Jak Allegro weryfikowało tożsamość w oparciu o zaokrąglone rogi dowodu
Jak myślicie, co weryfikują firmy, które proszą klientów o przesłanie im skanu dowodu osobistego? Czy można taki skan podrobić, używając GIMP-a albo Photoshopa? Sprawdził to jeden z naszych Czytelników.
Zaledwie wczoraj opisaliśmy przypadek Czytelnika, który nie zawarł umowy z siecią Play po tym, jak się dowiedział, że w celu weryfikacji tożsamości musi zwykłym e-mailem przesłać skan swego dowodu. W komentarzach pod artykułem potwierdziliście, że podobne praktyki stosuje wiele firm, choć GIODO wyraźnie się im sprzeciwia, są też wyroki WSA w Warszawie potwierdzające zasadność tego sprzeciwu. Dziś opowiemy Wam o działaniach Allegro, które również budzą wątpliwości.
Inny Czytelnik, którego imię i nazwisko pozostawiamy do naszej wiadomości, miał problem z zalogowaniem się do konta na Allegro – hasło zapomniał, a numeru telefonu, na które serwis mógłby wysłać kod SMS, wcześniej nie podał. Pozostał mu formularz proszący o wpisanie panieńskiego nazwiska matki i przesłanie skanu dowodu tożsamości. Czytelnikowi takie rozwiązanie nie przypadło do gustu, skontaktował się więc z helpdeskiem.
Zabawa w kotka i myszkę
Niczego nie wskórał, w odpowiedzi przeczytał, że „to nie musi być dokładnie dowód osobisty, może to być np. prawo jazdy. Załączenie dokumentu nie jest obowiązkowe, stanowi jednak warunek uzyskania dostępu do konta. Może Pan także dla własnej pewności dodać znak wodny. Po weryfikacji danych załączone dokumenty są usuwane z naszej bazy”. Czytelnik się nie poddawał, pracownicy helpdesku również. W jednej z kolejnych wiadomości poinformowali: „Chcemy porównać Pana imię i nazwisko, z danymi, które są na koncie. Data ważności dokumentu musi być widoczna, abyśmy mogli przeprowadzić weryfikację. Nie potrzebujemy numeru PESEL i numeru oraz serii dowodu osobistego, więc jak pisała wcześniej koleżanka – te dane może Pan zamazać”.
Jeszcze parę wiadomości i Czytelnik skapitulował, choć tylko częściowo. „Allegro nie ma mojego dowodu, więc nie ma technicznej możliwości zweryfikowania przesłanego załącznika. Z tego powodu ściągnąłem z nieograniczonych zasobów internetu wzór dowodu osobistego i uzupełniłem swoimi danymi” – wyjaśnił w mailu do redakcji. Rzekomy skan dowodu przesłał pracownikom helpdesku. Otrzymał następującą odpowiedź: „Na przesłanym zdjęciu nie widać rogów dokumentu. Proszę przygotować nowy plik i załączyć go do dedykowanego formularza”.
Przerabianie wzoru dowodu osobistego w GIMP-ie
Czytelnik zdziwił się niepomiernie, że Allegro zwróciło uwagę właśnie na ten szczegół: „Brak rogów (a w zasadzie jednego rogu) jest tutaj problematyczny?! (…) po analizie porównawczej mojego artefaktu z oryginalnym dokumentem oświeciło mnie, że to może chodzić o zaokrąglone rogi”. Wystarczyło ponowne otwarcie pliku w GIMP-ie, odpowiednie zaokrąglenie rogów i dodanie dla pewności cienia. Tak przygotowany „skan” nie wzbudził już żadnych zastrzeżeń. Konto zostało odzyskane.
Smaczku całej sprawie dodaje fakt, że za drugim razem Czytelnik zapisał swoje nazwisko z błędem. No i wisienka na torcie: zwróćcie uwagę na datę ważności widoczną na przerabianym wzorze dokumentu i przesłanych do redakcji „obrazkach poglądowych”. Jeśli dalej nie wiecie, o co chodzi, zajrzyjcie do kalendarza.
