7 czerwca 2019

Login i hasło do banku zamiast kopii dowodu osobistego albo wizyty w POK-u? Rusza usługa mojeID, czyli konto bankowe jak alfa i omega

Chcesz podpisać umowę z dostawcą gazu, prądu, kablówki, wykupić polisę na życie albo pakiet medyczny w prywatnej klinice? Nie będziesz musiał załatwiać formalności w punkcie obsługi klienta! Wystarczy mieć konto w banku. I to on potwierdzi sprzedawcy usługi twoją tożsamość. A co z bezpieczeństwem?

Gdybym się uparł, właściwie większość spraw mógłbym dziś załatwiać zdalnie. Do banku wchodzę przez komputer lub telefon, wszelkie sprawy z operatorem komórkowym załatwiam przez telefon, ubezpieczenia kupuję przez internet, zakupy (z dostawą do domu) to kwestia kilku kliknięć. Co prawda ze sprawami urzędowymi nadal jest pod górkę, ale i to się zmienia. Dzięki tzw. Profilowi Zaufanemu, czyli elektronicznej metodzie potwierdzenia tożsamości, nie muszę z każdą sprawą chodzić do urzędu, czasem żeby coś załatwić, wystarczy e-urząd.

Przeczytaj też: Zastrzeżenie kredytowe, czyli wystarczy jedno kliknięcie i nikt nie wyłudzi kredytu na twoje nazwisko. Dlaczego banki nie lubią tej usługi?

Przeczytaj też: Imię i nazwisko, PESEL, dowód osobisty, adres zamieszkania, wizerunek… Czym jest kradzież tożsamości? I jak się przed nią obronić?

Ale żeby dziś mieć komfort załatwiania spraw zdalnie, kiedyś musiał być ten pierwszy raz – musiałem pojawić się w oddziale banku czy biurze obsługi klienta z dowodem osobistym po to, żeby usługodawca zweryfikował moją tożsamość. Ale to też się zmienia, bo niektóre usługi, które kiedyś musiałem zamówić face to face ze sprzedawcą, dziś mogę załatwić online, np. w niektórych bankach mogę otworzyć konto przez wideoczat. A w niektórych serwisach internetowych na starcie proszą o przelew weryfikacyjny lub skan dowodu osobistego.

Bank potwierdzi tożsamość klienta

Być może wkrótce nawet ten pierwszy raz nie będzie potrzebny. A wszystko dzięki nowej usłudze, którą uruchomiła właśnie Krajowa Izba Rozliczeniowa (to ta sama instytucja, za pośrednictwem której przesyłamy przelewy w systemie Elixir). Nazywa się mojeID i ma zapewnić zdalną weryfikację tożsamości klientów.

Jak to działa? Wyobraźmy sobie, że chcemy podłączyć w domu telewizję kablową. Dotychczas trzeba było udać się do biura obsługi klienta, pokazać dowód osobisty i podpisać umowę. Bo usługodawca musi wiedzieć z kim ją podpisuje.

Teraz umowę będzie można podpisać online. Jak operator kablówki zweryfikuje naszą tożsamość? Właśnie za pomocą usługi mojeID. Oczywiście taki usługodawca musi mieć podpisaną umowę z KIR na korzystanie z usługi mojeID. A z kolei klient musi mieć konto w banku, który współpracuje w ramach tej usługi z KIR.

Przeczytaj też: Bolesne rozstanie z kablówką. Internet miał być, a nie ma. Rachunków miało nie być, a są. Firma miała grać fair, a kopie po kostkach

Przeczytaj też: Uber pokazał przyszłość konsumenta. Powoli nadchodzi koniec zasady „klient nasz pan”. Kierowca Ubera cię oceni, a aplikacja – zbanuje

Jak to wygląda w praktyce? W trakcie rejestracji online do usługi, z której chcemy korzystać – np. na stronie internetowej operatora kablówki – usługodawca przekieruje nas na stronę naszego banku, gdzie musimy wprowadzić swój login i hasło. Po zalogowaniu się do bankowości elektronicznej, będziemy poproszeni przez bank o wyrażenie zgody na przekazanie naszych danych osobowych usługodawcy, z którym chcemy podpisać umowę (np. kablówce). Następnie zostaniemy automatycznie przeniesieni do serwisu firmy, by sfinalizować umowę.

