18 listopada 2017, 09:00:LiveChat Hackathon #3 - LiveChat Software, al. Dębowa 3, 53-134 Wrocław, Polska

Czy Polacy są gotowi na PSDII? Sprawa Monedo pokazuje, że niekoniecznie

Popularny CCleaner zhakowany. Sprawdźcie swoją wersję programu.

Korzystaliście kiedyś z płatności ratalnej na Allegro? Kilka dni temu w sieci zawrzało, po tym gdy serwis Niebezpiecznik zauważył że Monedo, partner Allegro i PayU prosił użytkowników o podanie swojego loginu i hasła do bankowości internetowej.

Monedo to członek grupy Kreditech, która od maja 2017 roku blisko współpracuje z PayU i Allegro. Czy faktycznie jest się czego obawiać? Czy narusza to zasady bezpieczeństwa?

– Monedo Now jest marką działającą w ramach grupy technologicznej Kreditech i obok Alior Banku i mBanku jest jednym z partnerów pożyczkowych współpracujących z PayU w zakresie udzielania rat online, m.in. na Allegro. Warunki ofert prezentowanych klientom (kupującym na raty) są jednak zawsze takie same, niezależnie od partnera, który udziela rat – komentuje Justyna Grzyl, rzecznik prasowy PayU.

Czytaj także: Loukas Notopoulos: Mamy wszystko, by stać się Nevadą Europy [WYWIAD]

Czy Monedo wyłudza dane do logowania?

Monedo - partner PayU przy udzielaniu pożyczek na Allegro.

Dla jasności prześledźmy cały proces od początku – użytkownik znajduje na Allegro interesujący go przedmiot. Chce jednak skorzystać z płatności ratalnej za pośrednictwem PayU, więc zostaje przekierowany do partnera firmy, czyli Monedo Now.

Tam na stronie musi wypełnić formularz, a w formularzu widnieją takie pola jak „login do bankowości internetowej” i „hasło do bankowości internetowej”. Właśnie to wzbudziło niepokój wśród wielu internautów. Wszakże z każdej strony płyną ostrzeżenia „Nie podawaj nikomu swojego loginu i hasła do bankowości internetowej!”.

Polacy często jako największe zło postrzegają banki, a to przecież one posiadają nasze dane do logowania. To oczywiście tak pół żartem, pół serio. Sprawa jest jednak poważna, ponieważ pokazuje jak wiele pracy przed Ministerstwem Finansów, zanim do polskiego prawa zostanie zaimplementowana dyrektywa PSDII.

Dla niewtajemniczonych, PSDII to druga dyrektywa o usługach płatniczych, w której adresuje się podstawowe problemy, jakie pociągnęły za sobą innowacje w finansach. Nowe unijne przepisy mają otworzyć rynek finansowy.

Zachęcamy do zapoznania się z wywiadem z Pawłem Bułgarynem, naczelnikiem wydziału w departamencie Rozwoju Rynku Finansowego w Ministerstwie Finansów, który dotyczy właśnie PSDII. Rozmowę publikowaliśmy na Fintek.pl – Paweł Bułgaryn, Ministerstwo Finansów – ułatwiamy życie FinTechom.

Monedo odpowiada na wątpliwości internautów

Poprosiliśmy o komentarz przedstawicieli firmy Kreditech, właściciela Monedo. Oto jaką odpowiedź otrzymaliśmy:

Grupa Kreditech korzysta z technologii Big Data i złożonych algorytmów w oparciu o misję  dostarczenia nowoczesnych usług bankowych dla osób bez określonej zdolności kredytowej na całym świecie. Należąca do Kreditechu technologia badając 20 000 różnych czynników pozwala dostawcom usług finansowych na błyskawiczną identyfikację, ocenę oraz wypłatę środków pieniężnych klientom. Zautomatyzowany proces w połączeniu z samodoskonalącymi  się algorytmami, zapewniają szybką i wygodną obsługę klienta przy jednoczesnej minimalizacji kosztów i błędów.

