2014.09.26

O powierzaniu loginów i haseł: screen scrapping

Branżowa dyskusja o praktykach nakłaniania klientów do używania swoich loginów i haseł do bankowości internetowej w innych serwisach internetowych przedarła się już do szerokiej świadomości mediów.

Screen scrapping - celebryta finansowy 

Nie tylko finansowi blogerzy1, ale i gazety papierowe zajęły się tym tematem. W jednym z takich materiałów miałem nawet okazję się krótko wypowiedzieć. Temat jest jednak wart nieco dłuższego omówienia.

Zagadnienie ma kilka aspektów, które czynią je interesującym także dla ludzi spoza sektora. Zawiera w sobie element innowacji, ryzyka i bezpieczeństwa, a także kontrowersji. Skrajne różne opinie samych banków, a także zdecydowane stanowisko Nadzorcy, być może kolidujące z unijnym kierunkiem regulacyjnym2 – to wszystko razem wzięte tworzy obiecujący materiał dziennikarski.

Z praktycznego punktu widzenia cały proceder można podzielić według miejsca podawania haseł i loginów:

  • w serwisach transakcyjnych innych banków, gdzie podlega regulacji KNF i zostało obecnie zahamowane
  • w serwisach podmiotów nieregulowanych, gdzie moc regulatora nie sięga, ale wpływ na wizerunek sektora bankowego jest mniejszy

lub ze względu na cel, dla którego klient zachęcany jest do użycia swoich danych do logowania:

  • wykonanie płatności natychmiastowej, przykład ciekawy, ale marginalny przy obecnej dominacji przelewów internetowych w polskim e-commerce
  • pobranie danych dla celów informacyjnych, używanych w agregatorach informacji finansowej typu PFM (Personal Finance Manager), najstarsza historycznie, ale również mało popularna usługa
  • uzyskanie kredytu w trybie on-line, gdzie pobrane z innego banku dane służą do oceny kredytowej klienta, proces stosunkowo nowy, z potencjałem, obecnie dopiero zyskujący na popularności

Najważniejszy jest szybki kredyt on-line

Dla banków promujących ideę, że nakłanianie klienta do podania loginu i hasła, w celu zalogowania się poza jego kontrolą na jego rachunki, jest dopuszczalne, a nawet pożądane, najistotniejszy jest ten ostatni powód – szybkie i wygodne kredytowanie klientów przez internet. Spotyka się głosy, że oparty na screen scrappingu proces kredytowy to jedna z najważniejszych innowacji w bankowości, skokowy wzrost zadowolenia klienta, zwiększenie równowagi konkurencyjnej itp. Banki niechętne popularyzacji tego procederu, jak również krajowy Regulator, kierują się głównie chęcią utrzymania obecnego stanu bezpieczeństwa bankowości internetowej.

  • Podsumowując, dyskusja toczy się wokół dopuszczalności i bezpieczeństwa procesu udzielania kredytu on-line z wykorzystaniem logowania na konta klienta w innych bankach, przez nakłonienie go do użycia swoich haseł i loginów z tych właśnie banków w serwisie banku – potencjalnego kredytodawcy.

Jeśli to innowacja – to należy się bać

Spójrzmy więc na ten najczęściej dyskutowany proces i argumenty jego zwolenników. Po pierwsze innowacja nie polega tu na udzieleniu kredytu on-line ani na zastosowaniu screenscrappingu. Jako uczestnik zespołu projektowego Multiportu (prowadzonego przez ówczesny BRE bank SA) jestem świadkiem importu tej koncepcji ze Stanów Zjednoczonych, zapoczątkowanego ponad dziesięć lat temu. W internecie to cala epoka. Innowacja, jeśli w ogóle można o niej mówić w tym przypadku, leży w mechanizmie scoringowym i wskaźniku przyznawalności pożyczki. Do tej pory szybkie kredyty, przyznawane bez fizycznej obecności w placówce, cechowały się niskim wskaźnikiem akceptacji oraz ograniczeniem do małych kwot.

