Sprawa robaka: KNF nie zgadza się na zasysanie przez banki danych o naszych ROR-ach. Myli się?

Sprawa robaka: KNF nie zgadza się na zasysanie przez banki danych o naszych ROR-ach. Myli się?

W branży bankowej ostatnio dużo mówi się o Big Data, czyli idei budowania i wykorzystywania ogromnych baz danych o klientach. Analiza historii rachunku bankowego oraz transakcji kartowych to kopalnia cennych informacji na temat kondycji finansowej i zwyczajów każdego z nas. A jeśli jeszcze połączyć to z danymi pozyskanymi od firm telekomunikacyjnych (świadczą o naszej solidności w płaceniu zobowiązań), czy z portali społecznościowych (ulubione strony i znajomi to dobra lub zła rekomendacja)… Jedna z firm pożyczkowych już ściąga dane na temat klienta od „wujka Facebooka”. Entuzjaści Big Data w branży bankowej twierdzą, że większa wiedza o klientach przełoży się na korzystniejsze ceny i lepsze dopasowanie usług do potrzeb konkretnych osób. Przeciwnicy – rekrutujący się głównie z fundacji i organizacji prokonsumenckich ostrzegają, że z tej bankowej inwigilacji nic dobrego nie wyniknie – zyski banków będą szybko rosły (przynajmniej tych, które wyprzedzą konkurencję technologicznie i będą w stanie skuteczniej analizować dane), a kredyty będą dostępne tylko dla młodych, pięknych i bogatych. Pisałem ostatnio o tym, jak jeden z banków otwartym tekstem poinformował swoich klientów – „tak, będziemy handlowali danymi na Wasz temat”.

Czytaj też: Oni policzyli ile kosztuje prowadzenie przeciętnego ROR-u w Polsce. Mają rację?  

Zobacz również:

Ostatnio niektóre banki zaczęły inwestować w technologię, która pozwala zasysać dane o naszych finansach od innych banków. Operację przeprowadza specjalny „robak”, czyli program komputerowy odpowiedzialny za uzyskanie dostępu do konta klienta w danym banku, namierzenie określonych danych, ściąganie ich i sprowadzenie do wspólnego mianownika. Aby automat mógł zassać dane, klient musi mu podać loginy i hasła do swoich kont bankowych. Stosują to mBank i Alior Bank w procesie przyznawania kredytów konsumenckich (jako jedną z opcji udostępnioną klientowi do wyboru – nie trzeba przynosić, ani przysyłać do banku żadnych dokumentów) oraz Idea Bank przy kredytach dla małych firm. W Idei mówią, że w ten sposób pożyczki otrzymało już kilkadziesiąt tysięcy przedsiębiorców, z których większość odpadłaby przy tradycyjnym sposobie badania zdolności kredytowej (bo wówczas bank dowiedziałby się o nich zbyt mało, by ocenić ryzyko kredytowe).

Choć screen scraping jest ostatnim bankowym hitem – podobno co najmniej trzy kolejne banki pracują nad jego użyciem, zaś Idea Bank planuje za pomocą „robaka” przenosić klientom rachunki bankowe od konkurencji (czyli salda, zlecenia płatnicze, historię transakcji), wygląda na to, że technologię tę „upupi” Komisja Nadzoru Finansowego. Według KNF screen scraping prowokuje złamanie najważniejszej zasady bezpieczeństwa w bankowości elektronicznej – tej mówiącej, że nigdy nie podajemy nikomu loginów, ani haseł do naszego konta, zaś logujemy się do niego wyłącznie ze strony naszego banku. Tutaj zaś dane pobiera ktoś trzeci – inny bank,

„Prowadzi to do złamania przez klienta przepisów ustawy o usługach płatniczych oraz warunków dotyczących korzystania z bankowości internetowej (…). Wiąże się to z ryzykiem utraty prawa do reklamacji ewentualnych nieautoryzowanych transakcji. (…) Jest prawdopodobne, że spowoduje to zmniejszenie czujności klientów w odniesieniu do miejsc, w których wprowadzają oni swoje dane logowania (…)”

