Jak radzić sobie w oddziale e-banku
Ciekawostki | Dvd,Mp3 | Ebiznes | Gry komputerowe | Internet | Kościół i Internet | Oprogramowanie | Sprzęt | Bank w innym okienkuMichał SzafrańskiKonto online musi spełniać kilka istotnych wymagań. Dostęp do niego powinien być dobrze zabezpieczony, a jednocześnie powinno być ono łatwe w obsłudze i umożliwiać wykonywanie wszystkich operacji bankowych, które znajdują się w ofercie banku (oczywiście poza wypłatą gotówki). Dodatkowo, tak jak przystało na system internetowy, wszystkie operacje powinny być wykonywane online lub niemal online - tak by natychmiast znajdowały odzwierciedlenie w systemie bankowym. Założenie konta w banku umożliwiającym dostęp za pośrednictwem Internetu nie jest trudne. W przeciwieństwie jednak do zwykłego konta ROR nie zawsze polega na wizycie w oddziale banku lub nie zawsze tam powinien skierować pierwsze kroki potencjalny klient. Banki udostępniające konta online starają się maksymalnie ułatwić klientom zakładanie tego typu rachunków (aczkolwiek nie jest to regułą). Im łatwiejsza i mniej kłopotliwa dla potencjalnego klienta będzie ta procedura, tym większe prawdopodobieństwo, że zdecyduje się on założyć rachunek. W przypadku, gdy jedyną drogą do założenia konta online jest osobista wizyta w banku, to istnieje duże prawdopodobieństwo, że wygodny klient "internetowy" zdecyduje się na ofertę konkurencyjnego banku, który nie wymaga spaceru do oddziału. Sposób otwierania rachunku internetowego zależy również od rodzaju banku. Jeżeli jest to bank prawdziwie wirtualny, prowadzący działalność wyłącznie za pośrednictwem Internetu oraz centrum telefonicznego i nie mający oddziałów (lub mający ich niewiele), to na pewno umożliwi załatwienie wszystkich formalności związanych z obsługą rachunku bez konieczności wychodzenia z domu. Tak jest właśnie w przypadku mBanku, Inteligo oraz Volkswagen Bank direct. Banki te umożliwiają wypełnienie formularza online (poza Volskwagen Bank direct, który przesyła formularz pocztą), telefonicznie uzupełniają szczegóły dotyczące parametrów konta, po czym przesyłają pocztą pod wskazany adres komplet dokumentów do podpisania i odesłania. Jeszcze do niedawna inaczej było w przypadków banków, których działalność opiera się na obsłudze klientów detalicznych w sieci oddziałów rozmieszczonych w całym kraju i które dostęp przez Internet do konta traktują tylko jako kolejny środek komunikacji klienta z bankiem - wcale nie podstawowy. Wymagały osobistej wizyty w oddziale, żeby podpisać aneks do umowy o prowadzeniu rachunku. Obecnie część z nich umożliwia uaktywnienie usługi dostępu internetowego właśnie za pośrednictwem Internetu lub centrum telefonicznego, a stosowne dokumenty do podpisania przesyłane są do klienta pocztą. Tak jest np. w przypadku WBK oraz Lukas Banku. Pozostałe banki są bardziej zasadnicze i wymagają osobistej wizyty w celu podpisania umowy. Procedura różni się w zależności od banku. Niektóre (BPH, Pekao SA, PKO BP) wymagają wypełnienia formularza przez WWW, wybrania placówki, w której ma być podpisana umowa, i dopiero wtedy wizyty w oddziale. Inne nie umożliwiają nawet złożenia wniosku przez WWW, a do założenia konta konieczna jest osobista wizyta w oddziale (Citibank, Fortis) lub zaproszenie do siebie handlowca, który przedstawi ofertę banku i pomoże wypełnić formularz umowy. Konieczność wymiany korespondencji między przyszłym klientem a bankiem, jak również osobiste wizyty w oddziale i czas trwania procedur wewnątrzbankowych powodują, że otwarcie rachunku internetowego trwa przeważnie dłużej niż konwencjonalnego rachunku prowadzonego w oddziale. Zazwyczaj nawet najsprawniej przeprowadzona procedura nie trwa krócej niż tydzień. Bezpieczeństwo Najważniejszym elementem internetowej oferty banków są stosowane