Polski internet obiegła wczoraj informacja o tym, że serwis PayPal zmienił usługodawcę umożliwiającego natychmiastowe doładowanie konta. Chodzi o serwis Trustly.com, który pośredniczy w błyskawicznym przelewie między bankiem użytkownika a serwisem PayPal, dzięki któremu można płacić np. za zakupy w internecie. Zazwyczaj odbywa się to tak, że użytkownik jest przekierowany na stronę swojego banku i dopiero tam się loguje. Serwis Trustly.com wymaga natomiast, aby to jemu podać login i hasło, a następnie on sam ściągnie pieniądze z konta klienta. Eksperci zdecydowanie odradzają to rozwiązanie.

– Niepodawanie loginu i hasła do konta podmiotom i osobom innym niż bank prowadzący rachunek jest podstawową zasadą bezpieczeństwa – podkreśla Łukasz Dajnowicz z Komisji Nadzoru Finansowego.

I nie zmienia tego nawet fakt, że mamy do czynienia z dużym i zaufanym serwisem. – Wpisywanie danych logowania do jednego serwisu, takiego jak bank, na innej stronie internetowej nie jest dobrą praktyką bezpieczeństwa i jest zawsze podejrzane. Idzie też pod prąd dobrych praktyk podstawowej higieny bezpieczeństwa i prywatności, przyzwyczaja użytkowników do ryzykownych zachowań – zauważa dr Łukasz Olejnik, ekspert bezpieczeństwa i prywatności internetu z University College London.

Stosowana przez Trustly.com metoda nosi miano „screen scrapingu”. Co ciekawe, nie mogą jej używać same banki w transakcjach między sobą, gdyż zostało to zakazane przez KNF. Zakaz ten nie obowiązuje jednak usługodawców, takich jak Trustly.com. Już wczoraj pierwsze banki zaczęły blokować usługę tego serwisu.

Złamanie regulaminu

Użytkownik decydujący się na podanie swych danych umożliwia pośrednikowi dostęp do konta i informacji takich, jak historia transakcji. Nigdy też nie ma pewności, na ile chroniony jest transfer tych danych i czy nie zostaną przez kogoś przechwycone.

Co gorsza, już samo ujawnienie loginu i hasła osobie trzeciej może zwolnić bank z odpowiedzialności za nieautoryzowane transakcje. I to nie tylko te dokonane przez serwis, któremu dane zostały ujawnione.

– Banki co do zasady zabraniają ujawniania tego rodzaju informacji. W efekcie, w razie wystąpienia jakiegokolwiek incydentu na koncie, prawdopodobieństwo przyjęcia przez bank odpowiedzialności za jego skutki dramatycznie spada, pod warunkiem oczywiście, że będzie on miał wiedzę o ujawnieniu danych – ocenia dr Paweł Litwiński, adwokat, ekspert Instytutu Allerhanda.

Takie postanowienia są standardem w regulaminach banków. Potwierdza to Michał Tkaczuk z PKO Banku Polskiego. – W „Regulaminie rachunku oszczędnościowo-rozliczeniowego, usług bankowości elektronicznej oraz karty debetowej” PKO Banku Polskiego znajduje się zapis o nieujawnianiu innym osobom danych logowania, kodów jednorazowych, haseł dostępu oraz innych danych umożliwiających weryfikację – informuje.

Podobne informacje uzyskaliśmy od Krzysztofa Olszewskiego, rzecznika prasowego mBanku. Zaznacza on, że każda reklamacja jest rozpatrywana indywidualnie, ale regulamin zobowiązuje klientów do niepodawania danych umożliwiających logowanie do rachunku osobom trzecim; a złamanie tego wymogu może stanowić podstawę do wyłączenia odpowiedzialności.

Zwolnienie ustawowe

Podstawy takiej można zresztą szukać także w ustawie o usługach płatniczych (t.j. Dz.U. z 2014 r., poz. 873 ze zm.)

– Zgodnie z jej przepisami ciężar udowodnienia, że transakcja była autoryzowana przez klienta, spoczywa na banku. Bank jest zwolniony z odpowiedzialności, gdy wykaże, że klient umyślnie lub wskutek rażącego niedbalstwa naruszył obowiązek nieudostępniania danych osobom nieuprawnionym – tłumaczy Barbara Łągiewka, prawnik w dziale Banking & Finance kancelarii GESSEL.

– A zatem w przypadku, gdy klient przekazał dane dotyczące rachunku bankowego osobie trzeciej, dochodzi do zwolnienia banku z odpowiedzialności za wykonanie operacji zainicjowanej przez taką osobę. Klientowi pozostaje wówczas jedynie możliwość dochodzenia odpowiedzialności od takiego pośrednika na podstawie wiążącej ich umowy – precyzuje.

Ze strony PayPal uzyskaliśmy wczoraj oświadczenie: „26 kwietnia 2016 roku PayPal zmienił dostawcę usługi błyskawicznych doładowań, nawiązując partnerstwo z firmą Trustly Group AB. Zdajemy sobie sprawę z obaw konsumentów, dotyczących tej zmiany. Aktualnie przygotowujemy szczegółowe wyjaśnienie dotyczące nowego procesu i korzyści dla użytkowników korzystających z usługi błyskawicznych doładowań.”

Po publikacji artykułu Grupa Trustly AB (Trustly) nadesłała oświadczenie, w którym napisała m.in.:

1. Trustly to licencjonowana, szwedzka instytucja płatnicza działająca pod nadzorem Komisji Finansowej. Ma prawo i mandat do oferowania usług płatniczych na terenie Unii Europejskiej.
2. Firma Trustly przetwarza ponad 1,5 miliona transakcji miesięcznie i nie maiła ani jednego przypadku wycieku danych logowania lub danych osobowych.
3. Jednym z produktów oferowanych przez Trustly jest usługa płatnicza dzięki której konsument może dokonywać płatności oraz przelewów bezpośrednio ze swojego konta bankowego. Aby to umożliwić, Trustly oferuje oprogramowanie pełniące funkcję mostu pomiędzy konsumentem (osobą płacącą) oraz bankiem internetowym. W Europie istnieje szereg dostawców oferujących tego typu usługi.
4. Gdy konsument inicjuje płatność za pomocą Trustly, oprogramowanie dokonuje autoryzacji indywidualnej transakcji, która jest następnie realizowana zgodnie z zasadami użytkowania usług Trustly. Konsument osobiście nadzoruje wszystkie niezbędne kroki potrzebne do dokonania płatności takie jak logowanie do banku internetowego, wybór konta, z którego pobrane będą środki jak również końcowa akceptacja oraz autoryzacja. Tym samym konsument otrzymuje pełną kontrolę nad swoimi płatnościami.
5. Wszelka komunikacja danych, która ma miejsce w trakcie usługi jest zaszyfrowana za pomocą 2048-bitowego standardu RSA, używanego również przez banki. Trustly nie przechowuje danych logowania i jest podmiotem kontroli standardów bezpieczeństwa dokonywanych przez niezależne firmy z branży bezpieczeństwa danych.