Niedawno pisałem o decyzji Generalnego Inspektora Ochrony Danych Osobowych, który doszedł do wniosku, iż w salonach telekomunikacyjnych nie mogą skanować naszych dowodów osobistych. Szef GIODO powołał się na to, iż na dowodach są umieszczone nasze zdjęcia, informacje o kolorze oczu i innych ważnych cechach naszego jestestwa. Jakkolwiek z mojego punktu widzenia najgroźniejsze jest kopiowanie lub skanowanie dowodów ze względu na możliwość ich sfałszowania lub zdalnego wykorzystania danych tam zawartych.

Czytaj: Koniec ze skanowaniem naszych dowodów osobistych przez telekomy

Ale fakt jest faktem: praktyka kopiowania dowodów osobistych przez telekomy została zakazana. Teraz tylko trzeba tę wiedzę krzewić, bo wiem, że już po decyzji GIODO pracownicy punktów obsługi dwóch telekomów twierdzili, że bez skanu dowodu nie będą w stanie obsłużyć klienta i że w ogóle nie wiedzą teraz jak mają żyć. Cóż, być może muszą tych klientów stracić na rzecz konkurencji, by zaczęli przejmować się takimi rzeczami, jak ochrona danych. Naprawdę, wystarczy klienta zobaczyć “na żywo”, zerknąć mu w dowód i potwierdzić adnotacją w papierach, że wszystko się zgadza. Skan dowodu nie musi być w dokumentacji.

Ale dowody skanują i kserują nam nie tylko telekomy, ale też m.in. banki. Ich działalność reguluje bowiem Prawo Bankowe, nieco bardziej liberalne pod względem możliwości zasysania danych o klientach z dowodów osobistych. Klienci denerwują się zwłaszcza wtedy, gdy potrzeba skanowania dowodu wychodzi niejako “przy okazji”, a bank stosuje ją jakby od niechcenia, jako uzupełniającą formę weryfikacji tożsamości. Z taką sytuacją spotkał się mój czytelnik, pan Marek, który zwrócił się do BGŻ BNP Paribas z prośbą o udzielenie mu kredytu na zakup nowego telefonu. Wniosek kredytowy złożony, zaś bank informuje, że prześwietlił klienta we wszystkich dostępnych bazach. I że w oparciu o te informacje (oraz o to, co klient zeznał we wniosku kredytowym) decyzja jest pozytywna.

Co dalej? Ano kolejnym krokiem jest potwierdzenie tożsamości. W informacji, którą klient otrzymał od banku, było napisane, iż owo potwierdzenie tożsamości następuje poprzez przelew weryfikacyjny z innego banku. Czyli: bank zakłada, że w tym “innym banku” klient założył konto “normalnie”. Ktoś widział go na oczy i potwierdził, że dane z wniosku o założenie konta zgadzają się z tym, co jest w dowodzie osobistym. W takiej sytuacji dane, które przyjdą na temat klienta w opisie przelewu z innego banku (imię, nazwisko, adres), potwierdzą, że on to on.

Po tym jak klient wykonał przelew weryfikacyjny bank zgłosił dodatkowe żądanie.W celu przyspieszenia procedowania” poprosił o skan dowodu osobistego. A po grzecznej odmowie pana Marka i rezygnacji z “przyspieszenia” pracownik banku stwierdził, że to niezbędny krok i bez tego nici z kredytu. Czyli: albo można jechać szybko, albo nie jechać w ogóle ;-).

“Takie eskalowanie oczekiwań wydało mi się nie fair i mam wątpliwości. Skoro skan jest niezbędny, to dlaczego nie był ujęty w dostarczonej mailowo procedurze? Jaki jest cel domagania się przez bank ‘przelewu autoryzującego’ skoro nie jest on traktowany jako potwierdzenie tożsamości? Dostarczyłem też komplet danych dotyczących mojej działalności gospodarczej, bo telefon ma być kupiony w ramach tejże działalności i spłacany z firmowego rachunku bankowego”

– dziwi się pan Marek. Czy słusznie się dziwi? Udzielanie kredytów w oparciu wyłącznie o przelewy weryfikacyjne rzeczywiście niesie ze sobą wyższe ryzyko dla banku. Zdarza się, że dane z wniosku o kredyt i z przelewu weryfikacyjnego okazują się być danymi “słupa”, czyli osoby, której skradziono tożsamość i założono na jej dane konto bankowe. Kredytodawcy starają się przed tym bronić i dlatego wolą mieć w ręku dowód osobisty klienta. Pan Marek natomiast słuszniema za złe, że bank stosuje podwójną weryfikację, utrudniając mu życie.

Czytaj też: Co ci grozi jeśli złodziej skopiuje twoje dane z dowodu?

Czytaj też: Jak nie dać się złapać złodziejom tożsamości?

Czy bank nie przesadza z nieufnością? Gdyby klient chciał wyłudzić kredyt na cudze dane, raczej nie posługiwałby się działalnością gospodarczą (wystarczająco skomplikowane jest klonowanie tożsamości osoby fizycznej, zakładanie firmy na cudze dane jest już bradzo trudne, bo na pewnym etapie trzeba przyjść do urzędu z dowodem i pokazać twarz). Do kredytów zaciąganych “na firmę” trzeba więcej kwitów i więcej formalności. Bank miał więc mnóstwo danych, by ocenić czy klient aplikujący o kredyt przez internet się pod kogoś nie podszywa. Czy potrzebował też skanu? Pewnie mogłoby się bez niego obyć. Może wystarczyłaby kopia jakiejś faktury za prąd, gaz czy telefon komórkowy?

Kredyt na być szybki, bez papierów i licznych formalności. Bank więc ukrywa podwójną weryfikację tożsamości klienta (przelewem weryfikacyjnym i skanem dowodu) pod hasłem “przyspieszenia procedowania…”. Chcieli dobrze (nie wkurzać klienta), a wyszło jak zwykle (wkurzyli go podwójnie).  Albo i potrójnie, gdyż…

“Kiedy już na koniec pojawiło się ze strony banku oczekiwanie, bym dostarczył kopię dowodu osobistego, to bank ogłosił, że mam ją wysłać mailem na jakiś niespersonalizowany adres. Czy są jakieś argumenty aby zakwestionować takie robienie klienta w balona?”

– pyta pan Marek. Wysyłać skan dowodu osobistego na mail typu “[email protected]”? Brrrr… Owszem, bank pożycza pieniądze i teoretycznie może wpisać do swojej procedury kredytowej różne, nawet niezbyt mądre żądania. Ale bez przesady. Weryfikacja tożsamości w XXI wieku bez problemu może nastąpić przez połączenie z wideoczatem i okazanie dowodu razem z twarzą klienta. Są już technologie, które perfekcyjnie oceniają czy przedstawiany zdalnie dokument jest autentyczny. W Austrii i Niemczech są już banki, które przez wideoczat – także z okazywaniem w ten sposób dokumentu tożsamości – otwierają klientom konta.

Ewentualnie – jeśli nie ma opcji wideoczatu – bank mógłby umieścić procedurę skanowania i wysyłania skanu w ramach systemu transakcyjnego (tam, gdzie komunikacja jest szyfrowana). Opcja, by namawiać klienta do wysyłania skanu dowodu “w kosmos”, na ogólny adres, do którego dostęp może mieć milion pracowników banku, to zły pomysł. Zwłaszcza jeśli to jest sprawa życia i śmierci, bo do stwierdzenia czy klient się pod kogoś nie podszywa, bank miał mnóstwo innych dokumentów.

Czytaj też: Banki testują nową technologię. Zakładają konto przez… wideoaczat!