przez nie metody zabezpieczania dostępu do rachunków przez Internet. Im solidniejsze zabezpieczenie, tym mniejsze prawdopodobieństwo, że pieniądze przechowywane na koncie rozpłyną się w niewiadomy sposób. Kwestia bezpieczeństwa jest o tyle istotna, że praktycznie wszystkie banki w regulaminach dotyczących wykorzystania dostępu przez Internet zastrzegają, że odpowiedzialność za operacje wykonywane przy użyciu właściwego identyfikatora i hasła ponosi wyłącznie właściciel konta - bez względu na to, czy on wykonywał operacje bankowe, czy włamywacz, który identyfikator i hasło uzyskał w nieuczciwy sposób. Sesje komunikacyjne realizowane między przeglądarką zainstalowaną w komputerze użytkownika a serwerem WWW banku należy uznać za wystarczająco bezpieczne. Wszystkie banki stosują już szyfrowanie sesji z wykorzystaniem protokołu SSL o 128-bitowym kluczu szyfrującym. Natomiast duże zastrzeżenia wzbudza sposób identyfikacji użytkowników w niektórych bankach. Uwierzytelnianie klienta wyłącznie za pośrednictwem identyfikatora i hasła jest bardzo wygodne, ale najmniej bezpieczne. Nie można, co prawda, za pomocą oprogramowania typu sniffer podsłuchać przesyłanego siecią identyfikatora i hasła (bo są przesyłane w ramach bezpiecznej sesji SSL), ale łatwo podejrzeć kogoś, gdy je wprowadza (wbrew pozorom nie jest to bardzo trudne, gdy np. korzysta on z dostępu do konta online za pośrednictwem komputera w pracy), lub zainstalować w jego komputerze konia trojańskiego "podsłuchującego" wprowadzane znaki. A takie popularne programy jak np. BackOrifice 2000 znakomicie się do tego celu nadają - łatwo je rozprowadzać np. za pośrednictwem poczty elektronicznej (potrafią się "zaszyć" w dowolnym załączniku) i pracują w komputerze użytkownika w pełni zamaskowane, bez jego wiedzy. Banki stosują różne metody, aby nawet ten najprostszy sposób uwierzytelnienia użytkownika nieco skomplikować, utrudniając włamywaczom "pracę". W mBanku, który wymaga podania wyłącznie identyfikatora i hasła, sam identyfikator jest numerem klienta niezwiązanym bezpośrednio z numerem konta (ciągi cyfr są niepowtarzalne), a hasło może być niemal dowolnie długie. Jednocześnie zalogowany w taki sposób klient nie może dokonać żadnego przelewu, który nie został wcześniej zdefiniowany (to zabezpiecza przed włamywaczami, którzy dostaliby się do konta i chcieli przelać z niego pieniądze). Do wykonania nowych, niezdefiniowanych przelewów konieczne jest posiadanie tzw. listy haseł jednorazowych, przekazywanej wyłącznie właścicielowi rachunku za pośrednictwem tradycyjnej poczty (o sposobie wykorzystania haseł jednorazowych piszemy w dalszej części artykułu). Co więcej, z konta typu eMAX mBanku można wykonać przelew tylko na jedno, wcześniej zdefiniowane konto. Bank BPH zastosował jeszcze inny system uwierzytelniania (chociaż bank ten nie jest najlepszym przykładem w tym przypadku, gdyż oprócz identyfikatora i hasła stosuje również technologię kluczy prywatnych i publicznych). Użytkownik nie podaje każdorazowo pełnego hasła (co ułatwiłoby "podsłuchanie" przy użyciu konia trojańskiego), ale proszony jest podczas logowania o podanie kilku z sześciu znaków hasła - za każdym razem losowo wybierane są te, które trzeba wpisać. Podobnie jak w przypadku mBanku, także i w BPH identyfikator (tzw. CIF) nie jest w żaden sposób związany z numerem konta, numerem karty itp., co dodatkowo utrudnia włamywaczowi odgadnięcie go. Najbanalniejsze i najbardziej godne krytyki zabezpieczenie dostępu do konta stosuje Citibank. Nie dość, że jest oparte wyłącznie na identyfikatorze i haśle, to jeszcze identyfikatorem jest numer karty CitiCard, a hasłem - zaledwie 4-cyfrowy PIN do tej karty. Zmiana hasła powoduje automatyczną zmianę PIN-u w bankomacie, a kilkakrotne błędne podanie PIN-u