26 października 2021

Vinted kontra UOKiK. Czy skanowanie dowodu jest legalne? Jak się „postawić”? A jeśli się nie da, to jak wysłać „bezpieczne” zdjęcie?

Vinted kontra UOKiK. Czy skanowanie dowodu jest legalne? Jak się „postawić”? A jeśli się nie da, to jak wysłać „bezpieczne” zdjęcie?

Współczesna gangsterka to już nie tylko wymuszenia i rozboje, ale kradzieże tożsamości. Skanowanie dowodu osobistego jest od 2 lat zabronione, ale niektóre sklepy internetowe i tak wymagają skanów do finalizacji transakcji. UOKiK wziął na cel portal Vinted, ale co dokładnie nie pasuje urzędowi i czy konsument może kwestionować żądanie skanu dowodu? Sprawdzam!

Kradzieże tożsamości to plaga XXI wieku. Najsłabszym ogniwem w tej walce są nasze dokumenty. Ktoś zeskanował dowód osobisty pani Anety i próbował wyłudzić kredyty na dziesiątki tysięcy złotych. Pan Arek dowiedział się, że istnieje car-sharing dopiero wtedy, kiedy dostał wezwanie do zapłaty, bo ktoś stworzył konto na jego dane, a panu Kamil stracił 200 000 zł, bo przestępcy sklonowali jego kartę SIM i podrobili dowód osobisty.

Zobacz również:

Dobrze, że UOKiK w przerwie między testowaniem pieluch i proszków do prania, wziął pod lupę problem obowiązkowego skanowania dowodów osobistych przez – w tym przypadku – sklepy internetowego. Ale nie wszystko z komunikatu Urzędu przebiło się do świadomości czytelników. Co tak naprawdę powiedział UOKiK o skanowaniu dowodów? Czy można to robić i w jakich okolicznościach i czy konsumenci słusznie się „burzą”? Sprawdzam!

Skanowanie dowodu i inne kanty na Vinted

Vinted to aplikacja do sprzedaży używanych ubrań. Chcesz się pozbyć kurtki, ale jest ci żal wrzucać ją do kontenera na odzież używaną? Możesz dać jej drugie życie i odzyskać trochę pieniędzy dzięki Vinted właśnie (ale nie tylko – inne pomysły na niepotrzebne ubrania omówiłem w tym artykule).

Ten litewski start-up, ma już ponad 30 mln użytkowników w całej Europie. W czym Vinted jest lepszy od innych popularnych serwisów z używanymi rzeczami – np. OLX czy Allegro? Odpowiedź jest prosta: sprzedaż jest zautomatyzowana: apka odczytuje sporo informacji ze zdjęć ubrań (np. kolor, sugeruje też rozmiar paczki, do której zmieści się przedmiot), a także sama adresuje etykiety – wystarczy je wydrukować i nakleić.

Dla odbiorcy, nadając przesyłkę, możemy pozostać anonimowi – niepotrzebne jest imię i nazwisko, a tym bardziej adres, do nadania wystarczy numer telefonu. Ma to swoje plusy i minusy.

Na pieniądze będziemy musieli chwilę poczekać – przy zakupie pieniądze przechwytuje aplikacja i trzyma je aż do momentu, kiedy kupujący odbierze produkt i potwierdzi, że wszystko jest OK. Za tę usługę Vinted pobiera dodatkową opłatę, ale ponosi ją również kupujący (wynosi kilka procent wartości transakcji). To taki parasol ochronny dla kupujących, dzięki niemu mają pewność, że jeśli kupią kota w worku (czyt. dziurawą koszulę), to ich pieniądze są bezpieczne i dostaną bezproblemowy zwrot.