Czytelnik poprosił Allegro o wyjaśnienie, co konkretnie i w jaki sposób było weryfikowane przez pracowników helpdesku. Nie dowiedział się. Podsumowując całą historię, napisał: „Nie chcą powiedzieć… za to ja mogę powiedzieć, czego nie weryfikują: nazwiska i terminu ważności dokumentu, czyli 2 z 3 wymaganych danych. Ale chwila, chwila – nie zapominajmy! – weryfikują rogi”.
Skan dowodu dla Allegro… tak jakby
Stanowisko Allegro
Możliwość oszukania procedur weryfikacyjnych Allegro przy użyciu przerobionego w GIMP-ie wzoru dowodu osobistego budzi pewien niepokój. Chcąc wyjaśnić wątpliwości, wysłaliśmy stosowne zapytanie do biura prasowego firmy. Odpisał nam Michał Bonarowski, warto przytoczyć nadesłany przez niego komentarz w całości:
Standardowa droga odzyskania dostępu do konta nie wymaga przesyłania dokumentu tożsamości do weryfikacji. Tylko w bardzo szczególnych przypadkach – kiedy nie da się wykorzystać do tego adresu e-mail, numeru telefonu w ustawieniach konta itp. – w ostateczności może być wykorzystana metoda weryfikacji z użyciem skanu dokumentu potwierdzającego tożsamość. Weryfikacja danych z takiego dokumentu jest tylko jednym z kilku elementów procedury odblokowania konta.
Sama weryfikacja prawdziwości skanu dokumentu tożsamości, jak i szczegóły pozostałych mechanizmów weryfikacji użytkownika są tajemnicą przedsiębiorstwa i o szczegółach nie możemy mówić. Prosimy klientów o to, by w danych swojego konta wpisywali informacje pozwalające bezpiecznie odzyskać dostęp do konta, takie jak poprawny adres e-mail czy numer telefonu komórkowego. Przy okazji warto przypomnieć, że ewentualne przesyłanie sfałszowanego dokumentu, np. dowodu osobistego, to przestępstwo opisane w art. 270 Kodeksu karnego.
Trudno się nie zgodzić z przedstawicielem biura prasowego Allegro – klient przesyłający fałszywy dowód ponosi pewne ryzyko zarzutów karnych. Takich działań zdecydowanie nie polecamy. Choć być może skan dowodu nie jest jedynym elementem weryfikowanym przez Allegro w procesie odzyskiwania konta, to jednak te procedury wymagają chyba poprawy.
Podobne wpisy
- CSO Grupy Allegro, Michał Wierucki, gościem Rozmowy Kontrolowanej w niedzielę o 21
- Wszystko, co chcieliście wiedzieć o błędach SSRF, ale baliście się zapytać
- Uwaga kupujący na Allegro – pojawił się nowy wariant oszustwa z wyłudzeniem danych karty
- Uwaga na dużą kampanię malware pod hasłem Allegro Kredyty
- Uwaga na nowe ataki pod hasłem aktywacji konta Allegro
Art. 270 KK mówi o dokumencie nie o jego skanie.
W sumie racja. Zastanawiam się jak do takiego sfałszowanego skanu podszedłby sąd gdyby sprawa trafiła na wokandę.
Uzasadnienie Sądu Rejonowego w Pile z 2015-07-09 Sygnatura
II K 163/15
Penalizowane w art. 270 § 1 kk użycie fałszywego dokumentu polega zatem na wykorzystaniu jego znaczenia dowodowego wobec odpowiedniego adresata i w odpowiednich okolicznościach, tzn. gdy użycie dokumentu może wywołać skutki prawne.