podczas logowania się do systemu CitiDirect powoduje zarówno zablokowanie dostępu do konta przez Internet, jak też karty CitiCard, skutecznie uniemożliwiając pobieranie pieniędzy z bankomatów. Dzięki rozwiązaniu, które zastosował Citibank, dowcipnisie łatwo mogą więc utrudnić życie jego klientom - wystarczy, że znają numer CitiCard i kilkakrotnie wpiszą błędnie PIN na stronie CitiDirect Klucze i certyfikaty Za zadowalająco zabezpieczone należy uznać konta, które wymagają od użytkownika nie tylko znajomości stałego identyfikatora i hasła, ale również potwierdzenia tożsamości z wykorzystaniem dodatkowej metody, realizowanej programowo bądź sprzętowo. Metoda programowa to m.in. wykorzystanie technologii prywatnych i publicznych kluczy szyfrujących oraz indywidualnego certyfikatu elektronicznego, a sprzętowa to np. stosowanie tokenów. Dodatkowe zabezpieczenia w sposób programowy stosują Bank Śląski, BPH oraz Fortis Bank. Dwa pierwsze zastosowały bardzo zbliżony system. Podczas wypełniania formularza dotyczącego otwarcia rachunku internetowego aplet Javy generuje również, na podstawie wprowadzonego przez użytkownika hasła oraz losowych ciągów danych, parę kluczy: prywatny i publiczny. Użytkownik konta może też zdecydować, czy chce przechowywać swój klucz prywatny na serwerze banku (w formie zabezpieczonej hasłem), czy woli w pełni go kontrolować, przechowując na lokalnym dysku bądź dyskietce. W trakcie komunikacji z systemem bankowym użytkownik proszony jest o podanie hasła zabezpieczającego klucz prywatny, wykorzystywany następnie do elektronicznego podpisania komunikatu. Po otrzymaniu takiego komunikatu bank weryfikuje go, wykorzystując klucz publiczny. Atutem systemów Banku Śląskiego i BPH jest to, że identyfikacja użytkownika następuje nie tylko podczas logowania do systemu, ale również przed wykonaniem każdej ważnej operacji (np. przelewu). Inny sposób zabezpieczenia rachunku wybrał Fortis Bank. W trakcie rejestrowania użytkownika w systemie generowana jest para kluczy: prywatny oraz publiczny i ten drugi zostaje przekazany do banku. Na podstawie klucza publicznego klienta i własnego klucza prywatnego serwer banku tworzy certyfikat elektroniczny, przekazywany klientowi przy podpisaniu umowy. Klient musi zainstalować klucz w przeglądarce WWW tego komputera, za którego pośrednictwem będzie korzystał z systemu bankowości elektronicznej Pl@net. Sam certyfikat umożliwia wyłącznie zalogowanie do systemu bankowego. Aby wykonywać operacje, np. przelewy, trzeba je potwierdzać, używając poufnego klucza prywatnego, zapisanego na dysku lokalnym lub dyskietce. Token znaczy breloczek Token to urządzenie kryptograficzne, wypożyczane klientowi przez bank przy podpisywaniu umowy o prowadzeniu rachunku i generujące według określonego algorytmu ciąg cyfr określających aktualny kod dostępu do konta. Banki stosują dwa rodzaje tokenów. Pierwsze generują nowe hasło co kilkadziesiąt sekund, prezentując je posiadaczowi tokena na małym wyświetlaczu. Cyfry te są generowane według określonego algorytmu, znanego również serwerowi w banku. Użytkownik logujący się do takiego serwera wpisuje - oprócz zwykłego identyfikatora i hasła - ciąg cyfr wyświetlony na ekranie tokena. Prawidłowość ciągu serwer weryfikuje przez porównanie z ciągiem cyfr swojego wewnętrznego generatora. Jeśli są zgodne, to użytkownik uzyska dostęp do konta. Zgubienie tokena, chociaż wiąże się zazwyczaj z dużym kosztem dzierżawy od banku kolejnego takiego urządzenia, nie oznacza jeszcze udostępnienia konta osobom nieuprawnionym. Dodatkowo bowiem konto chronią podstawowy identyfikator i hasło. Takie rozwiązanie stosowane jest np. w Lukas Banku. Banki Pekao SA, PKO BP i WBK stosują inny rodzaj tokenów, wyposażonych poza wyświetlaczem w prostą klawiaturę