W praktyce nieuczciwi użytkownicy grają z nami w kotka i myszkę. Tu już nie chodzi tylko o to, że ktoś wyśle nam dziurawe spodnie – tam trwa prawdziwa bonanza, niektórzy nasi czytelnicy piszą w komentarzach, że stracili nawet 1000 zł. Polega to na tym, że zawodowi kanciarze omijają pośrednictwo Vinted i po tym, gdy wybierzemy opcję zakupu, wysyłają dodatkowy link do płatności. Jeśli w niego klikniemy i zapłacimy, to pieniądze trafią od razu do adresata, a nie na rachunek przejściowy. I pozamiatane.

Czytaj też: Dane z dowodów osobistych i smartfonów, dane osobowe, tożsamość – to dziś cel złodziei. Jak nie dać się okraść z „cyfrowego majątku”?

Czytaj też: Car-sharing i kradzież tożsamości. Pan Arek nie wiedział, o co chodzi w tym biznesie, dopóki nie dostał wezwania do zapłaty. Jak oni pilnują?

Vinted i skanowanie dowodu osobistego. Co tak naprawdę powiedział UOKiK?

Firma regularnie ostrzega przed próbami wyłudzenia danych – podszywanie się pod pracowników działu Vinted, firm kurierskich, kupujących zainteresowanych twoim ogłoszeniem, pracowników dostawców płatności jest nagminne. UOKiK przyjrzał się temu, jak się handluje na Vinted. I wszczął postępowanie wobec litewskiej spółki. Za co? Do świadomości czytelników przebiła się informacja, że chodzi o przede wszystkim o konieczność przesyłania skanu dowodu osobistego. Ale czy rzeczywiście?

Zarzuty dotyczą braku ważnych informacji dla konsumentów, dzięki którym mogliby oni uniknąć niekorzystnych dla siebie finansowo decyzji. Podstawą do wszczęcia postępowania były skargi samych użytkowników. Oto jedna z nich, która dotarła akurat nie do UOKiK-u, lecz do „Subiektywnie o Finansach”:

„Dostałam informację z Vinted, że z uwagi na dokonywanie płatności z użyciem systemów zainstalowanych na ich stronie muszę potwierdzić swoją tożsamość wysyłając skan dowodu osobistego, paszportu lub prawa jazdy. (…) Czuję się oszukana i okradziona, ponieważ skoro taki dokument jest wymagany, to ten wymóg powinien obowiązywać już przy założeniu konta, a nie dopiero po sprzedaży rzeczy. W ten sposób mam zablokowane 307 zł, których nie mogę wypłacić”.

Gdyby się wczytać w treść komunikatu urzędu, to zarzuty są dwa, ale żaden nie kwestionuje legalności skanowania dowodu osobistego.

Pierwszy dotyczy tego, że regulamin wprowadza w błąd sugerując, że „pieniądze ze sprzedaży zgromadzone w e-portfelu można w każdej chwili bez żadnych opłat przelać na swoje osobiste konto bankowe”. Zdaniem UOKiK brakuje informacji, że środki mogą zostać zablokowane, nie jest tam też uregulowana kwestia weryfikacji tożsamości.

Drugi zarzut dotyczy samej usługi ochrony kupujących. Usługa jest płatna i domyślnie „włączona”. UOKiK krytykuje fakt, że Vinted nie informuje jasno, że z tej opcji można zrezygnować i nie płacić dość słonej prowizji (2,9 zł plus 5% ceny kupowanego przedmiotu). Z krytyką bym się jednak nie zapędzał, bo sama usługa jest jednak godna pochwały – to jedyna polisa bezpieczeństwa przed nieuczciwym sprzedającym. I UOKiK tego nie kwestionuje. Ale boli go, że jeśli kupujemy kolejną rzecz od tego samego, sprawdzonego „dostawcy”, to moglibyśmy się zdecydować na zakupy bez programu ochrony. 

Czyli w awanturze UOKiK-Vinted wcale nie chodzi o to, że serwis weryfikuje tożsamość, ale że nie informuje o tym dostatecznie jasno i wyraźnie. Czy zatem może to robić? Czy UOKiK coś przeoczył?

