Władze PayPala zapewne nie spodziewały się fali krytyki, gdy podejmowały decyzję o zmianie sposobu doładowywania kont swoich klientów. Od niedawna nie mogą już oni zasilać ich przelewami typu pay by link. Mają za to do wyboru tradycyjny przelew, którego realizacja trwa minimum kilka godzin, lub sposób oferowany przez firmę Trustly, dzięki któremu środki na koncie PayPal znajdują się niemal natychmiast.

Zasada działania tej usługi jest prosta: klient podaje firmie Trustly login i hasło do swojego rachunku bankowego oraz kwotę zasilenia konta w PayPal. Trustly wykonuje za klienta przelew zasilający, który musi zostać przez niego autoryzowany hasłem jednorazowym, również podawanym firmie Trustly. PayPal ma więc pewność, że pieniądze otrzyma i od razu może udostępnić odpowiednią kwotę klientowi na jego koncie. Szybko i tanio.

Afera zaczęła się, gdy o sprawie napisał Niebezpiecznik a po nim inne media internetowe. PayPal oraz oferująca zasilenia firma Trustly, zostały oskarżone o to, że zwariowały, że wyłudzają dane logowania do rachunków nakłaniając klientów do łamania regulaminów bankowych, że kradną z rachunków klientów ich historie transakcji, że hasła i loginy mogą zostać wykorzystane w niecnych celach, itd., itd.

Przeczytajcie także: To bank ma dbać o to, aby klient nie został zhakowany

Problem w tym, że ani PayPal ani Trustly nie zwariowały a proponowany przez nie sposób doładowań nie jest niczym nowym nawet na polskim rynku. Od lat podobny mechanizm do płatności internetowych wykorzystuje firma Sofort, znana u nas m.in. z konfliktu z Komisją Nadzoru Finansowego, która z uporem stara się uniemożliwiać jej oferowanie usług w Polsce. W swoich rekomendacjach KNF jasno stwierdza, że podawanie loginu i hasła do rachunku podmiotom trzecim jest nielegalne.

KNF nie może jednak zakazać działalności firmie Sofort, która nie podlega jego nadzorowi. Przy pomocy systemu tej firmy można więc płacić za zakupy m.in. w sklepach Deichmann, Oponeo czy Pyszne.pl. Co ciekawe w przeszłości Sofort podobne problemy jak na polskim rynku miał w innych krajach, poszedł z tym kilka razy do sądu i większość spraw wygrał. Sądy antymonopolowe stwierdziły, że blokowanie tego rodzaju usług nosi znamiona nieuczciwej konkurencji. KNF może więc krytykować, radzić, ostrzegać, ale zakazać działalności takim firmom jak Sofort czy Trustly nie da rady.

Należy przy tym spodziewać się, że wkrótce podobnych firm i usług będzie więcej a to za sprawą Komisji Europejskiej, która w nowej dyrektywie PSD II przeforsowała umożliwienie dostępu do rachunków bankowych tzw. podmiotom trzecim. PSD II już została przyjęta a państwa członkowskie mają dwa lata na jej implementację. Zgodnie z jej zapisami banki będą musiały umożliwić dostęp do rachunków na zasadach wspólnych dla wszystkich w UE. Jeśli tego nie zrobią, bo np. nie zdążą się przygotować od strony informatycznej, nie będą mogły blokować dostępu do rachunków na takich zasadach, na jakich dziś funkcjonują Sofort czy Trustly.

Przeczytajcie także: Oto największy bankowy botnet w Polsce

Dlaczego więc KNF sprzeciwia się ich działalności, postępuje wbrew zaleceniom władz Unii Europejskiej i stawia barierę dla wzrostu konkurencji na rynku usług płatniczych? Wydaje się, że generalnie podziela obawy o bezpieczeństwo pieniędzy klientów, wyartykułowane w ostatnich dniach przez krytyków nowego sposobu doładowywania kont w firmie PayPal. Mówił o tym kilka tygodni temu Andrzej Reich, dyrektor departamentu regulacji bankowych, instytucji płatniczych i spółdzielczych kas oszczędnościowo-kredytowych w KNF, podczas specjalistycznej konferencji Payment Meeting.

– Od dawna polski nadzór jest postrzegany jako konserwatywny. Ale dzięki takiej postawie udało się nam uchronić polski sektor finansowy przed kryzysem w 2008 roku – powiedział Andrzej Reich. I wyraził nadzieję, że w przypadku otwierania rynku usług płatniczych Europa zastanowi się, czy aby nie poszła za daleko oraz wycofa z niektórych rozwiązań.

