Banki ostatnio intensywnie szukają w naszych kieszeniach dodatkowych pieniędzy, by wciąż móc zadziwiać inwestorów wykazywanymi zyskami – mimo niskich stóp procentowych i konieczności płacenia podatku bankowego. Zadziwianie zyskami odbywa się głównie dzięki prowizjom pobieranym przy okazji zaciągania przez nas kredytów gotówkowych, a także dzięki obniżaniu do ekstremalnie niskich poziomów oprocentowania lokat.

Ale są i inne sposoby: np. bank BZ WBK od sierpnia wprowadził opłaty za SMS-y autoryzacyjne. Czyli za te, którymi potwierdza się polecenie przelewu przez internet. Jeśli ktoś intensywnie korzysta z konta – może się nadziać na tę opłatę, która obowiązuje już od szóstego SMS-a wysłanego przez bank w każdym miesiącu. Nie jest wysoka – raptem 20 gr. – ale ziarnko do ziarnka…

Tu ważne wyjaśnienie: opłata dotyczy tylko tych klientów, którzy często wysyłają pieniądze do osób lub firm spoza “zaklętego kręgu” odbiorców zdefiniowanych (bo przy przelewaniu pieniędzy do zdefiniowanego odbiorcy kodu autoryzacyjnego bank w ogóle nie żąda i żadnych SMS-ów nie wysyła).

Jednak – jak się okazuje – takich klientów, lubiących wpisać za każdym razem “z ręki” numer rachunku odbiorcy i każdy przelew autoryzować SMS-em, jest sporo. Niektórzy uważają, że im mniej mają na koncie zdefiniowanych odbiorców, tym mniejsze ryzyko, że ewentualny włamywacz na konto zdoła nabroić (np. przesłać całe oszczędności klienta do gazowni ;-)). I właśnie tacy klienci piszą do mnie skargi na politykę banku i nową prowizję pobieraną przezeń za wysyłanie SMS-ów autoryzacyjnych

Bank z kolei dobrze kombinuje: im więcej odbiorców zdefiniowanych klient ma przypiętych do rachunku, tym bardziej staje się lojalny i tym więcej transakcji wykonuje. A im więcej transakcji wykonuje, tym większy osad zapewnia. A przed zmianą banku trzy razy się zastanowi. Dlaczego? Ano ewentualna zmiana banku – poza przeniesieniem debetów, kart i poinformowaniem zleceniodawców o nowym numerze rachunku – wymagałaby przeniesienia wszystkich odbiorców zdefiniowanych. Komu by się chciało? :-).

BZ WBK bez większych skrupułów wprowadził więc 20-groszową opłatę dla wszystkich, którzy wypuszczają w miesiącu więcej, niż pięć przelewów do odbiorców niezdefiniowanych. Bank jednocześnie udostępnia pewną możliwość, by tej opłaty klient nie musiał ponosić – czyli tzw. koszyk przelewów. Można wrzucić do niego kilka przelewów hurtem i autoryzować jednym SMS-em. Ale czy to bezpieczne?

“Nie ukrywam, że często korzystam z tej opcji przy płaceniu rachunków jednak za każdym razem z “duszą na ramieniu”. Mianowicie SMS przychodzący z kodem nie zawiera numerów kont, na które są przelewane pieniądze. Nie wiem czy to jest bezpieczne. Bank na swojej stronie internetowej zaleca sprawdzanie zgodności numeru konta z SMS-u autoryzacyjnego z numerem konta odbiorcy, który widzę na ekranie komputera. Ale w tym przypadku nie wysyła numerów kont, a więc uniemożliwia mi stosowanie się do – jak to w banku napisali “żelaznych zasad bezpieczeństwa”. Czy korzystanie z koszyka przelewów, by ominąć opłatę za SMS autoryzacyjny, jest bezpieczne czy nie?”

