Możliwość zakupu obligacji skarbowych przez internet to opcja, do której zawsze Was zachęcałem. Zwłaszcza, że sam korzystam od wielu lat z kupowania obligacji, zamiany starych papierów na nowe serie oraz sprawdzania salda inwestycji bez ruszania się z fotela. Kłopot w tym, że internetowy serwis do kupowania obligacji powstał już kilkanaście lat temu i od tego czasu niewiele się zmienił. Nie tylko pod względem graficznym, ale i pod względem standardów bezpieczeństwa.
Na to ostatnie niedawno zwrócił mi uwagę jeden z czytelników. A odezwał się do mnie – jak to zwykle bywa – po uprzednim wysłaniu alarmującego listu do administratorów serwisu obligacji skarbowych, na który to list nie otrzymał żadnej odpowiedzi. Ludzie nie lubią być ignorowani przez instytucje finansowe i żadna to nowość.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Czego dotyczą zarzuty czytelnika? Po pierwsze tego, że konto nie jest zbyt dobrze zabezpieczone przed ryzykiem zalogowania się nieuprawnionych osób. A po drugie tego, że ewentualny intruz może bardzo łatwo i w sposób niezauważony dokonać zmian w konfiguracji konta. Nie niesie to co prawda ryzyka kradzieży pieniędzy, ale już złośliwego sprzedania przez nieproszonego gościa nie swoich obligacji – jak najbardziej.
Czytaj też: Obligacje Skarbowe po raz pierwszy były losem na loterię. Czy to dobry pomysł?
Czytaj też: Ogromne pieniądze płyną do obligacji skarbowych. Do wzięcia… dwa razy więcej, niż w dużym banku
Jeśli chodzi o kwestię logowania, to mój czytelnik słusznie zwraca uwagę, że wyjątkowo nieroztropne jest automatyczne ustawienie klientom jako loginu… numeru PESEL. Taki identyfikator co prawda łatwo zapamiętać klientowi, ale jest też śmiesznie łatwy do odgadnięcia przez osoby postronne.
Każdy, kto wie, że np. Samcik ma konto w serwisie obligacji skarbowych wie też, że jego login to samcikowy PESEL. A to już połowa sukcesu. W zasadzie jedyną ochroną serwisu transakcyjnego obligacji skarbowych jest hasło, które też trzeba podać przed zalogowaniem na swoje konto. Hasło nie jest jednak maskowane.
Większym problemem dla mojego czytelnika jest jednak to, że po zalogowaniu się na konto przez nieuprawnioną osobę może ona nieźle się zabawić. A mianowicie…
„W jednej z zakładek można zmienić numer telefonu oraz adres e-mail do korespondencji. Dlaczego dokonanie zmian w tej zakładce nie powoduje wysłania informacji na dotychczasową skrzynkę e-mail oraz na dotychczasowy numer telefonu? Zakładając, że nieuprawniona osoba poznała login (a to jest względnie łatwe) i hasło, to po wejściu do systemu pierwszym posunięciem będzie zmiana hasła do serwisu oraz numerów kontaktowych i adresu e-mail. Tym samym prawowity właściciel konta zostanie od niego odcięty i nawet się o tym nie dowie. Gdyby system informował o dokonywaniu tego rodzaju zmian na koncie to przynajmniej prawowity właściciel miałby informację, że coś niedobrego się dzieje”
– pisze czytelnik. I apeluje, że jeśli Ministerstwo Finansów chce zainteresować ofertą obligacji nowych potencjalnych nabywców tych papierów, to system transakcyjny powinien mieć wbudowane elementarne zabezpieczenia przed szkodami wywołanymi nieautoryzowanym dostępem do konta. Odcięcie prawowitego użytkownika od powiadomień i zmiana hasła do logowania to jeszcze pikuś – „obcy” może np. zlecić nieodwołalne przedterminowe wykupy obligacji, z powodu których prawowity właściciel konta poniesie poważne straty (utrata części odsetek).
