FreshMail.pl

Marcin Serafin o swoim doświadczeniu RODO vs Bank

Prywatność i bezpieczeństwo

Czy RODO sprawi, że banki zbankrutują? Tak, to pytanie to clickbait. Choć wierzę, że w słusznej sprawie. Przechodząc do rzeczy – zrezygnowałem dziś z usług banku, z których korzystałem od wielu lat. Nie byłem może najbardziej intratnym klientem: kredytów nie brałem, korzystałem z karty bez opłat, innych prowizji też raczej nie. Z drugiej strony relacja ze mną była bardzo nieuciążliwa. Placówki bankowej nie odwiedziłem nigdy, na infolinię dzwoniłem 1-2 rocznie, saldo było zawsze dodatnie, a jego oprocentowanie niemal zerowe. Co więc sprawiło, że zrezygnowałem? Prywatność i bezpieczeństwo, czyli privacy and security. A ten duet w wydaniu klienta indywidualnego nazywany jest właśnie RODO.

Oczywiście jest to lekkie przerysowanie sytuacji, bo tak naprawdę to nie przez RODO, a przez bank. Bank, który nie podjął trudu oceny ryzyka w zakresie stosowanych zabezpieczeń technicznych. I nadal stosuje takie, które nawet w mojej ocenie (amatora w obszarze security) wydają się być co najmniej dyskusyjne. A dopiero RODO i cała z nim gorączka tak naprawdę otworzyło mi oczy, jak bardzo należy zwracać uwagę na bezpieczeństwo własnych danych w każdym aspekcie życia codziennego.

Przechodząc do opisu sytuacji właściwej: musiałem zrobić przelew na kwotę, która przekraczała moje standardowe limity. Nie pozwalał mi na to interfejs użytkownika bankowości elektronicznej, więc niedługo się zastanawiając – znalazłem telefon na infolinię Notabene był to w mojej ocenie najtrudniejszy krok w całej opowieści, bo oczywiście numery na infolinię schowane są na www jak informacja, jak się nazywa bankowy IOD. Wreszcie się dodzwoniłem. Po paru minutach połączono mnie z konsultantem, który wysłuchał całej opowieści, jak to bankowość elektroniczna nie pozwala mi zrobić tego, co potrzebuję. Wysłuchał i wydał diagnozę – trzeba najpierw zweryfikować moją tożsamość.

Weryfikacja tożsamości w banku

„W tym celu zadam Panu kilka pytań co do relacji łączącej Pana z bankiem. Pytanie nr 1: proszę podać imię i nazwisko. That was easy, choć nie wiem, jak odpowiedź łączy mnie z bankiem, ale w sumie nie czepiajmy się szczegółów, na moment kulminacyjny jeszcze przyjdzie czas. Pytanie nr 2: proszę podać adres email podany na potrzeby korespondencji z bankiem. Tu również wielu problemów nie miałem – wszak korzystam z jednego adresu email służbowego i jednego prywatnego. Mam jeszcze jeden adres prywatny na potrzeby kont w serwisach spamujących, ale praktycznie nikt go nie zna. Podałem prywatny podstawowy – tak, był właściwy. Pytanie nr 3: proszę podać numer telefonu, na który otrzymuje Pan wiadomości SMS z kodami autoryzacyjnymi. Telefon mam tylko jeden, numer też, nie było w czym wybierać. „Bardzo dziękuję, weryfikacja przebiegła pozytywnie”. I dopiero po chwili zdałem sobie sprawę, co właściwie się stało.

Oczywiście limity do przelewów szybko zmieniłem tak jak chciałem, obyło się nawet bez kodów autoryzacyjnych sms. Ale postanowiłem przetestować tę sytuację – wszak byłem już zautoryzowany odpowiedziami na 3 pytania. Poprosiłem o saldo rachunku – i otrzymałem. Zapytałem, dlaczego wyciągi nie dochodzą pod mój poprzedni adres – potwierdzono mi aktualny adres do korespondencji. Dopiero przy próbie przelewu na inne moje konto okazało się, że prosta autoryzacja to za mało, potrzeba smsa z kodem autoryzacyjnym. Podziękowałem i rozłączyłem się.

Zaufanie i jego brak

Wtedy zacząłem się zastanawiać, ile osób wykorzystało już tą opcję, żeby za pośrednictwem podstawowych danych dowiedzieć się na przykład jaki jest stan mojego konta. Logo banku dumnie widnieje i na karcie bankowej, i na naklejce zbliżeniowej. Jeśli ktoś skojarzył fakty, to przecież brzmi to jak zaproszenie. Próbując racjonalizować, stwierdziłem, że może bank jest bardziej technologiczny, niż mi się wydaje i poza weryfikacją danych sprawdza numer telefonu, z którego dzwonię na infolinię albo – co prawda bez mojej wiedzy, ale jednak – przetwarza biometrię mojego głosu. Co do identyfikacji numeru – nic z tego, telefon z wykorzystaniem blokady wyświetlenia numeru spotkał się z taką samą procedurą. Połączenie z innego numeru również. Co do biometrii – zapytałem na infolinii – nie stosują.

W tym momencie decyzja o rozstaniu była już podjęta. Niemniej i tak postanowiłem zapytać, czy bankowi taka uproszczona procedura nie przeszkadza? „Jak mamy wątpliwości, to możemy zadać dodatkowe pytanie, ale w Pana przypadku nie mieliśmy”. Cieszę się, że jestem aż tak bardzo godzien zaufania. Ty, drogi banku, w mojej ocenie niestety nie.

Nie wymaga w mojej ocenie wielkich przemyśleń dostrzeżenie problemu z przeprowadzeniem przez bank analizy ryzyka. Ani dobór adekwatnych i proporcjonalnych środków zabezpieczeń organizacyjnych i technicznych. Choć formalnie nie wiem, czy doszło do naruszenia poufności moich danych (może to jednak tylko ja wszędzie widzę ryzyka), mam poczucie, że były jak w otwartym zeszycie recepcjonisty, który został w trakcie przerwy pozostawiony otwarty na blacie na widoku wszystkich petentów. Jeżeli ktokolwiek znał schemat pytań banku, bez problemu wszystkie 3 informacje mógł ustalić w ogóle mnie nie znając.

Może to ja popełniłem błąd – nie powinienem podawać do publicznej wiadomości numeru telefonu i adresu email, który podaje w banku. Tylko co wtedy – obowiązkowo dla każdego banku inny adres email i inny nr telefonu? W innych bankach pytania o posiadane produkty bankowe jakoś choć trochę bardziej mnie uspokajają. Choć na ile są one skuteczne – tego nie wiem. Ale przynajmniej mentalnie czuję się bezpieczniejszy, nawet jeśli cały świat zna mój numer telefonu i adres email.

Podoba Ci się ten artykuł?
Nawiąż z nami kontakt lub zapisz się do Newslettera



Jesteś u nas już chwilę, co bardzo nas cieszy.
A może chcesz być na bieżąco i czasami dostawać informacje o nowościach na stronie?
Obiecujemy nie spamować :)

Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od Kancelarii Maruta Wachta Sp. j. (Kancelaria) informacji dotyczących oferty Kancelarii drogą e-mailową. Zgodę można wycofać w każdym czasie bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.
Administratorem danych osobowych jest Maruta Wachta sp. j. z siedzibą w Warszawie przy ul. Wspólnej 62, 00-684. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz.
Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej Polityce Prywatności.

FreshMail.pl