Partner PayU idzie w ślady Trustly i prosi o login i hasło do Waszego konta bankowego

dodał 18 czerwca 2017 o 16:13 w kategorii Wpadki  z tagami:
Partner PayU idzie w ślady Trustly i prosi o login i hasło do Waszego konta bankowego

Jeśli kupujecie coś na Allegro i zdecydujecie się na zakupy ratalne to możecie znienacka zobaczyć prośbę o podanie swojego loginu i hasła do bankowości elektronicznej. Zdziwieni? I słusznie, takie rzeczy nie powinny się zdarzać – a się zdarzają.

Afery firm próbujących logować się w Waszym imieniu na Wasze konta bankowe do tej pory odbijają się w sieci szerokim echem. Sofort co prawda nadal działa tak jak sobie postanowił, ale już Trustly nawiązał współpracę z DotPay i zrezygnował w Polsce ze swoich kontrowersyjnych praktyk. Nie brakuje jednak nowych graczy, którzy próbują powtórzyć błędy innych.

Wyjaśnienie
Poniższy artykuł zaczęliśmy pisać już w lipcu 2016 po pierwszych zgłoszeniach od Czytelników. Ciągle odkładaliśmy jego opisanie, bo usługa była początkowo w fazie „beta” i liczyliśmy na to, że sama zniknie. Wygląda na to, że proceder trwa nadal i firma za nim stojąca nie planuje zmieniać swoich procedur. Na dokładkę zostaliśmy wezwani do tablicy przez niektórych Wykopowiczów, zatem czas temat poruszyć.

Pełne zaskoczenie

Nasi Czytelnicy, robiący zakupy w programie ratalnym Allegro, kilkakrotnie zgłaszali nam bulwersującą sytuację. W procesie płatności wystarczy wybrać płatność ratalną by trafić na usługę Monedo Now. Jednym z kroków otrzymania rat jest „weryfikacja rachunku”. Może ona być przeprowadzona automatycznie oraz ręcznie. Proces ręczny wymaga pobrania historii rachunku i wysłania jej do weryfikacji. Proces automatyczny wymaga jedynie… podania loginu i hasła do konta bankowego. Tak. Znowu.

Opcja „automatyczna” jest pierwsza na liście dostępnych. Co prawda Monedo proponuje by upewnić się, że regulamin naszego banku pozwala na podanie loginu i hasła, ale przecież gdyby sprawdzić regulaminy banków, to zapewne z długiej listy obsługiwanych podmiotów zostało by puste pole.  Żaden bank przy zdrowych zmysłach nie pozwala swoim klientom na podawanie swojego loginu i hasła na obcych stronach internetowych.

Po co Monedo dostęp do rachunku

To ciekawe pytanie. Pretekstem jest weryfikacja zdolności kredytowej klienta. Czy to jedyny powód? Znajomi z banków wskazują, że niektóre podmioty sięgają po więcej informacji, niż zadeklarowały. Jedna z platform płatności internetowych potrafi, po zdefiniowaniu przelewu, pobrać przy okazji listę produktów klienta wraz z saldami. W przypadku Monedo podając login i hasło do banku oddajemy historię naszego rachunku – informację, która odpowiednio wykorzystana może mieć ogromną wartość marketingową (wysokość zarobków, profil wydatków, miejsca zakupów – lista informacji bardzo cennych dla reklamodawców i usługodawców). Nie wiemy, co Monedo robi z danymi – może nic.

Co na to PayU

W lipcu 2016 zadaliśmy PayU kilka pytań na temat tej usługi – poniżej zamieszczamy otrzymane wtedy odpowiedzi, w naszej ocenie nadal aktualne.

  1. Od kiedy firma Kreditech działając pod marką Monedo Now prosi klientów kierowanych na jej stronę przez PayU o podawanie ich loginu i hasła do konta?

