Ostrożnie z ujawnianiem poufnych danych w serwisach oferujących e-płatności

Na polskim rynku działa kilku usługodawców pośredniczących w dokonywaniu szybkich płatności w trybie online. Większość umożliwia opłacenie zakupów, przekierowując klienta na oficjalną stronę wskazanego przez niego banku. Klient samodzielnie się na niej loguje i potwierdza transakcję, używając narzędzi autoryzacyjnych drugiego poziomu (np. jednorazowego hasła SMS lub odpowiedzi tokena). To szybki i bezpieczny sposób na płacenie za towary i usługi w internecie. Niestety nie każdy pośrednik działa według opisanego schematu, na co zwraca uwagę zarówno Związek Banków Polskich, jak i Komisja Nadzoru Finansowego.

Niektóre firmy pośredniczące w przelewach internetowych – zamiast przekierować klienta na stronę transakcyjną banku – proszą go o login i hasło do konta oraz jednorazowy kod umożliwiający zatwierdzenie transakcji. Po uzyskaniu żądanych informacji logują się w imieniu klienta na jego konto bankowe i zlecają wykonanie przelewu, sprawdzając przy okazji historię rachunku.

Komisja Nadzoru Finansowego wymienia trzy podstawowe ryzyka powierzania loginu i hasła podmiotom innym niż bank, w którym prowadzony jest rachunek. Są to:

1. Ryzyko naruszenia umowy z bankiem. Zgodnie z postanowieniami umów i regulaminów obowiązujących w bankach działających w Polsce klient jest zobowiązany do zachowania poufności indywidualnych danych identyfikacyjnych, czyli loginu i hasła do serwisu transakcyjnego banku, z którego usług korzysta. To samo dotyczy jednorazowych kodów używanych do potwierdzania transakcji. Udostępniając te dane pośrednikowi realizującemu e-płatności, klient łamie umowę o prowadzenie rachunku bankowego i towarzyszący jej regulamin.
   
   
2. Ryzyko utraty prawa do reklamacji nieautoryzowanych transakcji. Ujawnienie pośrednikowi danych logowania może skutkować zwolnieniem banku z odpowiedzialności za ochronę pieniędzy przechowywanych na rachunku. Jeśli bank stwierdzi, że transakcje na koncie klienta były wykonywane przez podmiot trzeci, klient może stracić szansę na uzyskanie odszkodowania. Jego reklamacja może nie zostać uznana i dotyczy to także przypadków, gdy oszukańcze wyprowadzenie środków z rachunku odbędzie się nie w ramach zlecenia, które zautoryzował pośrednik, tylko później, np. w wyniku działania szkodliwego programu.
   
   
3. Ryzyko nieautoryzowanego przechwycenia danych. Jak słusznie zauważa KNF, grozi to utratą kontroli nie tylko nad środkami zgromadzonymi na rachunku, ale też nad danymi osobowymi klienta i zakresem ich wykorzystania. Niezależnie od tego, jak bezpieczne wydają się systemy pośrednika, udostępnienie mu wrażliwych danych zwiększa teoretyczną powierzchnię ataku. Może to skutkować zarówno zmianą danych personalnych w systemie e-bankowości przez osoby trzecie, jak i wykorzystaniem tych danych do celów przestępczych, np. poprzez kradzież tożsamości i zawieranie fikcyjnych umów.
   
   

Firmy stosujące tego typu praktyki argumentują, że oferowane przez nie usługi działają w innych krajach Europy i nigdy nie doszło do nadużycia na niekorzyść klientów, którzy podali dane dostępowe do kont bankowych. Warto jednak mieć na uwadze, że nie każdy usługodawca, który może udostępniać podobne rozwiązanie, jest uczciwy i należycie chroni pozyskane w ten sposób informacje. Związek Banków Polskich przestrzega użytkowników bankowości elektronicznej przed korzystaniem z usług firm oferujących e-płatności, które wymagają podania loginu i hasła do konta oraz innych wrażliwych danych – chyba że banki, z którymi klienci mają podpisaną umowę, dopuszczają taką możliwość.