numeryczną, umożliwiającą samodzielne wpisywanie ciągów numerycznych. Po połączeniu z serwerem na ekranie oprócz prośby o podanie identyfikatora i hasła jest wyświetlany losowy ciąg cyfr, które należy wpisać do tokena. Urządzenie na podstawie wewnętrznego algorytmu przetwarza ten ciąg na inny, który trzeba wprowadzić do wyświetlonego formularza logowania. Po weryfikacji zgodności wpisanego ciągu z tym, którego oczekuje serwer, konto jest udostępniane. Listy jednorazowe mBank oraz Inteligo zastosowały jeszcze jedno zabezpieczenie. Posiadacz eKONTA w mBanku może wykonywać wyłącznie przelewy zdefiniowane, tzn. takie, których parametry wcześniej uzgodnił z operatorem mLinii lub które zdefiniował w inny sposób (nazwa i adres odbiorcy, nazwa banku docelowego i numer konta). Jeśli klient chce wykonać dowolny przelew, musi potwierdzić dyspozycję, wykorzystując tzw. hasło jednorazowe. Listę haseł (na każdej jest ich pięćdziesiąt) może otrzymać wyłącznie tradycyjną pocztą po złożeniu zamówienia w banku. Listę należy aktywować - za pierwszym razem odpowiada się telefonicznie na serię pytań weryfikacyjnych operatora mLinii oraz odczytuje pierwsze hasło. Potem już kolejną listę aktywuje się za pomocą ostatniego hasła z poprzedniej. Podczas każdej potencjalnie niebezpiecznej operacji (np. przelewu na niezdefiniowany wcześniej rachunek) system mBanku prosi o podanie kolejnego hasła jednorazowego z listy. Jest to dobre zabezpieczenie operacji, porównywalne ze stosowaniem tokenów. Listę haseł jednorazowych (kartę kodów) do potwierdzania dyspozycji transakcji stosuje również bank Inteligo; w tym wypadku jest ich czterdzieści. Funkcjonalność Rachunki bankowe prowadzone za pośrednictwem Internetu są znacznie tańsze od udostępnianych przez telefon, a nawet od tradycyjnych. Wadą jest jednak ograniczony zakres usług świadczonych przez wirtualne banki. Często również w przypadku usług, które teoretycznie udostępnione zostały klientom w całości, nie można wykonać takich samych operacji jak przez telefon lub w okienku. Błędne jest przekonanie wielu banków, że klient dokonujący przelewów przez Internet nie potrzebuje potwierdzenia operacji na papierze. Bankowcy często tłumaczą, że skoro w systemie elektronicznym widać, czy przelew został wykonany, nie ma sensu udostępniać klientowi opcji przesłania potwierdzenia tej operacji pocztą. Jednak papierowe potwierdzenia niektórych przelewów mogą być niezbędne, np. do kontroli skarbowej. Przykładowo: składając telefonicznie dyspozycję przelewu w Citibanku, można zamówić przysłanie tradycyjną pocztą potwierdzenia dokonania transakcji, natomiast w internetowym systemie CitiDirect nie ma takiej opcji. Ten sam bank nie pozwala również w systemie internetowym wpisać adresu odbiorcy przelewu, tylko nazwę oraz numer konta. Tymczasem papierowe blankiety przelewów przewidują wpisanie tego adresu. Wszystkie banki umożliwiające dostęp do rachunków za pośrednictwem Internetu pozwalają wykonywać takie podstawowe operacje, jak sprawdzanie stanu konta, sprawdzanie historii operacji na rachunku oraz przelewy jednorazowe. Część banków (szczegóły w tabeli) umożliwia konfigurowanie i realizację zleceń stałych oraz tzw. poleceń zapłaty (usługa direct debit), polegających na tym, że określonym firmom umożliwia się obciążanie konta np. rachunkami za telefon, mieszkanie, prąd itd. Przelew przelewowi nierówny Dla osób konstruujących ze szwajcarską precyzją harmonogram przelewów, likwidacji lokat i spłaty zadłużeń na kartach kredytowych bardzo ważnym parametrem konta online jest rzeczywista praca w trybie online: wszystkie zlecenia wewnątrzbankowe są realizowane natychmiast, a adresowane do innych banków - w trakcie najbliższej międzybankowej sesji rozliczeniowej. Niestety, nie każdy bank działa zgodnie z tą zasadą