W ramach procesu oceny zdolności kredytowej Kreditech udostępnia klientom do wyboru dwa rozwiązania: zautomatyzowaną standardową opcję przekazania przez użytkownika dokumentów w formacie PDF lub Konto Connect (czyli  możliwość szybkiego nawiązania połączenia z kontem bankowym użytkownika). Obie metody  służą jedynie uzyskaniu podstawowych informacji o rachunku, jak np. historia kredytowa, nie ma tu mowy o dostępie do źródła pieniądza. Tylko od klienta zależy więc, z której opcji postanowi skorzystać, a metoda weryfikacji poprzez przesłanie dokumentów pozwala zakończyć proces bez logowania się do konta. Oczywiście zainteresowanie użytkowników z korzystania z jednej lub drugiej opcji uruchomienia procesu oceny zdolności kredytowej jest elementem, który stale monitorujemy i będzie on miał wpływ na ocenę całego pilotażu. Pilotaż uruchomiliśmy w kwietniu tego roku.

  1. Czy PayU uważa, że podawanie loginu i hasła do konta bankowego na obcej stronie WWW jest dobrą praktyką?

Bezpieczeństwo użytkowników oraz transakcji zawsze jest naszym priorytetem. Zawsze więc zwracamy uwagę klientów na ich bezpieczeństwo i zachęcamy do uważności gdy dzielą się jakimikolwiek danymi w Internecie. Kluczowe jest bowiem to, kto stoi za daną stroną, mailem czy reklamą i jakie ma intencje.

W procesie płatniczym w kontekście kont bankowych nasi klienci mogą korzystać z dwóch opcji: płatności Pay-by-link, w której klient loguje się na stronie banku i dopiero tam decyduje o uruchomieniu przelewu oraz PayU Express, w której płatność odbywa się jednym kliknięciem z wcześniej zdefiniowanego i autoryzowanego konta bankowego (bez konieczności logowania się do banku).

Przy płatności ratalnej natomiast, niezbędny jest proces oceny zdolności kredytowej klienta, który jest niezależny od samego procesu płatniczego (płatność dokonywana jest przez partnera pożyczkowego na konto sprzedającego, po uruchomieniu usługi przez klienta). W ramach poszukiwania innowacyjnych, wygodnych rozwiązań mogących ulepszać proces kredytowy, wdrożyliśmy pilotażowo technologię Kreditech, która skraca jedynie czas wydania decyzji kredytowej. Decyzję o uruchomieniu pożyczki podejmuje dopiero klient, po zapoznaniu się z ofertą.

  1. Czy planują Państwo zmianę dostawcy usług ratalnych lub wyłączenie opcji podawania loginu i hasła w ramach usług firmy Kreditech?

Dziś w ramach procesu ratalnego, oferujemy usługę od trzech dostawców. Beta integracja usługi Monedo Now, oferowanej przez Kreditech, ma charakter pilotażu, który podlega stałej analizie, a wszystkie zebrane informacje służą jako podstawa do oceny tego przedsięwzięcia. Nie planujemy zmiany dotychczasowych dostawców, a zakres współpracy z Kreditech uzależniona jest od wielu czynników.

W ramach procesu oceny zdolności kredytowej klienci mają możliwość wyboru między przesyłaniem dokumentów w formie PDF lub opcją logowania. Na tym etapie wydaje się, że nie ma powodów do wyłączenia którejkolwiek z opcji.

Nasza rekomendacja

Zdecydowanie zalecamy nie ulegać pokusie wygody i nie podawać nikomu hasła do swojego rachunku bankowego. Na szczęście już wkrótce (2018) w życie wchodzi nowa regulacja, tzw. Payment Services Directive 2. Jednym z jej elementów jest obowiązek dla banków, by udostępniły stronom trzecim dostęp do specjalnego interfejsu, umożliwiającego – po wcześniejszej zgodzie klienta – na dostęp do określonych informacji i usług związanych z jego rachunkiem, np. odczyt historii, wykonanie przelewu itp. Zobaczymy, jak banki ten obowiązek zrealizują. Być może będzie to najlepszym rozwiązaniem problemów typu Trustly, Sofort czy Monedo.

Jeśli interesuje Was temat PSD2, to omówienie związanych z nim szans i zagrożeń jest jednym z elementów naszego dedykowanego dla kierownictwa banków szkolenia pt. Zagrożenia dla sektora finansowego w roku 2018.