Nadto wskazać należy, że użycie podrobionego lub przerobionego dokumentu jako autentycznego polega na takim działaniu sprawcy, które to umożliwia zapoznanie się adresata użycia z dokumentem, co może przejawiać się w formie osobistego przedłożenia dokumentu adresatowi, przesłania go (pocztą, w tym elektroniczną, faksem lub przez posłańca) albo pozostawienia dokumentu w miejscu, w którym adresat będzie się mógł z nim zapoznać.
Zatem nalezy napisac na skanie „falsyfikat – na potrzeby allegro”. I tyle.
Jeśli to uznamy jako dowód wtedy twój dopisek będzie fałszowaniem dokumentu.
„§ 1. Kto, w celu użycia za autentyczny, podrabia lub przerabia dokument”
Nie mozna uzywac jako autentyczny czegos co jest napisane ze jest falsyfikatem.
Poza tym wg tego przepisu nawet zamazanie czegokolwiek na dowodzie (np zdjecia) bedzie przestepstwem, bo to w koncu przerabianie dokumentu.
przepis mówi o fałszowaniu, a nie o przerabianiu, więc trochę nie rozumiem co to ma do rzeczy.
Ale pisali że można dodać znak wodny. „A mój znak wodny składa się ze znakow: FALSYFIKAT NA POTRZEBY ALLEGRO”
Przecież jest data niemożliwa i tym samym wiadomo, że to falsyfikat, więc… Swoją drogą dużo jest SIWZ z datą wykonania do 31 czerwca – gratuluję wielu firmom, szczególnie tym od odśmiecania.
Niestety, posłużenie się takim skanem równie skutkuje pierdlownią.
Idąc pokrętną logiką wyobrazić sobie można że ktoś pisze w wordzie bankowe potwierdzenie przelewu, drukuje, skanuje i wysyła jako potwierdzenie za towar i broni się że nie przerabiał przecież orginalnego dokumentu tylko wysłał skan swojej twórczości.
Zejdźmy na ziemię.
Czyli Z3S ukrywa przestępcę :-)
Z3S ma prawo, a nawet obowiązek „ukrywać przestępcę”, który jest ich źródłem informacji. Tajemnica dziennikarska.
> „Tajemnica dziennikarska.”
Tylko czy Adam jest aby dziennikarzem? „Osoba prywatna, nie związana z żadną redakcją stosunkiem pracy, ani nie działająca na jej rzecz i z jej upoważnienia, nie jest dziennikarzem w rozumieniu polskiego prawa, choćby systematycznie publikowała swoje materiały. Forma przekazu, jakim jest blog, sama w sobie nie dyskwalifikuje jej jako materiału prasowego w rozumieniu pkt 4 ust. 2 art. 7 ustawy Prawo prasowe. Wystarczy, aby osoba prowadząca blog w Internecie robiła to na podstawie umowy z określoną redakcją, a potocznie nazywana blogerem, faktycznie stanie się dziennikarzem.”
Z3S jest zarejestrowanym tytułem prasowym, więc tak, Adam jest dziennikarzem (jak i autorka tego artykułu).
Definicja tego co jest dokumentem znajdziesz w art. 115 kk.
Skan jest dokumentem w rozumieniu prawa karnego.
W takim wypadku zamazanie danych jest jego przerobieniem i podlega odpowiedzialności karnej.
Na to wychodzi.
Dura lex sed lex.
Nie jest przerobieniem „w celu użycia za autentyczny”, tylko przeróbką autentycznego, więc nie podchodzi pod ten paragraf
Znamię przedmiotowe dotyczy tego po co się przerabia, a to z czego się przerabia jest bez znaczenia.
Tak? To czemu policja karze mandatem za brak dokumentów jeśli przedstawimy im do kontroli jedynie skany?
Może chodzi o kwestie że w przypadku nieważności dowodu ucinany jest róg dokumentu przez urzędnika (wymiana dowodu)
Nie zweryfikowali też zdjęcia – przecież ewidentnie jest „niedowodowe”.
Czytelnik przesłał pracownikom helpdesku „skan” z zamazanym zdjęciem. W artykule zamieściliśmy przygotowany przez niego „obrazek poglądowy”.
