – z chwilą zalogowania otrzymujemy gotowy, wypełniony formularz przelewu, w którym nie możemy dokonać żadnych zmian – a klientowi pozostaje tylko autoryzacja transakcji przy użyciu SMS-a, tokena czy kodu z karty-zdrapki. Dzięki wglądowi w stan naszego rachunku i uzyskanie przez pośrednika informacji o pobraniu z naszego konta środków nie trzeba czekać na uznanie zapłaty na koncie kontrahenta.
Problem w tym, że efektem ubocznym takiej transakcji jest przekazanie podmiotowi trzeciemu kompletu danych autoryzujących, umożliwiających swobodny dostęp do bankowego rachunku. Na ten właśnie aspekt zwrócił uwagę nadzór finansowy. – UKNF przypomina, że podstawową zasadą bezpieczeństwa w bankowości internetowej jest niepodawanie w żadnym wypadku komukolwiek danych pozwalających na dostęp do rachunku bankowego, gdyż grozi to utratą środków – czytamy w piśmie UKNF. Regulator przypomniał również, iż naruszenie powyższej zasady oznacza złamanie postanowień umownych pomiędzy bankiem a posiadaczem rachunku. – Zgodnie z postanowieniami umów i regulaminów obowiązujących w bankach działających w Polsce, klient jest co do zasady zobowiązany do zachowania poufności i ochrony przed dostępem osób trzecich indywidualnych danych identyfikacyjnych, czyli loginu i hasła do strony transakcyjnej banku, z którego usług korzysta. Ten sam zakaz obejmuje też hasła jednorazowe – przypomina klientom KNF. Dane udostępnione pośrednikowi z reguły nie pozwalają wprawdzie na dokonanie kolejnych płatności bez świadomości klienta – jednak sam fakt sprzecznego z regulaminem udostępnienia hasła i loginu osobie trzeciej może być brzemienny w skutkach. Załóżmy, że na konto bankowe klienta, który korzystał z usług tego typu pośredników płatnościowych mniej więcej w tym samym czasie przeprowadzony został atak hakerski. Informacja o tym, że użytkownik konta nie dochował określonych w umowie reguł poufności może skutkować nawet nieuznaniem przez bank roszczenia reklamacyjnego lub uznaniem go w niepełnej wysokości. Niezależnie od tak skrajnych przypadków, przekazywanie danych dostępowych do konta może stanowić nawet przyczynę rozwiązania umowy o prowadzenie rachunku – a to w przypadku wielu klientów (na przykład mikroprzedsiębiorców) wiązać się będzie ze żmudnym procesem informowania wszystkich kontrahentów o nowym numerze konta.
KNF zwrócił uwagę również na inny aspekt problemu – dopuszczanie osób trzecich do informacji zgromadzonych na rachunku bankowym może przynieść również skutek w postaci utraty kontroli nad zawartymi w historii rachunku danymi osobowymi. Wiele z tych danych może mieć również charakter wrażliwy; przykładem mogą być informacje o płatnościach za wizyty lekarskie i specjalistyczne badania (sugerujące wiedzę o stanie zdrowia klienta) czy też transakcje dokonane w takich punktach jak kasyna i salony gry (mogące wskazywać na skłonności do hazardu). Przejęcie takich danych przez nieupoważnione osoby może przynieść najróżniejsze skutki. Najłagodniejszym efektem może być nachalny marketing, prowadzony w oparciu o ujawnione w historii płatności upodobania zakupowe klienta – ale nie można wykluczyć również bardziej drastycznych przypadków. Przechwycenie danych wrażliwych przez cyberprzestępców może prowadzić nawet do prób szantażu skierowanych wobec użytkownika konta. Dlatego KNF jednoznacznie sugeruje powstrzymanie się od korzystania z tej formy zapłaty. Jak w wielu przypadkach, tak i tutaj pośpiech może mieć wręcz katastrofalne skutki.
Karol Jerzy Mórawski