Do końca października mBank, Idea Bank i T-Mobile Usługi Finansowe, wspierany przez Alior Bank, muszą zaprzestać stosowania screen scrapingu, czyli technologii, która pozwala logować się do rachunków prowadzonych przez konkurentów, za przyzwoleniem i przy udziale właściciela konta, który udostępnia hasło i login.
Zażądała tego w sierpniu Komisja Nadzoru Finansowego (KNF). W liście nadzór tłumaczył, że technologia łamie podstawową zasadę w bankowości internetowej, czyli nieujawniania nikomu postronnemu loginu i hasła do rachunku. Od tamtego czasu w środowisku bankowym trwa dyskusja nad zasadnością zakazu, a niektórzy żywią nadzieję, że KNF złagodzi stanowisko. Będą rozczarowani — Andrzej Reich, dyrektor w KNF, odpowiedzialny za regulacje bankowe, niezachwianie stoi na stanowisku, że screen scraping jest niebezpieczny i dlatego nie może być stosowany.
— Rozwiązanie wiąże się z wysokim ryzykiem przejęcia kontroli nad rachunkiem klienta. Gdy ktoś włamie się na jego konto i ukradnie pieniądze, to fakt, że ujawnił on osobie trzeciej dane do logowania i tym samym dopuścił możliwość przejęcia kontroli nad jego rachunkiem, sprawi, że reklamacja w banku będzie nieskuteczna. Bank, zgodnie z warunkami umowy, ma pełne prawo ją odrzucić — mówi Andrzej Reich, dyrektor Departamentu Regulacji Bankowych, Instytucji Płatniczych i Spółdzielczych Kas Oszczędnościowo-Kredytowych w KNF.
Nie przekonują go zapewnienia banków, że system jest całkowicie bezpieczny. Instytucje dowodzą, że klient nie loguje się co prawda na stronie swojego banku, ale na stronie innego banku, który stosuje przecież takie same procedury bezpieczeństwa. Login i hasło nie są nigdzie zapisywane ani przechowywane. Cały proces jest automatyczny, odbywa się bez udziału i ingerencji człowieka.
— Obawiam się, że ludzie generalnie nie doceniają ryzyka informatycznego. Nie ma zabezpieczenia, którego nie można złamać. Jeśli ktoś włamie się do mojego banku i przejmie dane do logowania, odpowie mój bank. Jeśli będę korzystał ze screen scrapingu w innym banku i w związku z tym ktoś przejmie moje dane do logowania, odpowiedzialność spadnie na mnie — stwierdza Andrzej Reich.
Konstytucyjne prawo do ryzyka
Na kolejny argument, że screen scraping z powodzeniem jest stosowany w wielu krajach Europy, a w Niemczech, tamtejszy urząd antymonopolowy uznał, że banki nie mogą zakazywać dostępu do rachunków klientów innym instytucjom (także niebędącym bankami), bo to ogranicza konkurencję, odpowiada: — W sytuacji, gdy wiemy, że pewna praktyka rodzi ryzyko, powoływanie się na innych, że oni postanowili to ryzyko dopuścić jest bezzasadne — ucina Andrzej Reich.
Do szefa departamentu regulacji bankowych w KNF nie przemawia również argument, że screen scraping prawdopodobnie zostanie dopuszczony w całej UE wraz z wejściem w życie dyrektywy o usługach płatniczych PSD II, która jest obecnie procedowana.
— Nie jest to wcale przesądzone. Wciąż negocjowane są pewne sporne postanowienia PSD II. A nawet jeśli taki zapis znajdzie się w dyrektywie, to nie znaczy, że od razu z automatu musimy wprowadzać go do krajowych przepisów — mówi Andrzej Reich.
Zwolennicy podnoszą, że zakaz wprowadza arbitraż regulacyjny, ponieważ mogą z niego korzystać instytucje niebankowe, a banki nie, co osłabia ich pozycję konkurencyjną, a poza tym sprawia, że klient tak czy inaczej będzie logował się do rachunku poprzez obce strony, nad którymi nadzór nie ma na dodatek żadnej władzy.
