Uwaga na niebezpieczne płatności
Nadzór finansowy ostrzega, że nie które sklepy internetowe korzystają z niebezpiecznego systemu płatności. Klienci na stronie pośrednika podaje swoje dane dostępowe do konta łącznie z hasłem i loginem.
Urząd Komisji Nadzoru Finansowego ostrzega przed ryzykiem związanym z podawaniem danych umożliwiających logowanie do rachunku bankowego innym niż bank, w którym prowadzony jest rachunek.
Z analizy Urzędu wynika, że niektóre sklepy internetowe umożliwiają nabywcom płatność zgodnie z następującym schematem: po dokonaniu zakupu towaru lub usługi na platformie internetowej i przejściu do etapu płatności, klient jest przekierowywany na stronę pośrednika, gdzie podaje dane do logowania do własnego rachunku bankowego (login/identyfikator oraz hasło). Ponieważ w zdecydowanej większości banków warunkiem realizacji zleconej płatności online jest podanie dodatkowego hasła jednorazowego (otrzymywanego w postaci generowanego automatycznie i przesyłanego sms-em w czasie rzeczywistym lub w postaci karty haseł jednorazowych), kolejnym krokiem jest podanie przez klienta tego hasła jednorazowego. Po otrzymaniu danych, pośrednik – zalogowany za pośrednictwem klienta na jego rachunek bankowy – inicjuje realizację płatności z rachunku klienta na rachunek dostawcy towaru lub usługi.
To, oznacza, że jeśli nabywca towaru lub usługi wybierze tę metodę płatności, zobowiązany jest wskazać bank, w którym posiada rachunek i z którego zamierza wysłać płatność za towar lub usługę, podać pośrednikowi login i hasło do swojego konta bankowego i dodatkowo, gdy transakcja wymaga podania hasła jednorazowego (a co do zasady – wymaga), należy podać pośrednikowi również to hasło.
Pośrednik często zastrzega sobie prawo do odczytania salda konta posiadacza rachunku oraz sprawdzenia historii transakcji na rachunku, w celu kontroli, czy na rachunku przeprowadzane były uprzednio transakcje za jego pośrednictwem.
Taki sposób przeprowadzenia płatności powoduje ogromne ryzyko dla klienta – ostrzega UKNF.
Po pierwsze takie zachowanie jest naruszeniem umowy o prowadzenie rachunku bankowego, ponieważ w bankach działających w Polsce, klient jest zobowiązany do zachowania poufności i ochrony przed dostępem osób trzecich indywidualnych danych identyfikacyjnych, czyli loginu i hasła do strony transakcyjnej banku, z którego usług korzysta. Ten sam zakaz obejmuje też hasła jednorazowe. Tymczasem, w powyższym schemacie pośrednik w realizacji e–płatności uzyskuje dostęp do tych danych, a tym samym dostęp do rachunku i wszelkich informacji, do jakich normalnie dostęp ma wyłącznie jego właściciel.
Dodatkowo w takiej sytuacji klient naraża się na ryzyko utraty prawa do reklamacji nieautoryzowanych transakcji i traci szansę na uzyskanie odszkodowania.
Podawanie loginu i haseł pośrednikowi powoduje ryzyko przechwycenia danych logowania, a w konsekwencji utraty kontroli nad środkami przechowywanymi na rachunku oraz nad danymi osobowymi i zakresem ich wykorzystania.
- Podstawową zasadą bezpieczeństwa w bankowości internetowej jest niepodawanie w żadnym wypadku komukolwiek danych pozwalających na dostęp do rachunku bankowego, gdyż grozi to utratą środków – podkreśla UKNF.
To kolejne ostrzeżenia dotyczące tego typu zagrożeń. Niedawno UKNF opublikował ostrzeżenie dotyczące udostępniania w internecie danych osobowych, które mogą być później wykorzystywane przez przestępców, m.in. do zakładania kont oraz wyłudzenia pożyczek online.