Działa to podobnie jak u operatorów szybkich przelewów, którzy przekierowują nas na strony banków, byśmy się zalogowali i zatwierdzili przelew. W tym jednak przypadku przekierowanie nie ma na celu potwierdzenia przelewu, a tożsamości.

„Klienci banków chętnie korzystają z szybkich płatności i wygodnych serwisów internetowych. Teraz dostawcy usług mają rozwiązanie, które umożliwia jednoznaczną, bezpieczną identyfikację klientów z wykorzystaniem systemów bankowych. mojeID to odpowiedź na potrzeby sektora bankowego, usługodawców oraz samych klientów, którzy zyskują łatwy dostęp do usług online”

– mówi Piotr Alicki, prezes KIR.

mojeID „wisi” na zaufaniu do banków

Dziś w systemie mojeID po stronie dostawców usługi potwierdzania tożsamości uczestniczą tylko dwa banki: PKO BP i ING Bank. Po stronie usługodawcy, który umożliwia weryfikację tożsamości przez mojeID, jest na razie tylko jedna firma: PGNiG Obrót Detaliczny. Jeśli ktoś chciałby podpisać umowę na dostawę gazu i ma konto osobiste w jednym z wymienionych banków, może więc już to zrobić całkowicie online. To oczywiście początek. Z naszych informacji wynika, że na dniach usługę ma wprowadzić co najmniej jeden kolejny bank i kilku usługodawców.

To ciekawe rozwiązanie. Kolejne usługi będzie bowiem można zamawiać zdalnie, oszczędzając czas oraz unikając np. wysyłania przez e-mail skanu dowodu osobistego, co bywało ostatnio plagą. Identyfikacja klientów odbywać się będzie wyłącznie na podstawie loginu i hasła do bankowości elektronicznej (po stronie klienta może być konieczna dodatkowa autoryzacja np. kodem SMS, czyli podobnie jak przy autoryzacji przelewów).

Przeczytaj też: Czy klienci banków zyskają na zastąpieniu WIBOR-u innym wskaźnikiem? Ten wykres pokazuje, że kredyty mogłyby potanieć!

Przeczytaj też: ING odcina części klientów dostęp do usługi HaloŚląski. Czy to początek końca bankowych przelewów zlecanych przez telefon?

Co mnie niepokoi? System mojeID „wisi” całkowicie na przekonaniu, że nasza tożsamość przechowywana w bankach jest bezpieczna i prawdziwa. Pamiętacie proceder zakładania rachunków na podstawie tzw. przelewów weryfikacyjnych? Bank oferował możliwość założenia konta całkowicie online. Ale żeby mieć pewność, że wnioskodawca jest osobą, za którą się podaje, żądał wysłania z innego banku przelewu np. na złotówkę. Wychodził bowiem z założenia, że bank, z którego przelew wyszedł, wcześniej dobrze prześwietlił klienta.

W mojeID tylko fizycznie zweryfikowane konta?

A jeśli dobrze nie prześwietlił? Jeśli oszustom udało się założyć konto na skradziony, sfałszowany albo tzw. kolekcjonerski dowód osobisty? W przeszłości zakładanie kont w takim trybie nie miało praktycznie żadnych ograniczeń. Klient mógł założyć konto „na przelew” w jednym banku, a następnie na bazie przelewu z tego banku otworzyć rachunek w kolejnym.

Wystarczyło, że udało im się założyć w oddziale rachunek na fałszywą tożsamość, by następnie stworzyć – właśnie dzięki przelewom weryfikacyjnym – rachunki w innych bankach. A stąd już krok do wyłudzeń np. kredytów w bankach czy firmach pożyczkowych. W pewnym momencie Komisja Nadzoru Finansowego pogroziła palcem. Powiedziała, że jeśli konto otwierane jest zdalnie, to rachunek bankowy, z którego wychodzi przelew weryfikacyjny, musiał być założony w placówce banku.

Przeczytaj też: Nawet dwa lata odsiadki za produkcję i sprzedaż tzw. dokumentów kolekcjonerskich. To cios w wyłudzających kredyty. Ale czy skuteczny?

