Sektor boi się, że przyjęcie ustawy o mObywatelu w zaproponowanym kształcie ułatwi masową kradzież tożsamości
Trwają prace nad projektem ustawy, której celem jest umożliwienie korzystania z tożsamości elektronicznej dostępnej w aplikacji mObywatel wszędzie tam, gdzie obecnie można korzystać z plastikowego dowodu osobistego. Wedle nowych przepisów mObywatel ma więc umożliwić zakładanie rachunków bankowych, zaciąganie kredytów i leasingów czy podpisywanie umów np. z firmami telekomunikacyjnymi, ubezpieczeniowymi itd.
Część bankowców podnosi jednak alarm. Twierdzą, że tak zmodyfikowane prawo może przynieść negatywne skutki. Eksperci branży finansowej obawiają się, że tak jak dziś oszuści niemal masowo pozyskują od nieświadomych klientów dane logowania na rachunki bankowe, by kraść pieniądze z ich kont, w przyszłości będą je pozyskiwać, by aktywować mObywatela i kraść tożsamość. A ta może posłużyć im do zakładania rachunków w innych bankach, zaciągania zobowiązań finansowych itd.
Zresztą próby kradzieży dostępu do mObywatela już się zdarzają. Wczoraj zespół CSIRT NASK ostrzegał o nowej kampanii zorganizowanej przez złodziei internetowych, w ramach której podszywają się oni pod rządową stronę umożliwiającą zweryfikowanie uprawnień kierowcy. Zdaniem CSIRT NASK celem przestępców było wyłudzenie danych do aplikacji mObywatel przez fałszywy panel logowania.
Co ciekawe w przeszłości z procederem tworzenia łańcuszka tożsamości mieliśmy już do czynienia. Gdy banki umożliwiły zakładanie nowych rachunków tzw. przelewem aktywacyjnym z konta w innym banku, przestępcy na ukradzione dane tworzyli cały łańcuszek rachunków w różnych instytucjach, a następnie wyłudzali za ich pomocą kredyty. Problem urósł do takiej skali, że interweniować musiała Komisja Nadzoru Finansowego, która w zasadzie zakazała aktywowania nowych rachunków przelewami.
W przypadku kradzieży tożsamości za pomocą mObywatela konsekwencje mogą być poważniejsze niż tylko zadłużenie z tytułu wyłudzonego kredytu czy pożyczki. Rozmówcy cashless.pl mówią np. o hipotetycznej sytuacji, gdy na skradzioną tożsamość zaciągany jest leasing na auto, które następnie bierze udział w śmiertelnym wypadku drogowym. Odpowiedzialnością za skutki takiego zdarzenia może być obarczona osoba, której tożsamość skradziono.
Skutki wejścia w życie nowych przepisów mogą być dodatkowo dotkliwsze z racji na fakt, że w przypadku kradzieży pieniędzy poszkodowany dość szybko jest w stanie zidentyfikować problem i np. zablokować dostępy do swoich rachunków, zastrzec karty itd. Po założeniu mObywatela na czyjeś dane przestępcy będą mogli za jego pomocą przez dłuższy czas podpisywać umowy, zaciągać pożyczki itd., a ofiara nie będzie tego świadoma.
Oczywiście bankowcy podnoszą alarm nie tylko ze względu na troskę o klientów, ale także o swoje interesy. Nie jest trudno wyobrazić sobie scenariusz, gdy zjawisko kradzieży tożsamości na mObywatela osiąga dużą skalę i zmusza do interwencji sądy, nadzór czy urząd antymonopolowy. Środowisko bankowe obawia się zatem, że jeśli do tego dojdzie, to właśnie ono zostanie obarczone odpowiedzialnością za nieprawidłowości w funkcjonowaniu elektronicznej tożsamości, gdyż to przez login i hasło na konto osobiste mObywatela można aktywować najłatwiej.
O komentarz w tej sprawie zwróciłem się do Związku Banków Polskich. – Problem został zidentyfikowany przez środowisko bankowe. Poinformowaliśmy stronę rządową, która przygotowała projekt ustawy na temat mObywatela. Aktualnie pracujemy wspólnie nad rozwiązaniem tej kwestii i ograniczeniem potencjalnych ryzyk – powiedział serwisowi cashless.pl Tadeusz Białek, wiceprezes ZBP. O komentarz poprosiłem także biuro prasowe Kancelarii Prezesa Rady Ministrów. Gdy otrzymam odpowiedź, zaktualizuję ten bądź napiszę nowy tekst.
A jak można wyeliminować bądź przynajmniej zminimalizować ryzyko kradzieży tożsamości przez mObywatela i skutków takiego procederu? Zdaniem naszych rozmówców powinno się wprowadzić dodatkowe zabezpieczenie do procesu aktywacji aplikacji. Można zrobić to na przykład poprzez aplikację eDO App, umożliwiającą korzystanie w świecie cyfrowym z dowodów osobistych z tzw. warstwą elektroniczną. Niestety, ma to swoje minusy, gdyż takie dowody wciąż stanowią mniejszość. Poza tym duża część osób, która je wyrobiła, nie zdecydowała się jednocześnie na pobranie danych umożliwiających pełne korzystanie z nich w aplikacjach takich jak eDO App.
Bankowcy sugerują także, by do ustawy wprowadzić zapisy, które określą odpowiedzialność za skutki kradzieży tożsamości. Nasi rozmówcy oczekują, że dzięki temu odpowiedzialność ta nie spadnie na dostawców usług bankowych, za pomocą których aktywacji mObywatela można dokonać. Ich zdaniem, jeśli to nie zostanie zrobione – instytucje finansowe mogą wyłączyć funkcję wykorzystania danych bankowych do aktywowania dostępu do usług rządowych, takich jak mObywatel.
A na koniec warto wspomnieć, że powstanie mObywatela w wersji 2.0 będzie miało jeszcze jedną konsekwencję dla branży bankowej. Wiele wskazuje na to, że nowy mObywatel może być silną konkurencją dla, rozwijanej od kilku lat przez należący do banków KIR, usługi mojeID.