Klarna, sofort.com ja verkkopankkitunnuksien urkkiminen

[Dudem]

Jaa, että tämmöisiä systeemeitä ja olenpa tuota Trustlyä käyttänyt pariin otteeseen Paypalin kanssa (lisää suoraan saldoa Paypaliin, ilman luottokortin käyttöä). Olikin silloin vähän epäilevä olo tuosta toiminnasta ja olisi pitänyt tajuta jättää käyttämättä (en millään muista, että olisi päässyt edes noita käyttäjäehtoja katsomaan ennen tai jälkeen maksun suorituksen). Jää kyllä ostokset tekemättä tästä lähtien, jos näihin tilin nuuskimispalveluihin vielä törmää, oppirahat on nyt maksettu. Kaikkeen ne pankit näköjään sitten suostuvatkin.

 

[tatulpin]

Pankithan ei suostu mihinkään, käyttöehdothan kieltää tälläisen?

 

[Tonnin Seteli]

Näköjään Autodoc liittynyt tähän kalasteluun mukaan Maksoin sitten mieluummin luottokortilla.

Ostit kuitenkin? Se on väärin.

Kaikkeen ne pankit näköjään sitten suostuvatkin.

Vaikka pankit katsovatkin läpi sormien käyttöehtojen vastaista toimintaa ja lähitulevaisuudessa tilanne on pahenemassa, niin asiakkaat ne ovat, jotka kairaukseen suostuvat. Asiakkaat päättävät, eivät pankit. Valitettavasti Facebook-sukupolvi ei edes tajua, että tässä on jotain väärää, joten olemme pian ihan oikeasti kusessa.

 

[Tonnin Seteli]

Tuli Nordealta vastaus, ymmärrettävästi se on ympäripyöreää "PC" puhetta, mutta se kiinnostavin asia onkin viestin lopussa:

Hei,

Emme ota kantaa yksittäisten palveluntarjoajien toimintaan. Kuluttajan tulee käyttää pankkitunnuksia pankin omissa palveluissa, eikä luovuttaa niitä kolmansille osapuolille. Ohessa on Tivin artikkeleita asiaan liittyen.

"Ei ole sallittua – eikä tulla sallimaan": Finanssivalvonta tutkii Klarnan maksupalvelun toiminnan
Suomalaiset tulistuivat verkkokaupan maksupalvelun touhuihin – Pankki: "Merkittävä tietoturvauhka"

Ystävällisin terveisin

Lasse Riihimäki
Fraud Investigation FI
Nordea Fraud Management

Eli selvästikin asia on tiedostettu Nordeassa ja sitä seurataan. Tässä voi varmaan kohta kaivaa popparit esiin että saa katsella Fivan antamaa selkäsaunaa Klarnalle

Melkoista hätäpaskaa tämäkin Nordealta. Asia on ollut tiedossa kuukausia tai jopa yli vuoden. Mitään ei ole tehty.

En ole käyttänyt koskaan Klarnaa mutta jossain kohtaa tuli niitä Nordbankin spämmejä postissa (ei enää). Sylttytehdas osoittaa ennemmin Verkkopankin suuntaan.

Minullekin joskus tuli näitä paskoja. Jos osoitelähde ei ole satunnainen tai ulkopuolinen, epäilen syyksi jotain mahdollista tilisiirrolla tai luottokortilla näiden kakkafirmojen kautta tehtyä maksua. En muista sellaista tehneeni, mutta en voi kiistääkään. Olen kuitenkin erehtyväinen ihminen, en muista kaikkea ja olen ostanut kotimaisista verkkokaupoista, jo

 

[Dudem]

Vaikka pankit katsovatkin läpi sormien käyttöehtojen vastaista toimintaa ja lähitulevaisuudessa tilanne on pahenemassa, niin asiakkaat ne ovat, jotka kairaukseen suostuvat. Asiakkaat päättävät, eivät pankit. Valitettavasti Facebook-sukupolvi ei edes tajua, että tässä on jotain väärää, joten olemme pian ihan oikeasti kusessa.

Eipä sitä oikein yksilönä voi muuta tehdä kuin jättää ostokset tekemättä ja jakaa tietoa omassa lähipiirissään.

Saapa nähdä herätäänkö touhuun kuset ja paskat housussa vai tapahtuuko sitä ennen muutosta.

 

[E.T]

Todella röyhkeää ja tosiaan ihmettelen miten pankit katsovat tällaista touhua läpi sormien.

Pankit eivät tee lakeja.
Eli ennemmin pitäisi ihmetellä miksi viranomaiset eivät ole käyneet repimässä näille puljuille uutta peräreikää.


Olikohan se viisi suotta sitten vai milloin tuli ensimmäistä kertaa törmättyä tähän phishingin muotoon.
Joskus vuosikymmenen alussa PayPal käytti Keski-Eurooppalaista välittäjää, jolla oli sopimukset OP:n kanssa/oikeasti turvallinen rajapinta käytössä, mutta sitten tosiaan siirtyivät tuohon hyväntekeväisyysjärjestö Ikean hengenheimolaiseen Un-Trustlyyn.
Trustly - I don't trust you! Insecure PayPal instant top-ups

 

[Nerkoon]

Halvat hinnat, niin ei ollut vaihtoehtoja. Täytyy kyllä jatkossa pyrkiä tilaamaan osat muualta.

Pankkitunnusten kanssahan se kertamoka tunnetusti riittää

 

[Kizmo]

Mielenkiintoisin tilannehan syntyy siitä että jos tällaisia paskapalveluita onkin käyttänyt onnistuneesti ja sitten myöhemmin syystä tai toisesta tililtä katoaa rahat.

Pankki kun näkee että historiassa on kirjautumisia käyttöehtojen vastaisista palveluista niin moniko uskoo että pankki sanoo ettei tunnusten haltija ole noudattanut riittävää huolellisuutta ja korvausprosessi stoppaa prikulleen siihen.

 

[Johan_V]

Pankit eivät tee lakeja.

Ei, mutta pankeilla on enemmän vaikutusvaltaa. Voisivat esimerkiksi pistää puljun maksuliikenteen jäihin siihen saakka kunnes tunnusten kyselystä luovutaaan.

 

[Nerkoon]

Ei, mutta pankeilla on enemmän vaikutusvaltaa. Voisivat esimerkiksi pistää puljun maksuliikenteen jäihin siihen saakka kunnes tunnusten kyselystä luovutaaan.

Ei sitä jäihin tarvitse laittaa. Riittää, että palomuurissa blokkaa Sofortin IP:t.

 

[Tonnin Seteli]

Pankit eivät tee lakeja.

Irrelevanttia. Pankit tekevät asiakkaidensa kanssa laillisesti päteviä sopimuksia, ja näiden palvelujen käyttö rikkoo sopimusehtoja. Sopimus voidaan purkaa jo ihan siitä syystä, että asiakas käyttää näitä palveluja, joiden luonteeseen kuuluu sopimusehtojen vastainen tunnusten(henkilötunnisteiden) luovuttaminen kolmannelle osapuolelle. Tämä olisi huonoa bisnestä, joten parempi lähestymistapa olisi teknisin keinoin estää bottien kirjautuminen ja samaan aikaan ottaa kovasanainen yhteys näihin koijaripuulaakeihin. Tämän olisi pitänyt tapahtua ihan viimeistään noin viikon vasteajalla, ja tämä on jatkunut ikuisuuksia. Pankit tiesivät asiasta viimeistään samana päivänä, kun tämä venkulointi alkoi.