  • Nowe podejście, wykorzystujące podawanie danych do logowania, pobieranie danych przez screenscrapping, odpytanie innych źródeł informacji o kliencie i przyznanie natychmiastowe nawet istotnych sum to rzeczywiście zmiana.

Historia bankowości ostatnich dekad wskazuje, że podobne „wynalazki”, znacząco zwiększające dostęp do pożyczek konsumpcyjnych, lubią po pewnym czasie owocować niechcianym plonem rezerw i kredytów straconych. Można się więc zgodzić, że usługa ma cechy innowacji, ale jednocześnie pamiętać o tym, że innowacji dokonano w najmniej fortunnym miejscu. To nie rozwój technologii, a zmiana w podejściu do oceny zdolności kredytowej wydają się głównym motorem dotychczasowego rozwoju pożyczek on-line.

Kolejnym elementem budzącym niepokój jest potencjalne zagrożenie związane z połączeniem screenscrappingu z procederem zakładania kont na podstawione osoby. Takie konta istnieją, a połączenie ich z procesem oceny zdolności opartym na analizie historii rachunku on-line otwiera nową możliwość ich przestępczego wykorzystania. Do błyskawicznego, masowego i zdalnego wyłudzania kredytów. Pisał o tym niedawno Wojciech Boczoń.

Najgroźniejsze jest podważanie reguł bezpieczeństwa w sieci

Oczywiście wspomniane ryzyka mogą długo pozostać jeszcze hipotetyczne. Banki zapewniają, że nie przechowują przekazanych im haseł, że pobierają jedynie niezbędne dane, w minimalnym zakresie i, oczywiście, w całkowicie szyfrowanych, bezpiecznych połączeniach. Czy rzeczywiście w tym przypadku będziemy świadkami niezwykłego fenomenu stuprocentowo bezpiecznego procesu informatycznego pokaże czas. Na razie jednak pozostaje wątpliwość związana z dotychczasowym doświadczeniem, które udowadnia, że nie ma zabezpieczeń nie do złamania.

Dla banków sceptycznych do całej idei (w jej obecnym kształcie) najważniejsze jest jednak, jak się wydaje, inne zagrożenie. Otóż pojawia się sytuacja, w której jeden bank namawia swojego klienta, aby ten użył swojego loginu i hasła do innego banku nie na właściwej stronie logowania, a w innym serwisie. Mamy tu bezpośredni konflikt autorytetów. Ten sam bank, myśląc o swoim systemie transakcyjnym edukuje klienta, by używał hasła i loginu tylko na stronie logowania i jednocześnie mówi do klienta – zasada ta nie dotyczy loginów i haseł konkurencji. Taka praktyka grozi zaprzepaszczeniem wieloletniej akcji edukacyjnej do tej pory wspólnie prowadzonej przez wszystkie banki, a także inne instytucja, takie jak NBP czy ZBP. Pisałem już o tym wielokrotnie3 i jeszcze nikt nie podważył realności tego zagrożenia. Co najwyżej, w dyskusjach na różnych forach, zwolennicy screen scrappingu minimalizowali jego praktyczne znaczenie lub odwoływali się do nieuchronności postępu.

  • To zagrożenie jest bardzo istotne w okresie narastających prób wyłudzania danych osobowych, opartych na coraz bardziej wyrafinowanych technikach psychologicznych.

