Porachunki z bankami (I)
Zabiegani i zarobieni codziennymi obowiązkami nie mamy czasu na studiowanie regulaminów (napisanych fontem 6) instytucji finansowych. Nie przyglądamy się też dokładnie zapisom na swoich kontach, mając nadzieję, że wrodzona spostrzegawczość wychwyci operacje odbiegające od normy. Ja też rzadko analizuję dokładnie stany kont oraz zapisy bankowe. Ostatnio jednak przyjrzałem się moim rachunkom i – no właśnie – zacząłem dostrzegać dziwne rzeczy. Nie podaję nazw banków, ale może każdy z was odnajdzie w tych opisach swój bank.
Opublikowano w CRN 2024/9
Pierwszą potyczką z bankiem było uzyskanie dla mojego wieloletniego konta aktualnego regulaminu i cennika, gdyż bank już aktualnie tego konta nie oferuje. Z dużym trudem, z pomocą infolinii, prawie mi się to udało, ale prawie to jest dużo za mało, bo też niektóre z usług mają już nowe regulaminy i cenniki. Można przenieść to stare konto na nowe, ale banki oferując nowe rodzaje kont, podają tylko podstawowe informacje na ich temat. O procedurze logowania się i funkcjonalności strony do zdalnej obsługi konta można dowiedzieć się dopiero po jego założeniu, a wtedy już trudno z niego zrezygnować.
Inteligentna weryfikacja klienta banku podczas logowania.
W pierwszym przykładzie, bank miał dotychczas standardowy system logowania: identyfikator klienta i hasło oraz potwierdzenie kodem ze zdrapki lub esemesem. Pod hasłem wzmocnienia bezpieczeństwa klienta postanowiono zmodyfikować procedurę logowania poprzez notyfikowanie urządzenia (komputera lub smartfona) oraz analizę behawioralną jego użytkowania przez użytkownika. Aby to było możliwe, trzeba wyrazić zgodę na udostępnienie mojego IP bankowi oraz dwóm firmom: MasterCard i BIK. Z opisu tego rozwiązania, podanego przez bank, wynika, że MasterCard dysponuje programem NuDetect analizowania cech urządzeń oraz sposobu ich korzystania przez użytkowników. Na tej podstawie program notyfikuje dane urządzenie jako zaufane. W tej analizie bierze się pod uwagę aktywność użytkownika, czyli kiedy najczęściej korzysta z dostępu do konta, jakiej i z jakimi parametrami używa przeglądarki, przy czym z opisu programu można wnioskować, że ten sprzęt cyfrowy o danym IP jest obserwowany cały czas, nawet poza okresem dostępu do tego konta. Niestety opis funkcjonalności i zasady tworzenie profilu użytkownika nie są nigdzie opisane. Za to MasterCard gwarantuje ochronę danych zbieranych i przetwarzanych przez program zgodnie z RODO, ale też może też je przesyłać do swojej centrali w USA, gdzie już nie obowiązują europejskie zasady ich ochrony. Dane mogą być też przekazane odpowiednim służbom, gdy zachodzi podejrzenie naruszenia prawa.
Niewiele więcej wiadomo o udziale BIK-u w weryfikacji tożsamości klienta, a dopiero po przejrzeniu internetu dowiadujemy się o Platformach Biometrii Behawioralnej oraz Antyfraudowej, opracowanej przez spółkę Digital Fingerprints, należącej do Grupy BIK. I chociaż jest to rozwiązanie oferowane od kilku lat, to również oprócz ogólnych opisów nie wiemy jak też to profilowanie klienta dokładnie przebiega. Jedynie dowiadujemy się, że złamanie ręki może spowodować takie zmiany w użytkowaniu urządzenia, że nasz „złamany profil” nie zostanie zaakceptowany, a my będziemy musieli potwierdzić siebie tradycyjnie kodem ze zdrapki lub esemesem. Tutaj dodałbym, że nie tylko ręka może być problemem, bo katar i kichnięcie też, albo nasz komputer jest używany czasami przez inną osobę lub jest kilka urządzeń podłączonych do tej samej lokalnej sieci domowej i wszystkie mają to samo IP. Niestety nie mogłem się też dowiedzieć dlaczego bank korzysta z dwóch zewnętrznie podobnych świadczonych usług, a jedynie mogę się domyślać, że są one dostępne w formie SaaS. W tym przypadku bank musi w umowie zagwarantować odpowiednią ochronę profili i danych osobowych swoich klientów. A klienci wyrażając zgodę na udostępnienie IP swojego urządzenia cyfrowego muszą zaufać bankowi, że ta dbałość o ich bezpieczeństwo w dostępie do ich kont nie spowoduje otwarcia dostępu hakerów do ich urządzeń. Ja nie wyraziłem zgody na to ułatwienie bezpiecznego logowania. Dobrze, że jeszcze jest dostępne logowanie tradycyjne – tylko jak długo?
