Aratam recent ca, din ce in ce mai des, telefonia mobila intefereaza cu activitatea bancara si prezentam principalele riscuri ce se contureaza la orizont, odata cu utilizarea telefonului mobil pe post de intermediar in accesarea conturilor si derularea unor tranzactii. Utilizare menita, in principiu, sa usureze si sa simplifice viata, ce vine la pachet cu riscul de a rata tranzactii importante.
In acest sens, dadeam ca exemplu edificator autorizarea platilor cu cardurile prin sistemul 3D Secure, menit sa impiedice efectuarea de plati facute de o persoana straina care intra in posesia cardului (avand astfel acces nu doar la datele de baza, dar si la codul de control de trei cifre, aflat pe verso).
Reamintesc faptul ca, pana de curand, se introducea o parola personala, care era stabilita in sistem. Dependenta de telefonul mobil era nula, deoarece tranzactia se putea face direct pe un calculator personal, fara telefonul mobil. Invocand securitatea sporita a unui cod unic (specific tranzactiei in cauza si limitat ca valabilitate in timp), bancile au impus clientilor autorizarea 3DSecure prin trimiterea unui mesaj pe telefonul mobil, pe numarul de telefon din relatia cu banca.
Ori, interpunerea telefoniei mobile pe traseul efectuarii unor operatiuni de plata a venit la pachet cu posibilitatea ca telefonul sau reteaua de telefonie sa nu functioneze corect. Asta lasand la o parte cazul in care unei persoane i se sustrag si cardul si telefonul, si atunci hotul are acces la tranzactii si la sumele din cont tocmai prin faptul ca i se transmite pe telefon acel cod unic de autorizare.
Prima ipoteza s-a si materializat in week-end-ul de la inceputul lunii iulie, cand reteaua Digimobil s-a confruntat temporar si aleator, potrivit celor declarate de serviciul de relatii cu clientii de anumite probleme tehnice, astfel incat SMS-urile transmise automat de procesatorul Romcard nu au ajuns la destinatar pentru autorizarea platilor aflate in curs de efectuare.
Din pacate, din cate am inteles, nici sistemul de autorizare al bancilor nu prevede posibilitatea transmiterii codului de autorizare unic pe adresa de e-mail, pentru a putea utiliza calculatorul personal in loc de telefon la efectuarea cap-coada a tranzactiei. Dupa cum nici mesajul de a suna la banca emitenta nu ajuta la nimic, deoarece nici operatorul bancar nu stia si nu avea cum sa inteleaga ce se intampla.
Practic, banca functiona corect conform procedurilor de autorizare stabilite, mesajul de autorizare era transmis la timp si intocmai de Romcard dar, din motive independente de banca si de client, nu se puteau efectua tranzactii atata timp cat operatorul de telefonie mobila avea probleme tehnice.
Ceea ce ridica doua intrebari de principiu. Din moment ce banca a modificat unilateral conditiile de autorizare a tranzactiilor, de ce nu a prevazut si situatia, perfect posibila (dovada materializarea in scurt timp de la modificarea modalitatii de autorizare) ca interpunerea fortata a operatorului de telefonie mobila in activitatea bancara sa fie, in cazuri special, scurt-circuitata?
A doua, cine raspunde pentru pierderile materiale si disconfortul personal (ca sa folosim un eufemism) aferent tranzactiilor ce nu au mai putut fi efectuate in timp util, fara nicio vina din partea clientului, caruia i s-a impus modificarea modului de lucru fara alternativa pastrarii sistemului anterior, mai sigur si mai fiabil?
In acest sens, dadeam ca exemplu edificator autorizarea platilor cu cardurile prin sistemul 3D Secure, menit sa impiedice efectuarea de plati facute de o persoana straina care intra in posesia cardului (avand astfel acces nu doar la datele de baza, dar si la codul de control de trei cifre, aflat pe verso).
Reamintesc faptul ca, pana de curand, se introducea o parola personala, care era stabilita in sistem. Dependenta de telefonul mobil era nula, deoarece tranzactia se putea face direct pe un calculator personal, fara telefonul mobil. Invocand securitatea sporita a unui cod unic (specific tranzactiei in cauza si limitat ca valabilitate in timp), bancile au impus clientilor autorizarea 3DSecure prin trimiterea unui mesaj pe telefonul mobil, pe numarul de telefon din relatia cu banca.
Ori, interpunerea telefoniei mobile pe traseul efectuarii unor operatiuni de plata a venit la pachet cu posibilitatea ca telefonul sau reteaua de telefonie sa nu functioneze corect. Asta lasand la o parte cazul in care unei persoane i se sustrag si cardul si telefonul, si atunci hotul are acces la tranzactii si la sumele din cont tocmai prin faptul ca i se transmite pe telefon acel cod unic de autorizare.
Prima ipoteza s-a si materializat in week-end-ul de la inceputul lunii iulie, cand reteaua Digimobil s-a confruntat temporar si aleator, potrivit celor declarate de serviciul de relatii cu clientii de anumite probleme tehnice, astfel incat SMS-urile transmise automat de procesatorul Romcard nu au ajuns la destinatar pentru autorizarea platilor aflate in curs de efectuare.
Din pacate, din cate am inteles, nici sistemul de autorizare al bancilor nu prevede posibilitatea transmiterii codului de autorizare unic pe adresa de e-mail, pentru a putea utiliza calculatorul personal in loc de telefon la efectuarea cap-coada a tranzactiei. Dupa cum nici mesajul de a suna la banca emitenta nu ajuta la nimic, deoarece nici operatorul bancar nu stia si nu avea cum sa inteleaga ce se intampla.
Practic, banca functiona corect conform procedurilor de autorizare stabilite, mesajul de autorizare era transmis la timp si intocmai de Romcard dar, din motive independente de banca si de client, nu se puteau efectua tranzactii atata timp cat operatorul de telefonie mobila avea probleme tehnice.
Ceea ce ridica doua intrebari de principiu. Din moment ce banca a modificat unilateral conditiile de autorizare a tranzactiilor, de ce nu a prevazut si situatia, perfect posibila (dovada materializarea in scurt timp de la modificarea modalitatii de autorizare) ca interpunerea fortata a operatorului de telefonie mobila in activitatea bancara sa fie, in cazuri special, scurt-circuitata?
A doua, cine raspunde pentru pierderile materiale si disconfortul personal (ca sa folosim un eufemism) aferent tranzactiilor ce nu au mai putut fi efectuate in timp util, fara nicio vina din partea clientului, caruia i s-a impus modificarea modului de lucru fara alternativa pastrarii sistemului anterior, mai sigur si mai fiabil?
No comments:
Post a Comment