Czytaj też: Imię i nazwisko, PESEL, dowód osobisty, adres zamieszkania, wizerunek… Czym jest kradzież tożsamości? I jak się przed nią obronić?

Czytaj też: Polskie banki z lenistwa ułatwiają przestępcom oszukiwanie klientów? „Nie możemy sprawdzić nic poza numerem konta.” Uwaga, idą zmiany!

Gdzie UOKiK może, tam UODO pośle

Nie, UOKiK nic nie przeoczył, tylko skanowanie dowodu, to nie jego kompetencje. Dane osobowe to domena Urzędu Ochrony Danych Osobowych (UODO), który już w marcu tego roku sprawdził, że Vinted wymaga od handlujących na nim osób przedstawiania kopii dowodów osobistych. UODO poprosił o pomoc prawną litewski odpowiednik, ale do tej pory nie wlepiono żadnej kary z tego tytułu. Nie zanosi się, też żeby kara była. Dlaczego?

Bo to nie portal chce dowodu osobistego, ale operator płatności, holenderska firma Adyen. A tożsamość weryfikuje, bo – tak jak banki – podpada pod międzynarodowe przepisy AML, czyli o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Jak tłumaczy Vinted…:

„W przypadku transakcji, które odbywają się za pośrednictwem zintegrowanego systemu płatności Vinted, korzysta ona z usług odpowiednich dostawców, tzn. wszystkie płatności są przetwarzane nie przez Vinted, lecz przez nich. W związku z tym, ci dostawcy usług przeprowadzają procedurę zwaną KYC (“Know Your Customer”).

Portal tłumaczy, że dzięki nim dostawca usług płatniczych może zagwarantować, że transakcje na Vinted spełniają wymogi prawne i standardy bezpieczeństwa płatności internetowych. Na jej mocy instytucje finansowe mogą sobie kserować dokumenty do woli tłumacząc, że walczą z oszustwami. Procedura AML to wytrych. Instytucje finansowe i pośrednicy płatności podciągają pod to dosłownie wszystko. Ostatnio dowiedziałem się, że mój skromny przelew z rachunku na rachunek w ramach tego samego banku nie mógł być zaksięgowany od razu, bo bank sprawdzał, czy… nie piorę pieniędzy.

Podobne wątpliwości zgłaszali nam użytkownicy Allegro, którzy – żeby wypłacić pieniądze zarobione na sprzedaży – musieli przesłać skan dowodu osobistego. W tym przypadku wymagało tego nie Allegro, ale operator płatności, w tym przypadku PayU albo Przelewy24, które są – zgodnie z ustawą – „instytucją obowiązaną”.

Skala oszustw, prób wyłudzenia danych na portalach sprzedażowych takich jak OLX, Vinted czy nawet na Facebooku, jest spora. To zupełnie nowa dziedzina gospodarki, nowy sposób na zarabianie pieniędzy i na dodatkowy dochód – nie wszyscy jeszcze opanowali techniki sprzedaży i zakupów. Żaden urząd nie ochroni nas lepiej niż my sami dzięki naszej wzmożonej czujności i szczególnej ostrożności.

Czytaj też: Pan Krzysztof, złodzieje pieniędzy i częściowo „podmieniona” tożsamość. Weryfikacja kredytobiorców w Polsce nie działa prawidłowo

Czytaj też: OLX chciał być jak Allegro, ale nie pykło. „Sprzedawca nas oszukał, straciliśmy 10 000 zł” – alarmują czytelnicy. W zabezpieczeniu transakcji jest dziura. Co na to OLX?

Jak wysłać bezpieczne zdjęcie dowodu osobistego?

Czy zatem firmy, które żądają skanu dowodu, mogą to robić? Mogą, zupełnie tak, jak mogą robić to banki – mimo oburzenia klientów. Jakiś czas temu opisywaliśmy przypadki użytkowników Allegro, którzy również powoływali się na przepisy o zakazie skanowaniu dokumentów tożsamości, ale i tak musieli wysłać skan.

