Komentář: PSD2 jako inovace na úkor bezpečnosti?

V polovině března byla zveřejněna finální verze technických standardů (RTS) pro směrnici PSD2. Její text je kompromisem mezi požadavky finančně-technologických startupů (fintechů) a snahou bank zachovat status quo. Hlavním konfliktem byla otázka bezpečnosti nového rozhraní. Kdo dosáhl svého?

Jablkem sváru při finalizaci RTS byla možnost využít takzvaný screen scrapping, tedy strojové čtení obrazovek existujícího internet bankingu. Při tomto způsobu přístupu se třetí strany nepřipojují na speciální rozhraní API, ale s pomocí různých technik simulují klikání v internet bankingu – systém vlastně předstírá, že je živým člověkem. Tuto metodu dnes používá mnoho fintechů po celém světě na získávání dat, které potřebují pro svoje fungování.

Screen scrapping je všeobecně považován za málo bezpečný. Důvodů je několik – například nemožnost oddělit informace o účtech od ostatních dat (například osobních údajů). Pokud třetí strana získá přístup do internet bankingu, dostane se automaticky ke všemu. To však není to nejhorší. Obrovským problémem je poskytnutí přihlašovacích údajů třetí straně.

Nepřehlédněte: Jak se s PSD2 změní svět fintech startupů?

Banky právem očekávaly zákaz screen scrapingu

Banky své klienty za posledních dvacet let naučily, že jméno a heslo do internet bankingu jsou tajné. Že tyto údaje se ze zásady nesdílejí nikomu a neříkají se dokonce ani bance (například při telefonátu na call centrum). Že opravdu jediné místo, kam se zadávají, jsou políčka přihlašovacího formuláře internet bankingu.

Ale screen scrapping se bez přihlášení dělat nedá. Startupy, které dnes tuto metodu používají, od svých klientů vyžadují přísně tajné přihlašovací údaje do internet bankingu – a klienti je navzdory riziku poskytují. Banky se na to dívají s nevolí. Některé z nich jako obranu zavedly dvoufaktorovou identifikaci (například přes SMS) už při přihlášení.

Od RTS banky právem očekávaly zákaz screen scrapingu. Stejně jako že přístup k účtům přes rozhraní API bude vymyšlen tak, aby jejich klienti nemuseli sdílet své tajné přihlašovací údaje. Toho se dá dosáhnout například přesměrováním klienta do systému banky při přihlášení.

Funguje to podobně jako platba v e-shopu: zákazník klikne na platební tlačítko, e-shop ho přesměruje na platební bránu banky, tam zadá přihlašovací údaje a zaplatí. Následně je přesměrován zpět do obchodu. Vlk se nažral a koza zůstala celá – obchodník dostává zaplaceno, ale přihlašovací údaje zákazníka nevidí.

Data ze všech účtů budou moci být na jednom místě. (Zdroj: finextra.com)

Lobbing zvítězil nad logickým úsudkem

Bohužel, lobování fintech firem bylo silnější než logický úsudek. Finální podoba RTS totiž předepisuje bankám nejen povinnost podporovat screen scraping, ale i zákaz vyžadovat přesměrování při přihlášení.

Samotný screen scraping by nebyl až takový problém. Pokud má banka spolehlivé a kvalitní rozhraní, může se mu vyhnout. RTS stanovuje, že banky, jejichž API ustojí intenzivní používání po dobu alespoň třech měsíců, mohou „vypnout“ podporu screen scrapingu. Výrazně větší bezpečnostní problém je zákaz přesměrování. To totiž znamená, že i při „správném“ přístupu přes rozhraní API budou klienti sdílet své přihlašovací údaje s třetími stranami.

Pro úplnost je nutné připomenout, že z jistého pohledu se přihlašovací údaje sdílejí už dnes. Klienti je poskytují například prohlížeči (Chrome, Safari, Firefox a další), když se přihlašují do internet bankingu. Spoléhají se, že prohlížeč je jednak bezpečně odevzdá systému banky, jednak je nezneužije. Otázkou je, jestli stejnou důvěru, jakou dostává prohlížeč, který celosvětově využívají miliardy lidí, má automaticky dostat jakákoliv finanční aplikace třetí strany.

Zůstává jen doufat, že fintechy se o bezpečnost svých aplikací postarají se stejnou vervou, jakou předvedly při lobování v Evropské komisi.

Diskuze k článku