Komentář: PSD2 jako inovace na úkor bezpečnosti?

V polovině března byla zveřejněna finální verze technických standardů (RTS) pro směrnici PSD2. Její text je kompromisem mezi požadavky finančně-technologických startupů (fintechů) a snahou bank zachovat status quo. Hlavním konfliktem byla otázka bezpečnosti nového rozhraní. Kdo dosáhl svého?

Jablkem sváru při finalizaci RTS byla možnost využít takzvaný screen scrapping, tedy strojové čtení obrazovek existujícího internet bankingu. Při tomto způsobu přístupu se třetí strany nepřipojují na speciální rozhraní API, ale s pomocí různých technik simulují klikání v internet bankingu – systém vlastně předstírá, že je živým člověkem. Tuto metodu dnes používá mnoho fintechů po celém světě na získávání dat, které potřebují pro svoje fungování.

Screen scrapping je všeobecně považován za málo bezpečný. Důvodů je několik – například nemožnost oddělit informace o účtech od ostatních dat (například osobních údajů). Pokud třetí strana získá přístup do internet bankingu, dostane se automaticky ke všemu. To však není to nejhorší. Obrovským problémem je poskytnutí přihlašovacích údajů třetí straně.

Nepřehlédněte: Jak se s PSD2 změní svět fintech startupů?

Banky právem očekávaly zákaz screen scrapingu

Banky své klienty za posledních dvacet let naučily, že jméno a heslo do internet bankingu jsou tajné. Že tyto údaje se ze zásady nesdílejí nikomu a neříkají se dokonce ani bance (například při telefonátu na call centrum). Že opravdu jediné místo, kam se zadávají, jsou políčka přihlašovacího formuláře internet bankingu.

Ale screen scrapping se bez přihlášení dělat nedá. Startupy, které dnes tuto metodu používají, od svých klientů vyžadují přísně tajné přihlašovací údaje do internet bankingu – a klienti je navzdory riziku poskytují. Banky se na to dívají s nevolí. Některé z nich jako obranu zavedly dvoufaktorovou identifikaci (například přes SMS) už při přihlášení.

Od RTS banky právem očekávaly zákaz screen scrapingu. Stejně jako že přístup k účtům přes rozhraní API bude vymyšlen tak, aby jejich klienti nemuseli sdílet své tajné přihlašovací údaje. Toho se dá dosáhnout například přesměrováním klienta do systému banky při přihlášení.

Funguje to podobně jako platba v e-shopu: zákazník klikne na platební tlačítko, e-shop ho přesměruje na platební bránu banky, tam zadá přihlašovací údaje a zaplatí. Následně je přesměrován zpět do obchodu. Vlk se nažral a koza zůstala celá – obchodník dostává zaplaceno, ale přihlašovací údaje zákazníka nevidí.

Data ze všech účtů budou moci být na jednom místě. (Zdroj: finextra.com)

Lobbing zvítězil nad logickým úsudkem

Bohužel, lobování fintech firem bylo silnější než logický úsudek. Finální podoba RTS totiž předepisuje bankám nejen povinnost podporovat screen scraping, ale i zákaz vyžadovat přesměrování při přihlášení.

Samotný screen scraping by nebyl až takový problém. Pokud má banka spolehlivé a kvalitní rozhraní, může se mu vyhnout. RTS stanovuje, že banky, jejichž API ustojí intenzivní používání po dobu alespoň třech měsíců, mohou „vypnout“ podporu screen scrapingu. Výrazně větší bezpečnostní problém je zákaz přesměrování. To totiž znamená, že i při „správném“ přístupu přes rozhraní API budou klienti sdílet své přihlašovací údaje s třetími stranami.

Pro úplnost je nutné připomenout, že z jistého pohledu se přihlašovací údaje sdílejí už dnes. Klienti je poskytují například prohlížeči (Chrome, Safari, Firefox a další), když se přihlašují do internet bankingu. Spoléhají se, že prohlížeč je jednak bezpečně odevzdá systému banky, jednak je nezneužije. Otázkou je, jestli stejnou důvěru, jakou dostává prohlížeč, který celosvětově využívají miliardy lidí, má automaticky dostat jakákoliv finanční aplikace třetí strany.

Zůstává jen doufat, že fintechy se o bezpečnost svých aplikací postarají se stejnou vervou, jakou předvedly při lobování v Evropské komisi.

Total
20
Shares
Další články
Přečtěte si více

Polemika na obranu českých a slovenských startupů

Cítím potřebu se našich startupů a lidí, kteří kolem stojí, trochu zastat. Tenhle názor ve mě zrál už dlouho, jeho sepsání ale napomohly diskuze na řadě nejmenovaných facebookových profilů - třeba o tom, že "česká startupová scéna neexistuje" a jde jen o neúspěch, "na který spousta lidí vsadila svůj tiket". Rejpat do startupů je totiž v módě a obhájci moc slyšet nejsou, tak zkusím trochu srovnat síly, i když ve výsledku třeba bude pravda někde uprostřed.
Přečtěte si více

Seznam a TechSquare vyšlou speciální autobus na festival Pioneers

Nejen stylový způsob dopravy, ale také ubytování zdarma nabízí akce Czech Pioneers Bus na podporu české účasti na festivalu Pioneers. Akci, kam se sjíždí novodobí průkopníci, vizionáři, investoři, hackeři, blogeři a podobní troublemakeři. Letos uvítá 60 řečníků i mediální špičky - Google, Singularity University, Apple, Wired, TechCrunch, Forbes a další.