O powierzaniu loginów i haseł: screen scrapping
Branżowa dyskusja o praktykach nakłaniania klientów do używania swoich loginów i haseł do bankowości internetowej w innych serwisach internetowych przedarła się już do szerokiej świadomości mediów.
Nie tylko finansowi blogerzy1, ale i gazety papierowe zajęły się tym tematem. W jednym z takich materiałów miałem nawet okazję się krótko wypowiedzieć. Temat jest jednak wart nieco dłuższego omówienia.
Zagadnienie ma kilka aspektów, które czynią je interesującym także dla ludzi spoza sektora. Zawiera w sobie element innowacji, ryzyka i bezpieczeństwa, a także kontrowersji. Skrajne różne opinie samych banków, a także zdecydowane stanowisko Nadzorcy, być może kolidujące z unijnym kierunkiem regulacyjnym2 – to wszystko razem wzięte tworzy obiecujący materiał dziennikarski.
Z praktycznego punktu widzenia cały proceder można podzielić według miejsca podawania haseł i loginów:
- w serwisach transakcyjnych innych banków, gdzie podlega regulacji KNF i zostało obecnie zahamowane
- w serwisach podmiotów nieregulowanych, gdzie moc regulatora nie sięga, ale wpływ na wizerunek sektora bankowego jest mniejszy
lub ze względu na cel, dla którego klient zachęcany jest do użycia swoich danych do logowania:
- wykonanie płatności natychmiastowej, przykład ciekawy, ale marginalny przy obecnej dominacji przelewów internetowych w polskim e-commerce
- pobranie danych dla celów informacyjnych, używanych w agregatorach informacji finansowej typu PFM (Personal Finance Manager), najstarsza historycznie, ale również mało popularna usługa
- uzyskanie kredytu w trybie on-line, gdzie pobrane z innego banku dane służą do oceny kredytowej klienta, proces stosunkowo nowy, z potencjałem, obecnie dopiero zyskujący na popularności
Najważniejszy jest szybki kredyt on-line
Dla banków promujących ideę, że nakłanianie klienta do podania loginu i hasła, w celu zalogowania się poza jego kontrolą na jego rachunki, jest dopuszczalne, a nawet pożądane, najistotniejszy jest ten ostatni powód – szybkie i wygodne kredytowanie klientów przez internet. Spotyka się głosy, że oparty na screen scrappingu proces kredytowy to jedna z najważniejszych innowacji w bankowości, skokowy wzrost zadowolenia klienta, zwiększenie równowagi konkurencyjnej itp. Banki niechętne popularyzacji tego procederu, jak również krajowy Regulator, kierują się głównie chęcią utrzymania obecnego stanu bezpieczeństwa bankowości internetowej.
Podsumowując, dyskusja toczy się wokół dopuszczalności i bezpieczeństwa procesu udzielania kredytu on-line z wykorzystaniem logowania na konta klienta w innych bankach, przez nakłonienie go do użycia swoich haseł i loginów z tych właśnie banków w serwisie banku – potencjalnego kredytodawcy.
Jeśli to innowacja – to należy się bać
Spójrzmy więc na ten najczęściej dyskutowany proces i argumenty jego zwolenników. Po pierwsze innowacja nie polega tu na udzieleniu kredytu on-line ani na zastosowaniu screenscrappingu. Jako uczestnik zespołu projektowego Multiportu (prowadzonego przez ówczesny BRE bank SA) jestem świadkiem importu tej koncepcji ze Stanów Zjednoczonych, zapoczątkowanego ponad dziesięć lat temu. W internecie to cala epoka. Innowacja, jeśli w ogóle można o niej mówić w tym przypadku, leży w mechanizmie scoringowym i wskaźniku przyznawalności pożyczki. Do tej pory szybkie kredyty, przyznawane bez fizycznej obecności w placówce, cechowały się niskim wskaźnikiem akceptacji oraz ograniczeniem do małych kwot.
Nowe podejście, wykorzystujące podawanie danych do logowania, pobieranie danych przez screenscrapping, odpytanie innych źródeł informacji o kliencie i przyznanie natychmiastowe nawet istotnych sum to rzeczywiście zmiana.
Historia bankowości ostatnich dekad wskazuje, że podobne „wynalazki”, znacząco zwiększające dostęp do pożyczek konsumpcyjnych, lubią po pewnym czasie owocować niechcianym plonem rezerw i kredytów straconych. Można się więc zgodzić, że usługa ma cechy innowacji, ale jednocześnie pamiętać o tym, że innowacji dokonano w najmniej fortunnym miejscu. To nie rozwój technologii, a zmiana w podejściu do oceny zdolności kredytowej wydają się głównym motorem dotychczasowego rozwoju pożyczek on-line.
