Inšpektorat za informacijsko družbo, ki je v sestavi ministrstva za digitalno preobrazbo, bo jutri, 14. septembra, opravil inšpekcijski pregled spletne banke Ferratum, ki posluje tudi v Sloveniji. Problematično je, da od ljudi, ki želijo najeti posojilo, zahteva, da z banko delijo kvalificirana potrdila za elektronski podpis in tudi zasebni ključ. Na sporne prakse banke smo prvi opozorili na N1.
Potem ko smo na N1 opozorili na sporne prakse banke Ferratum, je ministrstvo za digitalno preobrazbo objavilo sporočilo, da so na Banki Slovenije in ministrstvu za digitalno preobrazbo zaznali neustrezne prakse ene od kreditnih institucij glede napeljevanja imetnikov kvalificiranih potrdil za elektronski podpis k nevarni, protizakoniti uporabi teh potrdil. Gre za napeljevanje k prekršku, ne h kaznivemu dejanju, dodajajo na ministrstvu.
Banka Ferratum, ki se oglašuje v slovenskih medijih, po podatkih na spletni strani pri nas ponuja klasične bančne storitve, predvsem hitra posojila nizkih vrednosti (tako imenovana mikroposojila). Za to ima tudi dovoljenje Banke Slovenije.
Lastnica banke Multitude bank ima sedež na Malti. Skupina je specializirana za finančne storitve in deluje na 19 trgih EU, Ferratum pa je njena linija za potrošniško kreditiranje.
Krepka zasedba bančne strani
Zdaj bo inšpektorat za informacijsko družbo opravil inšpekcijski pregled, k sodelovanju pri pregledu je povabil predstavnika vodstva banke. Kot je za N1 povedal v. d. glavnega inšpektorja na inšpektoratu za informacijsko družbo Dragan Petrović, se je z bančne strani na sodelovanje odzvalo osem predstavnikov, banke, njihove odvetniške družbe in podizvajalca, ki naj bi hranil kvalificirana potrdila za elektronski podpis in zasebne ključe.
Za katero odvetniško družbo in podizvajalca gre, Petrović ni želel razkriti. Neuradno smo izvedeli, da gre za odvetniško družbo Fatur Menard, kjer so potrdili, da zastopajo spletno banko Ferratum v Sloveniji in da bodo njihovi predstavniki navzoči pri inšpekcijskem pregledu 14. septembra letos. Odvetniška družba Fatur Menard je v polovični lasti Andreja Faturja, sicer tudi namestnika predsednika nadzornega sveta Nove KBM.
Podizvajalec, ki naj bi hranil kvalificirana potrdila za elektronski podpis in zasebne ključe, pa je po naših neuradnih podatkih Identity Consortium. Na spletni strani banke Ferratum je zapisano, da je Identyum platforma za preverjanje identitete, verodostojnosti, elektronsko podpisovanje in pridobitev finančnih podatkov potrošnikov. Platforma pa je ključni produkt Identity Consortiuma, je razvidno na spletni strani tega podjetja, ustanovljenega leta 2018, s sedežem v Varaždinu.
Kot še zapišejo, je platforma za digitalno identiteto orodje za digitalno transformacijo poslovanja, saj da nudi tehnologijo, potrebno, da se na enostaven način digitalizira njihovo poslovanje, hkrati pa ljudem omogoča varno pripravo njihovih osebnih podatkov in kreiranje digitalne identitete ter hitro in učinkovito podpisovanje pogodb.
Kaj bo preiskoval inšpektor
Kot je povedal Petrović, bo inšpekcijski pregled potekal na daljavo, prek Teamsov, na prošnjo bančne strani v angleščini. V prvi vrsti ga bo zanimalo, zakaj banka Ferratum pri najemu posojila od strank zahteva izvoz kopije spletnega kvalificiranega potrdila za elektronski podpis skupaj z zasebnim ključem.
Da zbiranje in kopičenje zasebnih ključev, ki omogočajo elektronsko podpisovanje dokumentov, pomeni resno tveganje za zlorabo identitete uporabnikov storitev banke, je pred dvema tednoma za N1 ocenil neimenovani poznavalec področja, ki v 15 letih ukvarjanja z digitalnimi potrdili v Sloveniji takega primera še ni videl. Opozoril je tudi, da bi banka z zbranimi ključi v teoriji lahko v imenu uporabnikov elektronsko podpisovala dokumente brez njihove vednosti. “Poleg tega so identitete lahko privlačen plen za hekerje,” je še ocenil.
Petrović bo, kot je dejal, tudi poskušal ugotoviti, kje se kvalificirana potrdila za elektronski podpis skupaj z zasebnim ključem hranijo, kdo jih upravlja, kako se zagotavlja njihova varnost in za kaj jih banka potrebuje.
Poleg tega bo poskušal pridobiti seznam imetnikov kvalificiranih potrdil za elektronski podpis, da jih pozove, naj svoje kvalificirano potrdilo za elektronski podpis pri izdajatelju nemudoma prekličejo. Izdajatelji so Republika Slovenija, Halcom in Rekono, je še povedal Petrović.
Namreč, drugi odstavek 4. člena zakona o elektronski identifikaciji in storitvah zaupanja določa, da mora imetnik sredstva elektronske identifikacije uporabljati osebno in s skrbnostjo dobrega gospodarja in da mora podatke, ki so potrebni za njegovo uporabo, hraniti s skrbnostjo dobrega gospodarja ali gospodarstvenika.
Prijava na policijo (za zdaj) ni bila podana
Kot so za N1 pojasnili na ministrstvu, prijava na policijo ni bila podana, “ker po našem vedenju kaznivo dejanje (še) ni bilo storjeno. To pomeni, da zloraba kvalificiranih potrdil za elektronski podpis verjetno (še) ni bila storjena.”
Če bodo zaznali, da je katerakoli pravna oseba oziroma njena odgovorna oseba brez vednosti podpisnika ali imetnika potrdila uporabila njegove podatke za elektronsko podpisovanje, “imamo pravico in dolžnost naznaniti kaznivo dejanje ali podati kazensko ovadbo za kaznivo dejanje, ki se preganja po uradni dolžnosti”, so še pojasnili na ministrstvu za digitalno preobrazbo.
Na Banki Slovenije pa so na konkretna vprašanja o morebitnih ukrepih v zvezi z banko Ferratum odgovorili le, da glede konkretnega primera dodatnih pojasnil nimajo, “saj konkretnih nadzorniških postopkov, ki jih vodi Banka Slovenije, v skladu z zakonodajo ne moremo pojasnjevati in komentirati”.
Kakšno je tvoje mnenje o tem?
Sodeluj v razpravi ali preberi komentarje