KNF tropi ciasteczkowe potwory

opublikowano: 20-10-2014, 00:00

Pliki cookies mogą się okazać ciężkostrawne dla banków, narażając je na zarzut niewywiązywania się z umów

Chcesz zalogować się do swojego rachunku — wpisujesz adres banku, klikasz ikonkę „zaloguj”, lecz zamiast znajomej strony z okienkiem na login i hasło pojawia się zupełnie czarny ekran. Tak jest w mBanku. W Millennium i Plus Banku po wstukaniu loginu wyświetla się pusta strona z komunikatem „nieprawidłowe przekierowanie”. BGŻ informuje: „Niestety twoja sesja została zakończona, błąd sesji”, a Raiffeisen — że „nie znaleziono strony”.

INTERNET POD LUPĄ:
INTERNET POD LUPĄ:
KNF, kierowana przez Andrzej Jakubiaka, ostatnio sporo czasu poświęca bankowości internetowej. Niedawno zakazała stosowania tzw. screen scrapingu, teraz przygląda się plikom cookies.
WM

W Aliorze, T-Mobile, BZ WBK, Smart Banku, Getinie i BNP Paribas można bez końca wpisywać numer identyfikatora i za każdym razem po kliknięciu na ikonkę „zaloguj” pojawi się puste okienko logowania, zachęcające do podjęcia kolejnej próby dostania się do rachunku, z których każda skończy się fiaskiem.

To tylko ciasteczka

Naprawdę można się zdenerwować. Ale spokojnie, zanim zaczniesz się martwić, że padłeś ofiarą ataku phisingowego, zacznieszwydzwaniać na infolinię banku lub do pomocy technicznej, żądając wyjaśnień i odblokowania dostępu konta, sprawdź, czy w przeglądarce internetowej zaznaczyłeś opcję „akceptuj cookies”. Za całe zamieszanie mogą być odpowiedzialne właśnie „ciasteczka”, których obecność na witrynach internetowych zazwyczaj pomijamy, przechodząc do porządku dziennego nad informacją „ta strona wykorzystuje pliki cookies”.

W przypadku banków naprawdę lepiej zapoznać się z polityką w zakresie ciasteczek. „Zastrzegamy, że brak możliwości zapisywania/odczytywania plików cookies przez strony banku uniemożliwi pełne i poprawne korzystanie z systemu bankowości internetowej” — informuje czerwoną czcionką Alior.

„Po wyłączeniu plików cookies zalogowanie do Millenetu nie będzie możliwe, nie będzie można również używać wniosków, w tym wniosku o konto” — boldem ostrzega Millennium. „Brak akceptacji korzystania z plików cookie w systemie ING BankOnLine uniemożliwia zalogowanie się i korzystanie z systemu” — zastrzega z kolei ING Bank Śląski. Nie wszystkie banki blokują dostęp do konta po wyłączeniu plików cookies.

Przeciwnicy ciasteczek zalogują się do serwisów transakcyjnych PKO BP, Pekao, Eurobanku, Credit Agricole, choć korzystać z nich mogą w ograniczonym zakresie, gdyż niektóre funkcje mogą być wyłączone, o czym banki lojalnie uprzedzają. Generalnie informacje o polityce stosowania cookies są przejrzyste i jasne.

Banki wyjaśniają, po co używają ciasteczek, z jakich rodzajów plików korzystają, czy są one bezpieczne i jak je wyłączyć. Uczulają także, że większość przeglądarek w domyślnych ustawieniach akceptuje cookies. Problem tkwi gdzie indziej.

— Nie pamiętam, żeby banki prowadziły jakąś szerszą kampanię informującą klientów o konsekwencjach nieakceptowania plików cookies. Jeśli ktoś wyłączył w przeglądarce tę funkcję i o tym zapomniał, może się zdenerwować, próbując zalogować się do rachunku — mówi jeden z bankowców, zastrzegając anonimowość.

Nie tylko nie było kampanii, ale brakuje nawet komunikatów na stronach, wyjaśniających dlaczego serwis nie działa. Wyjątkiem jest ING Bank Śląski, który informuje klientów próbujących zalogować się do rachunku: „Nie możesz skorzystać z systemu, ponieważ twoja przeglądarka internetowa nie obsługuje plików cookies. Należy zmienić ustawienia przeglądarki”.

Cookies w umowie

Na problem ciasteczek zwróciła uwagę Komisja Nadzoru Finansowego (KNF), wysyłając w tej sprawie list do Związku Banków Polskich. Stwierdziła, że banki mogą uzależnić pełny dostęp do serwisów od akceptacji plików cookies, jeśli służy to podniesieniu bezpieczeństwa, ale „wydaje się”, że warunki korzystania z bankowości internetowej powinny być opisane w umowie rachunku.

„Zasadne jest ponadto odpowiednie poinformowanie klienta o ewentualnych konsekwencjach związanych z niezaakceptowaniem (…) plików tego typu. Wydaje się bowiem, iż już na etapie zawierania umowy klient powinien mieć pełną świadomość ograniczeń, które mogą wystąpić w przypadku rezygnacji z zapisywania cookies na urządzeniu klienta” — czytamy w liście KNF.

Regulator przypomina, że dostęp do rachunku jest zagwarantowany w umowie i ograniczanie go mogłoby zostać uznane za niewywiązanie się z niej przez bank. Co na to banki? Prawnicy analizują, czy rzeczywiście o ciasteczkach trzeba informować w umowie, czy wystarczy komunikat na stronie banku. Na dwoje babka wróżyła — uważają bankowcy z największych instytucji w kraju. Jeśli jednak przeważy opcja, że informacje o ciasteczkach powinny znaleźć się w umowie, banki czeka operacja wysyłania aneksów do milionów klientów.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Eugeniusz Twaróg

Polecane