Kolejnym elementem budzącym niepokój jest potencjalne zagrożenie związane z połączeniem screenscrappingu z procederem zakładania kont na podstawione osoby. Takie konta istnieją, a połączenie ich z procesem oceny zdolności opartym na analizie historii rachunku on-line otwiera nową możliwość ich przestępczego wykorzystania. Do błyskawicznego, masowego i zdalnego wyłudzania kredytów. Pisał o tym niedawno Wojciech Boczoń.
Najgroźniejsze jest podważanie reguł bezpieczeństwa w sieci
Oczywiście wspomniane ryzyka mogą długo pozostać jeszcze hipotetyczne. Banki zapewniają, że nie przechowują przekazanych im haseł, że pobierają jedynie niezbędne dane, w minimalnym zakresie i, oczywiście, w całkowicie szyfrowanych, bezpiecznych połączeniach. Czy rzeczywiście w tym przypadku będziemy świadkami niezwykłego fenomenu stuprocentowo bezpiecznego procesu informatycznego pokaże czas. Na razie jednak pozostaje wątpliwość związana z dotychczasowym doświadczeniem, które udowadnia, że nie ma zabezpieczeń nie do złamania.
Dla banków sceptycznych do całej idei (w jej obecnym kształcie) najważniejsze jest jednak, jak się wydaje, inne zagrożenie. Otóż pojawia się sytuacja, w której jeden bank namawia swojego klienta, aby ten użył swojego loginu i hasła do innego banku nie na właściwej stronie logowania, a w innym serwisie. Mamy tu bezpośredni konflikt autorytetów. Ten sam bank, myśląc o swoim systemie transakcyjnym edukuje klienta, by używał hasła i loginu tylko na stronie logowania i jednocześnie mówi do klienta – zasada ta nie dotyczy loginów i haseł konkurencji. Taka praktyka grozi zaprzepaszczeniem wieloletniej akcji edukacyjnej do tej pory wspólnie prowadzonej przez wszystkie banki, a także inne instytucja, takie jak NBP czy ZBP. Pisałem już o tym wielokrotnie3 i jeszcze nikt nie podważył realności tego zagrożenia. Co najwyżej, w dyskusjach na różnych forach, zwolennicy screen scrappingu minimalizowali jego praktyczne znaczenie lub odwoływali się do nieuchronności postępu.
To zagrożenie jest bardzo istotne w okresie narastających prób wyłudzania danych osobowych, opartych na coraz bardziej wyrafinowanych technikach psychologicznych.
O ile łatwiej będzie przestępcom skłonić klienta do powierzania tego typu danych na rozmaitych stronach skoro same banki do tego namawiają, przekonując o innowacyjności i wygodzie a także bezpieczeństwie (!) takich działań. I nie przekonują mnie argumenty o tym, że klient rozróżnia sytuację, gdy podaje hasło w systemie bankowym od incydenty phishingowego. Znacznie łatwiej jest klientowi przekazać regułę: „podaję login i hasło tylko na stronie logowania” niż wymagać od niego subtelnych rozróżnień i świadomości, na jakiego typu stronie aktualnie się znajduje. Skoro zwolennicy screen scrappingu powołują się na wygodę, to dlaczego chcą teraz obarczać klienta takim obowiązkiem? To przecież ani praktyczne, ani wygodne, ani bezpieczne.
Czas na lepsze rozwiązanie
Nic więc dziwnego, że postawiony między potrzebą innowacji (niebezpiecznej, ale wymuszanej między innymi przez nieregulowanych uczestników rynku) i koniecznością zachowania bezpieczeństwa na, co najmniej, dotychczasowym poziomie, banki, mimo dzielących je różnic, zdecydowały się na wspólne działanie. Prace pod patronatem Związku Banków Polskich zmierzają do opracowania takiego procesu przekazywania danych bankowych klienta w czasie rzeczywistym, aby umożliwić klientowi łatwe przekazywanie swoich danych finansowych pomiędzy różnymi bankami bez konieczności podawania danych wrażliwych, służących do logowania. Co więcej, cały proces musi być bezpieczny i efektywny, obejmować wszystkie potrzebne (ale tylko potrzebne) dane do procedury przyznania kredytu i być równie szybki jak obecny, bazujący na logowaniu do interfejsu bankowości internetowej. Dane uzyskane w ten sposób powinny być (rzecz bardzo ważna dla banków – kredytodawców) wiarygodne i jednocześnie świadomie udostępniane przez Klienta, w uzgodnionym przez niego zakresie (rzecz istotna dla banków udostepniających dane).
