Nova varnostna opozorila zaradi prakse ponudnika potrošniških kreditov
Malteški Ferratum, ki pri nas aktivno trži hitra posojila, po oceni inšpektorata in Banke Slovenije uporablja neustrezne prakse zbiranja podatkov uporabnikov. Ferratum pravi, da so podatki varni.
Multitude bank s sedežem na Malti, ki pri nas nastopa pod imenom Ferratum in aktivno trži hitra potrošniška posojila, se je zaradi sporne prakse preverjanja kreditne sposobnosti sredi leta 2023 prvič znašla na muhi inšpektorata za informacijsko družbo, ki deluje v okviru ministrstva za digitalno preobrazbo.
Kreditna institucija je namreč, kot smo večkrat poročali, ob oddaji vloge za posojilo od potencialnih posojilojemalcev zahtevala izvoz kvalificiranega potrdila za elektronski podpis skupaj z zasebnim ključem ter geslom za dostop do zasebnega ključa. S tem so se imetniki potrdil izpostavili tveganju za zlorabo; v teoriji bi namreč lahko kdo v njihovem imenu elektronsko podpisoval dokumente brez njihove vednosti.
Inšpektorat je pred dvema letoma sprožil nadzor, v katerem je med drugim preverjal, zakaj Ferratum to počne, kje se hranijo zbrana kvalificirana potrdila za elektronski podpis skupaj z zasebnim ključem, kdo jih upravlja, kako se zagotavlja njihova varnost. Januarja lani je nato odredil, da mora kreditna institucija s prakso prenehati. Ferratum je temu sledil, hkrati pa sprožil upravni spor, ki še ni končan.
Zahteva občutljive podatke
Kot kaže, pa je ponudnik potrošniških posojil letos začel z novo skrb vzbujajočo prakso, in sicer od uporabnikov želi, da z njim delijo uporabniško ime in geslo za mobilno identiteto smsPASS.
Nedavno sta inšpektorat za informacijsko družbo in Banka Slovenije na svojih spletnih straneh objavila opozorilo uporabnikom, da sta zaznala neustrezno prakso ene izmed kreditnih institucij, ki je nista poimenovala. Kot sta pojasnila, institucija pri sklepanju pogodbe z uporabniki na daljavo “pričakuje, da bodo z njo delili svoje prijavne podatke za mobilno identiteto smsPASS (uporabniško ime, geslo in enkratno geslo)”.
Glavni inšpektor inšpektorata za informacijsko družbo Dragan Petrović nam je potrdil, da gre za Ferratum. Kot je povedal za Forbes Slovenija, je ministrstvo za digitalno preobrazbo 11. septembra, torej mesec dni pred javno objavo, banko samo že opozorilo na neustrezno uporabo mobilne identitete. Inšpekcijski postopek zoper banko tokrat še ni bil uveden, nam je dejal Petrović.
“Deljenje prijavnih podatkov za smsPASS (uporabniško ime, geslo in enkratno geslo) je resno varnostno tveganje,” poudarjajo na ministrstvu za digitalno preobrazbo. “smsPASS je osebno sredstvo elektronske identifikacije. Zakon določa, da ga lahko uporablja izključno njegov imetnik. Če uporabnik te podatke posreduje tretji osebi, ta lahko v njegovem imenu dostopa do različnih državnih storitev, pri čemer uporabnik nima nobenega nadzora nad tem, kam se ta oseba prijavlja in katere njegove osebne podatke vidi ali uporablja,” so nam pojasnili.
V Banki Slovenije pa uporabnikom elektronske identifikacije svetujejo previdnost in posebej izpostavljajo, da morajo svoje prijavne podatke ustrezno varovati pred neupravičenim razkritjem.
Ferratum: Postopek je varen
V Ferratumu ves čas trdijo, da so podatki pri njih varni. Ob tem zanikajo, da bi od strank zahtevali, da z njimi delijo svoja gesla za avtentifikacijo ali enkratna gesla. Podatki se namreč hranijo v digitalni denarnici hrvaškega podjetja Identity Consortium, ki za banko preverja kreditno sposobnost prosilca za posojilo.
“Postopek preverjanja izvaja hrvaška družba Identity Consortium d.o.o. (Identyum), preverjanje, na katerega se sklicujete, pa poteka v uporabnikovi lastni Identyum ID denarnici, do katere niti Multitude Bank niti Identyum nimata dostopa,” pravijo v podjetju in poudarjajo, da naj bi do podatkov lahko dostopal le sam uporabnik.
