Cashback w centrach: Westfield Arkadia, Galeria Mokotów i Wroclavia. Czy połączenie aplikacji mobilnej z rachunkiem bankowym jest bezpieczne?

Lokowanie produktu Zakupy dołącz do dyskusji (2) 26.09.2020
Cashback w centrach: Westfield Arkadia, Galeria Mokotów i Wroclavia. Czy połączenie aplikacji mobilnej z rachunkiem bankowym jest bezpieczne?

Paweł Mering

Unibail-Rodamco-Westfield oferuje nową odsłonę programu lojalnościowego dla swoich klientów w trzech centrach handlowych. Warszawskich: Westfield Arkadii, Galerii Mokotów i Wroclavii we Wrocławiu. Czy połączenie rachunku bankowego z kontem lojalnościowym, by transakcje same się zaliczały na poczet programu, jest bezpieczne?

Zasadne obawy?

Sytuacje, w których wymaga się od nas udzielenia zgody na dostęp do rachunku bankowego powodują nasze zaniepokojenie i bynajmniej nic w tym dziwnego nie ma. To bardzo dobrze, że my, konsumenci – sam nim przecież jestem – zadajemy pytania, a także czujemy pewne obawy przed udzielaniem dostępu do platform – niewątpliwie – wrażliwych.

Szczególnie, że w programie lojalnościowym, o którym mowa, chodzi nie tylko o samą kartę płatniczą, a o podpięcie rachunku bankowego, wraz z dostępem do konta. A na rachunkach bankowych trzymamy przecież zdecydowaną większość naszych pieniędzy.

Warto od razu podkreślić, że pewne obawy nie są skutkiem jakiegoś konkretnego działania czy zaniechania organizatora programu lojalnościowego, a naturalną ceną postępu.

Regulamin programu partnerskiego i Cashback

Sam program partnerski – także w zakresie Cashback – jest umową. Jej zakres wyznaczają: regulamin, zgoda użytkownika i przepisy obowiązującego prawa. Regulamin napisany jest przejrzyście i zrozumiale. Dodatkowo wprost określa, że zgody udzielamy jedynie w zakresie wglądu do konta i w zakresie transakcji objętych promocją.

Przy próbie dodania rachunku bankowego do konta w programie lojalnościowym (poprzez aplikację mobilną lub serwis internetowy) można wprawdzie ujrzeć zgodę na udzielenie dostępu do wszystkich transakcji w obrębie rachunku, jednakże jest to po pierwsze zgoda opcjonalna, a po drugie, owe dane gromadzone są w sposób anonimowy i jedynie w celach statystycznych.

Właściwe regulaminy są dostępne na stronach internetowych odpowiedniego centrum. Każdy może – i powinien – do nich zajrzeć. Nie ma tam nic, co by budziło wątpliwości. A z pewnością nie ma żadnych podstaw, by w obrębie rachunku bankowego dokonywane były jakiekolwiek inne czynności.

Prawo ponadnarodowe, krajowe i aspekty techniczne

Zabezpieczenia ze strony prawa europejskiego i krajowego są dla bezpieczeństwa tego rodzaju rozwiązań istotne. Można nawet uznać, że nie tyle organizator programu lojalnościowego wprowadza udogodnienie tak, by dopasować je do istniejącego prawa, ile obowiązujące prawo wręcz nakłania rynek, by właśnie w tę stronę szedł. Palmę pierwszeństwa na polskim rynku ma tutaj Unibail-Rodamco-Westfield – i bardzo dobrze.

Jak wspomniałem, prawo unijne wręcz nakłania, by konta bankowe stały się jednym z elementów dużego systemu. Podłączenie rachunku bankowego do programu lojalnościowego centrum handlowego jest właśnie jednym z modelowych rozwiązań finansowego rynku przyszłości.

Unijna dyrektywa PSD2 kojarzy się stereotypowemu Kowalskiemu z utrudnionym logowaniem do bankowości internetowej i… najczęściej tyle. Tymczasem dyrektywa PSD2 nie dość, że wyznacza ramy bezpieczeństwa, to przede wszystkim kładzie fundament pod wspólny, jednolity rynek instytucji finansowych.

