PSD2 ako inovácia na úkor bezpečnosti?

Peter Polák 23. marca 2018

V polovici marca bola uverejnená finálna verzia technických štandardov (RTS) pre smernicu PSD2. Jej text je kompromisom medzi požiadavkami finančne-technologických startupov (fintechov) a snahou bánk zachovať status quo. Hlavným konfliktom bola otázka bezpečnosti nového rozhrania. Kto dosiahol svoj cieľ?

Jablkom sváru pri finalizácii RTS bola možnosť využiť takzvaný screen scrapping, teda strojové čítanie obrazoviek existujúceho internet bankingu. Pri tomto spôsobe prístupu sa tretie strany nepripájajú na špeciálne rozhranie API, ale s pomocou rôznych techník simulujú klikanie v internet bankingu – systém vlastne predstiera, že je živým človekom. Túto metódu dnes používa mnoho fintechov po celom svete na získavanie dát, ktoré potrebujú pre svoje fungovanie.

Screen scrapping je všeobecne považovaný za málo bezpečný. Dôvodov je niekoľko – napríklad nemožnosť oddeliť informácie o účtoch od ostatných dát (napríklad osobných údajov). Ak tretia strana získa prístup do internet bankingu, dostane sa automaticky ku všetkému. To však nie je to najhoršie. Obrovským problémom je poskytnutie prihlasovacích údajov tretej strane.

Banky právom očakávali zákaz screen scraping

Banky svojich klientov za posledných dvadsať rokov naučili, že meno a heslo do internetbankingu sú tajné. Tieto údaje sa zo zásady nezdieľajú s nikým a nehovoria sa dokonca ani banke (napríklad pri telefonáte na call centrum). Naozaj jediným miestom, kam sa zadávajú, sú políčka prihlasovacieho formulára internet bankingu.

Ale screen scrapping sa bez prihlásenia robiť nedá. Startupy, ktoré dnes túto metódu používajú, od svojich klientov vyžadujú prísne tajné prihlasovacie údaje do internet bankingu – a klienti ich aj napriek riziku poskytujú. Banky sa na to pozerajú s nevôľou. Niektoré z nich ako obranu zaviedli dvojfaktorovú identifikáciu (napríklad cez SMS) už pri prihlásení.

Od RTS banky právom očakávali zákaz screen scraping. Rovnako ako že prístup k účtom cez rozhranie API bude nastavený tak, aby ich klienti nemuseli zdieľať svoje tajné prihlasovacie údaje. Toho sa dá dosiahnuť napríklad presmerovaním klienta do systému banky pri prihlásení.

Funguje to podobne ako platba v e-shope: zákazník klikne na platobné tlačidlo, e-shop ho presmeruje na platobnú bránu banky, tam zadá prihlasovacie údaje a zaplatí. Následne je presmerovaný späť do obchodu. Vlk sa nažral a koza zostala celá – obchodník dostáva zaplatené, ale prihlasovacie údaje zákazníka nevidí.

Lobing zvíťazil nad logickým úsudkom

Bohužiaľ, lobovacie finty firiem boli silnejšie ako logický úsudok. Finálna podoba RTS totiž predpisuje bankám nielen povinnosť podporovať screen scraping, ale aj zákaz požadovania presmerovania pri prihlásení.

Samotný screen scraping by nebol až taký problém. Pokiaľ má banka spoľahlivé a kvalitné rozhranie, môže sa mu vyhnúť. RTS stanovuje, že banky, ktorých API ustojí intenzívne používanie počas aspoň troch mesiacov, môžu “vypnúť” podporu screen scraping. Výrazne väčší bezpečnostný problém je zákaz presmerovania. To totiž znamená, že aj pri “správnom” prístupe cez rozhranie API budú klienti zdieľať svoje prihlasovacie údaje s tretími stranami.

Pre úplnosť treba pripomenúť, že z istého pohľadu sa prihlasovacie údaje zdieľajú už dnes. Klienti ich poskytujú napríklad prehliadaču (Chrome, Safari, Firefox a ďalším), keď sa prihlasujú do internet bankingu. Spoliehajú sa, že prehliadač ich jednak bezpečne odovzdá systému banky, a že ich nezneužije. Otázkou je, či rovnakú dôveru, akú dostáva prehliadač, ktorý celosvetovo využívajú miliardy ľudí, má automaticky dostať akákoľvek finančná aplikácia tretej strany.

Zostáva len dúfať, že fintechy sa o bezpečnosť svojich aplikácií postarajú s rovnakou snahou, akú predviedli pri lobovaní v Európskej komisii.

7654-peterpolak-autoportret-height-720px
Peter Polák , riaditeľ divízie bankových systémov, Softec