Platforma Monedo Now została uruchomiona w Marcu 2016 roku i opiera się na technologii Kreditech-u mając na celu udzielenie szybkich i elastycznych pożyczek przy minimum formalności.

W Monedo Now wierzymy że proces zakupowy musi być łatwy i przyjemny dla kupujących, dlatego też chcemy  eliminować zbędne utrudnienia dla klientów Allegro oraz innych sklepów, korzystających z naszych usług. Dzięki naszej technologii, process zakupów na raty wymaga uzupełnienia mniej niż 10 pól – cztery razy mniej niż w przypadku zakupów na raty świadczonych przez innych partnerów pożyczkowych współpracujących z platforma handlową.

W przypadku rat na Allegro, Monedo Now proponuje swoim klientom 2 metody weryfikacji tożsamości oraz zdolności kredytowej: automatyczną oraz manualną. Automatyczny sposób polega na zalogowaniu się do bankowości internetowej za pomocą serwisu KontoConnect, dostarczonego przez spółkę Kontomatik, która należy do grupy Kreditech.

Firma Kontomatik, która dostarcza usługę KontoConnect (czyli możliwość szybkiego nawiązania połączenia z kontem bankowym użytkownika) od samego początku działania zawsze pomyślnie przechodzi cykliczne zewnętrzne kontrole poziomu zabezpieczeń. Ostatnia taka kontrola odbyła się w czerwcu 2016 r., została przeprowadzona przez Legal Trust i obejmowała zarówno API, jak i widget.

Dane do logowania w banku nie są w żadnym przypadku zapisywane na nośnikach pamięci trwałej serwerów Kontomatik-a (nie są przechowywane w bazie danych ani zapisywane w logach, etc). Są wykorzystywane jednorazowo wyłącznie do odczytu historii rachunku. Wyciagi, potrzebne do oceny zdolności kredytowej, usuwane są z serwerów Kontomatik-a w ciągu 24 godzin.

Kontomatik nawiązuje połączenie z bankiem poprzez bezpieczny protokół HTTPS gwarantujący zaszyfrowaną transmisję danych – dokładnie w taki sam sposób połączyłby się z nim użytkownik końcowy (właściciel konta) korzystający z przeglądarki internetowej. Przy przetwarzaniu żądań, Kontomatik każdorazowo sprawdza ważność certyfikatu bankowego. Weryfikacja ręczna polega na samodzielnym wygenerowaniu przez klienta ubiegającego się o raty wyciągu z konta bankowego i dołączeniu go w formacie .pdf do wnisoku o pożyczkę. Obie metody weryfikacji są dostępne dla wszystkich klientów ubiegających się o  raty na Allegro za pomocą Monedo Now.

Automatyczna metoda jest jedną z najbardziej zaawansowanych i nowoczesnych technologii weryfikacji tożsamości i zdolności kredytowej. Nasze usługi na Allegro są obecne od ponad roku i zbierają od tego czasu bardzo pozytywne opinie klientów, o czym świadczy nasz profil na Opineo.

Czytaj także: Dziedziczenie długów – kiedy warto zrezygnować ze spadku

Tak ma wyglądać przyszłość w dobie PSDII

Schemat działani nowych usług płatniczych PIS i AIS - w obliczu PSD2. Źródło: Raport Accenture: Seizing the Opportunities Unlocked by the EU’s Revised Payment Services Directive.

Powyżej schemat działania nowych usług płatniczych PIS (inicjowanie transakcji płatniczej) i AIS (dostęp do informacji o rachunku) – w obliczu PSD2. Źródło: Raport Accenture: Seizing the Opportunities Unlocked by the EU’s Revised Payment Services Directive.

Mówiąc w skrócie, mniej więcej tak ma wyglądać rynek finansowy po wprowadzeniu PSDII. Właśnie w ten sposób bedzie działać nowa infrastruktura API – podmioty pozabankowe zyskają dostęp do naszych kont i będą mogły wykonywać transakcje w naszym imieniu. W przypadku większych transakcji i tak otrzymujemy powiadomienia na podany numer telefonu. Nie chodzi przecież o to żeby zabezpieczyć konto, tylko pieniądze na koncie.