Po co bank analizuje moje wydatki?
W innym banku jest dokonywana analiza moich wydatków z kart. Na stronie pojawia się wykres ileż to wydałem w minionym miesiącu na odzież, żywność, transport, paliwo, itp. Nie ma natomiast żadnego wyjaśnienia na podstawie jakich danych są kwalifikowane poszczególne pozycje. Wydaje się, że na podstawie identyfikatora akceptanta, bo tylko taką daną może uzyskać bank przy rozliczeniu każdej transakcji. Nieco jest to dziwne, że z takim identyfikatorem akceptanta jest powiązana informacja o rodzaju prowadzonej działalności, przy czym chyba tylko w Polsce. Kupno biletów lotniczych bezpośrednio w zagranicznej linii zostało zakwalifikowane jako kupno odzieży. Ważniejsze jest jednak pytanie, na jakiej podstawie bank dokonuje takiej analizy i umieszcza ją na stronie mojego konta, a tę również mogą obejrzeć pracownicy banku. Pytaniem jest też kto jeszcze otrzymuje lub może otrzymać do wglądu tę analizę – urząd skarbowy, służby, marketingowcy z banku? A przy tym ja nie wyraziłem na to zgody, a bank twierdzi, że mogę wydać dyspozycję wstrzymania dokonywania takiej analizy, ale osobiście w oddziale. Niestety nawet w oddziale nie potrafili tego zrobić, bo ich system nie ma takiej opcji.
Moje dane osobowe są warte 8 zł/mc – taniocha.
W trzecim przykładzie - chcąc założyć nową kartę debetową, przeczytałem w regulaminie, że na opłatę miesięczną 8 zł, można uzyskać 100 proc. rabatu pod warunkiem, że dokona się w danym miesiącu co najmniej czterech transakcji i – uwaga – udzieli się nieodwołalnej zgody na marketing telefoniczny i mejlowy dla banku oraz innych podmiotów należących do jego grupy kapitałowej. Bagatela – aż kilkunastu: leasingowych, hipotecznych, ubezpieczeń, usług opieki zdrowotnej. Inaczej mówiąc zostaję narażony na kilkanaście mejli i telefonów z ofertami i czyni to grupa bankowa, gdy równocześnie wszystkie banki ostrzegają przed rozmowami z osobami podającymi się za pracowników banku – wtedy należy przerwać rozmowę i zadzwonić do banku po potwierdzenie, że taka osoba tamże pracuje – no właśnie dodzwonić się do banku. Jakie to proste…A moje dane osobowe są warte 8 zł/mc – taniocha.
I na koniec niby drobiazg. Na każdej karcie kredytowej i debetowej na odwrocie są wypisanie istotne informacje, w tym numer telefonu do centrum obsługi klienta. Na kartach mojego banku tekst ten jest wydrukowany najmniejszym fontem białym kolorem na srebrnym tle, a numer telefonu na wklęsłościach. Jednym słowem jest nieczytelny nawet dla osób z orlim wzrokiem. Czemu ja muszę o tym informować bank? Czy nie ma tam kogoś kto powinien to dostrzec i zareagować?
Nie ma sensu przekazywać swoich uwag do banku.
Zapewne dla wielu z was takie przypadki są tylko drobnym kłopotem, który należy jakoś ominąć lub szybko rozwiązać i dalej przestać sobie zawracać nim głowę. Nie ma też sensu przekazywać swoich uwag do banku, bo i tak niewiele sobie z tego robią, uważając, że ich system jest „good enough”, a poprawki kosztują. Badanie zadowolenia klienta uzyskują poprzez firmy odpytujące klientów telefonicznie lub zdalnie według kilku pytań o odpowiedziach o wadze od 0 do 10, ze standardowym ostatnim pytaniem czy poleciłbyś ten bank innej osobie?
A może bankom jest to „ganze egal”, bo i tak Unia coraz bardziej zmusza firmy i obywateli do porzucenia płatności gotówką. Nawet wnuczce nie można dać większej kasy inaczej jak przelewem.
Część II w przygotowaniu.
