Screen scraping w bankowości

Jeśli słyszeliście o możliwości automatycznego pobierania danych z jednego banku i przekazywania ich do drugiego za pomocą paru kliknięć – słyszeliście o screen scrapingu. Wyjaśniam, co to jest screen scraping i jak się ma do bankowości.

 

Screen scraping (dosłownie „zeskrobywanie z ekranu”) – technika komputerowa, za pomocą której program, tzw. scraper automatycznie pobiera dane z innej platformy programowej, bądź strony internetowej. 

 

W sektorze bankowym w Polsce screen scraping, jak do tej pory wykorzystują trzy banki: mBank, Alior Bank oraz Idea Bank. Dwa pierwsze przy procesie przyznawania kredytów konsumenckich; trzeci przy obsłudze wniosków kredytowych dla małych firm.


Jak to działa? Screen scraping na przykładzie mBanku

Założenie hipotetyczne. Dajmy na to, że jesteśmy klientami Banku Millennium i chcemy wziąć kredyt konsumpcyjny. Sprawdzamy ofertę swojego banku i kilku innych. Okazuje się, że w mBanku jest najtaniej. Nie mamy tam jednak konta, a kredyt jest potrzebny na gwałt.

mBank podsuwa nam aplikację o nazwie „Importer”. Ów aplikacja to właśnie scraper, który w mBanku został zaprojektowany tak, aby ściągnąć z naszego obecnego rachunku sześciomiesięczną historię transakcji, dane o posiadanych zobowiązaniach oraz depozytach. Taki mini rentgen naszych finansów. Na podstawie danych pobranych z naszego rachunku analityk kredytowy dokonuje oceny naszej zdolności kredytowej, wiarygodności. Następnie podejmuje decyzję o przyznaniu kredytu lub nie.


Aby aplikacja mogła zadziałać w ten sposób - musimy się do niej zalogować. A logujemy się przez nią na nasze bieżące konto, czyli te w Banku Millennium (jak założyliśmy hipotetycznie). Tutaj tkwi cała istota problemu.


Niebezpieczeństwo screen scrapingu

Na świecie próby stosowania screen scrapingu w różnych firmach były już w roku 2000. Pomysł nie przyjął się z powodu niebezpieczeństwa, jakie niesie ze sobą używanie tej techniki.

Naczelną zasadą w każdym regulaminie otwierania i prowadzenia rachunków przez banki jest, aby chronić swoje dane do logowania, czyli login i hasło. W przypadku screen scrapingu dane te, jak na dłoni, są przekazywane przez nas dobrowolnie do obcej spółki. W razie jakichkolwiek problemów bank, którego regulamin złamaliśmy nie uzna naszej reklamacji, jak również może zablokować nasze konto.


Banki w kwestii screen scrapingu nie są zgodne. Te instytucje, które używają tej technologii - zapewniają, że pobierają tylko te dane, które są im potrzebne (np. tylko 6 ostatnich miesięcy z historii rachunku, a nie całość). Przekonują, że informacje nie są potem nigdzie przechowywane.
Przeciwnicy rozwiązania odpowiadają, że w praktyce nie ma możliwości sprawdzenia, co zostało odczytane i w jakim stopniu.


Wszystko to w imię wygody. Po to by klient nie czekał na decyzję kredytową i pieniążki dłużej niż kilka minut. Po to by mógł przenieść swój słownikROR za pomocą kilku kliknięć. Cel: super. Tylko dlaczego kosztem bezpieczeństwa klientów?


Decyzja Komisji Nadzoru Finansowego

Fragment komunikatu wydanego przez Urząd Komisji Nadzoru Finansowego:

Prowadzi to do złamania przez klienta przepisów ustawy o usługach płatniczych oraz warunków dotyczących korzystania z bankowości internetowej (...). Wiąże się to z ryzykiem utraty prawa do reklamacji ewentualnych nieautoryzowanych transakcji. (...) Jest prawdopodobne, że spowoduje to zmniejszenie czujności klientów w odniesieniu do miejsc, w których wprowadzają oni swoje dane logowania (...)" - źródło: Wyborcza.biz

 

Komisja tym samym wydała zalecenie, aby do końca sierpnia bieżącego roku banki zaprzestały stosowania screen scrapingu. Gazeta Prawna dowiedziała się, że Alior Bank oraz mBank postanowiły dostosować się do zaleceń KNF; w Idea Banku jeszcze nie podjęto decyzji w tej sprawie. [stan na 04.08.2014 r.]


W mojej opinii Komisja Nadzoru Finansowego ma absolutną rację, a zalecenie szybko powinno zamienić się w ustawowy zakaz wykorzystywania oprogramowań do przekazywania wrażliwych danych podmiotom trzecim.


Nie przekonują mnie żadne zapewnienia ze strony banków korzystających z screen scrapingu, że cały proces jest całkowicie bezpieczny, strony zabezpieczone certyfikatami, a usługa jest „cyklicznie poddawana audytom bezpieczeństwa, co powoduje że klient jest chroniony przed ewentualnymi próbami phishingu.” Nie jest.
Polacy nadstawiają karku przy kontach na słupa, dostają e-maile od oszustów z treścią wyciągniętą prosto z translatora, z wieloma błędami wszelkiego rodzaju - a mimo to traktują je wiarygodnie.


W przypadku screen scrapingu wystarczy, że oszust podstawi identyczny aplet, czy witrynę nieostrożnemu klientowi i mamy tragedię gotową. Oszust uzyskuje w kilka chwil, bez najmniejszego wysiłku, pełne dane do logowania klienta.


Bardzo jestem ciekaw Waszych opinii na ten temat. Co sądzicie o samym pomyśle przekazywania danych z rachunku w banku X do banku Y? Jeśli screen scrapingowi mówimy „tak”, to co należy zrobić aby ta procedura była stuprocentowo bezpieczna?

 

    Otlewski-portret-miniŁukasz Otlewski, 17 sierpnia 2014

Komentarze   

Jacek
Jacek 2014-11-22 19:46
Panie Łukaszu, postępu nie da się zatrzymać...
Cytuj | Zgłoś
Łukasz Otlewski
Łukasz Otlewski 2014-11-22 22:09
Panie Jacku,
wcale nie chcę go zatrzymywać. Niech tylko ten postęp idzie w parze z bezpieczeństwem. :-)

Dziękuję za komentarz, pozdrawiam serdecznie
Łukasz Otlewski
Cytuj | Zgłoś