Przeczytaj też: Jak kupować w sieci i nie stracić pieniędzy? Oto cztery cechy, które odróżniają uczciwy sklep internetowy od oszustów. Warto sprawdzić przed e-zakupami!

Jest więc ryzyko, że fałszywa tożsamość w banku za pośrednictwem usługi mojeID zainfekuje kolejne firmy korzystające z tego rozwiązania. Ale to ryzyko da się ograniczyć. Jakiś czas temu opisywałem historię klientki banku, która próbowała złożyć wniosek o świadczenie 500+ za pośrednictwem bankowości elektronicznej. Bank odmówił, powołując się na wytyczne Ministerstwa Rodziny, Pracy i Polityki Społecznej. Resort w umowach z bankami zaznaczył, że wniosek online można złożyć tylko w bankach, które zweryfikowały tożsamość klientów podczas fizycznej obecności klienta w oddziale. Jeśli więc ktoś zakładał konto „na przelew”, wniosku za pośrednictwem takiego konta złożyć nie może.

Może więc warto, by podobny mechanizm zastosować przy podpisywaniu umów z wykorzystaniem mojeID?

Źródło zdjęcia: Pixabay

24
Dodaj komentarz

avatar
6 Comment threads
18 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
11 Comment authors
AdamFranciszek LiborowskizenMaciej SamcikLech Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
gosc
Gość
gosc

1) Banki nie potrafią poprawnie zweryfikować tożsamości klientów na własne potrzeby – przy otwieraniu rachunków bankowych i udzielaniu kredytów więc jestem bardzo zaskoczony, że podejmują się weryfikacji na potrzeby innych usługodawców. PGNiG i innym usługodawcom, którzy skorzystają z mojeID dziwię się, że oddają weryfikację tożsamości w ręce instytucji, które tak wiele razy skompromitowały się przy weryfikacji tożsamości. Jeśli ktoś chce przykłady to polecam poniższy artykuł i komentarze: https://subiektywnieofinansach.pl/zastrzezenie-kredytowe-czyli-wystarczy-jedno-klikniecie-i-nikt-nie-wyludzi-kredytu-na-twoje-nazwisko-dlaczego-banki-nie-lubia-tej-uslugi/ Kto w przypadku oszustwa weźmie odpowiedzialność za niezapłacone rachunki za gaz, prąd itp? bank, KIR, dostawca gazu? 2) Nie długo przeczytamy na SoF o nowych sposobach wyłudzania danych do logowania do bankowości… Czytaj więcej »

Jan
Gość
Jan

Ad 1) A bo to niby te „niebanki” miały jakieś lepsze procedury weryfikacji? Banki są instytucjami które chyba najpoważniej podchodzą do weryfikacji tożsamości. Co oczywiście nie znaczy, że bankom nie zdarzały się wpadki, ale procedury nadal mają najsilniejsze. Poza tym jak już oszukasz bank i wciśniesz już fałszywą tożsamość, to o wiele lepiej na tym wyjdziesz biorąc kredyt. Oraz wytłumacz mi co złodziej miałby osiągnąć podłączając sobie gaz POD SWÓJ WŁASNY FIZYCZNY adres? Chyba tylko to, że Policja szybko namierzy takiego śmieszka. Ad 2) W ramach usługi mojeID dane podajesz TYLKO na stronie banku. Pole ataku nie większa się bardziej… Czytaj więcej »

Radek
Gość
Radek

dlaczego POD SWÓJ WŁASNY FIZYCZNY adres?
podepnę sobie internet pod nie swój fizyczny adres, a pod wynajmowane mieszkanie na zmyśloną tożsamość. Potem zhackuje ci komputer, ukradne pieniądze i zwinę się. A policja jak nawet ustali IP, to przyjdzie sobie do mieszkania, w którym mnie już dawno nie będzie i którego właściciel nie zna mnie, tylko zmyślone nazwisko ze sfałszowanego dowodu

co powiesz na to?