Nyt on käynyt niin, että pankit ovat halunneet tietoisesti antaa asian olla ja aktiivisesti tukeneet tätä toimintaa.

Saattaa jopa olla, että tällainen koijaripalvelu syyllistyy rikokseen kirjautumalla palveluun heille kuulumattomilla käyttäjätunnuksilla ja tunnisteilla, riippumatta siitä, onko tämä asiakas näennäisesti valtuuttanut palvelun. Raskauttavaa on, että nämä tunnisteet on melko varmasti minkä tahansa täysjärkisen oikeuden ennustettavan tulkinnan mukaan saatu harhauttamalla.

Eli ennemmin pitäisi ihmetellä miksi viranomaiset eivät ole käyneet repimässä näille puljuille uutta peräreikää.

Rikosasia on paljon tulkinnanvaraisempi juttu kuin pankin aivan korrektien ja pätevien sopimusehtojen räikeä rikkomus. Olet kuitenkin aivan oikeassa. Viranomaisten olisi pitänyt puuttua asiaan kovin ottein. Finanssivalvonnalla olisi ollut mahdollisuus ja velvollisuus lopettaa tämä kuin vittu vattaan ilman rikossyytteiden ajamistakin. Tällainen ihmisten oikeuksien suojeleminen(ainoa valtion olemassaolon moraalinen oikeutus) ei kuitenkaan ole meidänkään "valtiomme" intresseissä. Tärkeämpää on paskoa maa, lahjoittaa kansallisomaisuus, mokuttaa niin perkeleesti ja ajaa veroparatiisifirmojen etuja.

Olikohan se viisi suotta sitten vai milloin tuli ensimmäistä kertaa törmättyä tähän phishingin muotoon.
Joskus vuosikymmenen alussa PayPal käytti Keski-Eurooppalaista välittäjää, jolla oli sopimukset OP:n kanssa/oikeasti turvallinen rajapinta käytössä, mutta sitten tosiaan siirtyivät tuohon hyväntekeväisyysjärjestö Ikean hengenheimolaiseen Un-Trustlyyn.

Paypalin lataus on minunkin ensimmäinen hatara muistikuvani tämäntyyppisestä kairauksesta. Touhu on jatkunut pitkään.

Turvallisuushan ei tässä ole edes ensimmäinen murheeni, vaan oikeuksien polkeminen. Mahdollinen tietovuoto rikollisille on aivan yhdentekevä pikkujuttu, kun lähtökohta on, että tietokanta on jo rikollisten käsissä valtion siunauksella, ja pankkikin vain vittuilee.

Ei sitä jäihin tarvitse laittaa. Riittää, että palomuurissa blokkaa Sofortin IP:t.

Kyllä tarvitsee. Pitäisi rangaista raudanlujalla nyrkillä tai kyrvällä tällaisia perseenläpiä. Ihan kostomielessä täysi boikotti. Pankeilla on muutenkin de facto oikeus pitää kartellia, sitä voisi käyttää muuhunkin kuin kuluttaja-asiakkaiden niistämiseen.

 

[antero]

Pitkään tullut verkkomaksamista käytettyä ja noita maksuja välittäviä puljuja nähtyä, mutta ensimmäinen kerta kun tällainen tapaus tulee vastaan. Kaitpa siinä on tosiaan keksitty uusi tietojenkeruutapa jolla sitten tehdään massia myymällä tietoja eteenpäin. Tietoturvasta ja yksityisyydensuojasta viis, kun me tehdään tällä rahaa!

Tuo OP:n Käyttäjätunnus + Salasana-kirjautumistapa on sinänsä ihmetyttänyt ihan siitä saakka kun asiasta ensikertaa kuulin vuosia sitten. Tällä välin Nordealla on ollut käytössä tunnuslukulaput joilta luetaan yksittäiskäyttöinen tunnusluku kirjautumista varten. Tämä on mielestäni huomattavasti turvallisempi tapa jo siksi, että sillä samalla luvulla ei enää voi kirjautua sisään toistamiseen, vaikka sen joku ulkopuolinen onnistuisikin onkimaan tietoonsa. Sittemmin tuntuu tietoturva lähinnä heikentyneen, kun kaikki yritetään siirtää mobiilipuolelle.

Sielllä on käyttäjätunnus ja salasana ja vaihtuva kerta numero yhdessä.
Tuo on täysin väärää tietoa ettei ole numerolistoja on olllu itsellä kun pankissa ollu jo 20v

On voinu alussa olla että saldon on nähnyt ilman vaihtuvaa numeroa, mutta ei tilisuiirtoja ole pystynyt tekemään edes 2000 luvulla.

 

[antero]

Tuli mieleen että POP-pankki käyttää tunnistautumineen Oy Samlink Ab nimistä yritystä, samaan tapaan tiedot kulkee yksityisen yrityksen kautta.

Pankit eivät tee lakeja.
Eli ennemmin pitäisi ihmetellä miksi viranomaiset eivät ole käyneet repimässä näille puljuille uutta peräreikää.

Olisiko syynä tämä:
Uusi maksupalveludirektiivi (PSD2) mullistaa pankkialaa

"tammikuussa 2018. Uusi maksupalveludirektiivi on suurin yksittäinen muutos pankkialalla, sillä se pakottaa pankit avaamaan oman infrastruktuurinsa kolmansille osapuolille. Se pakottaa antamaan ulkopuolisille palveluntarjoajille pääsyn pankin asiakkaiden tileihin ja maksutapahtumiin. Lisäksi palveluntarjoajat voivat hoitaa maksuja asiakkaiden puolesta pääosin online- ja mobiilikanavissa."

 

[mölyä]

Osuuspankilla oli vielä vuosikymmenen alussa sellainen rajapinta käytössä, joka mahdollisti tili- ja korttitietonäkymän Androidin työpöytäwidgettiin, tähän malliin:

Mutta OP sitten aikanaan tukki tuon rajapinnan eikä widget enää toiminut. Widget tarvitsi näitä tietoja varten vain käyttäjätunnuksen ja salasanan.

 

[antero]

Onhan tuo selvä ylilyönti, varmaan ajateltu että pankkitunnukset lompakossa mukana ei ole turvallisempi tapa.
Mutta pystyikö tuolla maksamaan?

 

[Antti Alien]

Tuli mieleen että POP-pankki käyttää tunnistautumineen Oy Samlink Ab nimistä yritystä, samaan tapaan tiedot kulkee yksityisen yrityksen kautta.



