Bezpieczeństwo w sieci

Banki blokują doładowania z PayPala. Serwis zapowiada szczegółowe wyjaśnienia

Tomasz Popielarczyk
Banki blokują doładowania z PayPala. Serwis zapowiada szczegółowe wyjaśnienia
40

PayPal wprowadził nowy system doładowywania konta z wykorzystaniem danych dostępowych użytkowników do konta bankowego. Serwis oficjalnie tłumaczy nam swoją decyzję, która jest zgodna z przepisami dyrektywy unijnej PSD2.

Wczoraj pisałem o zmianach w PayPal, o których informował Niebezpiecznik. Faktycznie serwis zmienił metodę doładowywania konta. Nowy mechanizm zakłada podawanie danych dostępowych do naszego konta bankowego, a następnie kodu SMS. W ten sposób firma pośrednicząca w całym procesie wykonuje całą operację za nas, uzyskując tym samym dostęp do konta bankowego. Jak tłumaczy swoją decyzję PayPal? Oświadczenie przesłane do naszej redakcji jest tak naprawdę jedynie zapowiedzią właściwego oświadczenia. Na konkrety zatem ciągle czekamy:

W dniu 26 kwietnia 2016 roku PayPal zmienił dostawcę usługi błyskawicznych doładowań, nawiązując partnerstwo z firmą Trustly Group AB. Zdajemy sobie sprawę z obaw konsumentów, dotyczących tej zmiany. Aktualnie przygotowujemy szczegółowe wyjaśnienie dotyczące nowego procesu i korzyści dla użytkowników korzystających z usługi błyskawicznych doładowań

Warto tutaj wspomnieć o wynikach kwartalnych, jakie publikuje właśnie serwis. W Q1 2016 udało się wygenerować o 19 proc. wyższy dochód niż przed rokiem. Łącznie wyniósł on 2,54 mld dol. Zysk netto wzrósł natomiast o 43 proc. do 365 mln dol. Aż o 11,5 proc. wzrosła liczba aktywnych kont i obecnie wynosi ona 184 mln. To bardzo dobre wyniki, które przekładają się na rosnące ceny akcji PayPala na giełdzie. Aż trudno uwierzyć, że tak ogromna i świetnie prosperująca firma decyduje się na współpracę z takimi podmiotami, jak Trustly.

PSD2 - nowa dyrektywa unijna dotycząca płatności

Skontaktował się z nami również dział prasowy firmy Bluemedia, która wcześniej obsługiwała system doładowań w PayPal:

Choć oczywiście uważamy, że rozwiązania typu pay-by-link są bezpieczniejsze i równie wygodne to faktycznie usługi przekazywanie podmiotom trzecim danych do logowania do swojego konta bankowego są uregulowane w ramach unijnej dyrektywy PSD2 (choć są negatywnie oceniane przez polski KNF).

I faktycznie w listopadzie 2015 r. Parlament Europejski uchwalił dyrektywę regulującą rynek płatności - Payment Services Directive 2 (PSD 2), która zastąpi dotychczasową dyrektywę PSD. Kraje członkowskie, w tym Polska, mają dwa lata, by dostosować regulacje krajowe do przepisów Dyrektywy. Dopuszcza ona istnienie instytucji typu TPP (Third Party Provider), które będą mogły świadczyć nowe usługi: inicjację płatności oraz dostęp do informacji na rachunku bankowym. Ma to być odpowiedź na zmiany na rynku e-commerce, gdzie dotąd dominowały karty płatnicze, a udział samych systemów bankowych był mniejszy.

Dyrektywę krytykuje polska Komisja Nadzoru Finansowego. Jej intencją jest zablokowanie w Polsce wszelkich tego usług opartych o dostęp do rachunku przez tzw. podmioty trzecie. do czasu implementacji PSD2. Niekoniecznie musi się to podobać też bankom, dla których PSD2 to pojawienie się nowych firm pośredniczących w transakcjach w sposób znacznie bardziej inwazyjny niż dotychczas. Na samym końcu są użytkownicy. Dotąd przez wiele lat edukowano ich, by nie podawać hasła do banku w miejscach innych, niż strona systemu transakcyjnego. Teraz ulegnie to zmianie i otrzymamy dziesiątki również wyglądających serwisów proszących o dostęp do naszego konta (oraz kod SMS). Tworzy to doskonałe warunki do rozkwitu phishingu i wyłudzania tych newralgicznych informacji od nieświadomych internautów. Oczywiście nie ma przymusu, by implementować nowy model płatności, ale, jak łatwo się domyślić, część firm się na niego zdecyduje - tak jak właśnie zrobił to PayPal.