Prezes UODO stwierdził we wrześniu 2019 r., że banki nie mogą wykonywać kserokopii i skanów dowodów osobistych klientów, żeby np. założyć konto bankowe lub zbadać zdolność kredytową klienta. Ale są wyjątki: np. przeprowadzanie transakcji okazjonalnej o równowartości 15 000 euro lub większej albo w przypadkach, gdy zachodzi podejrzenie prania pieniędzy lub finansowania terroryzmu.

Banki odbijają piłeczkę twierdząc, że bez kserokopii czy skanu nie mogą otworzyć konta i powołują się na wewnętrzne regulaminy. Mówią, że skanowanie dowodu jest ich zdaniem bezpieczne. I że jak ktoś się boi, to może wysłać skan/zdjęcia z dopiskiem „celem założenia konta”, żeby nikt nie wykorzystał kopii do niecnych celów. Chodzi o to, żeby było wiadomo, że mamy do czynienia z kopią, a nie wiernym odwzorowaniem dokumentu. Na tej samej zasadzie telekomy ciągle mogą kopiować dowody, tyle że na powielonym egzemplarzu muszą dopisać „kopia”, tak by było wiadomo, że to nie próba sporządzenia duplikatu.

Podobnie firmy car-sharingowe: mogą weryfikować nasze uprawnienia do prowadzenia pojazdu poprzez wysłanie im zdjęcia prawa jazdy z poziomu aplikacji. Tyle że możemy „wypikselować” nasze dane takie jak fotografię czy datę urodzenia.

Żeby ograniczyć ryzyko wykorzystania dowodu w niecnych celach, można też zrobić nie zdjęcie dowodu, ale swoje zdjęcie portretowe i trzymanym w dłoni dowodem obok (no być może bardziej czytelnym niż moje ;-)). Uważajcie na skanowanie dowodu i na to, gdzie zostawiacie taki skan.

źródło zdjęcia: PixaBay

Subscribe
Powiadom o
17 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Zły
1 miesiąc temu

Nie, UOKiK nic nie przeoczył, tylko skanowanie dowodu, to nie jego kompetencje.” – ale informowanie o tym, że do wypłaty pieniędzy może być potrzebny skan – już tak.

1 miesiąc temu

Odnośnie dopisków i zamalowywania zdjęć – zgadzam się, ale kilka dodatkowych słów ode mnie, bo czasem mogą nas zgubić metadane i przestępcy jednym kliknięciem mogą przywrócić oryginalne zdjęcie 🙂 :

https://homodigital.pl/metadane-dane-o-danych-dzieki-ktorym-kazdy-z-nas-moze-byc-sherlockiem-holmesem-internetu-ale-istnieje-rowniez-niebezpieczenstwo-z-nimi-zwiazane/

gosc
1 miesiąc temu

1) Dopiski typu „W celu założenia konta w Banku XYZ” mają sens (bo są utrudnieniem, dla przestępców), ale określenie „bezpieczne zdjęcie dowodu osobistego” jest ryzykowne.
Do kradzieży tożsamości wystarczą niektóre dane z dowodu osobistego. Zdjęcie/skan ułatwia złodziejom dokonanie kradzieży tożsamości, ale nie jest konieczne. Złodziej mając dane może podrobić dowód osobisty i zrobić jego skan.

2) Nie tylko gangsterka:
106 Italian mafia members arrested for SIM swapping, BEC scams, phishing
https://therecord.media/106-italian-mafia-members-arrested-for-sim-swapping-bec-scams-phishing/

Don Q.
1 miesiąc temu
Reply to  gosc

Ad 1: praktycznego doświadczenia nie mam (na szczęście), ale w przypadku użycia przez złodziei czy oszustów dowodu podrobionego (ze zdjęciem innej osoby) łatwiej pewnie jest udowodnić, że to złodziej czy oszust wziął np. pożyczkę.