Jan
Gość
Jan

Czyli: 1) Poświęcasz sporo energii na stworzenie swojej tożsamości w banku. 2) Wynajmujesz mieszkanie posługując się fałszywymi danymi (możliwe, że przy podpisywaniu umowy będziesz się musiał wylegitymować dokumentem wobec właściciela). 3) Wypowiadasz umowę o gaz właściciela i przepisujesz na siebie. 4) Nareszcie możesz cieszyć się darmowym gazem przez jakieś 6-12 miesięcy. Koszt gazu dla zwykłego mieszkania to jakieś 100-200 zł za ten okres. 5) Po tych 6-12 miesiącach PGNiG się orientuje, że nie płacisz i odcina Ci gaz. 6) Musisz się przeprowadzić, żeby uniknąć złapania. Gratuluję właśnie musisz szukać drugiego mieszkania i jesteś optymistycznie 200 zł do przodu. Z tą… Czytaj więcej »

Radek
Gość
Radek

proszę przeczytaj mój komentarz. Opisuję tam możliwość zrobienia sobie bazy wypadowej do ataków hackerskich. Nie wiem dlaczego w odpowiedzi słowo :internet: zostało zamienione na „gaz” i skąd mowa o 200 zł do przodu jak z tego mieszkania ukradne ci zdalnie 200 tys zł. No chyba, że na koncie masz tylko 200 zł to rozumiem skąd ta kwota.

Jan
Gość
Jan

Ale wyjaśnij mi jak zawieranie umowy z PGNiG przez mojeID ma Ci ułatwić kradzież 200 000 zł? Bo o zagrożeniach związanych z mojeID mówimy, a nie jakiś ogólnych problemach banków/hakerach. W Twoim pierwszym komentarzu piszesz: „PGNiG i innym usługodawcom, którzy skorzystają z mojeID dziwię się, że oddają weryfikację tożsamości w ręce instytucji, które tak wiele razy skompromitowały się przy weryfikacji tożsamości.” „Kto w przypadku oszustwa weźmie odpowiedzialność za niezapłacone rachunki za gaz, prąd itp? bank, KIR, dostawca gazu?” To ja odpowiadam, ze jeśli komuś uda się już wstrzyknąć swoją fałszywą tożsamość do banku, to nie będzie wchodził w interakcje z… Czytaj więcej »

gosc
Gość
gosc

1) Poczytaj sobie o kradzieży tożsamości w USA. Tam zdarza się, że oszuści zamawiają różne usługi na adres, pod którym mieszkają posługując się fałszywą tożsamością. Kiedy sprawa wychodzi na jaw – bo nie płacą rachunków to okazuje się, że są bardzo zadłużeni i nie ma z nich jak ściągnąć opłat. Z kolei osoba, która padła ofiarą kradzieży tożsamości ma zszarganą reputację w amerykańskich Biurach Informacji Gospodarczej i musi się strasznie namęczyć aby wszystko odkręcić. Można sobie również wyobrazić zamawianie różnych usług przez obcokrajowców, którzy planują wyjazd z Polski. Nasuwa się to analogia do problemów w służbie zdrowia ze ciąganiem kosztów… Czytaj więcej »

Anna
Gość
Anna

Chwileczkę,Panowie: oczym my tu rozmawiamy: a/o tym,że nasze ID i login do banku mamy podać jakiemuś komuś,bodaj i takiemu,co ma podpisaną umowę z tym „naszym” bankiem? czy też o tym,że b/tak,jak w przypadku rozmaitych bezpiecznych systemów płatności kartowych(PayU,PayPal,Masterpass czy jakie tam jeszcze są)jesteśmy przekierowywani na stronę „naszego” banku i po zalogowaniu tam bank autoryzuje nas wysyłając odpowiedni sygnał do tego,z kim właśnie coś podpisujemy;nasze ID i wszelkie inne dane logowania zachowując – naturalnie – dla siebie. Gdyby miało być,jak w pkcie a/ – bo tak to zrozumiałam w najpierwszej chwili – to za Boga Pana nie zawrę umowy z nikim,z… Czytaj więcej »

Jan
Gość
Jan

@Anna
Opcja jak najbardziej b, co potwierdzają materiały na stronie mojeID.

@gosc
No i jak wprowadzenie mojeID pogorszy sprawę w kwestii kradzieży tożsamości? Bo teraz w całej masie miejsc nie musisz się autoryzować w jakikolwiek sposób. MojeID daje Ci weryfikację na poziomie bankowym, czyli najlepszą na w cywilnych i biznesowych sytuacjach. Chyba, że jesteś w stanie pokazać mi jakąś branżę która lepiej weryfikuje ludzi?