Dynamika wspomnianych prac, w których mam zaszczyt uczestniczyć, pozwala mieć nadzieję na ich szybkie i właściwe zakończenie.
Wspólnie uzgodniony i zaakceptowany standard wymiany danych pomiędzy bankami rozwiąże problem zagrożeń związanych z niewłaściwym posługiwaniem się loginem i hasłem oraz spełni oczekiwania tych banków, które zdecydowały się na proces kredytowania on-line na podstawie danych z innych banków.
Moim zdanie to właśnie produkcyjne wdrożenie procesów opartych na takim standardzie będzie prawdziwą przełomową innowacją zmieniającą bankowość internetową, ponieważ pozwoli na błyskawiczne, szybkie, bezpieczne i wygodne dla klientów zaspokajanie potrzeb kredytowych.
Wojciech Bolanowski
Doradca Prezesa Zarządu
PKO Bank Polski
Źródło: PRnews
Przypisy:
1. opieniadzachpopolsku.blogspot.com/2014/09/to-bedzie-dopiero-rewolucja-w-bankowosci
samcik.blox.pl/2014/08/Sprawa-robaka-KNF-nie-zgadza-sie-na-zasysanie
otwieramkonto.pl/blog/screen-scraping-bankowosc
2. opieniadzachpopolsku.blogspot.com/2014/07/banki-beda-musiay-otworzyc-dostep-do
3. M.in. tutaj: bankowymokiem.pl/posts/knf-niektore-banki-proponuja-niebezpieczne-rozwiazania-internetowe/
Czytaj także:
Co zrobić, aby nie paść ofiarą ataku phishingowego?
Login i hasło pilnie strzeżone
Bank czuwa - powiadomienia o nietypowych transakcjach
Bankofinanse
02019.07.15Dziś Dzień bez Telefonu Komórkowego! Jak go przeżyć?
więcej15 lipca obchodzimy Światowy Dzień bez Telefonu Komórkowego. Co to znaczy dla klientów Banku? Nasze IKO będzie działać, jak zawsze, bez zarzutu.
Bankofinanse
02019.07.11Polacy robią zakupy w internecie. Dołącz do nich i płać z IKO
więcejAż 62 proc. wszystkich polskich internautów dokonuje internetowych zakupów. Oznacza to wzrost w porównaniu z ubiegłym rokiem, gdy w sieci zaopatrywało się 56 proc. ankietowanych – wynika z najnowszego raportu Gemius. Zestawienie pokazuje, że zakupy online to dla nas codzienność i wygoda – także pod względem płatności.
Bankofinanse
02019.07.11e-Paragon – cyfrowe potwierdzenie płatności
więcejTradycyjne dowody płatności wkrótce nie będą nam już potrzebne. Ich cyfrowym odpowiednikiem zostanie e-Paragon, powiązany z naszym kontem bankowym oraz debetową kartą płatniczą. Usługa jest już dostępna w bankowości elektronicznej PKO Banku Polskiego. Aby z niej korzystać, wystarczy zalogować się do konta i uruchomić odpowiednią usługę.
Bankofinanse
02019.07.11Czym się różni kantor internetowy od kantoru stacjonarnego?
więcejMusisz sprzedać lub kupić walutę obcą – co robisz? Jeśli pierwsze, co przychodzi ci do głowy, to udanie się do kantoru stacjonarnego, być może powinieneś poznać praktyczniejszy sposób. To korzystanie z kantoru online. Jak działa i czy jest wygodniejszy?
Bankofinanse
02019.07.09Lojalnie polecam – ZenCard bliżej klientów
więcejMobilna aplikacja ZenCard to narzędzie do tworzenia programów lojalnościowych działające na terminalach płatniczych. Jej potencjał udowodniła ogólnopolska kampania, którą ZenCard przeprowadził z PKO Bankiem Polskim.
Bankofinanse
02019.07.04PKO Konto dla młodych – narodziny gwiazdy
więcejOsiemnaste urodziny są wyjątkową okazją, momentem, kiedy możemy decydować jakie konto wybierzemy na przyszłość. PKO Konto dla Młodych to świetny pakiet startowy. Jeśli dobrze zaczniemy, już na początku zyskamy przewagę.