Kaj se skriva za pritiskom bank, da uporabljate njihove aplikacije | Tečaj kibernetske varnosti in izobraževanje zaposlenih po ZinfV

Kaj se skriva za pritiskom bank, da uporabljate njihove aplikacije

Znanje

• INFORMACIJSKA VARNOST • KIBERNETSKA VARNOST • INFORMACIJSKI POOBLAŠČENC • ZASEBNOST • BANKE •

Zakaj vas banke silijo v uporabo aplikacij – in zakaj bi morali biti previdni

V zadnjih letih se varnostni standardi v Evropski uniji hitro spreminjajo. Banke so med prvimi, ki morajo slediti novim pravilom in zahtevam na področju kibernetske varnosti in digitalne identitete. To se danes jasno vidi pri avtentikaciji uporabnikov: tradicionalna prijava z uporabniškim imenom in SMS kodo se umika mobilnim aplikacijam, prstnim odtisom in potisnim obvestilom.

Uradni razlog za ta prehod je dobro znan – SMS sporočila in enkratne kode (OTP) niso dovolj varne. Obstajajo tveganja prestrezanja, podvajanja SIM kartic in druge oblike zlorab. Vendar pa ta prehod prinaša novo težavo: vse večja odvisnost posameznika od ene same naprave, oz. pametnega telefona.

V praksi to pomeni, da postaja vaš telefon nekakšen “državljanski žeton” za dostop do bančnih računov, digitalne identitete in plačil. Tak sistem je priročen, vendar ima tudi temno plat. Izguba ali okvara telefona lahko pomeni izgubo dostopa do financ, osebnih storitev ali celo elektronske pošte. Poleg tega so bančne aplikacije pogosto zelo invazivne – zahtevajo široka dovoljenja, zbirajo podatke o lokaciji, napravi in vzorcih uporabe.

Nova oblika digitalnega nadzora

Zato je priporočljivo, da če vas banka sili v uporabo mobilne aplikacije, ohranite nekaj previdnosti. Če imate možnost, zahtevajte spletni dostop do računa preko računalnika in avtentikacijo s SMS kodo ali, še bolje, z OTP napravo. OTP naprava je majhen kartični čitalnik, v katerega vstavite svojo bančno kartico in z njo ustvarite potrditveno kodo za spletno banko. Gre za preizkušen in zelo varen način, ki ne zahteva povezave s pametnim telefonom. Veliko bank ga še vedno ponuja za simbolen znesek.

V nekaterih primerih, predvsem pri tradicionalnih bankah, se lahko odločite celo za popolnoma »analogno« bančništvo: brez spletne in mobilne banke, z urejanjem poslov osebno v poslovalnici. Tak pristop zmanjšuje digitalna tveganja in ohranja vaše finančne odnose ločene od sveta aplikacij.

Kdor pa že mora uporabljati mobilno aplikacijo, naj to počne preudarno. Priporočljivo je, da imate poseben telefon, namenjen izključno bančnim opravilom, na primer starejši pametni telefon, ki ga ne uporabljate več. Naj bo to vaš “bančni telefon”, ki ga hranite doma v varnostne torbe skupaj z osebnimi dokumenti in ga ne nosite s seboj. Tako se izognete sledenju in tveganjem, ki jih prinašajo druge aplikacije in povezave.

Tudi plačevanje računov se spreminja. UPN QR kode na bankomatih ponekod v EU niso več podprte, saj banke postopoma prehajajo na plačila prek mobilnih aplikacij. To je razumljivo – nove regulative zahtevajo hitrejše in bolj integrirane oblike avtentikacije – vendar uporabniki ne smejo pozabiti, da je varnost vedno tudi stvar lastne presoje. Če že sledite novim zahtevam, naredite to na varen način: uporabljajte ločeno napravo, preverite dovoljenja aplikacij in redno posodabljajte programsko opremo.

Bančništvo postaja vse bolj digitalno, a prav zato je pomembno ohraniti zdravo mero skepticizma. Varnost ni le v najnovejši tehnologiji, ampak v načinu, kako jo uporabljamo.

Če vas banka vabi ali pritiska, da začnete uporabljati njihovo mobilno aplikacijo, lahko vljudno odgovorite, da imate starejši telefon brez aplikacij, in vprašate, ali je banka pripravljena kriti stroške nakupa nove naprave. Lahko tudi predlagate alternativno rešitev – ali vam lahko zagotovijo OTP čitalnik kartic za prijavo in potrjevanje plačil. Nazadnje pa se pozanimajte, ali je mogoče imeti bančni račun brez spletnega dostopa in brez internetne banke ter ali bi bil tak račun morda celo cenejši. Takšni argumenti pogosto dobro učinkujejo pri tradicionalnih bankah.

