"Urząd Komisji Nadzoru Finansowego zwraca uwagę na ryzyko związane z podawaniem danych umożliwiających logowanie do rachunku bankowego, zlecanie przelewów oraz pobieranie historii rachunku podmiotom innym niż bank, w którym prowadzony jest dany rachunek" - czytamy w oświadczeniu opublikowanym na stronach KNF.
O co chodzi? Przy płatnościach w sieci bardzo często korzystamy z systemu pay-by-link. Metoda ta polega na tym, że podczas zakupu w sklepie internetowym klient otrzymuje specjalnie wygenerowany link, za pomocą którego przechodzi do strony płatności w swoim banku, gdzie na wypełnionym już formularzu potwierdza dane do przelewu bankowego.
Kliencie, podaj hasło do swojego konta
Trochę inaczej działa jednak system wprowadzony przez niemiecką firmę Sofortbanking. Korzystając z tego systemu, musimy podać dane na stronie Sofortu, a jeśli nasz bank wymaga potwierdzenia płatności kodem jednorazowym, Sofort również nas o niego poprosi. Zdaniem KNF system ten nie gwarantuje pełnego bezpieczeństwa transakcji. Ponadto takie płatności mogą naruszać regulaminy korzystania z usług bankowych i spowodować, że jeśli będziemy chcieli zareklamować potwierdzaną w ten sposób transakcję, możemy nie mieć takiej możliwości - w końcu sami podaliśmy dane innej firmie.
Gdy ponad rok temu pisaliśmy o tym sposobie na szybkie płatności , na firmę posypały się gromy.
- W dobie nasilenia się incydentów kradzieży tożsamości w internecie oraz - w ślad za tym - internetowych przekrętów, których ofiarą padają klienci bankowości online, przekazywanie komukolwiek poświadczeń tożsamości, by w naszym imieniu logował się do bankowości internetowej, uważam za praktykę niemal samobójczą. To tak, jakby zaparkować na ulicy naszego nowego jaguara, pozostawiwszy kluczyki w stacyjce i dowód rejestracyjny za przednią szybą - komentował Janusz Nawrat , szef biura bezpieczeństwa informacji Raiffeisen Banku.
Sofort: Żadnych nadużyć nie było
Przed publikacją artykułu spółka nie komentowała sprawy, ale później przesłała do redakcji oświadczenie, w którym odpiera zarzuty . "Od powstania firmy w 2005 roku na 30 mln transakcji nie doszło do żadnego przypadku nadużycia danych do logowania i jednorazowego kodu weryfikacyjnego klienta końcowego" - czytamy w nim. A gdyby jednak doszło do takiego wypadku? Spółka przekonuje, że zapewnia klientowi "odszkodowanie w nieograniczonej wysokości" (na stronie spółki jest informacja, że każdy taki przypadek jest ubezpieczony do 5 tys. euro).
Payment Network AG istnieje od 2005 r., to jeden z ważnych graczy na niemieckim rynku płatności online. Podaje, że obsłużył milion klientów, system wdrożyło ok. 25 tys. e-sklepów. W 2008 r. firma dostała certyfikat TÜV, z którego wynika, że przelewy są bezpieczne, a dane osobowe chronione. Jednak rok temu bawarski urząd ds. ochrony konsumentów zarzucił jej stosowanie nieprzejrzystych procedur. Uznał, że nie wiadomo, co firma robi z danymi do e-konta. I nie można wykluczyć, że pracownicy np. kopiują historie transakcji, by tę wiedzę sprzedać innym firmom. Z systemu Sofort korzysta między innymi ambasada Stanów Zjednoczonych do pobierania opłat za wizy.
Payment Network zarzuty odparła, twierdząc, że dostęp do konta jest potrzebny, by zapobiec oszustwom ze strony kupujących. Na stronie czytamy, że historia transakcji sprawdzana jest wyrywkowo i przechowywana przez 30 dni, a do haseł czy loginów ani sprzedawcy, ani pracownicy spółki dostępu nie mają. Firma uspokaja też, że jest ubezpieczona od skutków włamań na konta. Każdy taki przypadek ma być ubezpieczony do wysokości 5 tys. euro.