Po co Monedo dostęp do naszego konta? Firma sprawdza naszą historię transakcji i ocenia zdolność kredytową. Dzięki temu możemy otrzymać szybką zgodę na ratalny zakup przez Allegro. Trzeba jednak przyznać, że proces pozyskiwania danych powinien odbywać się przez API, ale polskie banki jeszcze go nie udostępniają…. Prace nad Polish API są w toku.

Oczywiście obawy może budzić fakt, że Monedo zyskuje dostęp do naszych danych osobowych i teleadresowych oraz to, że udostępnianie naszych danych do logowania jest niezgodne z regulaminami banków działających w Polsce. W związku z tym, teoretycznie bank ma prawo wypowiedzieć nam umowę. Należy jednak zwrócić uwagę, że swoje dane zostawiamy niemal wszędzie… Na przykład podczas podpisywania umowy abonamentowej na nowego smartfona.

Czytaj także: iPhone’a 8 poznamy 12 września. Jak zmieniał się przez lata?

Nie trzeba podawać swojego loginu i hasła

Monedo - czy wyłudzają pieniądze?

– Rozumiemy, że część użytkowników może mieć obawy co do sposobu ‘automatycznej weryfikacji’, bo jest to prawdopodobnie jedno z najbardziej zaawansowanych rozwiązań na świecie, jeśli chodzi o usługi oceny zdolności kredytowej. Jest to rozwiązanie praktykowane na świecie. Jako firma globalna poszukujemy rozwiązań, które podążają za rozwojem technologii. Zawsze jednak podkreślamy, że kupujący, którzy wolą bardziej tradycyjne rozwiązania, mogą zdecydować się na alternatywną opcję, czyli samodzielnie wygenerować wyciąg z rachunku bankowego i w formacie pliku PDF dołączyć go do wniosku – dodaje rzeczniczka PayU.

W tym miejscu warto wspomnieć, że od czerwca 2016 roku Monedo wprowadziło zmianę, dzięki której nie trzeba podawać swojego loginu i hasła do banku.

– W procesie aplikowania o raty klient ma do wyboru dwie ścieżki dostarczenia do Monedo Now informacji niezbędnych do oceny zdolności kredytowej. Pierwszy sposób – automatyczny – polega na zalogowaniu się do bankowości internetowej. Co ważne, partner pożyczkowy nie zapisuje i nie przechowuje danych do logowania wprowadzanych przez klienta. Drugi sposób, to weryfikacja ręczna – klient samodzielnie pobiera ze swojego konta bankowego wyciąg i dostarcza go do pożyczkodawcy w formie elektronicznej (plik .PDF) – tłumaczy Justyna Grzyl.

– Obie wskazane powyżej metody służą jedynie uzyskaniu podstawowych informacji o rachunku, jak np. historia kredytowa, i służą tylko i wyłącznie do przygotowania oceny zdolności kredytowej. Tylko od klienta zależy, z której opcji postanowi skorzystać, a metoda weryfikacji poprzez przesłanie dokumentów pozwala zakończyć proces bez logowania się do konta – dodaje.

Czy zatem hałas, jaki podniósł się wokół Monedo jest uzasadniony? Czy może jest to burza w szklance wody? Tak naprawdę nigdy nie da się całkowicie wyeliminować ryzyka. Nowa dyrektywa PSDII w pewnym sensie narzuca nam właśnie taki model – otwartej bankowości, gdzie podmioty pozabankowe otrzymują dostęp do naszego konta. Oczywiście, w trochę innej formie niż prezentuje to Monedo Now, ponieważ Polish API wciąż nie jest gotowe. Wydaje się nam jednak, że cała sprawa została dosyć mocno rozdmuchana, ponieważ właśnie w tym kierunku idzie rynek finansowy.

/Rafał Tomaszewski

Podziel się artykułem
Share on FacebookTweet about this on TwitterShare on Google+Email this to someone