— Konstytucja nie zabrania obywatelom narażania się na ryzyko. Moja odpowiedzialność polega na tym, żeby do minimum ograniczać je na rynku regulowanym, tam, gdzie są oszczędności milionów osób. Nadzór nie może zrezygnować z dbałości o bezpieczeństwo w imię źle pojętej innowacyjności w sektorze bankowym — mówi Andrzej Reich.
Kwestia bezpieczeństwa lub wygody
Część banków, głównie największych, zgadza się z opiniami KNF. Dwa lata temu Związek Banków Polskich jako pierwszy opublikował ostrzeżenie przed zagrożeniami, jakie niesie screen scraping.
Mniejsze banki uważają, że automatyczna analiza historii rachunku jest jedną z największych nowinek technologicznych, upraszczającą i skracającą proces kredytowy. Docelowo system mógłby służyć też do szybkiego przenoszenia rachunków między bankami, z całą historią, zleceniami stałymi, poleceniami zapłaty. Wszystko w pełni automatyczne, bez ruszania się z domu.
— Dla mnie jest to największa innowacja od czasów wprowadzenia bankowości internetowej. Duże banki idą pod rękę z nadzorem, bo boją się utraty klientów — mówi anonimowo przedstawiciel jednego z banków.
— Nam naprawdę nie ubywa klientów w związku ze screen scrapingiem. I niech inne banki próbują nam ich przeciągać na swoją stronę, ale niech nie robią tego wymagając od ludzi podania hasła i loginu. Przez lata edukowaliśmy klientów, żeby trzymali te dane w tajemnicy, a teraz będziemy im tłumaczyć, że ta zasada już nie obowiązuje, kiedy chcą dostać kredyt w innym banku? — mówi Wojciech Bolanowski, doradca prezesa PKO BP.
Jego zdaniem, dopuszczenie lub zakazanie screen scrapingu to wybór między bezpieczeństwem a wygodą. Dla osób, które szybko muszą dostać kredyt, automatyczny proces kredytowy jest wygodny. Podobnie dla banku nastawionego na agresywną akwizycję, choć tu nasz rozmówca stawia znak zapytania, bo jego zdaniem, zasięg screen scrapingu biznesowo ma marginalne znaczenie. Jest natomiast niebezpieczny dla całego systemu, ponieważ w razie „wpadki” — utraty pieniędzy, włamania na konto, wizerunkową szkodę ponoszą wszyscy, a w największej mierze multikanałowe, duże banki.
— Dla nas odwrót od bankowości elektronicznej, spadek zaufania do internetu, oznacza przejście klientów do sieci oddziałów, czyli odwrócenie trendu, nad którym mocno pracujemy od lat — wyjaśnia Wojciech Bolanowski.
Zdrapywanie ekranu
Screen scraping umożliwia błyskawiczną weryfikację sytuacji finansowej wnioskującego np. o kredyt. Zainteresowany loguje się do rachunku poprzez stronę banku, w którym ubiega się o finansowanie, a wtedy robot sprawdza saldo, historię i z automatu wystawia ocenę kredytową. To tylko jedno z zastosowań. W Polsce od lat mechanizm wykorzystuje Kontomierz, aczkolwiek nie do celów kredytowych, lecz do integracji kont użytkownika w wielu bankach w jednym miejscu. Screen scraping jest też podstawowym narzędziem Sofortbanku, wykorzystywanym do realizacji płatności za towary, usługi w internecie. Na rynek bankowy pierwszy wprowadził go dwa lata temu Idea Bank. Najpierw nieśmiało, w ramach pilotażu, oferując drobnym firmom w ramach automatycznego procesu kredytowego maksymalnie 20 tys. zł. Szybko okazało się, że przedsiębiorcom rozwiązanie szalenie przypadło do gustu i obecnie 70 proc. obrotu kredytowego idzie przez internetowy automat. Niedługo po Ideia Banku po screen scraping sięgnął Alior, a jako trzeci do gry przystąpił mBank. Z naszych informacji wynika, że do uruchomienia automatu scoringowego gotowe były trzy kolejne banki. Wtedy KNF opublikowała list.