Olisiko syynä tämä:
Uusi maksupalveludirektiivi (PSD2) mullistaa pankkialaa

"tammikuussa 2018. Uusi maksupalveludirektiivi on suurin yksittäinen muutos pankkialalla, sillä se pakottaa pankit avaamaan oman infrastruktuurinsa kolmansille osapuolille. Se pakottaa antamaan ulkopuolisille palveluntarjoajille pääsyn pankin asiakkaiden tileihin ja maksutapahtumiin. Lisäksi palveluntarjoajat voivat hoitaa maksuja asiakkaiden puolesta pääosin online- ja mobiilikanavissa."

Maksupalveludirektiivissä sanotaan, että asiakkaan ja pankin väliseen tunnistautumiseen käytettävät tunnisteet on pidettävä vain asiakkaan ja tunnisteen myöntäjän saatavilla. Välittäjä ei siis voi kysyä tunnisteita itselleen ja käyttää niitä käyttäjän puolesta, kuten nyt on tehty.

 

[mölyä]

Onhan tuo selvä ylilyönti, varmaan ajateltu että pankkitunnukset lompakossa mukana ei ole turvallisempi tapa.
Mutta pystyikö tuolla maksamaan?

Jos tuota widgettiä tarkoitit niin ei, se oli vain tilitietojen katselua varten. Tuo Osuusfantti -widget löytyi vielä Play-kaupasta monia vuosia ominaisuuden poistumisen jälkeenkin, sittemmin se on poistunut.

 

[LovelyWhore]

Tuli mieleen että POP-pankki käyttää tunnistautumineen Oy Samlink Ab nimistä yritystä, samaan tapaan tiedot kulkee yksityisen yrityksen kautta.

Olen ollut Samlinkissa duunissa joskus. Ainakin silloin Samlink oli paikallisosuuspankkien ja Aktian yhdessä omistama yritys. Eli firma kehitti ja ylläpiti omistajien maksuliikennejärjestelmää. Mun tehtäväni taloushallinnossa silloin oli kuvata eräänlainen siirtohinnoitteluprosessi erilaisista maksu- ja pankkitapahtumista. Mielestäni tätä ei voi verrata tämän topicin kaltaiseen toimintaan. Aivan yhtälailla esim Nordea käytti ainakin silloin omia järjestelmiään, vaikka sitä ei erillisen yhtiön muodossa olisi organisoitukaan. Noh, se siitä.

 

[Kizmo]

Uusi maksupalvelulaki tuo vuodenvaihteessa sekasorron – Saako pankkitunnukset antaa vieraalle yritykselle vai ei?

Vuodenvaihteen jälkeen tavallinen suomalainen voi verkko-ostoksilla tai uusien kännykkäsovellusten kautta törmätä yhä useammin hämmentävään tilanteeseen: verkkokauppa tai sovellus pyytää asiakasta antamaan omille sivuilleen pankkitunnukset. Niitä käyttäen yritys pääsee kirjautumaan asiakkaan pankkitilille ja hakemaan sieltä tietoja tai tekemään tilisiirtoja.

Kuulostaa oudolta, mutta voi hyvin olla todellisuutta, kun uusi maksupalvelulaki tulee Suomessakin voimaan. Jotkut maksamisen ja verkkokaupan toimijat ovat itse asiassa ottaneet jo varaslähdön uuteen aikaan.

Esimerkiksi verkkomaksamisjätti Klarna ja Paypalin käyttämä Trustly ovat toteuttaneet verkkomaksuja asiakkaiden niiden sivuille antamilla tunnuksilla.

Näissä palveluissa tunnuksia ei anneta pankin omaan tunnistautumisikkunaan niin kuin yleisimmin käytössä olevassa verkkomaksussa, vaan toiselle yritykselle, joka sitten käyttää niitä asiakkaan tilille kirjautumiseen ja maksun toteuttamiseen.

”Meidän näkemyksemme mukaan toiminta on ollut Suomen nykyisen maksupalvelulain vastaista”, lakimies Sanna Atrila Finanssivalvonnasta (Fiva) sanoo.

Klarna on hiljattain lopettanut palvelun käytön Suomessa toistaiseksi, kun Fivan kanta tuli sen tietoon. Mutta vuodenvaihteen jälkeen on odotettavissa kokonaan uusi tilanne.

Yritykset voivat tulkita, että EU:n maksupalveludirektiivi ja Suoman maksupalvelulaki sallivat vuodenvaihteen jälkeen niiden käyttää asiakkaiden antamia pankkitunnuksia.

Fivan mukaan se ei olisi sallittua. Uusi laki tosin sanoo, että pankkien pitää tarjota kolmansille osapuolille pääsy asiakkaiden tileihin asiakkaan suostumuksella.

”Laki sanoo myös, että kolmannen osapuolen pitää tunnistautua joka kerta, kun se käyttää asiakkaan pankissa olevaa tiliä. Pankin pitää tietää, kuka asiakkaan tilitietoja tulee katsomaan. Esimerkiksi Klarnan käyttämä palvelu ei tätä vaatimusta toteuta. Tilanne on kuitenkin hieman epäselvä ja jäsenmaissa on erilaisia tulkintoja tästä”, Atrila sanoo.

Pankkitunnusten antaminen muualle kuin pankin omaan tunnistautumispalveluun on vastoin useimpien pankkien verkkopankkisopimuksia. Mitä pankit tästä sanovat?

”Niitä ei pidä edelleenkään antaa”, johtava asiantuntija Liisa Kanniainen Nordeasta sanoo.

Danske Bankissa ollaan eri mieltä. Kehitysjohtaja Rami Tättilän mukaan olisi suotavaa, että Suomessakin hyväksyttäisiin pankkitunnusten käyttäminen kolmansien osapuolten palveluiden käyttämiseen siirtymäaikana, koska se on naapurimaa Ruotsissakin hyväksytty. Muuten tilanne on sekava niin markkinoille tuleville yrityksille kuin kuluttajille.

”On kuluttajan etu, että he pääsevät käyttämään näitä uusia palveluja. Tärkeintä on, että kuluttaja hyväksyy palvelun ehdot eli tietää antavansa tunnukset kolmannen osapuolen käyttöön”, Tättilä sanoo.

Hänen mukaansa pankki on myös käytännössä saanut tiedon siitä, että Klarna tai Trustly on käyttänyt asiakkaan tunnuksia, vaikka virallista tunnistautumista ei ole tehty.

”He ovat ilmoittaneet, että tietystä ip-osoitteesta tuleva liikenne tulee heiltä. Siitä olemme tienneet, milloin he ovat käyttäneet asiakkaamme tunnuksia”, Tättilä sanoo.

Sotku johtuu siitä, että EU:n PSD2-direktiivi tulee voimaan vuodenvaihteessa, mutta asiakastileihin pääsyn teknisen toteutuksen määrittävät standardit ovat myöhässä. Ne tulevat voimaan näillä näkymin vasta syksyllä 2019.

Väliaikana esimerkiksi Klarnan käyttämää niin sanottua näyttökaappaustekniikkaa voidaan käyttää niillä markkinoilla, joilla se on ollut käytössä ennen vuotta 2016. Suomi ei kuulu näihin maihin.

PSD2-direktiivi kieltää juuri näyttökaappaustekniikan käytön nykymuodossa, tosin se on direktiivin teknisissä standardeissa mukana varatekniikkana.