A nie mogą weryfikacji przeprowadzić przez wysłanie listu na adres zapisany w koncie?
Jak ja zakładałem konto na allegro ponad 10 lat temu, to przyszedł mi do domu list z jakimś kodem. Mogli by teraz też taki wysłać. Co prawda procedura trwa dłużej, ale jest bezpieczniejsza.
Potwierdzam. Około 2007 zakładałem konto i też przyszedł mi list z Allegro.
Na domiar złego – konto zakładałem ok 2005/06 i w podobnym liście dostałem również hasło do konta podane podczas rejestracji, więc wypadało zaraz zmienić skoro nawet pracownik wysyłający list już je znał ;)
Tak jak napisał marek 270KK nie mówi o skanie.
Ja nie wiem czy w prawie istnieje pojęcie „skan dokumentu”.
Problemem byłoby wyznaczenie granicy kiedy kończy się skan a kiedy zaczyna własny obrazek ze zdjęciem, nazwiskiem i kolorami przypominającymi skan. Bo nikt nie może zabronić przesyłania takich obrazków.
Tu rodzi się ciekawe pytanie: czy przesyłając plik wyglądający jak dowód osobisty, wypełniając do poprawnymi SWOIMI danymi (imię, nazwisko) dopuszczam się oszustwa? Bo przecież ten sam cel osiągnąłbym przesyłając skan prawdziwego dokumentu.
Inaczej stawiając sprawę: czy zostałbym oskarżony o kradzież gdybym zamiast otworzyć kluczem drzwi swojego domu wybił szybę i zabrał komórkę z kominka?
przeskocz jeszcze do góry i zapoznaj się z uzasadnieniem sądu, w którym jest poruszone za co rozumie się posługiwanie się dowodem jako untentycznym. Sąd tutaj użył przykłady, więc absolutnie, 270kk dotyczy też skanów, wydruków i każdego innego sposobu prezentacji dowodu adresatowi
Polskie prawo nie jest precedensowe, a już tym bardziej nie może czynić takiego precedensu wyrok sądu rejonowego, który może zostać podważony w wyższych instancjach.
W urzędzie – przy wymianie dowodu – odcinają róg dowodu osobistego
Z tym, że nie zawsze ;]
Czy „skan” dokumentu jest dokumentem i podbiega pod 270kk?
Jeśli ktoś twierdzi – że tak, to czy zamazanie danych nie będzie wtedy jego przerabianiem? Skan dokumentu nie może być używany w jego zastępstwie ponieważ nim nie jest. Gdyby ktoś twierdził, że jest… to czy mogę pokazać zdjęcie swojego dowodu na komórce i wystarczy to za potwierdzenie w każdym urzędzie?
„§ 1. Kto, w celu użycia za autentyczny, podrabia lub przerabia dokument lub takiego dokumentu jako autentycznego używa,”
Dokumentem jest każdy przedmiot lub inny zapisany nośnik informacji, z którym jest związane określone prawo, albo który ze względu na zawartą w nim treść stanowi dowód prawa, stosunku prawnego lub okoliczności mającej znaczenie prawne.
W rozumieniu kodeksu karnego jest dokumentem.
To sprzedaj teraz samochód dysponując tylko kserokopią dowodu rejestracyjnego – albo zrób zdjęcie i daj kupującemu na płycie / wyślij mailem. Pokaże pewnie później na tablecie policjantowi w trakcie kontroli.
Skoro wg tego co napisałeś „jest dokumentem” to w zupełności wystarczy, prawda? Więc albo coś jest „w pełni” dokumentem – albo nim nie jest i tylko w naszym poczuciu pełni taką funkcję nie mając jednak tożsamej mocy prawnej równej oryginałowi dokumentu.
Skan nie jest w pełni dokumentem.
