Víc účtů v bance, jen jedna aplikace
Tomáš Hládek, který má v České bankovní asociaci evropskou směrnici na starosti.
Jenže technologické firmy nečekají a již se své možnosti chápou. Vidět to je právě u aplikací na přehledné analýzy osobních financí, jako jsou Spendee, Mint nebo české BudgetBakers, které po světě používají miliony lidí. Z velké části aktuální informace o pohybech v internetovém bankovnictví klientů nezískávají od bank oficiálně a bezpečně, jak to předpokládá chystaný zákon. Využívají k tomu metodu známou jako data scraping.
Zjednodušeně jde o to, že klient sdělí aplikaci přihlašovací údaje a ta projíždí internetové bankovnictví, aniž o tom banka ví. To je problematické a pro samotné uživatele nebezpečné.
„Je potřeba někde uložit přístupové údaje, navíc v případě scrapingu nejsou nijak řešena přístupová práva, a tak si při úniku údajů může útočník vesele ovládat celé bankovnictví. Přestože dnes banky hojně používají dvoufaktorové ověřování na platby, ne všechny takové ověření podporují a považuji ztrátu údajů za velké riziko,“popisuje situaci například bezpečnostní expert Avastu Michal Salát.
Souhlasí s nim i právník zaměřující se v Rowan Legal na internetové právo Jan Tomíšek. „Banky ve svých smluvních podmínkách smí uložit, jak mají klienti se svými přístupovými údaji nakládat. Například, že je nesmí sdělit třetí osobě. Pokud takový zákaz klient poruší a údaje budou zneužity, banka velmi pravděpodobně nebude odpovídat za újmu, která nám vznikne, protože se prokáže, že klient jednal s hrubou nedbalostí, když údaje někomu prozradil,“říká.
Přesto se data scraping ve velkém používá. Pro získávání údajů o klientech českých bank to dělá i zmíněná aplikace BudgetBakers. Michal Kratochvíl, šéf firmy a zároveň zakládající člen České FinTech asociace, tento postup hájí. „Vždy se tak děje s výslovným souhlasem klientů, kteří si uvědomují, že nám údaje svěřují. Myslím, že není třeba vodit je za ručičku a lze je nechat o svých datech rozhodnout samotné. Nabízíme více metod a necháváme na našich uživatelích, kterou si vyberou,“říká s tím, že už začínají první jednání s českými bankami, které by začaly BudgetBakers dobrovolně zpřístupňovat bezpečnější způsob přes API.
„Banky samy se chtějí na novou situaci připravit a jedna z cest je, že začnou spolupracovat s některými již existujícími aplikacemi. V příštích měsících to bude velké téma,“dodává.
To je ale pořád řeč hlavně o pasivní možnosti získávat informace o internetovém bankovnictví. Aktivní nepřímé zadávání plateb dobrovolně asi jen tak nepřijde. Na vstup směrnice v platnost proto čeká i majitel brněnského faktoringového startupu Investiční aukce Adam Šoukal.
„Určitě bychom chtěli, aby to bylo co nejdřív. Plánujeme totiž do naší služby přidat platby nebo agregace účtů, což zatím nemůžeme. Dokud to nejde, tak v tom nejsme schopni bankám konkurovat,“říká.
Myslím, že není třeba vodit klienty za ručičku a lze nechat o datech rozhodnout je samotné. Michal Kratochvíl BudgetBakers