Z systemem "Kontomatik" mają styczność osoby które chcą skorzystać z różnego rodzaju produktów kredytowych. Na jakiej zasadzie działa ten system? Sprawdzamy jakie dane weryfikuje i czy korzystanie z niego można uznać za bezpieczne.
Spis treści
- Do czego służy Kontomatik?
- Zasada działania i pobierane dane
- Czy korzystanie z Kontomatika jest bezpieczne?
- Które banki obsługują Kontomatik?
- Kto jest właścicielem aplikacji?
Kontomatik, czyli sposób na weryfikację klienta
Mówiąc o weryfikacji, mamy na myśli głównie tożsamość, chociaż Kontomatik pozwala również na sprawdzenie danych finansowych – takich jak aktualne saldo czy historia rachunku. Z Kontomatikiem zetkną się przykładowo klienci którzy zechcą aktywować opisywaną ostatnio usługę Allegro Pay bądź wnioskują o pożyczkę przez Internet w niektórych pozabankowych firmach.
Dlaczego niektóre podmioty wykorzystują Kontomatik do weryfikacji klienta?
Jest to przede wszystkim bardzo szybki sposób (przykładowo z tzw. przelewami weryfikacyjnymi może być różnie), który automatycznie dostarcza potrzebnych informacji. Uwierzytelnienie jest bezpłatne i relatywnie proste dla klienta – wymagany jest tylko dostęp do bankowości online.
Jak działa Kontomatik?
Najpierw przytoczymy jednozdaniowe objaśnienie od dostawcy usługi:
Na podstawie wyrażonej zgody i po autoryzacji w specjalnym Widgecie (narzędziu online), Kontomatik łączy się z dedykowanym API banku, importuje wszystkie dostępne dane i udostępnia je firmie wskazanej przez Użytkownika.
W praktyce wygląda to następująco: w momencie w którym jest od nas wymagane uwierzytelnienie, musimy wybrać opcję Kontomatik – zostaniemy przekierowani na stronę internetową aplikacji, na której trzeba będzie wybrać swój bank (gdzie mamy konto bankowe za pomocą którego chcemy zweryfikować nasze dane). Kolejne przekierowanie i ostatni krok – logowanie się na konto bankowe. Wówczas Kontomatik automatycznie pobierze i przekaże potrzebne dane upoważnionemu przez nas podmiotowi.
Jakie informacje zbiera Kontomatik? Pobierane informacje dotyczą danych osobowych właściciela rachunku, aktualnego salda rachunku, waluty i pełnej historii transakcji (tytuł, nadawca/odbiorca, data, kwota).
Chwila, a co z bezpieczeństwem?
Wszystko sprawnie, szybko i bez problemów – pozostaje jeszcze fundamentalna kwestia bezpieczeństwa. W końcu dotyczy ona wrażliwych danych związanych z bankowością, dlatego trzeba być maksymalnie ostrożnym. Spojrzymy na temat bezpieczeństwa od strony prawnej i technologicznej.
Aspekty prawne
Zaczynając od podstawy prawnej: taki sposób weryfikacji klienta, czyli usługa polegająca na dostępie do informacji o rachunku jest regulowana m.in. dyrektywą unijną PSD2 z 2019 roku.
W myśl tych przepisów banki są zobowiązane na żądanie użytkownika udostępniać informacje o jego koncie uprawnionym do tego podmiotom (takim jakim jest w tym przypadku Kontomatik).
Kontomatik jest widoczny w rejestrze Komisji Nadzoru Finansowego (w ramach notyfikacji zagranicznych instytucji płatniczych na terytorium RP) jako dostawca świadczący usługę dostępu do informacji o rachunku (AISP); źródło. W rejestrze KNF znajdziemy również polski oddział (Kontomatik sp. z o. o.) na liście dostawców świadczących wyłącznie usługi dostępu do informacji o rachunku (źródło).
...i dwa słowa o bezpieczeństwie technologii
Przechodząc do bardziej praktycznego pytania – co się dzieje z danymi przy korzystaniu z Kontomatika? Podawane dane do logowanie nie są zapamiętywane, a Kontomatik nie uzyskuje stałego dostępu do konta.
Oczywistością jest natomiast fakt szyfrowania połączenia; Kontomatik wskazuje że dokłada starań także poprzez kontrolę dostępu, anonimizację (tam gdzie to możliwe), zarządzanie lukami bezpieczeństwa, czy monitoring dostępu do danych.
Generalnie przy temacie uwierzytelnienia mamy najczęściej wariant jednodostępowy, co oznacza że dane są wykorzystywane tylko jeden raz (i usuwane z serwerów Kontomatika w ciągu maksymalnie 14 dni). Dla pełnej rzetelności trzeba jednak zaznaczyć, iż są również realizowane opcje wielodostępowe (do 4 razy dziennie do 180 dni) – ale to bardziej w ramach ciekawostki.
Ostatnią informacją godną odnotowania w temacie bezpieczeństwa jest fakt wdrożenia certyfikatu ISO/IEC 27001 (międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji).
Podsumowując – generalnie nie ma się czego bać. Co nie znaczy że nie ma oszustów podszywających się pod usługę i w ten sposób próbujących wyłudzać dane. W tym temacie odsyłamy na oficjalną podstronę kontomatik.com na której opisywane były techniki oszustów.
Które banki obsługują weryfikację z Kontomatikiem?
Za pośrednictwem następujących banków można skorzystać z usługi Kontomatik:
- Alior Bank
- Bank Pocztowy
- BOŚ Bank
- BNP Paribas
- Credit Agricole
- ING Bank Śląski
- Inteligo
- mBank
- Millennium
- Nest Bank
- PKO BP
- Pekao
- Plus Bank
- Santander
- Velobank
z Kontomatika mogą również skorzystać posiadacze rachunków w eSKOK i Kasie Stefczyka.
Czy Kontomatik to polska firma?
Formalnie właścicielem Kontomatika jest spółka Kontomatik UAB z siedzibą na Litwie; polski oddział to Kontomatik sp. z o.o. z siedzibą w Warszawie. Aktualnie Kontomatik jest obecny w 9 krajach (głównie europejskich); na rynku fintech działa już przeszło 10 lat.