Jestem smutny, gdy okazuje się, że porządna do tej pory firma zawiodła swoich klientów i nie ma im do zaoferowania nic poza dobrym słowem. Klienci firmy Fortum, fińskiego sprzedawcy gazu i prądu, padli ofiarą wycieku danych i na własny koszt muszą teraz zabezpieczać się przed skutkami potencjalnej kradzieży tożsamości. Czy naprawdę nie można było im pomóc?
Dane to dziś często cenniejszy „towar” niż pieniądze. Danymi się handluje, mają wymierną wartość rynkową. Gdy nasze dane, powierzone usługodawcy, wyciekają, straty mogą być znacznie większe, niż gdybyśmy zgubili portfel z pieniędzmi. Portfel można odkupić, pieniądze znów zarobić, zaś tożsamość jest nie do podrobienia. W rękach złych ludzi to ryzyko, że na cudze dane zostaną wyłudzone kredyty, telefony albo zakupy internetowe.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Jesteśmy w tej dobrej sytuacji, iż w naszej części świata działa prawo o ochronie danych osobowych i firmy muszą informować o każdej sytuacji, w której zostały okradzione z powierzonych im danych. Zła wiadomość jest taka, że wciąż trudno wycisnąć w takiej sytuacji rekompensatę za stracony czas i pieniądze.
W połowie kwietnia ofiarami wycieku danych padli klienci firmy Fortum, skandynawskiego dostawcy prądu i gazu. Fortum jest jednym z nielicznych alternatywnych, niepaństwowych dostawców energii w Polsce. I zawsze miałem o tej firmie dobre zdanie, bo oferowała prąd i gaz taniej, promując przy tym ekologiczne nawyki.
Ale wpadki zdarzają się najlepszym. Fortum poinformowało kilka tygodni temu o potężnym wycieku kilku milionów danych należących do 137 000 jej klientów (zapewne firmowych i indywidualnych):
„Dane dotyczą zawartych umów sprzedaży energii elektrycznej i paliwa gazowego. Obejmują one m.in. imię, nazwisko, adres, numer telefonu, PESEL i/lub numer dowodu osobistego. Dostęp do danych został niezwłocznie zablokowany i rozpoczęliśmy wewnętrzne dochodzenie. O naruszeniu bezpieczeństwa powiadomiliśmy Prezesa Urzędu Ochrony Danych Osobowych”
– poinformowała firma. I poprosiła klientów o „zwrócenie szczególnej uwagi na możliwe próby nieuprawnionego użycia” ich danych. W jaki sposób? A choćby poprzez próbę zdalnego założenia konta bankowego na fałszywe dane (takie konto mogłoby być wykorzystane do zaciągnięcia pożyczki i zniknięcia z kasą). Albo próbę wyłudzenia pieniędzy z firmy chwilówkowej działającej online.
To oczywiście nie jest tak elementarnie proste – a jeśli firmy finansowe stosują dobre praktyki weryfikowania klientów oraz „wywiadu”, to wręcz niemożliwe – ale wiemy, że nie wszystkie firmy finansowe w Polsce stosują najlepsze praktyki.
Koniecznie przeczytaj: Tutaj wszystkie informacje o tym, jakie dane musi mieć złodziej, żeby na nasz rachunek zaciągnąć np. kredyt. I co trzeba zrobić, żeby się przed tym uchronić?
W związku z zaistniałą sytuacją prawie 140 000 osób w Polsce znalazło się w stanie potencjalnego zagrożenia. Ich dane krążą nie wiadomo gdzie i mogą być wykorzystane do jakichś ciemnych sprawek. Klienci zaczęli dopytywać firmę Fortum, co mogą zrobić, żeby ograniczyć straty i firma rzetelnie im odpowiedziała, że mogą:
– zastrzec dowód osobisty i wystąpić o nowy
– wykupić usługi Alerty BIK oraz Bezpieczny PESEL
– zastrzec numer PESEL i „zamrozić się” kredytowo
– wykupić dostęp do bazy danych BIK i powiązanego z nim biura informacji gospodarczej.
