Gdzie kończy się prywatność, a zaczyna bezpieczeństwo? O zmianach w iPKO

PKO BP zwiększa bezpieczeństwo...

Grzesiek wczoraj wspomniał na łamach Antyweba, że bank PKO BP wprowadza dodatkową warstwę zabezpieczeń w swoim serwisie transakcyjnym - iPKO. Dodatkowe zabezpieczenie logowania do serwisu iPKO to nowe rozwiązanie, które chroni konto klienta przed cyberprzestępcami m.in. dzięki sprawdzaniu wybranych cech zachowania użytkownika w serwisie bankowym. W praktyce polega to na profilowaniu każdego użytkownika i blokadzie dostępu jeśli okaże się, że nasze ruchy (tempo i sposób pisania na klawiaturze, sposób używania myszy komputerowej i ekranu dotykowego) nie są zgodne z pewnym wzorcem. Cel jest szczytny ale implementacja moim zdaniem jest nieco irytująca.

Polecamy na Geekweek: mObywatel z nową aktualizacją. Wśród nowości moduł Firma

Pech chciał, że jestem klientem banku PKO BP i od czasu do czasu korzystam z serwisu transakcyjnego, bo nie wszystko można załatwić w aplikacji na smartfonie (chociażby szybki dostęp do rachunku Obligacji Skarbowych). Od początku tego tygodnia, za każdym logowaniem wita mnie taki oto ekran, który zachęca do włączenia dodatkowego zabezpieczenia. Jeśli nie chcę tego zrobić to muszę dodatkowo potwierdzić logowanie w IKO. I byłoby to pewnie OK, gdyby nie fakt, że sekundę wcześniej tę czynność właśnie wykonałem. Logując się do iPKO podaje swój login, później hasło, a następnie potwierdzam jeszcze logowanie w aplikacji. Po co mam to robić drugi raz? Czy czasami nie po to aby mnie to zirytowało i żebym włączył dodatkowe zabezpieczenie?

... i utrudnia życie klientom

Podobne behawioralne profilowanie stosują już dzisiaj inne banki, ale nie przypominam sobie, aby pytały mnie one o zgodę na jego stosowanie, a przynajmniej nie wymagały aż tylu zgód. Co więcej u konkurencji można z powodzeniem dodać konkretne urządzenia (tandem komputer/przeglądarka) do zaufanych i wtedy nie jest wymagana dodatkowa weryfikacja. PKO BP chce natomiast zmusić klientów do włączenia nowego zabezpieczenia niepotrzebnymi monitami wysyłanymi na aplikację. Ja natomiast nie jestem przekonany, czy chcę aby PKO BP dzieliło się z Mastercard Europe takimi danymi jak mój adres IP (który i tak jest prywatny, bo nie mam zewnętrznego IP) oraz śledziło każdy mój ruch w systemie bankowym przez system profilowania. Chciałbym natomiast skorzystać z opcji na samym dole, czyli dodać swoją przeglądarkę do zaufanych, bo z tego komputera w domu korzystam tylko ja. Niestety nie mogę tego zrobić bez wcześniejszego zaznaczenia trzech powyższych opcji.

W rezultacie mamy "pat", PKO BP chce moich danych, ja nie chcę się nimi podzielić, ale nie chcę też za każdym razem dwukrotnie klikać w smartfonie, że to faktycznie ja loguje się do systemu transakcyjnego. Nie mam jeszcze pomysłu co z tym fantem zrobić, być może ten felieton zwróci uwagę banku, że jest chyba jednak nieco nadgorliwy. Dwuskładnikowe uwierzytelnianie (potwierdzenie logowania w aplikacji IKO) jest wystarczającym zabezpieczeniem wynikającym z dyrektywy PSD2, więc jak nie chcę profilowania to nie powinienem być do niego zmuszany. Byłbym również wdzięczny za poszerzenie informacji w jakim celu mój adres IP ma być przekazywany do organizacji Mastercard, bo tego niestety nie znalazłem w dodatkowych materiałach.

Czytaj dalej poniżej

Bankomaty też mają swoje limity. Sprawdź, ile wynoszą w Twoim banku Bartek Luzak

Nie wszystkie autostrady są obecnie darmowe! Zobacz, jak uiścić opłatę (A1, A2, A4) Bartek Luzak

Pod łatką bezpieczeństwa można zachęcić użytkowników do sporych ustępstw, ale gdzieś powinna być chyba granica. Wierze, że bank nie chcę moich danych i profilowania wykorzystać w celach marketingowych, a chodzi faktycznie tylko o poprawę bezpieczeństwa, ale wydaje mi się, że dwuskładnikowe uwierzytelnianie jest w tym przypadku wystarczające. Każdy klient powinien mieć wybór, a obecnie wygląda mi to bardziej na utrudnianie życia tym, którzy nie chcą się podporządkować...

źródło grafiki: Depositphotos