Aišku yra viena – mobilioji bankininkystė yra saugesnė už įprastą elektroninę vien dėl to, kad išmaniųjų telefonų operacinės sistemos yra kur kas atsparesnės įvairiems virusams, nei kompiuteriai. Nors programos mobilumas ir galimybė naudotis jos paslaugomis čia ir dabar yra didžiulis privalumas, kalbant apie asmeninių finansų tvarkymą, prioritetu išlieka privačių duomenų apsauga. Štai čia ir susiduriame su silpnąja komercinių bankų mobiliųjų programėlių puse.

Populiariausios mobiliųjų telefonų operacinės sistemos yra trys – „Android“ (priklausanti kompanijai „Google“), „iOS“ (sukurta „Apple“) ir „Windows Phone“ („Microsoft“ siūloma operacinė sistema) ir visos jos vartotojui gali pasiūlyti labai panašias paslaugas. Nepriklausomai nuo to, kuria operacine sistema naudojatės, mobiliosios programėlės konstruktas kiekvienoje iš jų yra labai panašus. Mobiliosios aplikacijos kuriamos pagal tuos pačius „griaučius“ ir jų tikslas yra toks pat – pateikti vartotojui patogų produktą. Bankų siūlomos programėlės – ne išimtis.

Naudodamiesi mobiliuoju banku savo išmaniaisiais telefonais valdome ypatingai svarbią ir jautrią, su asmeninių finansų tvarkymų susijusią informaciją, įeinančią į termino sensitive data apibrėžimą (šiai informacijos slaptumo kategorijai taip pat priklauso asmens kontaktinė informacija, socialinio draudimo numeris, sveikatos būklė ir kt.)

Populiariausiomis bankų aplikacijomis gali naudotis visų anksčiau išvardintų operacinių sistemų vartotojai. Mobiliųjų aplikacijų parametrus bei vartotojų vertinimą pateiksime remdamiesi informacija, skelbiama „Android“ operacinės sistemos virtualioje parduotuvėje „Google Play“. Tačiau nesvarbu, kuria operacinė telefono sistema naudojatės – visur susiduriame su ta pačia privatumo pažeidimo problematika.

Finansinių žaidimų taisyklės

„Android“ operacinės sistemos mobiliųjų aplikacijų parduotuvėje „Google Play“ trys populiariausios lietuviškų komercinių bankų programėlės priklauso „Swedbank“, „DNB“ ir „SEB“ bankams.

Norint įsidiegti banko siūlomą programėlę (kaip ir bet kurią kitą), susiduriame su „permission on demand“ – klausimu, ar sutinkame suteikti prieigą prie tam tikrų mūsų telefonuose esančių asmeninių duomenų. Paprastai su siūlomomis sąlygomis didžioji dalis vartotojų sutinka per daug nesigilindami (lygiai tą patį darome instaliuodami naują programą į kompiuterį ar kurdamiesi profilį socialiniame tinkle), nors pasidomėti vertėtų. Štai prie kokių duomenų prieigos reikalauja minėtieji bankai (žiūrėta 2013-12-03):

Vilniaus universiteto Matematikos ir informatikos fakulteto prodekanas, IT specialistas Linas Bukauskas tokį bankų prašymą prisijungti prie asmeninių duomenų vertina dvejopai.

„Viena vertus – banku reikia ir galima pasitikėti, tačiau kita vertus, kyla natūralus klausimas, kodėl reikalaujamos prieigos teisės prie asmeninių nuotraukų, kalendoriaus, kontaktų ir geografinės pozicijos?“ – svarstė informatikas.

Jeigu su tokiomis sąlygomis vartotojas nesutinka ir nenori suteikti prieigos prie savo asmeninių duomenų, programėlės tokiu atveju atsisiųsti neįmanoma. O jei prieiga prie duomenų yra suteikiama, tačiau jau atsisiuntęs aplikaciją mėginsite keisti nustatymus (apriboti prieigą prie būvimo vietos, telefonų knygos ir kt.), programėlė deramai neveiks. Tai gali sukelti dar didesnių nepatogumų.

Kas atsakingas už prašymą suteikti prieigą prie tokių privačių duomenų kaip SMS žinutės, telefono žinynas ar nuotraukų galerija? IT specialisto L. Bukausko teigimu, už tai turi atsakyti programėlės tiekėjai ir gamintojai.

„Programėlės kūrėjai (įmonė, kūrusi aplikaciją kartu su banku), įgyvendindami funkcionalumą ir užtikrinti saugumą, renkasi, prie kokių duomenų nori prieiti. Tačiau man, kaip vartotojui, tikrai kiltų klausimas, kam reikalinga prieiga prie SMS, kontaktų, kalendoriaus ir kitų funkcijų. Panašu, kad iš didelio noro užtikrinti funkcionalumą ir suteikti kitas paslaugas – persistengta“, – sakė jis.

Duomenų nekaupia, bet nepamiršta

Populiariausia mobiliosios bankininkystės programėlė Lietuvoje – „Swedbank Lietuva“, ja naudojasi per 50 tūkst. vartotojų. Banko atstovas Saulius Abraškevičius programėlės reikalavimus prisijungti prie asmens duomenų teisino „iš aukščiau“ diktuojama „Google“ ir „Android“ privatumo politika. Jo teigimu, be vartotojo sutikimo jokie duomenys nėra kaupiami.

„Gavus sutikimą yra saugomi tokie duomenys kaip vartotojo sąskaitos ir telefono numeris, ID ir kiti nustatymai“, – teigė „Swedbank“ astovas.

Ar tokių duomenų kaupimas apie programėlės vartotojus pasitarnauja neteisėto įsibrovimo į svetimą sąskaitą atveju? „Saugumo sumetimais negalime pateikti detalios informacijos. Tačiau konkretus vartotojo ID yra siejamas su konkrečiu telefonu aparatu, siekiant užtikrinti, kad programėlė nėra naudojama kitame, ne vartotojo įrenginyje“, – sakė S. Abraškevičius.

Ne visai tiesa. Jeigu pabandytumėte prie savo banko sąskaitos prisijungti iš dviejų skirtingų mobiliųjų telefonų (net ir tuo pačiu metu), su jokiomis kliūtimis ir įspėjimais dėl galimo įsibrovimo nesusidurtumėte. Banko programėlė paprasčiausiai automatiškai išjungtų jūsų paskyrą tame įrenginyje, kuriame tuo metu aktyviai nenaršote. Tad jeigu vartotojo ID ir yra siejamas su konkrečiu aparatu, tai neužtikrina, kad prisijungti prie banko sąskaitos nebus galima iš kito įrenginio.

Tuo tarpu banko „SEB Lietuva“ kontaktų centro specialistė Jurgita Monkevičiūtė prieigos prie asmeninių duomenų priežastis aiškino paprastai. „Galimybė pasiekti vartotojo kontaktinius duomenis reikalinga aplikacijos funkcijai išsaugoti „SEB“ banko kontaktinius duomenis į kliento telefono adresų knygelę. O kliento būvimo vietos nustatymas padeda nurodyti kur yra artimiausias banko skyrius ar bankomatas“, – aiškino. J. Monkevičiūtė.

Taip pat ji pridūrė, kad prieiga prie telefono skambinimo funkcijos yra naudinga, nes suteikia galimybę vartotojui paskambinti į banką neišėjus iš aplikacijos. Rodos, visa tai tik užtikrina efektyvų mobiliosios aplikacijos darbą. Kaip žinia, unikalių mobiliosios aplikacijos vartotojo duomenų saugojimas ir jo identifikavimas – pagrindinis būdas užkirsti kelią galimam neteisėtam sąskaitos ištuštinimui. „SEB“ banko atstovė J. Monkevičiūtė patikino, kad jokie duomenys, pasiekiami mobiliosios banko aplikacijos pagalba, saugomi ar kaupiami nėra. O gaila.

Pseudo-speciali funkcija

„DNB“ banko situacija – dar įdomesnė. Lapkričio viduryje (kaip tik šio tyrimo metu), bankas atnaujino savo mobiliosios bankininkystės programėlę. Prieš tai, spalio pradžioje, norint įsidiegti banko siūlomą aplikaciją, reikėjo suteikti prieigą prie šių duomenų:

Pagrindinis skirtumas – atnaujinta programėlės versija nebereikalauja prieigos prie fotoaparato ir mikrofono. Gal ir gerai, turint omenyje, kad banko atstovei Raimondai Žukauskaitei sunkiai sekėsi paaiškinti, kam ši prieiga buvo reikalinga.

„Bankas teikia čekių saugojimo funkciją. Programėlės pagalba galima nufotografuoti (kameros funkcija) ir saugoti telefone (nuotraukų galerijos funkcija) čekius, juos priskirti tam tikroms grupėms, sumuoti ar persiųsti norimiems asmenims“, – tuomet teigė R. Žukauskaitė.

Tačiau atsidarius „DNB“ banko programėlę, nieko panašaus į skiltį „Nufotografuok savo čekį ir persiųsk jį draugui“ nėra. Jeigu norime tai padaryti, ko gero naudosimės įprastu fotografavimo būdu ir nuotrauka išsisaugos toje pačioje galerijoje, kurioje saugote ir su bankinėmis operacijomis niekaip nesusijusias fotografijas.

O mikrofonas? „Mikrofono funkcijos programėlė nenaudoja“, – toks buvo paskutinis R. Žukauskaitės atsakymas. Vėliau, raštu uždavus klausimą apie tai, kiek unikalių vartotojų naudojasi šia mobiliąją paslauga, sulaukėme atsakymo, jog bankas šia tema toliau nieko nebekomentuos.

IT specialisto Lino Bukausko nuomone, toks pasiteisinimas – neetiškas ir nerimtas. „Iš esmės bankai tikrai turi žinoti kodėl ir kokiais atvejais naudojami vieni ar kiti duomenys ir vartotojui paprašius turėtų informaciją pateikti“, – mano jis.

Informatiko nuomone, tokiu atveju duomenų apsaugos pažeidimų rizika yra didelė. „Pasinaudojus programėle, visi telefono duomenų kanalai sudarys galimybę aplikacijai prieiti prie privačių duomenų. Kitas reikalas, ar jie bus panaudoti gerais, ar piktavaliais tikslais. Manyčiau, jog vartotojas šiuo atveju yra silpnoji grandis, nes negali nei patikrinti, nei sužinoti kaip duomenys buvo ar bus naudojami“, – sakė L. Bukauskas.

Viskas gerai, bet nelabai

Įdomu dar ir tai, kad „SEB“ ir „DNB“ bankų mobiliosios programėlės yra sujungtos su kitomis interneto paslaugas teikiančiomis kompanijomis. „DNB“ banko programėlė yra sujungta su „Google Maps“, o „SEB“ aplikacija – su „YouTube“ paslauga. Kaip žinoma, šios dvi platformos turi atskirus privatumo nustatymus, kurie nebūtinai sutampa su bankų programėlių deklaruojamomis. „DNB“ banko mobiliosios aplikacijos privatumo nuostatuose rašoma: „You acknowledge and agree that DNB has no control over the content of Google Maps.“ („Jūs pripažįstate ir sutinkate, kad DNB negali kontroliuoti Google Maps turinio.“)

„SEB“ ir „DNB“ bankams mobiliąsias programėles kūrusios informacinių technologijų kompanijos „Baltic Amadeus“ atstovas Robertas Ramanauskas šiuo klausimu kalbus nebuvo – konkrečių bankų pavyzdžių aptarti nenorėjo. „Tačiau galiu patvirtinti, kad per mobiliąsias aplikacijas jokie asmeniniai duomenys nėra renkami. Šiuo atveju galima stebėti tik buvimo vietą. Kitais kanalais surenkami asmeniniai duomenys yra panaudojami bankų veiklos gerinimui, asmens identifikavimui“ – sakė R. Ramanauskas.

Linas Bukauskas tokį pasiteisinimą vertina kaip nebrandų. „Net ir geografinės vietos duomenis rinkti yra nekorektiška – tai nėra susiję nei su bankine paslauga, nei su jos kokybe. Vartotojo apytikslę geografinę koordinatę galima gauti ir kitais būdais, kurie nenaudotų mobiliosios programėlės infrastruktūros. Geografinės koordinatės nustatymu galima pasinaudoti tik kritiniu atveju ir tam mobiliosios aplikacijos nereikia“, – sakė jis.

Draugiškos dalybos

Didžiąją dalį šalyje veikiančių bankų (įskaitant ir tuos, kurių mobiliąsias aplikacijas aptarėme šiame tyrime) vienija Lietuvos bankų asociacija (LBA). Tai organizacija, kurios pagrindinis tikslas – siekti efektyvios reguliacinės aplinkos ir priežiūros, sudaryti palankias sąlygas bankams prisidėti kuriant klientų ir visuomenės ekonominę gerovę.

Ši asociacija, atsižvelgusi į egzistuojančius teisės aktus ir pati nustačiusi pakankamą teisinį pagrindą, informaciją apie savo klientus privalo teikti valstybinėms institucijoms. Tam atlikti teismo leidimas nėra reikalingas.

LBA juristės J. Sakalauskaitės teigimu, asociacija informacijos apie teikiamų asmens duomenų turinį ir apimtį nerenka, todėl sunku įvardinti, kokius konkrečius duomenis bankai gali perduoti kitoms institucijos. Tikėtina, kad dalis jų gali būti surinkti mobiliųjų aplikacijų pagalba.

Asociacija duomenimis apie bankų vartotojus dalinasi su šiomis institucijomis: Lietuvos banku, Valstybine mokesčių inspekcija (VMI), antstoliais, notarais, banko administratoriais, policija, Finansinių nusikaltimų tyrimo tarnyba (FNTT), Specialiųjų tyrimų tarnyba (STT), prokuratūra ir teismais.

Tyrimas parengtas „Media4Change“ žurnalistinių tyrimų konkursui.

Media4change tiriamųjų darbų konkursas rengiamas įgyvendinant Europos Ekonominės Erdvės finansinio mechanizmo 2009-2014 periodo NVO Programos Lietuvoje remiamo projekto „Visi skirtingi – visi lygūs: aktyvus dalyvavimas, įvairovė, žmogaus teisės“ dalis.  Kūrinys atspindi tik autoriaus požiūrį, todėl NVO Programa Lietuvoje negali būti laikoma atsakinga už bet kokį jame pateikiamos informacijos naudojimą