O ile łatwiej będzie przestępcom skłonić klienta do powierzania tego typu danych na rozmaitych stronach skoro same banki do tego namawiają, przekonując o innowacyjności i wygodzie a także bezpieczeństwie (!) takich działań. I nie przekonują mnie argumenty o tym, że klient rozróżnia sytuację, gdy podaje hasło w systemie bankowym od incydenty phishingowego. Znacznie łatwiej jest klientowi przekazać regułę: „podaję login i hasło tylko na stronie logowania” niż wymagać od niego subtelnych rozróżnień i świadomości, na jakiego typu stronie aktualnie się znajduje. Skoro zwolennicy screen scrappingu powołują się na wygodę, to dlaczego chcą teraz obarczać klienta takim obowiązkiem? To przecież ani praktyczne, ani wygodne, ani bezpieczne.

Czas na lepsze rozwiązanie

Nic więc dziwnego, że postawiony między potrzebą innowacji (niebezpiecznej, ale wymuszanej między innymi przez nieregulowanych uczestników rynku) i koniecznością zachowania bezpieczeństwa na, co najmniej, dotychczasowym poziomie, banki, mimo dzielących je różnic, zdecydowały się na wspólne działanie. Prace pod patronatem Związku Banków Polskich zmierzają do opracowania takiego procesu przekazywania danych bankowych klienta w czasie rzeczywistym, aby umożliwić klientowi łatwe przekazywanie swoich danych finansowych pomiędzy różnymi bankami bez konieczności podawania danych wrażliwych, służących do logowania. Co więcej, cały proces musi być bezpieczny i efektywny, obejmować wszystkie potrzebne (ale tylko potrzebne) dane do procedury przyznania kredytu i być równie szybki jak obecny, bazujący na logowaniu do interfejsu bankowości internetowej. Dane uzyskane w ten sposób powinny być (rzecz bardzo ważna dla banków – kredytodawców) wiarygodne i jednocześnie świadomie udostępniane przez Klienta, w uzgodnionym przez niego zakresie (rzecz istotna dla banków udostepniających dane).

Dynamika wspomnianych prac, w których mam zaszczyt uczestniczyć, pozwala mieć nadzieję na ich szybkie i właściwe zakończenie. 

  • Wspólnie uzgodniony i zaakceptowany standard wymiany danych pomiędzy bankami rozwiąże problem zagrożeń związanych z niewłaściwym posługiwaniem się loginem i hasłem oraz spełni oczekiwania tych banków, które zdecydowały się na proces kredytowania on-line na podstawie danych z innych banków.

Moim zdanie to właśnie produkcyjne wdrożenie procesów opartych na takim standardzie będzie prawdziwą przełomową innowacją zmieniającą bankowość internetową, ponieważ pozwoli na błyskawiczne, szybkie, bezpieczne i wygodne dla klientów zaspokajanie potrzeb kredytowych.

Wojciech Bolanowski
Doradca Prezesa Zarządu
PKO Bank Polski

Źródło: PRnews

Przypisy:

1. opieniadzachpopolsku.blogspot.com/2014/09/to-bedzie-dopiero-rewolucja-w-bankowosci
samcik.blox.pl/2014/08/Sprawa-robaka-KNF-nie-zgadza-sie-na-zasysanie
otwieramkonto.pl/blog/screen-scraping-bankowosc

2. opieniadzachpopolsku.blogspot.com/2014/07/banki-beda-musiay-otworzyc-dostep-do

3. M.in. tutaj: bankowymokiem.pl/posts/knf-niektore-banki-proponuja-niebezpieczne-rozwiazania-internetowe/

Czytaj także:

Co zrobić, aby nie paść ofiarą ataku phishingowego?

Login i hasło pilnie strzeżone

Bank czuwa - powiadomienia o nietypowych transakcjach

Portal bankomania.pkobp.pl ma charakter wyłącznie informacyjno-edukacyjny. Materiały w nim zamieszczone nie stanowią wiążącej oferty w rozumieniu Kodeksu cywilnego. Szczegółowe informacje o produktach oraz Taryfa prowizji i opłat bankowych są dostępne w placówkach PKO Banku Polskiego i na stronie internetowej www.pkobp.pl

Bankomania na urządzenia mobilne

loaderek.gifoverlay.png