Jest w rozumieniu kodeksu karnego bo tak mówi przepis 115 kk WPROST. A kontrola policji i sprzedaz pojazdu nie odbywa się w oparciu o kk wiec nie ma to zastosowania
Podobnie spróbuj przekroczyć granicę na podstawie kopii dowodu osobistego.
Albo wybrać pieniądze z banku, posługując się taką kopią.
Można, przez ok 2 lata posługiwałem się pękniętym dowodem osobistym.
Właściwie wystarczyło ostrzej spojrzeć na panienkę w banku by robiła to co chciałem bąkając nieśmiało, że jednak powinienem go wymienić. I nie chodziło tu o pzrelewy wysokości średniej krajowej, tylko ciut większe.
Przez przerabianie sąd rozumie taką modyfikację dokumentu (lub jego kopii), która ma wprowadzić odbiorcę w błąd. Zamazywanie danych nie spełnia tej przesłanki.
Wystarczy że zasłonisz te dane tak, że informacje z dokumentu które mogą mieć znaczenie w powołanych okolicznosciach nie dotrą do adresata i już jest po zawodach.
Zawsze możesz powiedzieć że zrobiłeś to przez roztargnienie
:) +1
Ucięty róg jest powszechnym znakiem unieważnienia dowodu.
Wg mnie pewod jest inny. Narożniki muszą być widoczne bo urzędnik unieważniając dowód odcina jeden z narożników nożyczkami. Istnieje wiec szansa ze ktoś taki dowód np wyrzuci albo zgubi i nie zwróci na to uwagi. Allegro bada wiec czy ktoś nie próbuje posłużyć się unieważnionym dowodem
Allegro nic nie bada – przecież można wysłać dowolny obrazek przedstawiający dowód z dowolnymi danymi.
Nawet gdyby allegro cokolwiek badało to można dane z unieważnionego dowodu przepisać (przerysować) do obrazka bez uciętego rogu i całe „badanie” do Dudy.
Tak naprawdę gdyby chcieli coś badać to by wymagali numeru dowodu by sprawdzić czy nie został zastrzeżony, ale pozwolili go zamazać stąd prosty wniosek – skoro nie badają nawet podstawowej rzeczy t oznaczy że nic nie badają bo pozostałe dane mogą być wszystkie prawdziwe więc bez sprawdzenia czy dokument nie jest zastrzeżony nie ma sensu ich sprawdzać.
Wyrok NSA z 20 maja 2003 r. (III SA 110/03), „Należy wskazać na niedopuszczalność nadsyłania akt składających się z niepoświadczonych urzędowo kserokopii dokumentów. Niepoświadczona kserokopia dokumentu nie może być uznana za dowód w sprawie”
Jak wynika z wyroku, kopia niepoświadczona (a każdy skan jest niepoświadczoną kopią, chyba że jest zapisany w pliku opatrzonym bezpiecznym podpisem elektronicznym) nie może być dowodem w sprawie.
Dlaczego więc skany CZEGOKOLWIEK, niezależnie czy przesyłane z szyfrowaniem czy bez, są uznawane za poświadczające COKOLWIEK?
Pewnie dlatego, że przytoczyłeś wyrok który dotyczy postępowania przed organami podatkowymi, które działają na podstawie przepisów ordynacji podatkowej, czyli zupełnie innej gałęzi prawa i zupełnie innych przepisów niż te o których tyczy się dyskusja.
Banki też wydają dokumenty bez stempla i jest wszystko legit. Regulamin na stronie internetowej też jest dokumentem i jest wszystko ok. ZUS przesyła pity zwykłym listem BEZ PODPISU i też są to dokumenty.
Co nie zmienia faktu, że nijak to się ma do 270 kk.
Po prostu double fail;
Nie idzie tego inaczej nazwać, gdy się przeczyta regulamin – potem wszystkie zakupy zrobione przez kogoś trzeba spłacać. Łącznie z należnościami za pośrednictwo sprzedaży.
Tu akurat allegro nie jest niczemu winne bo nie ono jest od weryfikacji czy dana osoba wysyła prawdziwy dowód czy też sfałszowany łamiąc przy tym prawo. W skrócie, allegro nie jest organem odpowiedzialnym za ściganie takich spraw i w takich wypadkach zakłada, że jest ono (zdjęcie dowodu) prawdziwe.
W tym wypadku allegro zostało oszukane więc trudno tu mówić o winie poszkodowanego.
No dobrze a czy może mi ktoś jasno wyjaśnić jak mam przejść procurę na Allegro związaną z płatnościami PayU? O ile ten grosz co oni tam wymagają mogę wysłać ale te mendy wymagają dowodu osobistego! Ja nie mam zamiaru im wysyłać dowodu! Co w takim razie? Na razie w aukcjach pisze, że płatność tylko przelewem bankowym i tyle bo opcję payU mam zablokowana aż im nie wyślę dowodu. Co robić jak żyć?
Pomijając cała resztę to pewnie chcą rogi, bo przy wymianie dokumentu urzędnik ścina jeden róg.
Zawsze można sfałszować dowód osobisty. Jako grafik i drukarz ze znajomością wszystkich systemów zabezpieczeń mogę sfałszować każdy dokument wytworzony na świcie, czego to niby dowodzi?! Że systemy są złe?! Polska Policja to nygusy, podstawą uczciwości jest możliwość namierzenia KAŻDEGO BEZ WYJĄTKU KTO NARUSZY PRAWO. Jeżeli sprawy fałszerstw byłby prowadzone rzetelnie to gwarantuje Wam że nikt nie śmiałby niczego fałszować. Chyba nie wiecie jak to działa w USA. Fałszerz czeków to osoba która wpisała do wystawianego przez siebie czeku SUMĘ KTÓREJ NIE POSIADA. Może to zrobić każdy, długopisem wpisując sobie np. 100 tys. dolarów. Gwarantuję Wam że nie zdarzyło się w dziejach tego kraju by nie złapano kogoś kto sfałszował czek. Czasami po 20 latach, ale złapano każdego. Polska Policja STOPNIUJE POZIOM PRZESTĘPSTWA, tymczasem powinna identycznie ścigać KAŻDE PRZESTĘPSTWO, wtedy takie pierdoły jak podrabianie skanów dowodu nikomu normalnego nie przyszłoby do głowy. Przypomnę jeszcze na koniec iż DOKUMENTEM FAŁSZYWYM jest KAŻDY DOKUMENT KTÓRY POŚWIADCZA NIEPRAWDĘ, nawet jeżeli został wydany przez urząd. Sąd w dupie kto go wydrukował i jak, ważne czy POŚWIADCZA PRAWDĘ czy NIEPRAWDĘ to jedyne kryterium PRAWDZIWOŚCI/FAŁSZYWOŚCI DOKUMENTU.
Poslugiwanie sie sfabrykowanym skanem dokumentu w celu poswiadczenia nieprawdy jest przestepstwem. A wmawianie publice ze owca to baran raczej smieszne, tym bardziej jesli ma dotyczyc odpowiedzialnosci karnej.
Z drugiej strony panstwo z allegro i ich interpretacja rzeczywistosci i zaistnialej sytuacji takze budza podziw i usmiech na twarzy. Podobnie jak kwestie ponoszenia ewentualnych strat w przypadku wlamania sie na nasze konto. Ale tak po prostu dziala ten biznes. Powinni przyjrzec sie tu jak postepuje konkurencja. Ebay anuluje transakcje i zwraca wszystkie koszty. PayPal po wlamaniu na konto i nieautoryzowanych transakcjach, przesylkach trafiajacych na skrytki pocztowe, nie dosc ze pokryl wszystkie straty to jeszcze dla swietego spokoju wyplacil rekompensate.
Ups… zapomnialem tylko dodac, ze to Wielka Brytania nie Polska. Choc i tu kazdej firmie moga zdarzyc sie wpadki, lecz duzo latwiej wychodzi sie z nich tutaj z twarza.