Asiakastilille kirjautumisen ja asiakkaan tiliä käyttävän yrityksen tunnistautumisen pitää tapahtua erillisen rajapinnan kautta. Rajapintoja pankit ovat vasta testaamassa, ja käyttöönotossa kestää.

Danske Bankin Tättilän mielestä juuri pitkän siirtymäajan takia viranomaisten pitäisi suhtautua pankkitunnuksilla tunnistautumiseen joustavammin.

”Suomalaisetkin kuluttajat varmasti odottavat pääsevänsä käyttämään näitä uusia palveluita ennen kuin vasta puolentoista vuoden kuluttua”, Tättilä sanoo.

Tämä Tättilän vastine piti kyllä lukea muutaman kerran että sen uskoi

 

[kjns]

"”Suomalaisetkin kuluttajat varmasti odottavat pääsevänsä käyttämään näitä uusia palveluita ennen kuin vasta puolentoista vuoden kuluttua”, Tättilä sanoo."

Tämä Tättilän vastine piti kyllä lukea muutaman kerran että sen uskoi

Samaa mietin kun luin tätä...
En ole kenenkään vielä kuullut sanovan, että "voi kun mä odotan sitä uutta maksupalveludirektiiviä, että pääsen antamaan kolmansille, neljänsille ja viidensille osapuolille pääsyn mun pankkitietoihin ja jakelemaan pankkitunnuksiani kaikkiin epämääräisiin palveluihin jotka niitä pyytävät"

Ainoat kuulemani kommentit ovat olleet enemmänkin linjalla "mitä v***ua, toihan on ihan idioottihomma", ja 99% porukasta ei tiedä tästä tulevasta muutoksesta yhtään mitään, joten luultavasti 99% porukasta ei odota myöskään pääsevänsä käyttämään näitä palveluita. Olisko parempi tehdä kerralla kuntoon kuin alkaa ottamaan jotain väliajan purukumivirityksiä käyttöön?

Muutenkin koko tämä homma haiskahtaa musta pahasti siltä, että pankkitunnushuijaukset tulee kokemaan uuden nousun kunhan nämä direktiivin muutokset saadaan voimaan. Nykyäänkin porukalle tolkutetaan jatkuvalla syötöllä että älä ikinä anna pankkitunnuksia mihinkään muualle kuin pankin kirjautumissivulle, ja tulevaisuudessa tunnusten antaminen jollekin random palvelulle onkin yhtäkkiä ihan ok, niin mitäs luulette tapahtuvan silloin, kun nykyäänkin jotkut antaa tunnukset nigerialaiskirjeen perusteella huijaussivustoille...?

Helevetin hieno muutos tulossa, huijarit kiittää kun portit aukaistaan. Mistäs sitä ihminen voi tietää, onko se tunnuksia pyytävä firma asiallinen ja tekee vain sen minkä lupaa, vai onko siellä takana Pohjois-Korean rahankeruuhakkerit jotka tyhjää tilit ja luottokortit heti kun tunnukset niille annat...

Ainoa etäisestikään järkevä tapa toteuttaa tuollaisia on se erillinen API kuten direktiivin alkuperäisissä määrityksissä onkin. Siellä voisi sitten asiakkaalla olla jokin API-key minkä voi palveluun antaa katseluoikeuksia varten tiettyihin tietoihin tms. Jos jotain siirtoja pitäisi tehdä niin ne sitten pitäisi itse manuaalisesti vahvistaa vaikka kännykkä-appsilla kuten Nordean tunnuslukusovellus tms jossa olisi sitten tieto mikä summa on menossa mille vastaanottajalle. Mutta pankkitunnusten antaminen kolmannelle osapuolelle on kyllä täysin kestämätön ratkaisu tietoturvan ja järkevyyden kannalta. Itse asiassa katseluoikeudenkin voisi antaa kertaluontoisesti ja aina asiakkaan itse vahvistaen sen, vaikka sillä tyylillä, että kerrot asiakasnumerosi palvelulle, ja se ohjaa sinut pankin sivulle vahvistamaan kertaluontoisen katseluoikeuden palvelulle X jonka sitten vahvistat itse ja ne saa sitten katsoa sen tilin saldon tai mitä haluavatkaan tehdä...

 

[Jälkiruoka]

On se hienoa kun pelataan aina palvelukortti pöytään runnoessa läpi totaalista paskaa. Oli se sitten tämä tietoturvareikäjuusto ja huijareiden mekka, tai mestari ollilan gps-kyttäysboxi mallia suomifinlandia. Mitä vitun palveluita?

 

[Jurppii]

Nää on näitä luottokelvottomien pakkorakoja suostua jos menee läpi tuollainen lainmuutoksessa. Muutenkin pankkimaksaminen on paskin valinta turvallisuusmielessä. PayPal ja luottokortti niin on kaksi tasoa, joihin reklamoida paskan osuessa tuulettimeen.

 

[Ryydike]

R-Kioskista nippu Aktia Mastercard Prepaid luottokortteja ja eikun vinguttamaan niitä!

 

[leffo]

Siirretty Paypal ketjusta sille kuuluvaan ketjuun.

Se on hyväksytty tapa. Hyvin vähän ollu uutisissa.
Kysymyksiä ja vastauksia toisesta maksupalveludirektiivistä (PSD2)

Missä tuossa lukee että asiakkalla on oikeus luovuttaa verkkopankkitunnuksensa jollekulle toiselle?

Seurasin tätä asiaa sen alusta saakka. Itseasiassa se meni niin, että Suomalaisten pankkien tapa pelotella asiakkaita pois käyttämästä kolmannen osapuolen rajapintoja maksupalveludirektiivin vastaisesti oli laitonta toimintaa. Jos se kolmas osapuoli on EU tasolla hyväksytty maksupalveluiden välittäjä on kilpailulakien ja maksupalveludirektiivin vastaista pankilta estää rajapintojensa käyttöä tai peloitella asiakkaitaan, että asiassa olisi mitään hämärää.

Erityisen ironiseksi homma menee kun Suomalaiset pankit vakuuttelevat noudattavansa lakeja. Tosin Suomalaiset pankit joutuivat taipumaan kun pankkitoimiluvan menettäminen alkoi uhata lain rikkomusten takia. Että sellaista "rehellistä" suomalaista pankkitoimintaa ja kaikkien lakien ja finannsisäädösten noudattamista Suomalaisissa pankeissa.

Ainoa mikä tässä järjestelmässä ehkä pitäisi vielä kehittää on se, että kuluttajat voisivat helpommin tarkastaa sen mitkä palvelut ovat hyväksyttyjä maksupalvelun välittäjiä EU alueella.

Puhutko sä rajapinnoista vai niistä verkkopankkitunnuksista? SMTP, IMAP ja POP ovat protokollia rajapintoihin joilla käytetään sähköpostia.

Jos pankit ovat velvollisia tarjoamaan jonkun rajapinnan muiden yritysten käyttöön, ei siihen sisälly näiden muiden yritysten oikeutta saada henkilökohtaisia tunnistustietoja haltuunsa, tai asiakkaan oikeutta niitä luovuttaa.


S-pankin verkkopankkiin sovelletaan sen yleisia digitaalisia ehtoja. Ehdot 1/2018 ja siellä lukee

Asiakkaan tunnistautumistiedot ovat henkilökohtaiset, eikä niitä saa osittainkaan luovuttaa sivullisen tietoon tai haltuun.

OPn ehdoista, käytössä 24.10.2018 alkaen.

Tunnuksia ei saa antaa kenenkään muun tietoon – ei edes toiselle saman perheen jäsenelle, tulkille tai henkilökohtaiselle avustajalle.

Nordean ehdot 10.2018

Henkilöasiakkaan pankkitunnukset ovat aina henkilökohtaisia. Pankkitunnuksia ei saa luovuttaa osittainkaan toisen, ei edes perheenjäsenen, käyttöön eikä pankkitunnuksilla avattua palveluyhteyttä saa luovuttaa muun tahon käytettäväksi.

Onko teillä kahdella jotain konkreettisempaa tuolle tulkinnalle?

 

[Ormu]

Tuota Trustlyn järjestelmää tuli ihmeteltyä, kun jokin aika sitten piti tilata eräästä verkkokaupasta tavaraa. Käytin korttia, kun pankkitunnuksen antaminen Trustlyn sivuille vaikutti epäilyttävältä. Tosin kortin käyttö piti varmentaa erikseen pankkitunnuksilla, mutta nyt en muista, ohjattiinko sitä varten pankin sivuille vai menikö sekin Trustlyn järjestelmän kautta.

Paljonkohan Trustly voi saada tietoa asiakkaan tilistä, jos asiakas varmentaa maksutapahtuman kertakäyttökoodilla tai mobiilisovelluksella?

Mitähän kautta kannattaisi lähettää GDPR:n mukainen tietopyyntö Trustlylle? Tietosuojaselosteessa on tällainen linkki, mutta se ei jostain syystä vie millekään lomakkeelle:
trustly.com/en/feedback-form/

Sitten siellä on myös sähköpostiosoite dpo@trustly.com. Mitähän kaikkea tuollaiseen pitää lähettää, jotta antavat/pystyvät antamaan pyydetyt tiedot?

 

[tombe0]

Sitten siellä on myös sähköpostiosoite dpo@trustly.com. Mitähän kaikkea tuollaiseen pitää lähettää, jotta antavat/pystyvät antamaan pyydetyt tiedot?

Pelkkä pyyntö että haluat itsestäsi tallennetut tiedot riittää. Se on sitten Trustlyn ongelma pyytää tarvittaessa lisää yksilöiviä tietoja.

 

[CrFr]

Tämä Sofort paskaviritys tuli taas vastaan eräässä kaupassa, ja alkoi vähän ärsyttämään pankkitunnusten kysely oman pankin ulkopuolisella sivulla. Kortilla maksamalla siitä selvisi, mutta kuitenkin.

Laitoin kauppiaalle palautetta, että laittakaa vaihtoon tuollainen roska. Vastauksena "kiitos viestistäsi" ja copy-pastena joku mainosteksti kuinka tuo on aivan varmasti turvallinen ja on miljoonia tyytyväisiä käyttäjiä ym. kavioeläimen ulostetta.

Seuraavaksi laitoin verkkopankissa Nordealle viestiä ja kysyin suoraan onko tämä maksutapa turvallinen ja heidän hyväksymä. Kysymykseen ei tietenkään vastattu, vaan samalla kaavalla tuli "kiitos viestistäsi" ja copy-paste "näin tunnistat nettihuijauksen" pläjäys. Ilmeisesti ei ollut edes luettu kysymystä.

 

[leffo]

Ilmeisesti ei ollut edes luettu kysymystä.

Mää tossa ylempänä siteerasin Nordean ehtoja, kuten muidenkin pankkien. Yksikään ei hyväksy kenellekään ulkopuoliselle niiden tunnusten luovutusta.

 

[E.T]

Mää tossa ylempänä siteerasin Nordean ehtoja, kuten muidenkin pankkien. Yksikään ei hyväksy kenellekään ulkopuoliselle niiden tunnusten luovutusta.

No eipä pankeilla oikeastaan paljoa vaihtoehtoja ole.
Koska jos nämä hyväksyisivät tunnusten antamisen ulkopuoliselle sivustolle ja joku menisi sitten laittamaan tunnukset rikollisten käsiin ja ylimääräisten rahojen tililtä lähtemisen jälkeen saattaisi alkaa vaatia pankilta rahojen korvaamista.

Brysseli saanut aikaan melkoisen sotkun tässä sallimalla tällaisten kaikkia tietoturvan perusperiaatteita täysin rikkovien himmeleiden toiminnan.

 

[Ormu]

Brysseli saanut aikaan melkoisen sotkun tässä sallimalla tällaisten kaikkia tietoturvan perusperiaatteita täysin rikkovien himmeleiden toiminnan.

Mikähän siellä on ollut taustalla ja perusteluina? Lobbareiden raha haissut?

 

[RareGrip]

Jos pankit ovat velvollisia tarjoamaan jonkun rajapinnan muiden yritysten käyttöön, ei siihen sisälly näiden muiden yritysten oikeutta saada henkilökohtaisia tunnistustietoja haltuunsa, tai asiakkaan oikeutta niitä luovuttaa.



Onko teillä kahdella jotain konkreettisempaa tuolle tulkinnalle?

Et vissiin noita ehtoja lukenut tuon pidemmälle?

Esim. Nordea:

3.3.4. Tunnistautuminen maksutoimeksianto- ja tilitietopalveluun
Asiakas voi käyttää tunnistautumistietojaan maksutoimeksiannon käynnistämiseksi maksupalveluntarjoajaksi rekisteröityneen maksutoimeksiantopalvelun tarjoajan kautta tai käyttää niitä suostumuksen antamiseksi tietojen noutamista varten tilitietopalvelujen tarjoajaksi rekisteröityneen maksupalvelun tarjoajan kautta.

Tai OP:

Asiakas ei saa antaa OP-verkkopalveluita käyttöön Kolmannelle osapuolelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon OP-verkkopalveluissa. Edellä sanottu ei rajoita Asiakkaan oikeutta käyttää maksupalvelulain mukaisia toimiluvan saaneita maksutoimeksiantopalveluja tai rekisteröityjä tilitietopalveluja.

Myönnetään, että pankit tuntuvat olevan haluttomia tätä paljon ehdoissaan avaamaan. Eipähän pääse open banking yleistymään kun ihmiset luulevat rikkovansa käyttöehtoja.

 

[Mikkos]

Matsmartissa yritin kanssa maksaa ja se pyysi kirjautumaan niiden oman softan (Klarna) kautta verkkopankkiin. Vihelsin pelin poikki.
Otin sitten laskuna ja tulee sähköpostiin.
Onhan tuo nyt aika ihmeellistä touhua. Mistä enää tunnistaa huijaus-sivustot jos jokainen saa tehtyä omanlaisensa kirjautumisen verkkopankkiin?

 

[ttm]

Myönnetään, että pankit tuntuvat olevan haluttomia tätä paljon ehdoissaan avaamaan. Eipähän pääse open banking yleistymään kun ihmiset luulevat rikkovansa käyttöehtoja.

99 % ihmisistä ei ole tietoisia yhdenkään käyttämänsä palvelun käyttöehdoista.

 

[Err]

Eipähän pääse open banking yleistymään kun ihmiset luulevat rikkovansa käyttöehtoja.

Ei tuossa ole hirveästi järkeä opettaa ihmisille että pankin kirjautumistiedot voi antaa mille tahansa sivuille.

 

[CrFr]

Mikä tässä on motiivina korvata pankin oma kirjautuminen tuolla virityksellä? Kierretäänkö sillä jotain pankin maksunvälittäjältä perimää maksua, kun joku botti tavallaan käy esiintymässä asiakkaana verkkopankissa? Vai peräti harrastavat jotain tiedonkeräystä mainostajia varten? Periaatteessahan tuossa voisi samalla käynnillä kerätä kaikki tiedot käteisvaroista, sijoituksista, vakuutuksista, luottokorttien käytöstä, lainoista ja vaikka mistä. Ei tuota nyt varmaan pelkästään oman palvelun brändäyksen vuoksi tehdä, kun siinä kuitenkin karkoitetaan iso osa (järkevistä) asiakkaista.

 

[kjns]

Ton Open Banking hässäkän kaunis tausta-ajatushan on se, että kuluttaja vapautetaan pankkien monopoleista maksuliikenteensä hoitamisessa pakottamalla pankit avaamaan rajapinnat asiakkaan finansseihin kolmansille osapuolille. Tämä taas mahdollistaa uusien ja innovatiivisten palveluiden luomisen ja antaa asiakkaalle päätäntävallan siitä millä työkaluilla hän pankkiasioitaan hoitaa.

Käytännössä tilanne on kuitenkin se, että lähinnä tuotantoon ovat tulleet nämä vanhan verkkopankin "maksunapin" korvaavat palvelut Klarnalta ja kumppaneilta, ja yksi verkkopankkien turvallisuuden kulmakivistä (älä ikinä luovuta pankkitunnuksia mihinkään muualle kuin pankin sivulle) on romutettu. Samalla on mahdollistettu entistä laajempi tiedonkeruu asiakkaasta näille toimijoille, ja tätä dataa tullaan todennäköisesti käyttämään tulevaisuudessa lähinnä asiakkaiden luokitteluun ja markkinointiin.

 

[E.T]

Mikä tässä on motiivina korvata pankin oma kirjautuminen tuolla virityksellä? Kierretäänkö sillä jotain pankin maksunvälittäjältä perimää maksua, kun joku botti tavallaan käy esiintymässä asiakkaana verkkopankissa?

Juurikin tuo.
Normaali maksunvälittäjä (kuten Paytrail) tekee sopimukset pankkien kanssa ja näillä on turvalliset järjestelmät, jossa maksunvälittäjä antaa maksun tiedot (summa, kohdetili jne.) pankin verkkopankkijärjestelmälle johon ostaja kirjautuu hyväksyäkseen maksun.
Ja hyväksymisen jälkeen pankin järjestelmä sitten ilmoittaa välittäjälle maksun suorituksesta ja välittäjä antaa tiedon tästä eteenpäin kaupan järjestelmälle.

Verkkopankin kirjautumistiedot, tai muutkaan asiakkaan tiedot verkkopankissa eivät siinä ole missään vaiheessa nähtävissä kenellekään ulkopuoliselle.

Kuten tuossa Errin viestissä ylempänä (un)Trustly taas ei tee yhtään mitään sopimuksia pankkien kanssa ja annat verkkopankin kirjautumistietosi botille, joka sitten kirjautuu verkkopankkiisi niillä.

 

[Musashi]

Itse olen omille vanhemmilleni (noin 80-v. kumpainenkin) selittänyt, että laki on muuttunut ja jos haluavat, niin voivat alkaa käyttää jonkun muun kuin oman pankin palveluita, mutta että tässä täytyy olla erittäin ERITTÄIN varovainen, koska kaikenmoisia huijareita on liikkeellä ja niin edelleen. Että jos haluavat tehdä moisen peliliikkeen, niin minä/sisko hoitamaan homma. (me autetaan kaikissa teknisissä jutuissa/raha-asioissa)

 

[Tonnin Seteli]

Mikä tässä on motiivina korvata pankin oma kirjautuminen tuolla virityksellä? Kierretäänkö sillä jotain pankin maksunvälittäjältä perimää maksua, kun joku botti tavallaan käy esiintymässä asiakkaana verkkopankissa?

Koko ajatus on täysin älyvapaa. Kertoo taas lankapuhelinsetien ymmärryksestä, että tuollaista paskaa on päästetty läpi.

 

[djmake]

Koko ajatus on täysin älyvapaa. Kertoo taas lankapuhelinsetien ymmärryksestä, että tuollaista paskaa on päästetty läpi.

Pakko olla samaa mieltä. Avoin data tms on monessa kohdassa aivan paikallaan mutta verkkopankin osalta en pysty ymmärtämään mitään tämän kaltaista pelleilyä. Kun ne raha-asiat voi todellakin hoitaa aivan muulla tapaa, ei tuollaista datan keruuta tarvita mihinkään. Niillä tunnuksilla kun pääsee todella moneen muuhunkin käsiksi.

Ja jos leikitään tällaisen olevan ok niin entäpä kohta? Porukka on totutettu antamaan ne tunnarit lähes minne tahansa. Ei varmasti helpota huijaussivujen tekemistä ei...

 

[Tonnin Seteli]

Pakko olla samaa mieltä. Avoin data tms on monessa kohdassa aivan paikallaan mutta verkkopankin osalta en pysty ymmärtämään mitään tämän kaltaista pelleilyä. Kun ne raha-asiat voi todellakin hoitaa aivan muulla tapaa, ei tuollaista datan keruuta tarvita mihinkään. Niillä tunnuksilla kun pääsee todella moneen muuhunkin käsiksi.

Ja jos leikitään tällaisen olevan ok niin entäpä kohta? Porukka on totutettu antamaan ne tunnarit lähes minne tahansa. Ei varmasti helpota huijaussivujen tekemistä ei...

Juu, avoin data ja avoimet rajapinnat ovat hieno juttu. Tietoturvan romuttaminen ei ole. Eihän tässä ole mistään avoimuudesta kyse, vaan välimieshyökkäyksen ja tietojärjestelmän luvattoman käytön laillistamisesta ja laitosten pakottamisesta tämän sietämiseen. Sama kuin apteekissa saisi asioida myös yöllä sorkkaraudalla, kunhan lupaa ettei ota mitään, mihin ei ole reseptiä ja jättää tasarahan kassaan. Jos yrittäjä kieltäytyy järjestelystä, niin uhkasakko, lisävero tai vankeutta perään, saatana. Oppiipahan tottelemaan. Tämä on orwellilainen painajainen, ja vielä niin ovelasti toteutettu että 98% ihmisistä ei tajua mitään. Tuntevat vain vihaa turhasta valittajia kohtaan.

Pääasiallinen seuraus ja hyöty tästä on helpon kalastelun fasilitoiminen. Ns. ei jatkoon.

Onneksi tosiaan mihinkään ei tarvitse kirjautua pankkitunnuksilla, tai ehkä jotain paskapalveluita voi poikkeuksena olla. Jatkossa pitää boomereille opettaa, että pankkitunnuksia... eiku hetkinen, sekin käsite on vesitetty kaikenlaisella mobiilipaskalla. No, pankkiin sitten vain pankin sovelluksen tai sivujen tai sivujen ja tunnistautumissovelluksen avulla. Maksut kortilla(riski siinäkin kun joku ei tajua mikä on luotettu myyjä, eli pitäisi opettaa kierron kautta virtuaalikortilla) ellei Paypalilla. Ulkopuolinen tunnistautuminen mobiilivarmenteella, ei enää missään tapauksessa pankkia siihen väliin, koska samalla voi vahingossa asioida jonkun Trustlyn sun muun paskan kanssa. Tällöin on helppo edelleen sanoa se ainoa juttu, jossa on mitään järkeä: pankin tunnukset vain pankin sivulle tai pankin softaan. Kaikki muu on itsetuhoista. Jopa teknisesti sivistyneelle ihmiselle, puhumattakaan massoista.

 

[djmake]

Juu, avoin data ja avoimet rajapinnat ovat hieno juttu. Tietoturvan romuttaminen ei ole. Eihän tässä ole mistään avoimuudesta kyse, vaan välimieshyökkäyksen ja tietojärjestelmän luvattoman käytön laillistamisesta ja laitosten pakottamisesta tämän sietämiseen. Sama kuin apteekissa saisi asioida myös yöllä sorkkaraudalla, kunhan lupaa ettei ota mitään, mihin ei ole reseptiä ja jättää tasarahan kassaan. Jos yrittäjä kieltäytyy järjestelystä, niin uhkasakko, lisävero tai vankeutta perään, saatana. Oppiipahan tottelemaan. Tämä on orwellilainen painajainen, ja vielä niin ovelasti toteutettu että 98% ihmisistä ei tajua mitään. Tuntevat vain vihaa turhasta valittajia kohtaan.

Puhut paljon mutta asiaa. Noinhan asia todellakin menee. Ihmettelin jo siinä kohden, kun asiaa suunniteltiin ja vielä enemmän ihmettelen nykyään. Puhutaan kuitenkin siitä kaikkein kriittisimmästä seikasta. Siitä, jota et edes saa pelkällä ajokortilla koska halutaan olla henkilöstä varmoja (no osin yliammuttua toisaalta).

Ei, tällaisia tunnuksia ei yksinkertaisesti saa vaatia mikään tuntematon taho, se tunnistautuminen pitää olla vain ja ainoastaan luotettavien tahojen hallinnassa.

Tällöin on helppo edelleen sanoa se ainoa juttu, jossa on mitään järkeä: pankin tunnukset vain pankin sivulle tai pankin softaan. Kaikki muu on itsetuhoista. Jopa teknisesti sivistyneelle ihmiselle, puhumattakaan massoista.

Näitä erinäisiä kalasteluja tuodaan valitettavasti samaan aikaan kun ollaan pankkitunnuksia ajamassa väkisin luuriin. Vaikuttaa suoraan asiaan jos tuollaisia on harkittava kotona rauhassa (koska ne tunnarit ovat siellä) vs mikä tahansa säätäminen tuhannen kännissä tai ihan muuten vaan koska "naapuri sanoi olevan turvallista".
Ja niille oikeasti tietämättömille on monesti pelastus soittaa tutulle "onkohan tämä ok?". Tämä nyt vaan jää välistä todella helposti jos voidaan heti ja missä tahansa tehdä mitä tahansa. Kohta tämä jää kaikessa pois koska totutaan "tottakai ne tunnukset voi tuonne laittaa"

 

[FireFly Renaissance]

Pakko olla samaa mieltä. Avoin data tms on monessa kohdassa aivan paikallaan mutta verkkopankin osalta en pysty ymmärtämään mitään tämän kaltaista pelleilyä. Kun ne raha-asiat voi todellakin hoitaa aivan muulla tapaa, ei tuollaista datan keruuta tarvita mihinkään. Niillä tunnuksilla kun pääsee todella moneen muuhunkin käsiksi.

Ja jos leikitään tällaisen olevan ok niin entäpä kohta? Porukka on totutettu antamaan ne tunnarit lähes minne tahansa. Ei varmasti helpota huijaussivujen tekemistä ei...

Ja samaan aikaan tehdään kaikkia keinotekoisia vittumaisia vaatimuksia, jotta se ylivoimaisesti turvallisin tapa käyttää pankkipalveluita, eli fyysinen erillinen avainsanalista saataisiin mahdollisimman hankalaksi / estetyksi.

 

[djmake]

Ja samaan aikaan tehdään kaikkia keinotekoisia vittumaisia vaatimuksia, jotta se ylivoimaisesti turvallisin tapa käyttää pankkipalveluita, eli fyysinen erillinen avainsanalista saataisiin mahdollisimman hankalaksi / estetyksi.

Tästä ei voi enempää samaa mieltä olla. Eli todella hyvin sanottu. Eikä tämä koske ainoastaan pankkipalveluita vaan kaikkea, johon kirjaudutaan pankkitunnareilla.

Toki, sillä pääsee tyhmät ihmiset -ketjuun jos sitä fyysistä listaa kantaa mukana. Jos näin ei tee, niitä tunnuksia ei todellakaan saa haltuunsa parhaallakaan uhkailulla. Kännykässä sormejäljen takana lähes kaikki on täysin otettavissa jos joku niin haluaa tehdä.

 

[FireFly Renaissance]

Tästä ei voi enempää samaa mieltä olla. Eli todella hyvin sanottu. Eikä tämä koske ainoastaan pankkipalveluita vaan kaikkea, johon kirjaudutaan pankkitunnareilla.

Toki, sillä pääsee tyhmät ihmiset -ketjuun jos sitä fyysistä listaa kantaa mukana. Jos näin ei tee, niitä tunnuksia ei todellakaan saa haltuunsa parhaallakaan uhkailulla. Kännykässä sormejäljen takana lähes kaikki on täysin otettavissa jos joku niin haluaa tehdä.

Kyllä mulla normaalisti on lista mukana, koska sitä tarvii kodin ulkopuolella, jos jotain haluaa tehdä. Mutta sen fyysisen listan voin milloin tahansa päättää jättää kotiin esim. yöelämään lähtiessä. Puhelinta ei voi jättää, ja muutenkin ajatus, että mahdollisuus hoitaa raha-asioita on sidottuna yhteen fyysiseen mobiililaitteeseen on jotakin aivan absurdia.