Teoretycznie sytuację ratuje to, że w świetle nowych przepisów straty spowodowane nieautoryzowanymi transakcjami pokrywać ma dostawca usług płatniczych, a klient maksymalnie do wartości 50 Euro. Trudno jednak ocenić straty wynikające z utraty prywatności i udostępnienia informacji na temat swoich transakcji oraz historii konta podmiotom trzecim. Bo choć teoretycznie ich działanie ma być ściśle uregulowane, nigdy nie mamy stuprocentowej pewności, co dalej stanie się z tymi danymi.

Co na to banki?

Jak donosi blog Zaufana Trzecia Strona, największe banki decydują się na blokowanie Trustly, z którego korzysta PayPal. W ten sposób nie doładujemy już konta za pomocą mBanku oraz iPKO. Otrzymujemy informację, że ta metoda płatności nie jest dla nas dostępna. Niewykluczone, że z czasem dołączą do nich inni. Jeżeli zauważycie u siebie blokadę, dajcie znać w komentarzach.

Zapytaliśmy też polskie banki, jak oceniają zmiany wprowadzone przez PayPal. Najbardziej neutralnie do sprawy odniósł się mBank, który po prostu nie komentuje działań konkurencji. Znacznie bardziej krytycznie do nowej funkcji odnoszą się PKO BP oraz Bank Pekao SA. Poniżej wszystkie wypowiedzi.

mBank

W związku z tym, że jest to ruch PayPala, nie będziemy tej decyzji komentować. mBank ze względów bezpieczeństwa nie rekomenduje klientom podawania danych służących do logowania osobom i firmom postronnym.

Bank Pekao SA

Rozwiązanie wdrożone przez PayPal jest złamaniem podstawowej reguły bezpieczeństwa, która zabrania podawania numeru klienta, hasła czy kodu do autoryzacji operacji osobom trzecim. Wyraźnie informujemy klientów, aby nie korzystali z serwisów realizujących płatności, które wymagają ujawnienia numeru klienta, hasła czy kodu do autoryzacji operacji. Udostępnienie tych wrażliwych danych może pozwolić osobom trzecim na nieuprawniony dostęp do usługi Pekao24, zmianę danych lub wykorzystanie ich do celów przestępczych.

PKO Bank Polski

Zawsze podkreślamy, że bezpieczeństwo to fundament, na którym opiera się rozwój zdalnych kanałów samoobsługowych w bankowości. Jedną z podstawowych zasad jest zachowanie przez klienta poufności danych logowania do serwisu transakcyjnego. Bank od wielu lat prowadzi na ten temat akcję edukacyjną. W materiałach informacyjnych skierowanych do klientów na stronach banku, w mediach społecznościowych oraz wydawnictwach i na portalu edukacyjnym www.bankomania.pkobp.pl ostrzegamy o zagrożeniach związanych z ujawnianiem swoich danych logowania i informujemy o podstawach cyberbezpieczeństwa.

Zwracamy również uwagę uwagę, że w „Regulaminie rachunku oszczędnościowo-rozliczeniowego, usług bankowości elektronicznej oraz karty debetowej” PKO Banku Polskiego zobowiązujemy posiadacza rachunku do nieujawniania innym osobom danych logowania, kodów jednorazowych, haseł dostępu oraz innych danych umożliwiających weryfikację. Niestosowanie się do tych zaleceń naraża klienta na ryzyko przejęcia kontroli nad jego kontem przez osoby niepowołane.

ING Bank Śląski

ING Bank Śląski podziela stanowisko Związku Banków Polskich, który rekomenduje klientom niekorzystanie z usług firm, w szczególności tych oferujących serwisy szybkich płatności, które wymagają od swoich Klientów przekazania im informacji takich jak: identyfikatora w systemie bankowości internetowej, haseł do tego systemu i kodów autoryzacyjnych transakcje.

 

Aktualizacja

PayPal przywrócił poprzedni sposób doładowywania konta. Szczegółowo sprawę opisaliśmy w osobnym artykule.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu