27.04.2016 | 14:58

Adam Haertle

Największe banki zaczynają blokować korzystanie z usługi Trustly

Docierają do nas sygnały od Czytelników, że pierwsze banki zareagowały na uruchomioną wczoraj współpracę pomiędzy Paypalem i Trustly i uniemożliwiły temu dostawcy logowanie na konta swoich klientów.

Paypal wywołał wczoraj małą burzę zmieniając firmę obsługującą płatności ekspresowe. Zamiast Bluemedia korzystającego z linków prowadzących do serwisów banków obsługę przejęła firma Trustly, która chciała pobierać od klientów loginy i hasła i w ich imieniu logować się do interfejsów banków i zlecać przelewy. Bankom się to bardzo nie spodobało i widać pierwsze efekty.

Dwa już nie działają

Po sygnałach od Czytelników spróbowaliśmy zalogować się do Paypala i zasilić nasze konto za pośrednictwem każdego z obsługiwanych banków. W przypadku mBanku oraz iPKO otrzymaliśmy następujący komunikat:

Komunikat od Trustly

Komunikat od Trustly

Jak na razie działają jeszcze takie banki jak Credit Agricole, Alior, Millennium, BPH, Getin, ING, Inteligo, Pekao oraz BZ WBK ale wygląda na to, ze ta lista również może wkrótce ulec skróceniu. Nie jest pewnie także zbiegiem okoliczności fakt, że na stronie PKO BP własnie pojawił się komunikat o następującej treści:

Komunikat PKO BP

Komunikat PKO BP

Co prawda nie pada w nim nazwa Trustly ale pierwszy punkt brzmi jasno:

Nigdy nie udostępniaj osobom trzecim swojego identyfikatora, haseł i jednorazowych narzędzi autoryzacji, nie podawaj ich na nieszyfrowanych stronach oraz innych niż strony Banku

 Wygląda zatem na to, że banki postanowiły bronić bezpieczeństwa swoich klientów (oraz zdrowego rozsądku) w bardziej aktywny sposób. Dziękujemy.

Powrót

Komentarze

  • 2016.04.27 15:05 JA?!

    Jestem PayPal, byłem popularnym systemem płatności ale dostałem strzałą w kolano. Własną strzałą…

    Odpowiedz
    • 2016.04.27 17:16 greku

      Taaa… bo Polska to taki wielki kraj obracajacy miliardami w internetach…
      W USA takie systemy sa bardzo popularne. W europie zachodniej tez dobrze sie maja (patrz sofortbank). Paypal bedzie sie mial calkiem dobrze bez nas :>

      Natomiast ciesze sie ze w Polsce banki zachowaly sie rozsadnie i nie pozwalaja na funkcjonowanie takiego badziewia.

      Odpowiedz
      • 2016.04.28 00:02 Jacek

        W USA nie podaje się nikomu hasła do konta. Upoważnia się jedynie firmę do dostępu i cała reszta odbywa się przez odwołania do API.

        Odpowiedz
    • 2016.04.28 18:58 Ty!?

      Jeśli własną, to w stopę…

      Odpowiedz
      • 2016.04.28 21:17 Liszt

        Jeśli w stopę, to kulą :) Dalej,,,?

        Odpowiedz
        • 2016.04.29 08:13 Ice

          Jeśli kulą to w płot

          Odpowiedz
          • 2016.04.29 14:31 ZZZZZZZ

            hitler

      • 2016.04.29 14:43 Jacek

        To było odniesienie do Skyrima. Z resztą genialne.

        Odpowiedz
        • 2016.05.09 19:59 steniek

          Skajrima? proszę cię…. do języka polskiego i funkcjonujących w nim konstrukcji.

          Odpowiedz
          • 2017.06.14 09:27 Coolgat3

            Nazw gier i filmów się nie spolszcza, geniuszu. Zanim się przyczepisz to przejrzyj internet.

  • 2016.04.27 15:08 Kuba

    No i super. :)

    Odpowiedz
  • 2016.04.27 15:12 Sebastian

    Ja to się zastanawiam dlaczego paypal-doladowania.pl jest hostowane na serwerach blue media.

    Odpowiedz
    • 2016.04.27 15:50 matipl

      Bo to BlueMedia stworzyło ten serwis w 2010 roku i umożliwiło proste i szybkie zasilanie PayPal.

      Odpowiedz
  • 2016.04.27 15:42 brthn

    Banki też nie są bez winy. To w końcu ich wysokie marże spowodowały, że zamiast przez ich API niektóre firmy zdecydowały, że po prostu „chamsko” wezmą od klienta login/hasło/sms. No i przecież ktoś musiał to kodzić w sofort/trustly – i raczej przynajmniej część programistów to robiących była świadoma karygodnych konsekwencji bezpieczeństwa, prywatności i ochrony danych o których tu dziś mówimy. Ciekawe, czy gdy te firmy to robiły (podejmując świadomą decyzję – choć tego nie można być pewien, to jednak naiwnie :) tak zakładam), to czy z ich punktu widzenia takie posunięcie nie było jedyną możliwością na przełamanie całkowitej władzy banków. Bo co w końcu powstrzymuje banki przed zwiększeniem marż dwukrotnie? Albo trzykrotnie?

    O ile jestem zwolennikiem wolnego rynku, to jak najbardziej uważam, że powinien być regulowany. Monopole/oligopole niszczone, szkodliwe praktyki zatrzymywane. Banki ewidentnie wykorzystują to, że to nie klient odczuwa marże narzucane przez bank. Nie ma naturalnego mechanizmu wolnego rynku „tu jest drożej to idę gdzie indziej”, bo klient ma konto w banku A i sklep/dostawca-płatności nie może wybrać czego innego, nie ma wyboru. Musi tak postąpić, by przełamać „monopol” banków. Pod tym względem działanie trustly/sofort jest słuszne. (Ale nie mówię, że to usprawiedliwia ich działanie.)

    Ciekawym aspektem technicznym jest też zablokowanie tego typu serwisów przez wspomniane polskie banki. Skoro odbywało się to przez scraping, to na dłuższą metę może okazać się to trudne dla banków. Od najprostszych metod jak blokowanie IP, rozpoznawanie user-agent, do bardziej skomplikowanych jak te wymagające engine’a javascriptu (np. formularze przez js), większość jednak da się pokonać. (Ba, sam piszę ostatnio scraper’a pewnej strony i już dawno mi IP zablokowali, muszę uderzać przez pulę zgromadzonych przeze mnie proxy :) )

    No i ostatnia kwestia dotycząca legalności, ale z prawem w IT zawsze jest burdel, i to w każdym państwie jest inaczej :) Co do samego scrape’owania, ktoś może w warunkach użytkowania zabronić scrape’owania, z drugiej część mówi że to jest legalnie nic nie warte. Sam dostęp do kont przez podmioty trzecie, skoro klient wyraża na to zgodę, to nie widzę możliwości by banki mogły legalnie czy nawet moralnie blokować dostęp (co innego że moralność się pojawia w przypadku gdy chodzi o zapewnienie bezpieczeństwa, ale to powinno iść wraz ze zniknięciem marż w sumie, czemu banki tego nie zrobią? :) ).

    Sama wspomniana przez kogoś przy poprzednim artykule regulacja unii, miejmy nadzieje, rozwiąże problem zarówno bezpieczeństwa jak i oligopolu banków. Może wydaje się że jestem uprzedzony, ale faktycznie nie widzę tego inaczej niż że banki (w bardzo sprytny) sposób kładą łapę na kasę. I że niektóre firmy się temu sprzeciwiają, kosztem klientów i zwykłych ludzi. Ot, codzienność świata.

    Sam nigdy bym nie podał do takiego serwisu swoich danych, ani nie polecałbym tego nikomu.

    Odpowiedz
    • 2016.04.27 16:24 qweq

      Prosta sprawa – świadomość klientów.

      Niech te banki z drogimi API zostaną wykluczone z listy banków obsługiwanych przez szybkie płatności, albo niech usługodawca przerzuca te koszty na klienta.
      Wtedy klienci zagłosują nogami i tyle.

      Odpowiedz
      • 2016.04.27 16:55 brthn

        Albo, gdyby usługodawca dawał wybór między bezpiecznym API banku z marżą przerzuconą na klienta, lub tańsza płatność przez podanie danych do konta, to może dałoby to do myślenia klientom i przede wszystkim bankom. Może by poszli po rozum do głowy…

        Odpowiedz
    • 2016.04.27 17:24 greku

      Bez przesady… prowizje nie sa takie duze. Nie moga byc przeciez wieksze od prowizju paypala :P

      Odpowiedz
      • 2016.04.27 19:43 brthn

        Są duże z punktu widzenia dostawców usług płatnościami, to lwia część ich przychodów, gdy się decydują na api banków.

        Odpowiedz
        • 2016.04.28 22:13 maslan

          Koledze chodziło o to, że jeśli decyzja paypala o korzystaniu z trustly jest podyktowana zbyt wysoką prowizją bluemedia, to niech popatrzą najpierw na siebie, bo mają najwyższe prowizje za płatność.

          Odpowiedz
    • 2016.04.27 18:25 OpalonyAndrzej

      Co powstrzymuje banki? Ano to, że jak api będzie za drogie, to każdy będzie robił zwykłe elixiry jak 10 lat temu, albo integratorzy będą generować dane do przelewu wykonywanego tradycyjnie i napiszą sobie boty szperające po historii rachunku i księgujące operacje (tak jak zrobiła bluemedia). Przelew z api jest z prowizją, przelew wykonywany samodzielnie jest darmowy. Ot cała filozofia, nie trzeba dorabiać ideologi o wszechwładzy banków..

      Odpowiedz
      • 2016.04.27 19:46 brthn

        No tak, zapomniałem dorzucić masonów, Rotszyldów itp. itd.
        Po prostu chciałem zwrócić uwagę na nieczystą grę banków wobec dostawców usług płatnościowych. Zwykły zjadacz chleba, owszem, zazwyczaj ma to zazwyczaj między dwoma pośladkami, szczególnie że to nie on odczuwa prowizję, przynajmniej bezpośrednio.

        Odpowiedz
        • 2016.04.28 12:04 John Sharkrat

          Nieczysta gra? A jakiś dowód na te brednie, poza twoim gdybaniem? Ile wynosi opłata pobierana przez bank panie ekspert?

          Odpowiedz
          • 2016.04.28 23:32 brthn

            A co to za różnica ile? Wystarczająco wysoka, że dostawcy usług płatności podjęli taką decyzję. To chyba logiczny wywód? Chyba, że przytoczysz jakiś inny powód – może dostawcy po prostu wolą brać od użytkownika login i hasło? -.- Ew. zbieranie danych o przelewach/zakupach ludzi, by potem z nich czerpać korzyść (np. sprzedawać), jeszcze sensowne. Ale mówienie „brednie, gdybanie” to można pod każdą wypowiedź podciągnąć. Przydałyby się jakieś argumenty z twojej strony, bo nie błyszczysz w tym momencie…

    • 2016.04.28 09:15 John Sharkrat

      No tak nad bezpieczeństwem internetowym banków pracują przypadkowi ludzi i do tego charytatywnie, a sprzęt i oprogramowanie zapewniające bezpieczeństwo znajdują na elektro-złomie i dodatkowo klecą coś samemu z części kupionych na allegro lub znalezionych na śmietniku.

      Odpowiedz
  • 2016.04.27 15:47 qweq

    Jeszcze pytanie o ewentualną bezprawność tych blokad.
    Z tego co pamiętam Sofort wygrał podobne procesy wytoczone przeciw bankom.

    Odpowiedz
    • 2016.04.27 16:30 Filip

      Tak, było to w niemczech, u nas jest to chyba nielegalne.

      Odpowiedz
  • 2016.04.27 16:09 Artur

    Zna ktoś bank, w ramach którego można skonfigurować powiadomienia na e-mail o logowaniu i innych zdarzeniach (zmiana danych, zmiana paramentrów rachunku, żądanie autoryzacji transakcji, przyjęcie transakcji do realizacji, itp.)? Od ponad roku pytam osoby związane z bankowością elektroniczną dlaczego takie informacje nie mogą być przekazywane do klienta i oprócz kwestii wydajności i braku zainteresowania klienta pojawia się pytanie: a kto tak robi i po co?

    Odpowiedz
    • 2016.04.27 16:39 mazdac

      Alior oferuje powiadomienia o:
      Zalogowanie do systemu
      Nieudana próba logowania do systemu
      Zablokowanie dostępu do systemu Bankowości Internetowej
      + dużo więcej (salda, operacje itp.)

      Odpowiedz
    • 2016.04.27 16:51 Adam Dobrawy

      AliorSync (T-Mobile) teraz ma powiadomienia o nieudanym logowaniu na e-mail.

      Odpowiedz
    • 2016.04.27 16:53 Rines

      Bankowość elektroniczna PKO BP ma coś takiego. Na pewno przysyłają e-mail-e o logowaniu do konta.

      Odpowiedz
    • 2016.04.27 16:59 Kuba

      W Inteligo tak było, powęsz tam.

      Odpowiedz
    • 2016.04.27 18:25 OpalonyAndrzej

      Na pewno Inteligo, PKO, BZWBK

      Odpowiedz
    • 2016.04.28 14:46 blad201

      BGŻ BNP Paribas (dawniej Fortis i system planet) też melduje każde logowanie na maila

      Odpowiedz
    • 2016.04.28 16:24 fwsdfsdf

      Ja znam. Jest taka usługa w BZWBK. Na maila mogą przychodzić zdefiniowane zdarzenia, jak np. obciążenie, uznanie, wpłata, wypłata itp. I chyba to nie kosztuje żadnych pieniędzy.

      Odpowiedz
  • 2016.04.27 16:40 tymon

    Odp. Na pytanie Artura: wiekszosc powiadomien o jakich piszesz ma mBank

    Odpowiedz
    • 2016.04.27 18:23 Marek

      @tymon, te powiadomienia E-MAIL w mBanku nie są w rzeczy samej powiadomieniami tylko wpadają do raportu dziennego operacji w mBank, który jest wysyłany raz dziennie a czasami rzadziej jak się jakiś bufor im zapcha. Dla mnie jest to średnie powiadomienie, gdy o próbie zalogowania się otrzymuję informację po kilkunastu godzinach. Oczywiście jest też powiadamianie natychmiastowe w mBanku ale tylko poprzez płatne SMSy.

      Odpowiedz
  • 2016.04.27 17:19 DobrzeCzujeCzłowiek

    Dziękuję z3s za impuls, aby w końcu zamknąć konta na PayPalu. Do piachu poleciały zarówno prywatne jak i firmowe, a pozostałości funduszy wylądowały w schronisku dla zwierząt w Celestynowie.

    Odpowiedz
  • 2016.04.27 18:24 Bankster

    Kidy ktoś przygotowuje infrastrukturę, wykupuje zapewne zasoby pod atak na dziesiątki banków w Polsce to nie ma się czym martwić i bardzo źle zrobiono że o tym poinformowano, wszyscy jednocześnie zapominają o wydaje się najważniejszym pytaniu
    czy banki są sobie wstanie z tym poradzić w jakiś uniwersalny sposób czy znowu za każdym razem ktoś będzie musiał analizować takie przypadki, blokować IP/DNS-y itp a ludzie będą tracić pieniądze.
    Kiedy jakaś firma coś sobie zmienia to po 24H banki zaczynają blokować firmę – to jest jakiś obłęd

    Odpowiedz
    • 2016.04.28 00:16 NN

      @Bankster – Trochę ironicznie ale użytkownicy mBanku na pewno zrozumieją: mBank jutro znowu zmieni regulamin i zakaże tego typu praktyk.

      Problem solved :(

      Odpowiedz
      • 2016.04.29 08:39 NN

        No cóż, nie mogło być inaczej – zmiana regulaminu już jest :(

        Klienci mBanku przekazujący dane autoryzacyjne komukolwiek powinni zapoznać się przynajmniej z §24 i $25 obecnego i przyszłego regulaminu.

        Odpowiedz
  • 2016.04.27 18:27 Rubin

    Usunąłem konto paypal

    Odpowiedz
    • 2016.04.29 04:35 Adam

      The room full of people who care :>

      Odpowiedz
  • 2016.04.27 18:54 Rox

    Mbank tez takie powiadomienia naqet na sms

    Odpowiedz
  • 2016.04.27 20:32 Peter

    mBank nie blokuje, sam miałem taki komunikat, ale w końcu sie udało wysłać kasę. Więc niestety taki tekst to bzdura.
    Niestety sama usługa jest gorsza, bo trzeba na pieniądze czekać znacznie dłużej niż przy poprzednim rozwiązaniu.

    Odpowiedz
    • 2016.04.28 11:58 turrysta

      Ale wiesz, że teraz w mBanku jak będziesz miał jakąś reklamację, to odpowiedź będzie „a nie trzeba było loginu rozdawać jakimś podejrzanym typkom”?

      Odpowiedz
  • 2016.04.28 09:31 bolo

    Trustly trusteer ( if you know what i mean) ma 3 szerokie klasy adresowe może mBank nie załapał wszystkiego. Raczej spodziewał bym się blokad bo to nic innego jak kompromitacja hasła usera z punktu widzenia banku

    Odpowiedz
  • 2016.04.28 12:24 Przemek

    W przypadku sofortu kasa była od razu – i o ile pamiętam to jak to wdrażałem to fraudy brali na siebie.

    Odpowiedz
  • 2016.04.28 15:41 Marek

    PSD II
    Artykuł 115

    Transpozycja

    6. Państwa członkowskie zapewniają, by dopóki poszczególni dostawcy usług płatniczych prowadzący rachunek nie spełnią regulacyjnych standardów technicznych, o których mowa w ust. 4, dostawcy ci nie nadużywali braku zgodności z tymi standardami w celu blokowania lub utrudniania korzystania z usług inicjowania płatności i usług dostępu do informacji o rachunku w odniesieniu do rachunków, które ci dostawcy prowadzą.

    Odpowiedz
  • 2016.04.28 22:04 Ciekawy

    A Sofort oraz inne niebezpieczne systemy też zablokują?

    Odpowiedz
  • 2016.04.29 16:45 Kwas

    Ja mam konto w credit agricole i nawet jakbym chcial to nie zadziala bo do hasla statycznego musze podac odczyt z tokena bryloczka…

    Odpowiedz
  • 2016.05.02 22:04 Slawek

    No cóż, sprawa ta z jednej strony wygląda na albo na tzw. „graniu na udry” dotychczasowym użytkownikom PayPala, albo w co raczej nie chce się wierzyć, głupocie samego PayPala. Po co było rezygnować z usług rodzimego pośrednika jakim była gdańska firma Blue Media? Przecież wielu z tutaj wypowiadających się w tej sprawie, mógł w razie jakiejś zauważonego problemu, np. nie dotarcia na czas środków z własnego rachunku, nawet bespośrednio skontaktować się z Blue Media, no nie bagatelną rolę odgrywał tu też język polski – co w porównaniu z takim pośrednikiem widmo „T” (nie będę cytował całości nazwy tego czegoś, bo sama jej nazwa przeczy temu co niby reprezentuje). W związku z tą sprawą takie to „uspokające komunikaty” ze samego PayPal zostały mi przesłane (nie będzie chyba przestępstwem jeśli je po prostu pokażę; można się zarówno, po prostu, pośmiać, jak i przerazić beztroską samego serwisu PayPal; co kto woli – „do wyboru do koloru” ).