Co do pola ataku, to napisałem, że „nie bardziej niż w wypadku PayU”. Oczywiście że się zwiększa, ale jeśli akceptujesz ryzyko z PayU, to powinieneś zaakceptować też ryzyko z mojeID bo jest ono takie samo.

aaa
Gość
aaa

Dlaczego https://pz.gov.pl/pz/help (tam integratorzy) nie jest dostępna dla podmiotów zewnętrznych (firm). Nie trzeba by było wynalazków typu mojeID.

Leszek
Gość
Leszek

Nie rozumiem. Jest podpis zaufany to po jakie licho mojeID?! U mnie (i całej masy innych ludków) podpis zaufany potwierdza bank, to nie prościej użyć sprawdzonej i pewnej metody, tylko tworzy się nowe coś? Po co?

Maciej Samcik
Admin

Profil zaufany ma pewnie 5% ludzi, którzy mają konto bankowe, chyba to o to chodzi

zen
Gość
zen

mojeID ma 0% ludzi, którzy mają konto bankowe w jednym z dwóch banków. Na dodatek, w przeciwieństwie do epuapu, który już zyskał jako-taką rozpoznawalność, o mojeID nikt nie słyszał i bez kampanii reklamowych o milionowych budżetach pewnie nieprędko usłyszy.
Dobra zmiana.

Maciej Samcik
Admin

Fakt, o ePUAPie już ktoś przynajmniej słyszał i parę osób go używa (w tym ja) :-)). Tylko to trochę rozdzielne tematy, bo ePUAP to eadministracja, a mojeID to ma być dla rzeczy pozaurzędowych.

Lech
Gość
Lech

Ja nie widzę sensu ponoszenia takiego ryzyka. Poza tym jest to łapanie się lewą ręką za prawe ucho. Po co mieszać w to banki i nadstawiać własne konto ?
Jak są e-dowody, to dlaczego jakaś państwowa instytucja nie mogłaby weryfikować naszej tożsamości ?
A jak to jest w cywilizowanych krajach ?

Maciej Samcik
Admin

To chyba tylko Skandynawia wchodzi w grę (tam chyba działa ichne mojeID)

Lech
Gość
Lech

W Inteligo ktoś mi ściągnął wielokrotnie małe kwoty. Inteligo zwróciło mi pieniądze i poleciło zablokować kartę płatniczą. Pytam ich od dłuższego czasu czy już wszystko OK i czy mogę odblokować kartę. Zero odpowiedzi.
I takim instytucjom miałbym powierzyć swoją weryfikację ???

Maciej Samcik
Admin

A podobno – tak twierdzi Związek Banków Polskich – zaufanie Polaków do banków rośnie ;-))

Lech
Gość
Lech

No tak. To spytaj producenta margaryny co lepsze: margaryna czy masło.

Maciej Samcik
Admin

Wiem, dlatego pozwoliłem sobie na ten żarcik 😉

Adam
Gość
Adam

Im tak zaufanie rośnie, jak jak nie rośnie iflacja wg „prezesa” NBP z nadania jedynej słusznej partii 😉

Anna
Gość
Anna

Zablokowanie karty – to z doświadczenia już sprzedanego Raiffeisena – stanowiło sposób na jej anulowanie bez specjalnych zachodów (w tym związanych z opłatą za nową).Może zatem i w Pana przypadku wcale nie chodzi o tymczasowe zablokowanie karty??? Może warto to „dogadać” u źródła?

Lech
Gość
Lech

Nie, bo zwrócili mi to, co ukradł ktoś inny. Nie odpowiadają na maile, bo pewne mają 14 albo 30 dni na odpowiedź. I nie dociera do nich , że w międzyczasie ktoś może wyczyścić mi konto. Albo, że ja potrzebuję tej karty (Na szczęście mam konto nie tylko u nich.)

Franciszek Liborowski
Gość
Franciszek Liborowski

„mojeID „wisi” na zaufaniu do banków”

NA CZYM???!!! Buahahahaha…

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij
social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin