Login i hasło do banku, by zasilić PayPala? Wszystko w zgodzie z dyrektywą UE

Trustly znane było do tej pory przede wszystkim fanominternetowego hazardu. Pośrednik ten pozwalał na przekazaniepieniędzy do popularnych kasyn online (ale już nie ich wypłacenie).Nie można powiedzieć, by to nie działało – grający w pokera wSieci ludzie twierdzą, że bez problemu pieniądze docierały doadresata. Niektórych niepokoiła jednak metoda przelewów. Trustlyżąda bowiem podania loginu i hasła do systemu e-bankowościklienta. Póki narzędzie to stosowane było przez niewielką w sumiegrupę hazardzistów, o problemie nie było głośno. Teraz jednakTrustly wypłynęło na szersze wody, stając się dostawcą usługdoładowania rachunku dla popularnego serwisu PayPal. Dosłownie wmgnieniu oka użytkownicy będą mogli przekazać swoje bankoweloginy i hasła nowemu pośrednikowi.

Nie węszcie kryminalnej intrygi, bo jej po prostu tu nie ma. Sątylko dość karygodne, choć w pełni legalne praktyki sprzęganiausług e-finansowych, dopuszczone przez nową dyrektywę UniiEuropejskiej PSD2.Wprowadza ona dwa nowe typy usług. Są to:

– usługa inicjowania płatności (payment initiation service,PIS) oraz

– usługa dostępu do informacji o rachunku (account informationservice, AIS)

Wprowadzenie tych typów usług poszerzyło listę typówdostawców usług płatniczych o dostawcę usług płatniczychbędącego osobą trzecią (third party payment service provider,TPP). Taki właśnie operator może świadczyć usługę inicjowaniapłatności, polegającą na udzieleniu TPP dostępu do rachunkuonline płatnika. W jej ramach sprawdza on dostępność środkówpieniężnych, inicjuje płatność, a następnie przedstawiainformację o dokonaniu płatności.

Choć przyjęcie nowej dyrektywy wiązało się z wieloma obawamibranży bezpieczeństwa (wytykano m.in. brak jasnych regulacji co dozakresu i metod współpracy między bankami a TPP), to jednakprzeważyły głosy, że oto mamy wielką szansę na rozwój sektorausług finansowych, szczególnie w branży mobilnej.

O ile więc od strony prawnej do niczego się tu nie możnaprzyczepić, to widać już, że obawy branży bezpieczeństwa byłycałkowicie uzasadnione. To, jak PayPal wziął się do tejwspółpracy z nowym operatorem doładowań urąga dobrym praktykom.Nie tylko użytkownik jest zmuszany do podania swojego loginu ihasła do systemu e-bankowości (obsługiwane są Alior Bank, BankMillennium, iPKO, mBank ING Bank, Bank Pekao, Bank Zachodni WBK,Inteligo, Credit Agricole, Bank BPH, Getin Bank i BGZ BNP Paribas),ale też zostaje w tym celu przekierowany na adres, który wyglądajak z elementarza początkującego phishingowca –paypal-doladowania.pl.

Certyfikat SSL tu oczywiściejest, ale uważniejszy internauta szybko zauważy, że to zupełnieinny podmiot, nie PayPal Inc., lecz jakiś PayPal Pte Ltd,zarejestrowany pod domeną paypal-topup.fi. Domena ta na pierwszyrzut oka (a właściwie odpowiedź whois) należy do fińskiej firmyKeijo Heinonen Oy. Na drugi już przestaje: Keijo Heinonen Oy jestwłasnością firmy (kancelarii prawnej) Heinonen & Co AttorneysLtd, zajmującej się zarządzaniem prawami do własnościintelektualnej na całym świecie. Ot takie biuro w sporym biurowcu wHelsinkach.

Samo Trustly, którego logotyp dumnie widnieje na stroniepaypal-topup.fi, jest z kolei szwedzką spółką. Siedzibę ma wkamienicy na przedmieściach Sztokholmu, tuż obok sklepu z artykułami fryzjerskimi. Faktycznie, niezłalokalizacja jak na zaufanego operatora płatności.

Interfejs programowania – a co to takiego?Pomimo jednak nieciekawego wizerunku partnera, PayPal zrobił cozrobił, i wydaje się, że nie mógł zrobić inaczej. PSD2 dajewolną rękę w kwestii metod uzyskiwania dostępu do konta. Gdybybanki zakazały takiej formy loginów przez osoby trzecie, a w zamianudostępniły spójne API, pozwalające na operacje bankowe w sposóbprogramistyczny, z uwierzytelnianiem po swojej stronie, a nie postronie jakiejś dziwnej firmy ze Sztokholmu, problemu by nie było.

Tymczasem Unia Europejska, zachwycona metodą dość dobrze znanąw USA (które przecież nie powinno być w tej dziedzinie żadnymwzorem), zupełnie bezrefleksyjnie przyjęła dyrektywę, którejkonsekwencje będą fatalne. Użytkownicy przyzwyczają się, żegłupio wyglądające nazwy domen w usługach e-finansowych też sądobre i śmiało można klikać, a swoje hasło do banku podawaćmożna gdzie popadnie. Nawet maskowanie wówczas nie pomoże, kilkacykli doładowań i dziwny operator ze Szwecji całe hasłozrekonstruuje. Co się dzieje z tą bazą danych? Gdzie informacje sąprzekazywane? Zapytajcie Keijo Heinone Oy. Po fińsku oczywiście.

Zaufana Trzecia Strona słuszniezauważa, że w obecnej sytuacji o wiele bezpieczniejsze jestpodawanie stronom trzecim danych karty kredytowej, niż danychlogowania do banku. Podanie loginu i hasła to łamanie zasadyrozliczalności, brak kontroli nad zakresem udostępnionej informacji(włącznie z dostępem do całej historii transakcji), przelewy narachunki zaufane bez jakichkolwiek ograniczeń, oraz przedewszystkim łamanie regulaminów banków, które przecież naszychdanych nikomu podawać nie powinny.

Wysłaliśmy już w tej sprawie zapytania do wspomnianych wyżejpolskich banków – jak tylko uzyskamy wyjaśnienia, podzielimy sięnimi z Wami. Póki co jednak powiedzmy sobie szczerze: to nie jestwina PayPala, u siebie w USA przyzwyczajonego do takich rozwiązań,ale wina Komisji Europejskiej, bezmyślnie kopiującej z USA to conajgorsze.

Coś zaczęło się w tej sprawie dziać. mBank oraz iPKO zablokowaly Trustly dostęp do kont swoich klientów, przy próbie doładowania w ten sposób konta PayPala otrzymujemy komunikat o chwilowej niedostępności usługi.

Z kolei PKO BP dostępu nie wyłączyło, ale opublikowało na swojej stronie głównej komunikat do klientów, przypominający m.in., by nie udostępniać swoich danych do konta na stronach obcych serwisów internetowych.

W tym momencie PKO BP nie pozwala już Trustly na dostęp do swojego serwisu e-bankowości.