– zapytuje mnie jeden z czytelników, wkurzony na to, że bank każe mu płacić za bezpieczeństwo, które powinien zapewnić jako absolutną podstawę ich relacji. Odpowiedź na to pytanie nie jest łatwa: wiem, że istnieją wirusy – było o nich w blogu – które po przedostaniu się na komputer ofiary potrafią “w locie” podmienić numer rachunku odbiorcy. A więc klient wpisuje jeden numer, a wirus – w czasie pozostałym do fizycznego wysłania zlecenia na serwer banku – zamienia go na inny. A ponieważ system rozliczający przelewy nie sprawdza żadnych danych odbiorcy (nie ma znaczenia jego nazwa, ani adres), przelew może trafić do złodzieja. Ostatnim szlabanem jest wówczas właśnie SMS autoryzacyjny, w którym bank zapytuje “czy aby na pewno chcesz, drogi kliencie, zlecić przelew na ten numer konta, który właśnie dostaliśmy w twoim zleceniu?”.

Znam przypadki dotyczące kont firmowych, w których pieniądze właśnie nadane w ramach koszyka przelewów powędrowały do złodzieja. Złodzieje zaatakowali konto firmowe właśnie dlatego, że w przypadku firm znacznie częściej zatwierdza się całe koszyki przelewów jednym SMS-em autoryzacyjnym. No bo jak inaczej wysłać iluś-tam osobom pensje na ich konta w ramach np. umów czasowych? Stąd wydaje mi się, że obawy klienta nie są tak całkiem bezpodstawne. W przypadku korzystania z koszyka przelewów ewidentnie odpada jeden z istotnych elementów weryfikacji prawidłowości przelewu. I to taki, który w dobie e-przestępczości może być ostatnią zaporą przed kradzieżą pieniędzy. Zresztą sam BZ WBK, opisując zasady bezpiecznego korzystania z serwisu internetowego, pisze:

“Sprawdź numer rachunku odbiorcy w wiadomości z smsKodem, zanim zaakceptujesz przelew. Bank nigdy nie prosi o: – instalację dodatkowego oprogramowania bezpieczeństwa na telefonie, – podanie smsKodu lub odpowiedzi z tokena w trakcie logowania do serwisu BZWBK24, jeśli nie masz uruchomionej takiej usługi. Nigdy nie używaj do logowania adresu lub linku przesłanego w wiadomości e-mail – to może być phishing”

Klient pyta: jak mam stosować się do zasad bezpieczeństwa, skoro bank z jednej strony żąda pieniędzy za SMS autoryzacyjny, a z drugiej – podsuwa możliwość ominięcia tej opłaty w zamian za skorzystanie z koszyka transakcji nie zabezpieczonego tak dobrze, jak pojedyncze przelewy? Czy bank weźmie odpowiedzialność w przypadku ataku złodzieja, skoro klient nie jest w stanie zweryfikować danymi z SMS-a numerów kont, na które wysyła pieniądze? Mam nadzieję, że nie będzie trzeba nigdy tego sprawdzać, ale sytuacja, w której bank każe sobie płacić za podwyższenie standardu bezpieczeństwa wysyłanego przelewu, może budzić kontrowersje.

Gwoli sprawiedliwości trzeba dodać, że problemy z zawartością SMS-ów autoryzacyjnych zgłaszają mi też klienci innych banków. Niedawno opisywałem przypadek Banku Smart (dziś przemianowanego na Nest Bank), który na SMS-ach autoryzacyjnych również nie podawał wszystkich danych gwarantujących bezpieczeństwo przelewu. A z kolei klienci Idea Banku, w którym dużo osób ma pozakładane depozyty, skarżyli się jeszcze niedawno, że zrywając lokatę nie dostawali w SMS-ach autoryzacyjnych żadnej informacji o tym na jakie konto pieniądze zostaną przelane. Klient podawał numer konta do zwrotu pieniędzy w systemie transakcyjnym, ale po kliknięciu przycisku “zakończ lokatę” dostawał jedynie kod autoryzacyjny, bez potwierdzenia numeru konta.

Klienci słusznie zwracali uwagę, że wirus mógłby “w locie” podmienić numer konta i przekierować podaną w zleceniu kwotę depozytu na konto złodzieja. A klient, niczego nieświadom, zautoryzowałby tę transakcję kodem. Na szczęście ta luka została już przez bank zamknięta. Apeluję do banków, by w przypadku przelewów internetowych zawsze zamieszczały w SMS-ach autoryzacyjnych numer konta, na który – według informacji docierających na ich serwery – mają zostać przelane pieniądze. A jeśli tego nie robią – niech biorą nieograniczoną odpowiedzialność za ewentualne fraudy.