– pisze KNF w komunikacie. I informuje złowieszczo, że w stosunku do „zarobaczonych” banków prowadzi „indywidualne działania nadzorcze”. Z nadzorem się nie dyskutuje, więc oskarżone banki już zapowiedziały rezygnację z wykorzystywania „robaka”. Ale czy to dla nas, klientów banków, dobra wiadomość? Nie lubię inwigilacji, ale zastanawiam się, czy KNF nie przesadza, bezwzględnie zabraniając korzystania ze screen scrapingu jako opcji dawanej klientom do wyboru, obok tradycyjnych sposobów przekazywania bankowi danych na swój temat. Bo to – upraszczając do bólu – jest taki deal: oddaję bankowi więcej danych (lub raczej oddaję je w bardziej przyjaznej dla niego formie), ale w zamian dostaję decyzję kredytową zdalnie, w ciągu minuty, a pieniądze na koncie mam w pięć minut. Do tej pory tego typu karesy były dostępne tylko dla klientów firm pożyczkowych, które brak wiedzy na temat klienta rekompensują sobie horrendalnie wysokim kosztem pożyczki. Wiecie, że do robienia kuku lichwiarzom to ja jestem pierwszy ;-). A jeśli ta technologia miałaby oprócz tego ułatwić przenoszenie rachunku z banku do banku, sprowadzając rzecz – przynajmniej w przypadku niektórych klientów – do jednego kliknięcia? Przyznacie, widać w tym screen scrapingu kilka zalet, a nie tylko same wady…

Dobry dowcip? Ona tańczy (nie) dla mnie, czyli jak zamknąć konto „zamknięte częściowo”?

Owszem, każdy z nas ma w regulaminie bankowości elektronicznej wpisane zastrzeżenie, że podstawowym obowiązkiem jest chronić hasła i loginy oraz nie udostępniać ich nikomu innemu. Ale dziś największe zagrożenia dla naszych pieniędzy tkwią w naszych własnych komputerach – złodzieje podsyłają nam programy do śledzenia loginów i haseł wpisywanych na klawiaturze oraz próbują przejmować wysyłane przez banki SMS-ami kody autoryzacyjne do poszczególnych przelewów (lub nakłaniać nas do akceptacji złodziejskiej transakcji poprzez wprowadzenie w błąd co do tego jaki przelew tak naprawdę akceptujemy). Nie trzeba więc wcale podawać żadnemu „robakowi” danych do logowania, aby stać się ofiarą kradzieży. Albo inaczej: nie ma znaczenia czy podajemy dane na stronie swojego banku, czy obcego – jeśli mamy wirusa, to i tak mogą one trafić do złodziei. Problemem są też relatywnie słabe zabezpieczenia bankowości internetowej (brak haseł maskowanych, dopuszczanie autoryzacji niektórych przelewów bez SMS-ów autoryzacyjnych) lub potencjalne luki w bezpieczeństwie, które mogą powstać dzięki dołączeniu do konta internetowego dostępu przez smartfona (na którego łatwo dziś wprowadzić wirusa). 

Na tle tych zagrożeń screen scraping nie robi na mnie większego wrażenia – przynajmniej w sensie niebezpieczeństwa przejęcia danych do logowania lub historii rachunku przez złodziei, Choć gdyby screen scraping miał być dozwolony, to tylko pod warunkiem, że banki stosowałyby restrykcyjne zasady bezpieczeństwa – np. program do ściągania danych musiałby być umieszczony na bezpiecznej stronie banku (a nie pośrednika), powinien wymuszać jednorazową zmianę haseł dostępu do kont, która obowiązywałaby tylko w czasie transferu danych. I tego przede wszystkim oczekiwałbym od nadzoru bankowego – ustawienia wysoko poprzeczki dotyczącej bezpieczeństwa nowej technologii, a niekoniecznie jej utrącenia. Nie sądzę, bym chciał dać bankowi X historię mojego konta w bankach Y oraz Z, ale być może ktoś, kto chciałby szybko przenieść sobie ROR, albo dostać kredyt szybciej i taniej, niż u lichwiarza, w taki interes by wszedł. Polak generalnie nie ceni wysoko danych na swój temat i odda je za kilka srebrników. Ale to jest już zupełnie inna historia.

Wiem, że i bankowcy w tej sprawie nie grają w jednej drużynie. Zwolennicy screen scrapingu to najbardziej agresywni gracze, którzy chcą wykorzystać tę metodę nie tylko do oferowania błyskawicznych kredytów klientom konkurencji i firm pożyczkowych, ale też do automatycznego przenoszenia klientom ROR-ów. To nie może podobać się największym bankom, które w obawie przed utratą części klientów w sporze o „robaka” kibicują KNF-owi. A kto wie, czy to nie one zasuflowały nadzorowi konieczności interweniowania w sprawie „robaka”. W ich interesie jest, żeby przenoszenie się z banku do banku nie było zbyt łatwe. Zwłaszcza, że z danych firmy Bain&Company wynika, że Polacy są nacją, która i tak najczęściej na świecie zmienia swój podstawowy bank. Co sądzicie o „robaku”? Powinien być administracyjnie zabroniony, czy też to od klienta powinno zależeć ile danych odda bankowi za szybki kredyt lub ułatwienie w przenoszeniu ROR-u (oczywiście przy założeniu, że powstałyby standardy pozwalające mieć pewność, że procedura screen scrapingu jest absolutnie bezpieczna)?

Subscribe
Powiadom o
0 komentarzy
Inline Feedbacks
Zobacz wszystkie komentarze

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!