Mă consider un om educat în folosirea internetului … totuși cu ceva timp în urmă mi-am luat-o de am vorbit singur 30 de minute. Mai concret am cumparat bilete de cinema de pe cinemagia.ro intr-un mod banal: am ales, am dat să platesc, a apărut ecranul clasic de introdus datele cardului apoi surpriză! am fost transferat intr-un site al Libra Bank în care eram deja înscris ca utilizator al aplicatiei Libra Wallet. Concomitent am primit un email în care mi se comunicau userul si parola.
Poate că ar trebui să explic ce este un portofel electronic cu toate că exista un exemplu celebru numit PayPal. Deoarece comisioanele pentru plățile cu cardul sunt proporțional mari în cazul plăților de valoare mică s-au inventat aceste aplicații de portofel electronic cu care plata este mai ieftin comisionată iar de pe card sau cont se extrag sume mai rar care corespund mai multor plați combinate. Sumele uzuale transferate sunt mici însă riscul de fraudare există iar prejudiciul poate fi înclusiv moral, mulți nu suportă ideea să fie ”făcuți la portofel” indiferent de valoare.
Înțeleg beneficiul acestui tip de aplicație, am cont PayPal, însă acest cont a apărut în urma alegerii mele conștiente și bine informate. În cazul Libra Wallet mi-a spus un operator din call-center-ul lor că în ecranul de culegere date card ar fi fost o bifă presetată afirmativ pe care eu nu am observat-o și care a dus la crearea contului. Mai mult, când am introdus adresa de email nu am fost atenționat că pe aceasta vor fi trimise, necriptat, date precum userul și parola de acces la portofel, aș fi putut ușor folosi o adresă comună, de office, sau a prietenilor cu care mergeam la film. Mai spunea operatorul că CVV code nu se stochează precum restul datelor cardului și prin urmare nu se pot face plați frauduloase. Nu avea rost să-i spun că plățile mele către Microsoft Irlanda sau Amazon au fost fără CVV și că dacă nu aș avea grijă să-mi tot schimb limitele cardului, datele stocate de Libra ar fi deajuns să se facă plați.
Am scris rapid o sesizare pe care am trimis-o în copie mai multor instituții, nu ca să-mi rezolv problema mea ci pentru că chiar cred că angajații acestora ar trebui să facă mai mult decât să răspundă minimal cerințelor legale, ar trebui să-și înțeleagă rolul și să și-l implinească proactiv.
De la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal mă așteptam să observe că nu am fost informat corespunzător în privința stocării și utilizării datelor mele personale de natură bancară. Mi-au răspuns că trebuia să aștept cu reclamația 14 zile dar că totuși o să investigheze independent. Să vedem și rezultatul.
De la BNR mă așteptam să se întrebe cum îndeplinește Libra Bank obligația de cunoaștere a clientului căruia îi execută intenția de plată. Mi-au răspuns că nu este de competența lor dar că totuși au ridicat problema către LIBRA INTERNET BANK SA care le-a răspuns așa:
„[...] Activarea plăţilor rapide este direct legată de prestarea serviciului oferit de cinemagia.ro/ Imedia Plus Group SA, fără îndoială însă, nu există o relaţie de condiţionalitate funcţională, motiv pentru care opţiunea poate fi inactivată (atât în pagina de plată, cât şi ulterior). [...] plăţi viitoare se pot realiza doar prin introducerea corectă a codului de verificare CVV/CVC2, cod cunoscut doar de către titularul de card. Suplimentar, întregul sistem de procesare a tranzacţiilor este monitorizat atât automat, cât şi manual, eventualele tentative frauduloase fiind filtrate.”
În prima subliniere Libra încearcă să mute pisica către vanzătorul de bilete, că aș fi clientul lui și nu al bancii, iar în a doua recunoaște că înrolarea este implicită/automată.
De la Ministerul pentru Societatea Informațională m-aș fi așteptat să se sesizeze de existența acestei aplicații în contextul următoarei definiții:
a) instrument de plata cu acces la distanta - solutia informatica ce permite detinatorului sa aiba acces la distanta la fondurile aflate în contul sau, în scopul obtinerii de informatii privind situatia conturilor si operatiunilor efectuate, efectuarii de plati sau transferuri de fonduri catre un beneficiar, prin intermediul unei aplicatii informatice, al unei metode de
autentificare si al unui mediu de comunicatie;
sau să-mi spună de ce Libra Wallet nu face obiectul ordinului MCSI nr. 389 din 27 iunie 2007 citat mai sus și prin urmare securitatea sa nu trebuie auditată independent anual. De la MSI nu am primit încă nici un răspuns.
Nu este singurul produs de acest fel de pe piață, poate ca BNR și MSI ar trebui să analizeze impreună evoluția tehnologiilor de plați. Și încă ceva, toată corespondența a fost de pe adresa de email personală.
Update 27.12.2013: Astazi iar am cumparat bilete de pe cinemagia, nu mai exista inrolare automata in Libra Wallet sau exista un filtru care m-a scutit in calitate de fost client actualmente retras.
Niciun comentariu:
Trimiteți un comentariu