Otwarcie dostępów do rachunków bankowych – w ściśle określony pod względem technologicznym sposób – pozwala na tworzenie nowych systemów. Na czele ze współpracą administracji, przedsiębiorców, instytucji finansowych i podmiotów rynku komercyjnego.

PSD2 i otwarta bankowość

Sam dostęp do rachunku bankowego wynika z tzw. otwartej bankowości. Dyrektywa PSD2 narzuca instytucjom bankowym, by udostępniały swoje API (w Polsce ZBP opracował wspólny system – PolishAPI). Jest to wspólny (pod względem rozwiązań technicznych) interfejs. Pozwala on na bezpieczne połączenie pozwalające m.in. na wgląd do rachunków bankowych przez zewnętrzne instytucje – jak Transaction Connect, który robi to w imieniu Unibail-Rodamco-Westfield.

Nie jest to dostęp taki, jakiego udziela się posiadaczowi rachunku. Klient nie podaje oczywiście swoich danych logowania zewnętrznej firmie, a samodzielnie loguje się do banku. I to właśnie bank – za zgodą użytkownika – udziela dostępu, w ograniczonej prawnie i technologicznie części, zewnętrznej firmie – tu w celu wglądu do rachunku.

Zewnętrzna firma może zatem tylko tyle, na ile pozwala jej bank (i posiadacz rachunku) w zakresie konkretnego połączenia. Stąd – o czym wcześniej wspomniałem – nie jest możliwe dokonywanie obciążeń na rachunku, a jedynie pobieranie informacji o transakcjach.

Warto także wspomnieć o przepisach dotyczących ochrony danych osobowych (np. RODO). W zasadach korzystania, czy polityce prywatności, wskazano podstawy i zakres przetwarzania danych – a sama dyrektywa PSD2 określa dodatkowe wymagania. Nie widać tutaj zagrożenia dla bezpieczeństwa danych osobowych.

Ochrona na gruncie prawa krajowego

Rzeczpospolita Polska – jak i każde inne państwo członkowskie Unii Europejskiej – jest zobowiązana do implementacji unijnych dyrektyw do krajowego porządku prawnego. Znowelizowana dyrektywa PSD2 została zatem wtłoczona do rodzimego ustawodawstwa. Głównie poprzez ustawę z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw. Wprowadzono do polskiego porządku m.in.

  • usługę inicjowania transakcji płatniczej (Payment Initiation Service, PIS)
    usługę dostępu do informacji o rachunku (Account Information Service, AIS)
  • Zdefiniowano także podczas nowelizacji nowe instytucje, czy zdarzenia w obrębie rynku płatniczego, a dodatkowo określono pewne dodatkowe – na przykład związane z bezpieczeństwem danych – wymogi.

Podobne rozwiązania funkcjonują we wszystkich państwach członkowskich, co wynika z unijnej polityki integracji poprzez prawo.

Alternatywna opcja

Trzeba też oczywiście wspomnieć, co wynika z zasad programu partnerskiego, że wglądem do rachunku bankowego i analizą zakupów zajmuje się zewnętrzna firma. Jest to przedsiębiorstwo Transaction Connect z siedzibą w Paryżu.

Może to budzić pewne wątpliwości u klientów, ale tutaj warto podkreślić, że Transaction Connect to specjalista w tej dziedzinie. Firma jest także licencjonowaną, zarejestrowaną we Francji instytucją finansową, która właśnie tego rodzaju działalnością się od lat zajmuje.

Ponadto dyrektywa PSD2 ma zastosowanie wobec wszystkich państw członkowskich. Toteż wszelkiego rodzaju ograniczenia wiążą zarówno Unibail-Rodamco-Westfield, jak i zewnętrzną firmę, która de facto ma dostęp do naszych rachunków bankowych. Regulacje – wynikające z dyrektywy unijnej – są bliźniacze w krajach członkowskich.

I w końcu trzeba pamiętać, że jest to jedna z dwóch metod rejestracji zakupów, a sam Cashback jest opcjonalny. Jeżeli kogoś wyżej wymienione argumenty nie przekonują do udzielenia dostępu do rachunku, bądź nie ma konta w banku, który znajduje się na liście dostępnych, to może rejestrować swoje transakcje manualnie skanując paragony. Nic nie stoi na przeszkodzie.

Wpis powstał we współpracy z Unibail-Rodamco-Westfield