„Zwracam się z prośbą o wprowadzenie do systemu dobrowolnej – wybieranej przez klienta – opcji wysyłania e-maili i SMS-ów z powiadomieniami o każdym logowaniu się do konta oraz o zmianie w systemie numeru kontaktowego oraz skrzynki e-mail do kontaktów. Również autoryzacja SMS-em transakcji, np. wykupu obligacji, by nie zaszkodziła”
Dobra wiadomość jest taka, że nawet w obecnym stanie zabezpieczeń serwisu transakcyjnego do zakupu obligacji nie ma ryzyka, że ktoś wyprowadzi pieniądze prawowitego posiadacza obligacji. Numer rachunku, na który może popłynąć pieniądz ze sprzedaży obligacji oraz odsetki, definiuje się tylko raz, przy rejestracji do serwisu (służy temu przelew weryfikacyjny). Nie ma mozliwości, by zmienić to konto później przez internet (trzeba udać się do oddziału PKO BP prowadzącego sprzedaż obligacji).
„Nie mogę zrozumieć jak strona internetowa służąca do obrotu znacznymi ilościami pieniędzy ma zabezpieczenia na poziomie sprzed 20 lat. Pierwszy lepszy bank bije ich na głowę. Nie wspomnę już o żenująco niskim poziomie obsługi zapytań klientów. Ale tak to chyba jest jak jedna instytucja ma monopol na sprzedaż obligacji Skarbu Państwa inwestorom indywidualnym. Państwo chce zwiększać udział zadłużenia krajowego a nie robi nic, aby ułatwić zakup obligacji. Każdy bank komercyjny powinien udostępniać zakup obligacji Skarbu Państwa. Być może zdrowa konkurencja rozwiązałaby problemy”
– pisze czytelnik. I trudno odmówić sensu jego postulatom. Pamiętajcie: jeśli nie będziecie się mogli zalogować do internetowego systemu zarządzania swoimi obligacjami skarbowymi, a na koncie bankowym zobaczycie nagły zastrzyk gotówki, to wiedzcie, że prawdopodobnie ktoś się ostro zabawiał Waszym kosztem.
Choć w PKO BP – który jest operatorem systemu do internetowego zakupu obligacji – mówią, że nie ma się co niepokoić, bo system – choć drewniany – jest mimo wszystko bezpieczny. Ba, nawet „spełnia najwyższe standardy bezpieczeństwa” oraz „podlega bieżącemu monitorowaniu” i jest „regularnie audytowany przez audytorów zewnętrznych pod kątem zabezpieczeń”. Bank dodaje, że ze względów bezpieczeństwa informacje o kwestiach zabezpieczeń nie są jawne.
„Bezpieczeństwo środków finansowych klientów jest kwestia priorytetową. Wszelkie środki finansowe nabywców obligacji korzystających z serwisu obligacyjnego są przekazywane wyłącznie na rachunek bankowy klienta, który jest wskazany przez klienta i zdefiniowany w systemie. Zmiana rachunku bankowego do wypłat może nastąpić wyłącznie osobiście przez klienta w placówce. Jedynymi danymi jakie klient może zmienić za pośrednictwem serwisu są dane kontaktowe tj. adres poczty oraz numer telefonu, które nie rzutują na bezpieczeństwo systemu”
W PKO BP twierdzą, że klient, który dokonuje zmiany adresu e-mail najczęściej nie korzysta już z dotychczasowego adresu, zatem wysyłanie powiadomień na nieistniejący lub nieaktualny adres e-mailowy nie ma uzasadnienia, podobnie jest z numerem telefonu. Odważna teza. PKO BP przypomina, że do zalogowania konieczne jest podanie hasła, które klient ma obowiązek chronić.
Czytaj też: Startują nowe obligacje rządowe. Wreszcie będzie można oszczędzać na krótko! Banki mają problem?
Czytaj też: To ostatnio hit bezpiecznego oszczędzania. Jak kupować obligacje rządowe? I jakie?
zdjęcie: Habashdesign