Dla mnie czymś przerażającym jest, że możesz się dowiedzieć, że ktoś wziął na Twoje dane pożyczkę czy kredyt w momencie, gdy komornik zajmuje Ci środki na koncie. Twierdząc, że to dlatego, że nie spłacasz pożyczki, którą ponoć zaciągnąłeś. W przypadku duplikatu (np. przechwyconego przesyłanego gdzieś skanu bez dopisków) udowodnienie, że ktoś się podszył, powinno być łatwiejsze.

gosc
1 miesiąc temu
Reply to  Don Q.

Zgadzam się, z uwagą dotyczącą zdjęcia. W każdym razie kiedyś trafiłem na informację, że Frank Abagnale radzi aby w internecie nie umieszczać zdjęć, które mogą zostać wykorzystane do podrobienia dokumentów. Potem znalazłem poniższy artykuł: Zdjęcie z Facebooka może posłużyć do podrobienia dowodu osobistego i kradzieży pieniędzy. Ciekawy przypadek ujawniony przez policję https://www.cashless.pl/6978-policja-zdjecie-facebook-podrobiony-dokument https://pl.wikipedia.org/wiki/Frank_Abagnale Po zmianie przepisów o doręczaniu korespondencji sądowej powinniśmy dowiadywać się o wyłudzonych kredytach już w momencie kiedy sprawa trafi do sądu. Niestety nie wiem jak te przepisy działają w praktyce. Lepiej wykupić Alerty BIK. Gdy pozwany miga się od odbierania korespondencji, sąd może zlecić jej doręczenie przez… Czytaj więcej »

Don Q.
1 miesiąc temu
Reply to  gosc

„Lepiej wykupić Alerty BIK” — tak, dlatego ja, choć jestem sknerą, mam je wykupione. Właśnie dlatego, z tą usługą też nie mam pewności, że nikt na moje dane kredytu nie wyłudzi, ale przynajmniej dowiem się o tym od razu w momencie wyłudzenia, a nie dopiero gdy gdy zajmie się tym komornik czy może sąd.

Niestety obawiam się, że te wszystkie reklamy „pożyczka bez BIK” oznaczają nie tylko możliwość zaciągnięcia pożyczki bez sprawdzania klienta w BIK, ale też nawet bez informowania BIK o tym zobowiązaniu…

Admin
1 miesiąc temu
Reply to  Don Q.

Niestety, nawet Alerty BIK nie pokrywają całego rynku

gosc
1 miesiąc temu
Reply to  Don Q.

1) Alerty BIK to tak naprawdę alerty wysyłane przez BIK SA oraz BIG InforMonitor – obie instytucje obejmują wszystkie banki, SKOKi i 90% firm pożyczkowych. Do tego firmy leasingowe, telekomunikacyjne itp. 2) O ile da się znaleźć „pożyczkę bez BIK” to nie wiem czy jest możliwe znalezienie firmy pożyczkowej, która nie sprawdza klientów w jednym z BIGów. 3) Przestępcy zwykle składają wnioski w wielu firmach na raz (bo większość wniosków jest odrzucanych). Jest bardzo mało prawdopodobne aby żadna z tych firm, w których został złożony wniosek nie korzystała z usług Grupy BIK – wtedy dostaniemy alert. Moim zdaniem otrzymanie jednego… Czytaj więcej »

Dario
25 dni temu
Reply to  gosc

Głupoty piszesz, bo:

  1. jest co najmniej kilka baz takich jak BIK i każdy typ instytucji korzysta ze swoich
  2. nie ma małej firmy pożyczkowej, która jest w BIK, bo to kosztuje
  3. konkretni przestępcy wiedzą gdzie brać, by ich nie sprawdzali i często współpracują z osobami pracującymi dla pożyczkodawców.
Don Q.
1 miesiąc temu
Reply to  gosc

Tzn. w przypadku duplikatu albo autentycznego skanu udowodnienie , że to podszywający się oszust wziął pożyczkę, może właśnie być trudniejsze. 😉

Przemo
1 miesiąc temu

Adyen obsługuje też OLX, i jakoś OLX ie wymaga skanu dowodu, ani Adyen nie wymaga.