Zdaniem przedstawiciela KNF branża płatnicza zbyt pochopnie i entuzjastycznie przyjmuje nowe zasady, jakie zostaną wprowadzone przez dyrektywę PSD II. Dlaczego? Bo patrzy na nie tylko przez pryzmat korzyści a nie zagrożeń. – Zapominacie, że po drugiej stronie są klienci, którzy nie zawsze są tak biegli w nowych technologiach jak wy sami i często nie potrafią dostrzec tego, że ktoś próbuje ich oszukać – powiedział Andrzej Reich do uczestników konferencji.

Przeczytajcie także: ZBP ostrzega przed nowym cyberatakiem

Jego zdaniem klienci nie powinni podawać nikomu hasła i loginu do własnych rachunków bankowych bo w razie transakcji oszukańczej nie będzie sposobu na to by udowodnić, że to nie oni logowali się na konto i wykonali sporną operację. – Ktoś powie: no ale przecież pracownik banku wykonujący na zlecenie klienta w oddziale przelew również loguje się na jego konto i może go oszukać. Owszem, ale wtedy łatwo to sprawdzić bo nim pracownik wykona transakcję musi najpierw swoimi danymi uwierzytelnić się w systemie – powiedział przedstawiciel KNF.

Swoją drogą ciekawe, jakie stanowisko zajmą polskie sądy w ewentualnych sporach pomiędzy klientami korzystającymi z usług takich firm jak Sofort a bankami? Bo, że prędzej czy później do takich sporów dojdzie, jestem przekonany. Warto w tym miejscu przypomnieć, że w ostatnim czasie zapadło wiele wyroków korzystnych dla ofiar tzw. phishingu. A przecież dzięki niemu przestępcy dostają się na rachunki przy pomocy legalnych loginów i haseł, udostępnionych im przez klientów.

Natomiast specjaliści podkreślają, że PSD II to także szansa na rozwój wielu nowych usług. Dr Krzysztof Korus, radca prawny z kancelarii dLK Korus Okoń, jako przykład podaje możliwość agregowania w jednym miejscu dostępu do rachunków prowadzonych w wielu bankach. Można sobie wyobrazić sytuację, że klient posiada rachunek w banku x bo oferuje on korzystne oprocentowanie dla oszczędności, ale jego serwis transakcyjny jest mniej wygodny niż w banku y. Dlatego przelew z rachunku w banku x klient będzie mógł wykonywać z serwisu w banku y.

Przeczytajcie także: • SMS potrzebny do logowania? Zaskakujący skutek PSD II

Co ciekawe usługi agregowania rachunków z wielu instytucji w jednym miejscu całe lata temu były już u nas oferowane najpierw przez nieistniejący już MultiBank a później przez Kontomierz. Wykorzystywano do tego tzw. screen scraping. Później produkty oparte o screen scraping oferowały także Alior, mBank i Idea Bank, ale w wyniku rekomendacji KNF musiały tego zaprzestać.

Na marginesie afery z nowym sposobem doładowywania kont w firmie PayPal warto zwrócić uwagę na jeszcze jeden aspekt sprawy, poruszony przez Wojtka Boczonia z serwisu PRNews. Otóż wykonując zasilenie konta PayPal przy pomocy usługi firmy Trustly w czasie między sesjami Elixir, klient może w systemie transakcyjnym własnego banku odwołać zlecenie przelewu a bank zwróci mu pieniądze na rachunek. W tym czasie jednak pojawią się już one na koncie PayPal. A to pole do nadużyć.

Na podobnej zasadzie działa również system firmy Sofort. Kilka dni temu zapytałem jej służby prasowe, w jaki sposób firma zabezpiecza przed takim procederem siebie i sklepy internetowe, które korzystają z jej płatności. Obiecano mi odpowiedź, ale do dziś nie nadeszła. Gdy tylko ją otrzymam aktualizuję tekst.

Natomiast jeżeli ktoś skorzystał lub ma zamiar skorzystać z przelewów przy udziale firmy Sofort, Trustly lub innych takich i boi się o swoje pieniądze, może w dość prosty sposób zadbać o ich bezpieczeństwo. Wystarczy, że po wykonanej operacji zmieni hasło logowania na rachunek. Dzięki temu żadna z tego typu firm nie będzie mogła ponownie zalogować się na konto przy pomocy otrzymanych wcześniej danych.

AKTUALIZACJA

Otrzymałem już odpowiedź z firmy Sofort. Spółka podkreśla, że zdaje sobie sprawę iż klient ma możliwość odwołania zleconego za jej pośrednictwem przelewu. Dlatego sklepom korzystającym z jej usług zaleca, zwłaszcza przy zamówieniach o wyższej wartości, powstrzymanie się z wysyłką towaru do czasu otrzymania płatności na konto bankowe. Sofort twierdzi też, że próby oszustw zdarzają się skrajnie rzadko.