Inšpektorat za informacijsko družbo, ki je v sestavi ministrstva za digitalno preobrazbo, je včeraj opravil inšpekcijski pregled spletne banke Ferratum, ki posluje tudi v Sloveniji. Inšpektor Dragan Petrović pravi, da so predstavniki bančne strani v pogovoru korektno sodelovali in zatrdili, da poslujejo v skladu s pravili. Zdaj morajo to potrditi s pisnimi dokazili.
Banka Ferratum po podatkih na spletni strani pri nas ponuja klasične bančne storitve, predvsem hitra posojila nizkih vrednosti (tako imenovana mikroposojila). Za to ima tudi dovoljenje Banke Slovenije. Kot smo pisali, je problematično, da banka od ljudi, ki želijo najeti posojilo, zahteva, da z banko delijo kvalificirana potrdila za elektronski podpis in tudi zasebni ključ. Na to smo prvi opozorili na N1.
Da zbiranje in kopičenje zasebnih ključev, ki omogočajo elektronsko podpisovanje dokumentov, pomeni resno tveganje za zlorabo identitete uporabnikov storitev banke, je za N1 ocenil neimenovani poznavalec področja.
Banko Ferratum je po tem, ko je prejel obvestilo neznanega prijavitelja, pod drobnogled vzel inšpektorat za informacijsko družbo, ki je včeraj opravil inšpekcijski pregled banke.
Banka: delujemo v skladu s pravili
Kot je povedal inšpektor Dragan Petrović, ga je med drugim zanimalo, zakaj banka pri najemu posojila od strank zahteva izvoz kopije spletnega kvalificiranega potrdila za elektronski podpis skupaj z zasebnim ključem, kje se kvalificirana potrdila za elektronski podpis skupaj z zasebnim ključem hranijo, kdo jih upravlja, kako se zagotavlja njihova varnost in za kaj jih banka potrebuje.
Predstavniki banke, odvetniške družbe Fatur Menard, ki banko zastopa, in podizvajalca Identity Consortium s sedežem v Varaždinu, ki naj bi hranil kvalificirana potrdila za elektronski podpis in zasebne ključe, so zatrdili, da poslujejo v skladu s pravili, je povedal Petrović, ki zdaj pričakuje še pisne odgovore in ustrezna dokazila. Šele ko bo proučil celotno dokumentacijo, je dejal, bo lahko prišel do zaključkov.
Kaj je nekvalificiran ponudnik storitev zaupanja
Kot je mogoče razbrati na spletni strani eidas.ec.europa.eu, Identity Consortium ni kvalificiran ponudnik storitev zaupanja. Za Hrvaško so na tem spletišču kot ponudniki storitev zaupanja, ki so podvrženi uredbi EU o elektronski identifikaciji in skrbniških storitvah (eIDAS), navedene družbe HP, AKD, Zagrebačka banka dioničko društvo in Financijska agencija.
Za Slovenijo denimo so ponudniki storitev zaupanja, kot je zabeleženo na spletišču eidas.ec.europa.eu, Republika Slovenija, Halcom, Rekono, EIUS in SETCCE.
“Če podjetje na tej spletni strani, ki je edini merodajen vir kvalificiranih ponudnikov storitev zaupanja, ni navedeno, to ne pomeni, da teh storitev ne sme opravljati, in tudi ne, da ni zavezano varnosti. Pomeni pa, da ni podvrženo rednemu inšpekcijskemu nadzoru inšpektorja, pristojnega za storitve zaupanja, in obdobni potrditvi neodvisnega organa za ugotavljanje skladnosti, da ponudnik storitve zaupanja izpolnjuje vse z zakonom določene obveznosti. Zato je lahko, ni pa nujno, varnost na nižji ravni kot pri kvalificiranih ponudnikih storitev zaupanja,” je pojasnil Petrović.
BS in ministrstvo svetujeta previdnost
Spomnimo, ministrstvo za digitalno preobrazbo in Banka Slovenije sta po objavi N1 opozorila na sporne prakse ene od bank pri dajanju posojil. Kot sta zapisala v sporočilu, je banka imetnike kvalificiranih potrdil za elektronski podpis napeljevala k nevarni in protizakoniti uporabi teh potrdil. Vsem imetnikom digitalnih potrdil sta svetovala previdnost, v primeru zlorabe pa tudi preklic potrdila.
Ob tem dodajmo, da 4. člen zakona o elektronski identifikaciji in storitvah zaupanja določa, da mora imetnik sredstva elektronske identifikacije uporabljati osebno in s skrbnostjo dobrega gospodarja in da mora podatke, ki so potrebni za njegovo uporabo, hraniti s skrbnostjo dobrega gospodarja ali gospodarstvenika, kar pomeni, da jih ne sme deliti s tretjimi osebami.
Kakšno je tvoje mnenje o tem?
Sodeluj v razpravi ali preberi komentarje