Z innej strony: jest kilka znanych podmiotów wykonujących profesjonalnie KYC na zlecenie.
Dane są przetwarzane w taki sposób, że jest to naprawdę bardzo bezpieczne. Korzystałem dziesiątki razy i nie mam z tym żadnych problemów. Zleceniodawca dostaje wyłącznie potwierdzenie, że ja to ja. Nie dostaje całego zestawu zdjęć dowodu i twarzy.
Alerty BIK też nie wykazują niczego nienormalnego.

Ralf
1 miesiąc temu
Reply to  Przemo

Wymaga. Ode mnie zażądali, oprócz przelewu weryfikacyjnego, również skan dowodu. Nawet mają stosowny punkt w regulaminie. Najpierw bełkot o sumie granicznej bez skanu, a potem akapit, że w każdym uzasadnionym przypadku. I śledząc blog, nie tylko ode mnie. Oczywiście niewygodne wpisy są kasowane przez modów. Oczywiście dowiadujesz się o tym, jak już kasa jest na wirtualnym rachunku. I trzeba być niespełna rozumu, żeby wysyłać jakiekolwiek kopie dokumentów tożsamości do podmiotu, który nawet nie jest zarejestrowany w Polsce, w czasach, gdy każdy ma przy sobie aparat fotograficzny. Sprawa przypomina jazdy z PayPal. Niektórzy do teraz bujają się z blokadami nawet na… Czytaj więcej »

mko
1 miesiąc temu

czy najbezpieczeniejszym sposobem na „dowód w internecie” nie jest jego regularna wymiana? dla ostrożnych/aktywnych internetowiczów – co pół roku, dla mniej aktywnych co roku. Koszt niewielki, a znacznie wzrasta bezpieczeństwo, bo nieaktualnych danych dowodu nikt raczej nie wykorzysta.

Dario
25 dni temu
Reply to  mko

I potem biegasz po wszystkich instytucjach, żeby zmienić nr dowodu? Bo jak nie to ta twoja wymiana jest niewiele warta.

Don Q.
24 dni temu
Reply to  Dario

@Dario, nie, nie wiem, jak jakieś drobne firmy pożyczkowe, ale banki sprawdzają ważność dowodu.
Co nie zmienia faktu, że po wymianie trzeba biegać po bankach (albo, jeśli to jest możliwe, aktualizować dane przesyłając skan przez bankowość internetową).

Ralf
1 miesiąc temu

” Najsłabszym ogniwem w tej walce są nasze dokumenty.” Najsłabszym ogniwem nie są dokumenty, bo są one dobrze zabezpieczone. Najsłabsze ogniwo to człowiek, a konkretnie gimbaza, która ma dostęp do baz danych takich dokumentów. Gimbaza, która dziś pracuje u operatora kablówki, jutro na infolinii banku, a pojutrze na portalu aukcyjnym. I wszędzie, nie wiadomo po jaki & #@%&$ ma dostęp do danych wrażliwych. Do tego mobilność ludzi, duży przypływ siły roboczej wyjętej spod jurysdykcji polskich i europejskich sądów (no chyba, że dotyczy to byłego ministra infrastruktury :-), pogoń za zyskiem, bezczelność banksterki (będziemy kserowali i ch…. nam zrobicie) i jest… Czytaj więcej »

Dario
25 dni temu
Reply to  Ralf

Ale czy to wina Gimbazy, czy może pracodawców, którzy zgadnie z RODO powinni zabezpieczyć dostęp do danych osobowych,a potem się okazuje, że jest bajzel… jak w sławnych Morelach. 🙂

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!