Inšpektorat za informacijsko družbo, ki deluje pod okriljem ministrstva za digitalno preobrazbo, po neuradnih, a zanesljivih podatkih N1 preiskuje sum problematične prakse spletne banke Ferratum, ki posluje v Sloveniji. Od ljudi, ki želijo najeti posojilo, zahteva, da z banko delijo digitalno potrdilo in tudi zasebni ključ. "Gre za resno tveganje za zlorabo identitete teh ljudi," pravi poznavalec področja in dodaja, da v 15 letih, odkar se strokovno ukvarja z digitalnimi potrdili, v Sloveniji takega primera še ni videl.
Banka Ferratum po podatkih na spletni strani pri nas ponuja klasične bančne storitve, predvsem hitra posojila nizkih vrednosti (tako imenovana mikroposojila). Za to ima tudi dovoljenje Banke Slovenije.
V zadnjem času banka svoje storitve aktivno oglašuje v različnih medijih.
Po podatkih na spletni strani Banke Slovenije je lastnik banke podjetje Multitude bank s sedežem v malteškem mestu Gzira (do lanskega septembra se je imenovalo Ferratum bank), ki je organizirano kot delniška družba. Skupina je specializirana za finančne storitve in deluje na 19 trgih Evropske unije (EU), Ferratum pa je njena linija za potrošniško kreditiranje.
Uporabnik deli podpis in zasebni ključ
Banka pa od slovenskih komitentov, ki želijo koristiti njene storitve, v postopku oddaje vloge poleg digitalnega podpisa zahteva tudi zasebni ključ – to pa pomeni, da uporabnik banki pošlje svojo spletno identiteto, s katero bi lahko banka potem prosto razpolagala.
Zahteva po izvozu zasebnega ključa je razvidna tudi s posnetka na spletni platformi YouTube, kjer banka uporabnikom predstavi, kako izvoziti digitalno potrdilo. V videu med drugim navede, da mora komitent pri izvozu potrdila odkljukati ‘Da, izvozi zasebni ključ’ (označeno z rumeno na spodnji fotografiji), kar pomeni, da ključ potem skupaj s podpisom pošlje v aplikacijo banke.
Po neuradnih, a zanesljivih informacijah N1 je neznani prijavitelj o tem že obvestil inšpektorat za informacijsko družbo, ki deluje pod okriljem ministrstva za digitalno preobrazbo. Uradnega odgovora še nismo dobili, neuradno pa je inšpektorat sprožil postopek, ki še ni končan.
Banki Ferratum smo včeraj popoldne poslali več vprašanj, odgovore bomo objavili, ko jih dobimo. Tudi odgovore Banke Slovenije še čakamo.
Tveganje za zlorabo
“Zbiranje in kopičenje teh ključev pomeni resno tveganje za zlorabo identitete uporabnikov storitev banke,” pravi poznavalec področja in dodaja, da v 15 letih, odkar se strokovno ukvarja z digitalnimi potrdili, v Sloveniji takega primera še ni videl.
Po njegovih navedbah v prvi vrsti ni jasno, kaj s temi podatki počne banka. V teoriji bi lahko v imenu teh uporabnikov elektronsko podpisovala dokumente brez njihove vednosti. Poleg tega so identitete lahko privlačen plen za hekerje.
Ali in koliko strank ima banka, iz javno dostopnih podatkov ni znano. Na policiji pa so nam dejali, da po preverjanju ne razpolagajo s podatkom o prejetih tovrstnih prijavah. “Morebitne oškodovance pozivamo, da v primeru finančnega oškodovanja ali zlorab osebnih podatkov zadevo čim prej naznanijo na najbližji policijski enoti,” so navedli.
Se je pa na naš članek na družbenem omrežju X odzval Štefan Baebler, ki se že dolgo ukvarja s kibernetsko varnostjo. “Uporabniki, ki so banki (ali komurkoli drugemu) posredovali zasebni ključ, bi morali takšno potrdilo zaradi možnosti zlorabe nemudoma preklicati.” Navodila za preklic so na voljo tukaj.
Dodal je, da bo v nasprotnem primeru v prihodnosti (verjetno po koncu inšpekcijskega postopka) potrdilo preklical izdajatelj, ki mora, če je ogrožena varnost zasebnega ključa, to storiti po uradni dolžnosti.
Spremljajte N1 na družbenih omrežjih Facebook, Instagram in Twitter.
Naložite si našo aplikacijo: na voljo za android in za iOS.
Kakšno je tvoje mnenje o tem?
Sodeluj v razpravi ali preberi komentarje