Dodajajo, da smsPASS deluje na podlagi enkratnega gesla, kar pomeni, da ga ni mogoče ponovno uporabiti. To po oceni Ferratuma celoten postopek naredi “varen in zaščiten”.
V podjetju pravijo še, da “nenehno” pregledujejo svoje rešitve za identifikacijo na daljavo, da bi zagotovili, da izpolnjujejo stroge varnostne standarde Evropske unije (EU), ter ščitijo varnost in zaupanje strank. Prav tako ohranjajo odprt in konstruktiven dialog z ustreznimi organi, dodajajo.
Če uporabnik te podatke posreduje tretji osebi, lahko ta v njegovem imenu dostopa do različnih državnih storitev.
Ministrstvo za digitalno preobrazbo o deljenju prijavnih podatkov za smsPASS
Ob opozorilih, da gre za tvegano prakso, se postavi vprašanje, zakaj se ponudnik sploh poslužuje tovrstnih načinov pridobivanja podatkov. Razlog naj bi bil v dostopu do baze Banke Slovenije za preverjanje kreditne sposobnosti fizičnih oseb SISBON. Prek te si banke izmenjujejo podatke o zadolženosti posameznika. Do podatkov pa lahko poleg bank dostopa tudi vsak posameznik.
Poznavalec, ki ne želi biti imenovan, je dejal, da ima Ferratum kot kreditna institucija z dovoljenjem Banke Slovenije sicer dostop do baze SISBON, a je ta omejen. Dostop s podatki samega uporabnika naj bi omogočal veliko več podatkov in s tem boljši vpogled v finančno stanje posojilojemalca.
Hitra, a draga posojila
Na Zvezi potrošnikov Slovenije (ZPS) so pred meseci naredili pregled ponudbe nebančnih kreditov in zajeli tudi Ferratum, ki ponuja tako imenovani revolving kredit.
Pri tem so opozorili, da Ferratum ni član sistema SISBON, kar pomeni, da sama ne poroča v sistem. “To omogoča uporabniku, da dobi posojilo tudi, če je že zadolžen, kar sicer povečuje dostopnost, a tudi možnost finančnih težav,” je opozorila zveza potrošnikov.
Ferratum ponuja posojila v višini do štiri tisoč evrov, ki pa so zelo draga. Kot navaja na spletni strani, je v primeru enoletnega posojila v višini štiri tisoč evrov efektivna obrestna mera 50,7-odstotna. Razlog pa ni toliko v obrestni meri, temveč v visokih stroških.
Zveza potrošnikov je v že omenjeni primerjavi nebančnih posojil navedla, da lahko efektivne obrestne mere za posojilo pri Ferratumu sežejo celo do 176,15 odstotka. “In čeprav se zdi storitev morda praktična, saj lahko vse opravite prek spleta, gre za drago obliko financiranja, kar je splošna značilnost revolving kreditov. To in njihova nepreglednost,” so zapisali.
Informacijska pooblaščenka še preiskuje
Že konec leta 2023 je na podlagi prijave komitenta inšpekcijski postopek zoper Ferratum uvedel tudi urad informacijske pooblaščenke, in sicer zaradi suma nezakonite obdelave osebnih podatkov v okviru potrošniškega kreditiranja ter neustreznega zagotavljanja informacij o obdelavi podatkov.
Kot so nam pojasnili na uradu, ki ga vodi Jelena Virant Burnik, pa postopek dve leti kasneje še ni končan. Splošna uredba o varstvu podatkov v EU (GDPR) namreč zahteva, da mora tovrstno zadevo najprej obravnavati nadzorni organ po sedežu upravljavca, kar pa je v primeru Ferratum banke malteški informacijski pooblaščenec.
Ta se je odločil, da zadeve ne bo obravnaval sam, pač pa jo lahko v postopku lokalno obravnava naš urad. To se zgodi v primeru, ko gre za tako imenovani “lokalni primer”, ki znatno vpliva le na posameznike v drugi državi članici EU.
Urad informacijske pooblaščenke je zbral dokaze in se usklajeval z drugimi pristojnimi organi (navajajo Banko Slovenije in inšpektorat za informacijsko družbo), postopek pa bo predvidoma zaključil v prihodnjem letu.
Banka Slovenije morebitnih postopkov zoper Multitude Bank ne želi komentirati.
