Niektóre portale od kilku dni grzmią jakoby paypal oszalał bo teraz
przy doładowaniu salda (za pomocą pośrednika Trustly) pyta o login i
hasło do banku użytkownika by zrobić przelew doładowujący.
Usługa znana i popularna na zachodzie p.t. "sam się zaloguj i pobierz
potrzebne środki" ponownie wzbudziła u nas oburzenie i
niedowierzanie. Ponownie, bo pierwsza fala oburzenia była kilka lat
temu przy okazji wejścia na masz rynek niemieckej firmy SOFORT
obsługującej ten sam mechanizm płatności w ponad 35 tys sklepach w
Europie.
Mechanizm jest bardzo prosty. W czasie dokonywania płatności np. w
sklepie internetowym podajemy dane do zalogowania się do naszego
banku automatowi pośrednika, który za nas w kolejnych krokach
dokonuje przelewu (i pyta o hasło smsowe, jeśli jest wymagane). Jak
przysięga SOFORT dane autoryzacyjne użytkownika nie są nigdzie
zapisywane a tylko użyte w bieżącej sesji płatności. Na marginesie:
chwalą się, że przez cały okres ich wieloletniej działalności (1.5mln
transakcji miesięcznie) nie mieli ani jednego przypadku fraudu.
Oczywiście takie zachowanie jest potępiane przez nasze banki, gdyż
łamie jeden z warunków regulaminu korzystania z usługi bankowośc
elektronicznwe (ten o zakazie udostępniania danych autoryzacyjnych).
Jednak banki będą musiały zmienić zdanie, gdyż istnieje dyrektywa
PSD2 Komisji Europejskiej, która ma wejść w życie w 2018 r a reguluje
ona m.in. pewne obszary usług płatności elektronicznych. Tak w
skrócie: ma powstać zunifikowany interfejs (api) udostępniany przez
banki tzw. trzeciej stronie by płatności lub zapytania o historię
rachunku (do profilowania użytkownika) odbywały się tym kanałem
dedykowanym ale bez danych autoryzacyjnych użytkownika. Oczywiście ma
się to odbywać gdy użytkownik wyrazi zgodę na taką usługę. Te banki,
które nie doszlosują w tym czasie z tym api będą musiały dopuszczać
metodę klasyczną "na zalogowanie za użytkownika" co w konsekwencji
prowadzi do tego, że nie będą mogły nie uznawać reklamacji z powodu
udostępnienia danych autoryzujących.

--
Marek