Alerty BIK i Bezpieczny PESEL oraz dostęp do bazy danych BIK to w sumie koszt najmarniej 150 zł, ale ochrona jest wtedy dość kompleksowa (dostajemy za każdym razem informację, gdy to banku lub firmy pożyczkowej przyjdą jacyś ludzie i spróbują posłużyć się naszymi danymi).
„Zamrożenie” kredytowe to też dobry pomysł – instytucje finansowe są poinformowane, że człowiek o takim, a takim numerze PESEL nie jest zainteresowany kredytami. Łatwiej więc wejdą w tryb podejrzliwości, gdyby ktoś po kredyt jednak się zgłosił.
Żadna z tych opcji nie jest 100-procentowo pewna, bo w Polsce firmy finansowe (ani inni usługodawcy) nie mają obowiązku zaciągania danych z baz, które mogą być naszym konsumenckim „kontrwywiadem”. Można więc ryzyko zmniejszyć, ale nie da się go całkiem wyeliminować.
————————————-
POSŁUCHAJ: NAJNOWSZY ODCINEK PODCASTU „FINANSOWE SENSACJE TYGODNIA”
Kliknij baner lub wejdź w ten link, aby posłuchać
————————————-
Jak do sprawy podeszło Fortum? Tak jak każda firma w Polsce, która straciła kontrolę nad danymi klientów. Jest jej przykro i współczuje, ale żadnych kosztów klientom nie chce pokrywać.
„Czy rozważacie Państwo kwestię potencjalnego odszkodowania wypłacanego poszkodowanym przez firmę Fortum? Z powodu wycieku musiałam wykupić Alerty BIK i Raport BIK, a także wziąć dzień wolnego, aby pojechać na policję i do Urzędu Gminy. Z powodu niedochowania bezpieczeństwa danych osobowych przez Fortum jestem teraz stratna oraz narażam swoje zdrowie, musząc odwiedzać urzędy. Co Państwo myślicie na ten temat?”
– pytają klienci w grupie fejsbukowej zrzeszającej „okradzionych” z danych klientów. Fortum odpowiada klientom, że jeśli z powodu wycieku padną ofiarą jakichś przestępstw, to firma „udzieli wszechstronnego wsparcia”. Ale kosztów wykupienia dostępu do instrumentów ochronnych pokryć nie chce. Choć przecież by mogła i pewnie dostałaby specjalny rabat za hurtowe zabezpieczenie klientów poprzez wykupienie im Alertów BIK.
Klienci mają też za złe, że mają kłopoty z rozstaniem się z firmą. Część klientów po prostu straciła zaufanie i chce zmienić dostawcę prądu i gazu:
„Za wszystko trzeba płacić. Ja pokryję koszty zabezpieczenia swojej tożsamości, chcę tylko zerwać umowę. Usłyszałam, że wyciek danych nie daje do tego podstawy. Co robić?”
Fortum stosuje standardową zasadę obowiązującą u usługodawców w Polsce: „dopóki nie muszę, to nie płacę”. Że klienci stracili czas i pieniądze, żeby się zabezpieczyć na własną rękę? To trudno. Krytykowałem już takie podejście przy okazji wycieku danych klientów Virgin Mobile. I przypominałem, że po największym w historii wycieku danych klientów w USA „winowajca” wziął na siebie koszty wykupienia ludziom usług minimalizujących zagrożenie. Wciąż czekam, aż na taki gest zdobędzie się jakaś polska firma.
Czytaj też: Wyciekły dane pana Sebastiana. „To grozi kradzieżą tożsamości” – przyznaje telekom. I oferuje…
———————
Nie przegap nowych tekstów z „Subiektywnie o Finansach” i korzystaj ze specjalnych porad Macieja Samcika na kryzysowe czasy – zapisz się na newsletter i bądźmy w kontakcie!
———————