    Oto garść tychże:

    „Nasz nowy pośrednik doładowań błyskawicznych zobowiązany jest do przestrzegania wszystkich przepisów finansowych, które obowiązują firmę PayPal. Od dnia 26/04/2016 usługę doładowań błyskawicznych dla serwisu PayPal dostarcza firma Trustly Group AB. https://trustly.com/en/
    Zarówno firma PayPal, jak i firma Trustly czuwają nad bezpieczeństwem danych naszych klientów.

    Trustly Group AB (numer identyfikacyjny 556754-8655) jest instytucją upoważnioną do świadczenia usług płatniczych pod nadzorem szwedzkiej Komisji Nadzoru Finansowego (Finansinspektionen)

    Firma ta świadczy usługi płatnicze zgodnie z ustawą o usługach płatniczych (2010: 751) i może świadczyć transgraniczne usługi płatnicze w ramach UE / EOG.

    Warunki korzystania z usługi Trustly dostępne są pod linkiem: https://goo.gl/juF0zi

    Chcielibyśmy również zwrócić uwagę, że korzystanie z opcji błyskawicznego doładowania jest oczywiście wyborem użytkownika. Jeżeli nie zamierza PAN/PANI korzystać z tej formy, w dalszym ciągu dostępne są niezmienione opcje finansowania transakcji w postaci standardowego doładowania („dodaj środki”) lub użycia karty debetowej lub kredytowej.

    Pragnę poinformować, iż nieustannie monitorujemy możliwości, które zapewnią naszym Klientom najkorzystniejsze rozwiązania dostępne na rynku. Zdecydowaliśmy się na partnerstwo z Trustly w drodze szczegółowej selekcji, podczas której ocenialiśmy najważniejszych usługodawców świadczących usługę błyskawicznych doładowań, w tym zarówno graczy lokalnych, jak i międzynarodowych. Braliśmy pod uwagę fakt bycia licencjonowaną instytucją płatniczą, jakość, bezpieczeństwo i szybkość świadczonych usług, a także standard obsługi Klienta i zasięg geograficzny. Od paru lat, PayPal z sukcesem wspópracuje z Trustly w zakresie świadczenia usługi błyskawicznych doładowań na terenie innych państw Unii Europejskiej.

    Jeśli jednak w dalszym ciągu nie chce Pan/Pani korzystać z usługi błyskawicznych doładowań dostarczanej przez Trustly, może Pan/Pani skorzystać z regularnych metod płatności oferowanych przez PayPal:
    -Przelew z salda konta bankowego na konto PayPal (trwa około 2-3 dni),
    -PayPal Balance (natychmiastowo),
    -Karta kredytowa lub debetowa (natychmiastowo).

    Odpowiedz
  • 2016.05.06 22:03 dupciaaaaa

    trustly to gówno, jak była jeszcze opcja pko bp to od razu błędy miałem.

    Odpowiedz
  • 2016.06.14 20:20 Dawid

    Zalogowałem się przez trusly i co zrobić by w Ipko mi kasy nie ukradli bo dokadowalem konto za 20 zł

    Odpowiedz
  • 2016.06.14 20:21 DawidzPolski

    Zalogowałem się przez trusly i co zrobić by w Ipko mi kasy nie ukradli bo dokadowalem konto za 20 zł Co zrobić w takiej sytułqcji

    Odpowiedz

Zostaw odpowiedź do turrysta

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Największe banki zaczynają blokować korzystanie z usługi Trustly

Komentarze