i nie każdy precyzuje w regulaminie, jak długo realizuje dyspozycje złożone drogą internetową. Najbardziej precyzyjne w tym zakresie są Lukas Bank i WBK SA. Pierwszy zapewnia, że dyspozycje złożone do godziny 11.00 zrealizowane będą tego samego dnia, a po tej godzinie - dopiero w następnym dniu roboczym. Klienci WBK mogą wybrać: prowizja za przelew wykonany podczas najbliższej sesji rozliczeniowej jest trzykrotnie wyższa od prowizji za przelew wykonany z opóźnieniem, tzn. podczas porannej sesji rozliczeniowej w kolejnym dniu roboczym po złożeniu zlecenia. Usługą niewspółpracującą z systemem bankowym w trybie online jest BPH Sez@m. Każda operacja zlecona w tym systemie musi zostać przekazana do systemu bankowego Profile, w którym pracuje BPH. Niestety, nie natychmiast, lecz z opóźnieniem sięgającym niekiedy kilku godzin. Co więcej, przelew przyjęty już przez system Profile wcale nie musi być wysłany podczas najbliższej sesji rozliczeniowej. To znacznie opóźnia wszystkie wykonywane za pośrednictwem BPH Sez@m operacje. Jednocześnie stan konta wyświetlany w systemie internetowym aktualizowany jest tylko raz na dobę, co powoduje, że zlecane operacje znajdują odzwierciedlenie w aktualnym saldzie rachunku dopiero następnego dnia. W bankach takich jak mBank i Citibank realizacja przelewów zewnętrznych odbywa się zazwyczaj podczas najbliższej międzybankowej sesji rozliczeniowej. Zależy to od godziny złożenia zlecenia. Krajowa Izba Rozliczeniowa SA, instytucja odpowiedzialna za dokonywanie rozliczeń międzybankowych, realizuje codziennie (w dni robocze) trzy sesje rozliczeniowe. Ostatnie zlecenia banki mogą wysyłać do KIR SA o 9.30, 13.30 i 16.00. Ostateczne księgowanie wzajemnych zobowiązań na kontach banków w NBP realizowane jest, odpowiednio dla danych sesji, najpóźniej do 11.00, 15.00 i 17.30. Istotnym kryterium wyboru internetowego rachunku bankowego jest łatwość połączenia się z serwerem realizującym dostęp do niego. Na przykład jeszcze pół roku temu serwer BPH Sez@m z niektórych miejsc w Polsce był trudno dostępny. Obecnie sytuacja jest już znacznie lepsza. Serwer Citibanku udostępniający usługę CitiDirect mieści się w Singapurze i mimo ascetycznie zbudowanego interfejsu (co w tym przypadku należy uznać za zaletę) na połączenie z nim trzeba czekać dłużej niż z serwerami innych banków. Warto skorzystać z wersji demonstracyjnej usługi (tam gdzie to możliwe) i sprawdzić, czy tempo wyświetlania stron pozwala na komfortową pracę. Niedokonanie przelewu z powodu problemów komunikacyjnych może być przyczyną wielu kłopotów. Dlatego warto jako alternatywę dostępu przez Internet rozważyć dostęp do konta na przykład za pośrednictwem telefonów obsługujących protokół WAP. Chociaż realizacja zleceń za pośrednictwem szaroburego ekraniku telefonu nie należy do najprzyjemniejszych, to niekiedy jest jedynym możliwym sposobem terminowego regulowania płatności. I jeszcze jedna, bardzo ważna uwaga na koniec: poniższe zestawienie przedstawia stan bankowości internetowej w połowie maja br. Optymalne obecnie warunki utrzymywania rachunku bankowego mogą już takie nie być za trzy miesiące czy pół roku. Banki młode, dopiero wchodzące ze swoją ofertą na polski rynek, starają się wszelkimi sposobami pozyskać nowych klientów, dlatego stosują niskie prowizje i oferują atrakcyjne oprocentowanie. Jak pokazuje praktyka, po osiągnięciu określonej liczby rachunków stopniowo eliminują przywileje klientów, likwidując bezpłatne linie telefoniczne, wprowadzając niższe oprocentowanie rachunków i lokat, prowizje od wypłat z bankomatów, przelewów itp. Dbałość o stan portfela wymaga więc ciągłego monitorowania sytuacji na rynku usług finansowych. Więcej informacji o usługach e-commerce w dziale „Etyka biznesu” serwisu www.opoka.org.pl opr. JU/PO |