Vljudno pojasnite, da uporabljate starejši mobilni telefon, ki ne podpira namestitve sodobnih aplikacij, ali pa morda sploh nimate pametnega telefona.

“Ali je pri vaši banki mogoče odpreti ali ohraniti bančni račun, ki ne zahteva spletnega dostopa ali uporabe internetne banke? Če je tak račun na voljo, me zanima, ali je morda celo cenejši, saj ne bi uporabljal/a digitalnih storitev."

“Ker vaša mobilna aplikacija zahteva novejšo napravo, me zanima, ali je banka pripravljena kriti stroške nakupa primernega telefona ali tablice, da bi lahko izpolnil/a vaše zahteve?"

“Ali mi lahko banka zagotovi OTP čitalnik kartic ali drugo strojno opremo za varno prijavo in potrjevanje plačil? Takšne rešitve so zame bolj praktične in varne, saj ne zahtevajo pametnega telefona."

“Razumem, da banka spodbuja digitalizacijo, a vse stranke nimajo dostopa do sodobnih naprav ali pa se ne počutijo udobno pri uporabi mobilnih aplikacij. Kako banka zagotavlja, da so storitve dostopne tudi za starejše osebe, osebe z omejenimi tehničnimi zmožnostmi ali tiste, ki dajejo prednost varnosti pred digitalnimi rešitvami?"

Če banka ni odzivna, razmislite o uradni pritožbi ali povpraševanju pri nacionalnem bančnem regulatorju (v Sloveniji Banka Slovenije) glede pravic strank do nedigitalnih bančnih storitev.

“V skladu z Direktivo EU o dostopnosti ((EU) 2019/882) in Zakonom o varstvu pred diskriminacijo zahtevam nedigitalne bančne storitve, primerne za starejše in osebe z invalidnostmi. V primeru neustreznega odziva bom podal/a pritožbo Banki Slovenije in Informacijskemu pooblaščencu zaradi kršitve pravic strank.”

SMS kode odhajajo – a ali res želimo popolno odvisnost od telefona?

Evropske banke vse bolj usmerjajo uporabnike v mobilne aplikacije za potrjevanje prijav in plačil. Uradno zato, ker SMS kode (OTP) niso dovolj varne. V praksi pa to vodi do nečesa drugega – do popolne odvisnosti državljanov od pametnih telefonov.

Koncept »en uporabnik = en telefon« pomeni, da postane vaš telefon glavni »državljanski žeton« za dostop do financ, storitev in identitete. To je problematično z vidika:

kibernetske varnosti (zlorabe aplikacij, zlonamerne posodobitve, izguba naprave),
odpornosti državljanov (če izgubite telefon, izgubite dostop do vsega),
zasebnosti (mobilne aplikacije zbirajo ogromno telemetrijskih podatkov).

Kaj lahko storite?

Če vas banka prisilno preusmerja na mobilno aplikacijo, vljudno, a odločno vztrajajte pri alternativah:

Zahtevajte spletno bančništvo (prek računalnika) in avtentikacijo:

preko SMS kode, ali
preko OTP naprave (t. i. kartični čitalnik).

OTP naprava (cardreader) je majhen čitalnik, v katerega vstavite svojo bančno kartico. Na napravi potrdite transakcijo in pridobite enkratno kodo za vnos v spletno banko. To je še vedno najbolj varen način – fizično ločen, brez mobilne povezave, pogosto na voljo za simbolen znesek.

Če želite še večjo varnost in zasebnost, razmislite o tradični obliki bančništva, brez spletne ali mobilne banke. Uporabljajte plačilne kartice in urejajte posle v poslovalnici. S tem izločite digitalna tveganja in zmanjšate možnosti zlorabe.

Če pa že morate uporabljati mobilno aplikacijo …

Uporabljajte poseben “poškodovan” telefon, ki ga ne nosite s seboj. Naj bo to starejši pametni telefon za wi-fi, namenjen izključno bančnim aplikacijam, varno shranjen doma v varnostne torbe skupaj z dokumenti,.
Telefon uporabljajte samo za potrjevanje (auth phone), brez brskanja, družbenih omrežij in drugih aplikacij.

Za varnejše spletne nakupe in naročnine

Pri neobankah si uredite virtualno kartico in jo povežite z Google Walletom / Apple Payem. Na kartico naložite le toliko sredstev, kot jih potrebujete – tako se izognete naročniškim prevaram.
ECO fizične kartice (brez natisnjenega IBAN, PAN, datuma veljavnosti ali CVC kode) so idealne za plačila v hotelih, restavracijah in tujini. Tudi če jo kdo fotografira brez številk je neuporabna za splet.