 

[djmake]

Kyllä mulla normaalisti on lista mukana, koska sitä tarvii kodin ulkopuolella, jos jotain haluaa tehdä. Mutta sen fyysisen listan voin milloin tahansa päättää jättää kotiin esim. yöelämään lähtiessä. Puhelinta ei voi jättää, ja muutenkin ajatus, että mahdollisuus hoitaa raha-asioita on sidottuna yhteen fyysiseen mobiililaitteeseen on jotakin aivan absurdia.

Itse en kanna listaa mukana ilman erityistä pakkoa ja siinäkin kohdassa se on aivan muulla kuin siinä kännykotelon korttitaskussa. Mutta juuri, kuten sanoit. Fyysisen listan kanssa voit itse valita, koska kuljetat sen (ja samalla ns koko elämäsi) mukana.

Muutoinkin ollaan aivan samaa mieltä. Ja mitä enemmän asioita siirretään luurissa sormenjäljen taa, sitä helpommalla väärinkäytökset onnistuvat. Tunnuslukukin vaatii vielä edes jotakin mutta osa tapaa sammua siellä yöelämässä. Vähemmän rehellinen saa kyllä siinä kohden sormenjäljellä hoidettua monta asiaa.
Tietenkään näin ei usein käy mutta mieluusti en edes halua tällaisia mahdollisuuksia. Ongelmiahan ei välttämättä tule edes Suomessa vaan jossakin aivan muualla lomaillessa tms. Ja miksipä ei tulisi jos nuo tiedon kalastelumahdollisuudet ovat tiedossa joka puolella.

 

[leffo]

Et vissiin noita ehtoja lukenut tuon pidemmälle?
[-...]

Myönnetään, että pankit tuntuvat olevan haluttomia tätä paljon ehdoissaan avaamaan. Eipähän pääse open banking yleistymään kun ihmiset luulevat rikkovansa käyttöehtoja.

Kiitos tästä tähdennyksestä, nuo olivat siis eri kohdissa niin enpä tuollaisia lievennyksiä osannut etsiä.

 

[80286]

Tästä ei voi enempää samaa mieltä olla. Eli todella hyvin sanottu. Eikä tämä koske ainoastaan pankkipalveluita vaan kaikkea, johon kirjaudutaan pankkitunnareilla.

Toki, sillä pääsee tyhmät ihmiset -ketjuun jos sitä fyysistä listaa kantaa mukana. Jos näin ei tee, niitä tunnuksia ei todellakaan saa haltuunsa parhaallakaan uhkailulla. Kännykässä sormejäljen takana lähes kaikki on täysin otettavissa jos joku niin haluaa tehdä.

Kyllä mulla normaalisti on lista mukana, koska sitä tarvii kodin ulkopuolella, jos jotain haluaa tehdä. Mutta sen fyysisen listan voin milloin tahansa päättää jättää kotiin esim. yöelämään lähtiessä. Puhelinta ei voi jättää, ja muutenkin ajatus, että mahdollisuus hoitaa raha-asioita on sidottuna yhteen fyysiseen mobiililaitteeseen on jotakin aivan absurdia.

Mulla on jo vuosia ollut aina kuva siitä listasta lähetettynä itselleni sähköpostissa. Fyysistä listaa ei tarvitse missään tilanteessa siis kantaa mukana. Aina vaan maili auki jos sitä sattuu tarvitsemaan. Tietty sähköpostin turvallisuudesta huolehdin jne, ja vaikka joku random hakkeri sen saisi auki, niin melko guru jos yhdistää sieltä satunnaisen kuvan nettipankki login tunnukseen/salasanaan jotka säilössä vain omassa päässäni. 31.5 jälkeen joutuu antamaan erillisen tekstiviesti tunnistuksen, että tuon listan käyttö enää onnistuu. Mikäs siinä, en aio asentaa puhelimeen mobiilipankkisoftia.

 

[Ormu]

Vai peräti harrastavat jotain tiedonkeräystä mainostajia varten? Periaatteessahan tuossa voisi samalla käynnillä kerätä kaikki tiedot käteisvaroista, sijoituksista, vakuutuksista, luottokorttien käytöstä, lainoista ja vaikka mistä. Ei tuota nyt varmaan pelkästään oman palvelun brändäyksen vuoksi tehdä, kun siinä kuitenkin karkoitetaan iso osa (järkevistä) asiakkaista.

Mitähän tietoja uuden lain mukaisen maksurajapinnan kautta on mahdollista saada? Silloin on menty vieläkin pahemmin metsään, jos sen kautta voi saada muita kuin maksutapahtuman edellyttämiä tietoja.

 

[jad]

Tuli pitkästä aikaa tehtyä verkkokauppaostos sellaisesta kaupasta, jossa vain Klarnan tarjoamat maksuvaihtoehdot. Näköjään Klarna (sofort) on päivittänyt systeeminsä psd2 aikaan ja käyttää nykyään rajapintaa maksun suoritukseen. Ja olikin sitten todella vaivaton ja nopea tapahtuma (not)

Koska olen jääräpää vanha pieru ja puhelinkin on rootattu, en tunnistussovellusta käytä, joten tunnuslukulista edelleen käytössä.

Maksutapahtuma eteni kutakuinkin näin:
- kaupan kassalta ensin klarnan maksupalvelun kautta samlinkin tilinkäyttövaltuutuspalveluun (nähtävästi saldon tarkistusta varten)
- valtutuspalveluun kirjauduttaessa käyttäjätunnus salasana ja tunnusluku
- tilin valinta ja tekstiviestinä saapuva vahvistuskoodi, jonka jälkeen uusi tunnusluku
- paluu klarnan maksupalveluun
- täältä taas uudelleen samlinkin valtuutuspalveluun, tällä kertaa pyydetään lupaa veloituksen tekemiseen
- jälleen käyttäjätunnus, salasana ja tunnusluku
- veloituksen vahvistus tekstiviestikoodilla ja sen jälkeen tunnusluvulla
- paluu verkkokauppaan
- profit!

Nähtävästi tästä operaatiosta voisi hyvässä lykyssä tulla myös lisäkuluja, sillä tilin käyttöoikeutta vahvistettaessa oli maininta, että pankkisi saattaa periä maksun tilitietokyselyistä.

Positiivisena yllätyksenä huomasin, että samlinkin verkkopankin käyttöliittymästä löytyy lista annetuista tilin käyttövaltuutuksista, niiden voimassaoloaika ja ja viimeisin tilitietokyselyn päivämäärä. Valtuutus näytti olevan voimassa vain yhden päivän.

Jos tälläistä pitäisi useamminkin käyttää, pitäisi varmaan avata pankkiin oma tili verkkomaksuja varten ja antaa käyttövaltuutus aina vain sille tilille, niin olisi pienempi haitta siitä, että sofort saldoa tarkistessaan kuitenkin lukee koko tilitapahtumahistorian. Toki oma vaivansa tästäkin olisi, kun pitäisi aina uutta maksua tehtäessä siirtää tarvittava summa varsinaiselta käyttötililtä tälle verkkomaksutilille.

Pitää varmaan jatkossa suosia vain sellaisia verkkokauppoja joissa voi käyttää paypalia jos ei perinteisiä maksuvälittäjiä (checkout,paytrail, ...) ole saatavilla.