¿Qué hacer con los sitios MITM de banca directa "aprobados" como sofort.com?

  

Después de que todos nosotros hayamos firmado efectivamente un "no divulgue nunca sus datos de inicio de sesión a nadie más bajo ninguna circunstancia, o si no" a un acuerdo con nuestros bancos, ¿cómo es esto posible?

Sofort AG es una empresa alemana, así que me centraré en Alemania: hubo un procedimiento antimonopolio , y como resultado de ello, la mayoría de los bancos cambiaron sus términos y condiciones para permitir esto (al menos según Wikipedia ). Sin embargo, no parece que el procedimiento haya dado lugar a nuevas leyes.

El europeo Directiva de servicios de pago se está actualizando, y luego también cubriría a los proveedores de pago de terceros (TPP), por lo que según tengo entendido, también sería regula Sofortüberweisung (el nombre correcto para un servicio como este parece ser Servicios de Iniciación de Pago). Consulte también esta interpretación aquí en inglés .

  

¿Hay algo que puedan hacer los usuarios finales, excepto votar con sus billeteras?

Bueno, puede presionar a los políticos, escribir artículos de noticias, buscar y exponer fallas de seguridad, etc. O puede esperar que haya alternativas válidas y usarlas en su lugar.

Seguridad

La pregunta implícita aquí parece ser si esto es seguro o no.

• agrega una compañía adicional que puede arruinar y, por lo tanto, reduce la seguridad (para ninguna o pocas ventajas).
• debe confiar en la empresa (en este caso, Sofort AG), ya que también podrían tomar todo su dinero si quisieran (pero este es el caso de muchas opciones de pago, por ejemplo, PayPal permite que cualquier tienda retire una cantidad aleatoria de dinero ).
• podría aumentar la disposición de los usuarios inexpertos a ingresar su contraseña ("Hice esto muchas veces y nunca sucedió algo malo antes") y, por lo tanto, aumenta el éxito y la cantidad de ataques de phishing.

El mayor problema con servicios como Sofort es que, como USTED ha ingresado sus datos bancarios, ELLOS están indemnizados contra las devoluciones de cargo y, de hecho, cualquier tipo de reclamo de que la transacción fue fraudulenta. Lo que reduce el costo de su negocio porque no tienen fraude (por lo que son responsables de pagar). Sin embargo, la responsabilidad del fraude recae en USTED el cliente. Al utilizar Sofort, está renunciando a los derechos que tendría si usara cualquier otro método de pago tradicional.

Haz los cálculos. Decide si estás dispuesto a correr el riesgo. Si está en línea y se siente mal ... está mal.

La respuesta de Tim es excelente y aún relevante en 2017, pero omite una cosa importante: PRIVACIDAD.

  

tienes que confiar en la empresa (en este caso, Sofort AG), ya que también podrían tomar todo tu dinero si quisieran

El riesgo existe, pero es probable que sea bajo, o todo su modelo de negocio colapsaría. El riesgo proporciona un incentivo serio para tomar en serio la seguridad.

En realidad le pregunté a mi banco (BNP Fortis Paribas) acerca de Sofort (ahora Klarna ) con los mismos comentarios que OP, y no me desanimaron de usar Sofort, ni me despreciaron por compartir mi nombre de usuario detalles ... en lugar de animarme a contactar a Sofort con mi pregunta (como la respuesta que recibió este cliente ). Las declaraciones de Tim explican bastante bien por qué.

Pero también debes confiar en Sofort para tomar en serio tu PRIVACIDAD.

Sofort tiene acceso efectivo a sus saldos bancarios en todas sus cuentas, todas las transacciones que realizó, las mismas que están visibles en el portal en línea de su banco. Esto parece depender de la configuración que tengan con los distintos bancos; Si no hay una API del banco, su política de protección de datos establece:

  

"Alternativamente, nuestro sistema llamará automáticamente los datos a través de   interfaz de usuario de su servicio de banca en línea, de la misma manera que   si has iniciado sesión en ti mismo ".

I.e. ellos [pueden] saber lo que gana, dónde gasta su dinero, cuál es su tasa de consumo de efectivo, cuáles son sus ahorros o inversiones.

Estoy seguro de que la información es MUY valiosa.

Si realiza 1 transacción de Sofort cada 6 meses, al menos para mi banco, podrían reunir un historial de transacciones continuas para cada cliente.

Lo único que vale para ellos IMHO es que las leyes de privacidad alemanas están entre las más estrictas del mundo ...

Su Política de privacidad, no menciona los datos que están recopilando o lo que hacen con ella; sin embargo, la política más interesante Data Protection UK / EN es más específica y parece que excluye el uso que describí anteriormente.

  

No almacenaremos ningún dato personal más allá de eso, en particular, no   saldo de cuenta, datos de transacciones, límites de sobregiro, listas de cuentas,   contraseñas de inicio de sesión de banca en línea (como identificación personal   número) o códigos de confirmación tales como autenticación de transacción   número.

La cosa es, sin embargo, es bastante fácil auditar si su dinero ha sido robado. Otra cosa es verificar si la compañía cumple con su promesa de no recopilar esta información. Así que todo se trata de la confianza. No confíes en ellos? Gaste unos cuantos euros más y use otro proveedor de pagos.

Sofort ha causado muchas preocupaciones y controversias en toda Europa debido a su requisito de proporcionar detalles de inicio de sesión de usuario. en 2013, la Comisión Polaca de Supervisión Financiera ha emitido a warning ( en polaco) sobre el suministro de detalles de pago de clientes a terceros como Sofort o Trustly, pero la imagen parece estar más matizada.

Sofort tiene una presentación donde responden a la mayoría de las acusaciones: en primer lugar, asumen toda la responsabilidad por cualquier posible fraude relacionado con sus servicios (afirman que no hubo ninguno), en segundo lugar, afirman que no almacenan ninguna de las credenciales pero en lugar de usarlos en tiempo real.

En mi opinión, su modelo de negocios y sus argumentos tienen mucho sentido, pero tomar las credenciales de los usuarios solo para verificar los saldos de las cuentas y ordenar un pago es una exageración de un orden de magnitud. Este modelo es simplemente violar los principios de la necesidad de saber y los privilegios mínimos, dos de los principios más fundamentales de la seguridad de la información. Es un trabajo alrededor de la limitación comercial del sector de la banca de consumo que ahora rara vez ofrece API de terceros y protocolos de autorización que permitirían realizar la misma funcionalidad de una manera adecuada.

La PSD2 La directiva de la UE debería eliminar la necesidad de tales soluciones ya que introduce APIs obligatorias para el consumidor sector bancario y prohíbe el almacenamiento de credenciales de usuario (algo que Sofort dice que no hacen, pero aún así).