PayPal chce loginów i haseł do banku. KNF ostrzega, KE nie widzi nic złego

Zdradzenie loginu i hasła do systemu bankowości internetowej w zamian za ekspresowe doładowanie konta użytkownika - taki mały „szantaż” poczynił ostatnio PayPal. Komisja Nadzoru Finansowego złapała się za głowę i na swojej stronie umieściła oficjalne ostrzeżenie. Tymczasem Komisja Europejska podobnym usługom daje zielone światło.

Kiedy popularny serwis płatności internetowych PayPal pod koniec kwietnia wdrożył nową metodę natychmiastowego doładowania konta użytkownika za pośrednictwem firmy Trustly, rynek oniemiał. Warunkiem doładowania okazało się bowiem... zdradzenie pośrednikowi loginu i hasła do bankowości elektronicznej oraz kodu autoryzującego transakcję. Trustly po prostu wykona całą operację za klienta.

Inne systemy płatności internetowych (np. PayU, Przelewy24, Transferuj.pl, Dotpay) działają zgoła odmiennie. W odpowiednim momencie kierują użytkownika do systemu bankowości internetowej jego banku, a ten samodzielnie się do niego loguje i dokonuje transakcji.

Nic dziwnego, że nowości w PayPalu zdumiały użytkowników. Zdradzić postronnej osobie czy instytucji dostępy do rachunku to grzech ciężki. Banki zaczęły blokować zasilenia konta w PayPal poprzez Trustly, choć ten wydał uspokajające oświadczenie, że wszystko jest legalne i bezpieczne.

Przed dopuszczaniem pośredników do rachunku bankowego w płatnościach internetowych ostrzegła Komisja Nadzoru Finansowego.
Nadzorca przypomina, że płacenie w Internecie przez pośredników jest ryzykowne, gdyż:
1. naraża na przechwycenie danych autoryzacyjnych przez oszustów i utratę kontroli nad kontem
2. narusza umowę z bankiem - w niej zapisane jest zobowiązanie do nieudostępniania innym danych umożliwiających logowanie do systemu bankowości internetowej
3. może odebrać szanse na uznanie reklamacji - ujawnienie danych do logowania może stanowić podstawę do zwolnienia banku z odpowiedzialności za ochronę środków na rachunku klienta. W przypadku wystąpienia oszukańczych transakcji bank odrzuci więc reklamację.

Tymczasem, jak donosi portal Cashless.pl, usługa Trustly to żaden wyjątkowy przypadek, ale przedsmak tego, co wkrótce za sprawą Komisji Europejskiej może być na porządku dziennym. 

Unijną dyrektywę PSD II pod koniec 2015 r. przyjął już Parlament Europejski. Oficjalnie dopuszcza ona możliwość dostępu podmiotów trzecich do rachunków bankowych. Entuzjaści przekonują, że otworzy to rynek na nowe instytucje i możliwości. Ot, na przykład umożliwi zarządzanie kilkoma rachunkami bankowymi z poziomu jednego systemu o najwygodniejszym interfejsie. Krytycy podnoszą obawy o bezpieczeństwo środków i wrażliwych danych oraz ewentualne rozmycie odpowiedzialności w przypadku utraty pieniędzy. Dyrektywa musi zostać wdrożona przez wszystkie kraje UE do 13 stycznia 2018 r.