Menu Item
"Ferratum pri poslovanju deluje v skladu z zakonskimi zahtevami in upošteva zaščitne protokole, zakone in uredbe za najvišjo stopnjo varnosti komitentov." Tako se v Multitude bank odzivajo na naše pisanje, da inšpektorat za informacijsko družbo pri ministrstvu za digitalizacijo preiskuje njihovo sporno prakso preverjanja kreditne sposobnosti komitenta. Banka, ki se zadnje mesece intenzivno oglašuje v slovenskih medijih, namreč od ljudi, ki želijo najeti posojilo, zahteva, da z njo delijo digitalno potrdilo in tudi zasebni ključ.
“Gre za resno tveganje za zlorabo identitete ljudi,” nam je avgusta o praksi spletne banke Multitude Bank, ki ima pri nas dovoljenje Banke Slovenije za opravljanje finančnih storitev pod blagovno znamko Ferratum, dejal neimenovani poznavalec področja in dodal, da v 15 letih, odkar se strokovno ukvarja z digitalnimi potrdili, v Sloveniji takega primera še ni videl.
Če uporabnik banki pošlje ključ, ji namreč omogoči razpolaganje svojo spletno identiteto, zbiranje in kopičenje teh ključev pa pomeni resno tveganje za zlorabo identitete uporabnikov storitev banke, nam je pojasnil.
Inšpektorat za informacijsko družbo, ki deluje pod okriljem ministrstva za digitalno preobrazbo, tako od poletja vodi postopek zoper banko, kjer je bil prejšnji teden tudi opravljen inšpekcijski pregled.
Kot je po sestanku za N1 povedal inšpektor Dragan Petrović, ga je med drugim zanimalo, zakaj banka pri najemu posojila od strank zahteva izvoz kopije spletnega kvalificiranega potrdila za elektronski podpis skupaj z zasebnim ključem, kje se kvalificirana potrdila za elektronski podpis skupaj z zasebnim ključem hranijo, kdo jih upravlja, kako se zagotavlja njihova varnost in za kaj jih banka potrebuje. Predstavniki banke in njihovi odvetniki so podali ustne odgovore, inšpektor pa je zahteval, da mu potem pošljejo še pisna dokazila.
V Multitude Bank so v odzivu na naše poročanje zatrdili, da delujejo v skladu s predpisi Evropske unije (EU) ter da so podvrženi strogemu nadzoru in regulaciji. “Ferratum pri poslovanju deluje v skladu z zakonskimi zahtevami in upošteva zaščitne protokole, zakone in uredbe za najvišjo stopnjo varnosti komitentov,” so zapisali v daljšem odzivu na naše poročanje.
Pri tem poudarimo, da smo novinarska vprašanja banki poslali že pred mesecem dni, ko smo prvič poročali o problemu, a takrat odgovora nismo prejeli.
Vprašanje varnosti
Na spletni strani banke, ki ponuja hitra posojila, je še naprej povezava do posnetka na spletni platformi YouTube, kjer banka uporabnikom predstavi, kako izvoziti digitalno potrdilo. V videu med drugim navede, da mora komitent pri izvozu potrdila odkljukati ‘Da, izvozi zasebni ključ’.
Ta ključ se potem hrani v digitalni denarnici hrvaškega podjetja Identity Consortium, ki za banko preverja kreditno sposobnost prosilca za posojilo. V banki v zvezi s tem zatrjujejo, da so podatki v denarnici varni in dostopni samo uporabniku, delijo pa se lahko le z njegovim soglasjem.
“Preko Identyum ID Wallet, storitve, ki jo ponuja Identity Consortium, lahko uporabniki varno shranjujejo in upravljajo podatke, vključno z njihovo eID, ter digitalno podpisujejo dokumente. Vse informacije v digitalni denarnici Identyum ID Wallet so varno shranjene, šifrirane s PIN geslom in do njih lahko dostopa samo uporabnik sam. Do digitalne denarnice Identyum ID Wallet ne more dostopati nihče drug kot uporabnik, informacij v digitalni denarnici Identyum ID Wallet pa ni mogoče deliti brez izrecnega soglasja uporabnika za deljenje izbranih podatkov. Potrdilo E-ID in zasebni ključ se ne delita z družbo Ferratum in družba Ferratum do njiju ne more dostopati ali ju shraniti,” pravijo v Multitude bank.
Kot smo že pisali, pa hrvaško podjetje ni navedeno na seznamu kvalificiranih ponudnikov storitev zaupanja na spletni strani eidas.ec.europa.eu. “To ne pomeni, da teh storitev ne sme opravljati, in tudi ne, da ni zavezano varnosti. Pomeni pa, da ni podvrženo rednemu inšpekcijskemu nadzoru inšpektorja, pristojnega za storitve zaupanja, in obdobni potrditvi neodvisnega organa za ugotavljanje skladnosti, da ponudnik storitve zaupanja izpolnjuje vse z zakonom določene obveznosti. Zato je lahko, ni pa nujno, varnost na nižji ravni kot pri kvalificiranih ponudnikih storitev zaupanja,” je za N1 nedavno pojasnil Petrović.
V pisnem sporočilu Multitude Bank je naveden tudi odziv podjetja Identity Consortium, ki prav tako zagotavlja, da so podatki v njihovih digitalnih denarnicah varni. Odziv v celoti objavljamo v spodnjem okvirju.
Banka Slovenije in ministrstvo svetujeta previdnost
Pri tem ponovimo, da je naš sogovornik, ki področje dobro pozna, opozoril, da je že kopičenje podatkov uporabnikov na enem mestu vprašljivo, saj že to samo po sebi povečuje tveganje za zlorabe. Na policiji so nam sicer avgusta dejali, da do takrat niso zaznali prijave kakšnega suma zlorabe.
Ministrstvo za digitalno preobrazbo in Banka Slovenije pa sta po prvi objavi N1 opozorila na sporne prakse banke. Ta naj bi imetnike kvalificiranih potrdil za elektronski podpis napeljevala k nevarni in protizakoniti uporabi teh potrdil, zato sta centralna banka in ministrstvo imetnikom digitalnih potrdil svetovala previdnost, v primeru zlorabe pa tudi preklic potrdila.
Ob tem dodajmo, da 4. člen zakona o elektronski identifikaciji in storitvah zaupanja določa, da mora imetnik sredstva elektronske identifikacije uporabljati osebno in s skrbnostjo dobrega gospodarja in da mora podatke, ki so potrebni za njegovo uporabo, hraniti s skrbnostjo dobrega gospodarja ali gospodarstvenika, kar pomeni, da jih ne sme deliti s tretjimi osebami.
Odgovor Identity Consortium
“Podjetje Identity Consortium d.o.o. s svojo rešitvijo Identyum ID Wallet, kjer lahko uporabniki shranijo svoje identifikacijske podatke in se verificirajo z mobilno napravo, omogoča državljanom Slovenije, da prevzamejo nadzor nad svojimi osebnimi podatki, saj sledi načelom samostojne identitete SSI (angleško Self-Sovereign Identity).
Področje digitalnih denarnic za identifikacijo posameznikov ureja evropska uredba o elektronski identifikaciji in skrbniških storitvah EU eIDAS 2.0, ki je v tem trenutku še v fazi razvoja, znotraj procesa pa intenzivno sodeluje tudi podjetje Identity Consortium d.o.o. S svojo rešitvijo Identyum ID Wallet spoštuje globalno najvišje varnostne standarde. Te dosega s certifikatoma ISO 27001 in ISO 27701 za zaščito osebnih podatkov in z licenco PSD2 kot AISP (angleško Account Information Service Provider), izdano s strani Hrvaške narodne banke. Obenem je ponudnik kvalificiranih storitev zaupanja (EU QTSP) kot pogodbeni Registration Authority partner, s čimer je predmet rednih revizij. Poleg tega pa aktivno sodeluje tudi kot član upravnega odbora EUDI Wallet eco-sistem za razvoj evropske digitalne denarnice, ki ga financira Evropska komisija.
Predpostavljamo lahko, da državljani Republike Slovenije v primeru uporabe rešitve Identyum ID Wallet za shranjevanje certifikatov in pripadajočih zasebnih ključev torej dosegajo še višjo varnost svojih zasebnih ključev, istočasno pa delujejo skladno z regulativnimi in zakonodajnimi zahtevami Republike Slovenije.”
Kakšno je tvoje mnenje o tem?
Sodeluj v razpravi ali preberi komentarje