Od tygodnia klienci kilku największych banków nie mogą zasilać błyskawicznym przelewem rachunków w PayPalu. To największy na świecie pośrednik płatności w internecie, mocny przede wszystkim w transferach międzynarodowych. Wszystko zaczęło się przed długim weekendem majowym, kiedy PKO BP, Pekao, mBank, a potem inni gracze zaczęli blokować klientom opcję szybkich przelewów na przedpłacone konta w PayPalu. Embargo było reakcją na ruch amerykańskiego giganta, który 26 kwietnia podpisał umowę z nowym operatorem na obsługę przelewów zasilających w całym regionie, w tym w Polsce. Wcześniej PayPal współpracował u nas z sopocką firmą Blue Media, która ma własny system szybkich transferów, oparty na rozpowszechnionej na krajowym rynku metodzie płatności typu pay-by-link. Nowy partner PayPala, szwedzki Trustly, ma inny sposób realizacji szybkich transferów, znany w wielu krajach — screen scraping. Polega na tym, że klient przed realizacją płatności wysłaniem przelewu, loguje się do rachunku nie poprzez stronę banku, ale bezpośrednio z witryny operatora, który „zapuszcza” robota do konta i sprawdza, czy są na nim wystarczające kwoty do zrealizowania transakcji. Jeśli tak, prosi zleceniodawcę o zatwierdzenie płatności jednorazowym kodem, który klient wpisuje również na stronie pośrednika.
Powszechne zaskoczenie
Jest to metoda legalna, rozpowszechniona w Skandynawii, znana w Niemczech, Wielkiej Brytanii i wielu innych krajach. W Polsce od 2014 r. jest natomiast zakazana. Komisja Nadzoru Finansowego (KNF) uważa, że zgodnie z umową rachunku klient nie może nikomu, za wyjątkiem własnego banku, przekazywać danych do logowania. Wczoraj na stronie KNF pojawił się komunikat przypominający o niebezpieczeństwach związanych z „dopuszczaniem pośredników do rachunku bankowego w płatnościach internetowych”. Nadzór przypomina, że korzystanie ze screen scrapingu narusza warunki umowy rachunku, może zakończyć się utratą prawa do reklamacji nieautoryzowanych transakcji i wreszcie ściąga ryzyko przechwycenia przez osoby postronne danych do logowania. Reakcja banków zaskoczyła PayPala, który w ogóle nie był przygotowany na jakiekolwiek problemy. Tyle że nie mniej zaskoczone były banki działaniami PayPala. — Zmiana sposobu realizacji przelewów nie została poprzedzona żadną informacją. PayPal nie sprawdził też, czy w Polsce screen sraping jest w ogóle dozwolony — mówi przedstawiciel jednego z banków.
Luka w systemie
Z naszych informacji wynika, że PayPal był przekonany, że Trustly, który już wcześniej działał na polskim rynku, zbadał sprawę lokalnych regulacji. Operator powinien znać stosunek KNF do screen scrapingu — KNF ogłosiła stanowisko w sprawie tej metody kilka lat temu kiedy jako pierwszy taką usługę zaczął świadczyć Sofort. Wówczas nadzór przestrzegał przed powierzaniem danych do rachunku pośrednikom. Trustly nie odrobił jeszcze jednej lekcji. Wiadomo, że Polak potrafi, o czym przekonał się wcześniej Sofort. Otóż okazało się, że jego system transferów na początku miał lukę. Właściciel rachunku mógł zlecić błyskawiczny przelew za pomocą screen scrapingu, a następnie, kiedy Sofort już zaksięgował należną kwotę na rachunku sprzedawcy, anulować transfer w systemie transakcyjnym banku. Zamówiony towar trafiał do oszusta, a pieniądze na konto sprzedawcy — nie. Było to działanie oczywiście nielegalne. PRnews odkrył, że taka sama luka jest w systemie Trustly. Operator też chyba zorientował się, że jest narażony na potencjalne oszustwa, ponieważ… zaczął blokować błyskawiczne przelewy z niektórych banków.
— Sytuacja jest dość kuriozalna, bo część banków uniemożliwia realizację szybkich przelewów do PayPala, inne zostały skreślone z listy ekspresowych transferów przez Trustly, a jeszcze inni współpracują z operatorem — mówi przedstawiciel sektora.
Jednym z nich jest ING Bank Śląski, który na razie na stronie internetowej ostrzega klientów przed powierzaniem danych do logowania osobom trzecim. Piotr Utrata, rzecznik instytucji, nie wyklucza, że dostęp do szybkich przelewów do PayPala zostanie zablokowany. Być może wcześniej uda się jednak znaleźć systemowe rozwiązanie problemu.
— Czekamy na propozycje naszych partnerów — mówią przedstawiciele banków. Na razie odbyła się rozmowa telefoniczna przedstawicieli PayPala i Trustly z kierownictwem PKO BP, który niejako w imieniu sektora zajmuje się sprawą. Na razie żadne twarde deklaracje nie padły, poza potwierdzeniem gotowości do rozwiązania problemu.
„Zdajemy sobie sprawę, że niektóre banki zawiesiły współpracę z Trustly w Polsce. Dlatego pracujemy wspólnie z Trustly nad (…) jak najszybszym rozwiązaniem problemu” — informuje biuro prasowe PayPala. Klienci cały czas mogą zasilać przedpłacone konta zwykłym przelewem.