» »

Naročanje na storitve prek spleta - plačil ne preverjajo?

Naročanje na storitve prek spleta - plačil ne preverjajo?

Sindrom ::

Živjo,

Imam vprašanje glede varnosti in istovetnosti podatkov ter preverjanje uporabnikov pri naročanju na storitve preko spleta. Pred kratkim sem namreč imel zanimivo izkušnjo, ko sem se prek spleta želel včlaniti v neko slovensko društvo in se naročiti na njihovo revijo. Na spletni strani društva sem najprej ustvaril nov uporabniški račun na svoje ime in oddal nekaj osebnih podatkov. Nato sem na isti strani izbral opcijo, da želim postati član ter izbral ustrezni naročniški paket in plačilo preko IBAN računa. Med postopkom me je spletna stran preusmerila na storitev Stripe, kjer sem moral ponovno oddati svoje osebne podatke ter še podatke o svoji banki oz. številko bančnega računa IBAN. Po potrditvi je Stripe stran podatke sprejela in me vrnila nazaj na originalno stran društva. Čez nekaj dni pa le vidim v bančnih izpiskih, da mi je iz računa res trgalo določen znesek, kmalu za tem pa sem tudi dobil dostop do revije.

Sicer sem vesel, da sem postal naročnik, vendar pa me je presenetilo, ker pri naročanju ni bilo nobenega preverjanja podatkov oz. obveščanja. Spletna stran je enostavno sprejela vse navedene podatke, bremenila predstavljeni bančni račun in mi pričela nuditi svojo storitev brez kakršnega dodatenga preverjanja moje identitete. Se pravi, da bi na takih straneh lahko kdorkoli ustvaril nov uporabniški račun pod imenom neke tretje osebe, posredoval njene osebne podatke in se brez vednosti včlanil ter koristil določene storitve? Edini pogoj je poznati osebne podatke te osebe (ime, priimek, naslov) in podatke o bančnem računu (IBAN).

S tem vprašanjem sem tudi kontaktiral svojo banko, saj sem pričakoval, da je pri vseh spletnih plačilih obvezno potrjevanje plačil oz. močna avtentikacija uporabnikov, kot jo ureja zakon ZPlaSSIED. Odgovorili so mi, češ, da v tem primeru ne gre za spletno plačilo temveč za naročilo na storitev oz. sklenitev trajnika in tukaj močna avtentikacija ni obvezna.

Mar morda kdo ve kako je tole pri nas urejeno oz. zakaj se ne preverja?
Sicer ne vem ali sem bil osamljen primer ali ne, vendar pri takšnem postopku jaz vidim precejšno možnost za zlorabo podatkov.
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmerman

Tody ::

Pokliči na katerokoli revijo povej svoje podatke in te bodo naročili na revijo. Ponovi svojo vajo z imenom tvoje žene, mame in sestre ter svoj iban... Dobil bos 4 revije in lepo zahvalo založnika

Nikonja ::

Žal je res, enako je bilo ko sem bil nekaj časa naročen na sobotno delo... rabili so samo številko računa.
Presenetljivo da ni več iskoriščanja!

Legon ::

Zlorabe seveda so mozne in za njih je v prvi vrsti odgovoren ponudnik storitve, neposredno do potrosnika pa to resi banka, ki potem to ureja s ponudnikom.

Zakon eksplicitno nalaga ponudniku storitve da mora ugotovit identiteto placnika in ustrezno pridobit soglasje.

V konkretnem primeru verjetno govorimo o par 10 eur clanarine. Ce bo prislo do zlorabe, bo drustvo pac vrnilo denar in bodo ob en izvod revije.

Ponudnik storitve je pac tisti, ki v dogovoru z banko sprejme odlocitve (in tudi nosi posledice) ce zeli uporabljat sotrotev kjer je moznost zlorabe vecja. Pac tehta med skodo, ki jo bo utrepel zaradi zlorab in dodano vrednostjo ki bo nastala, zaradi poenostavljenega poslovanja.

Zato je tudi relativno malo ponudnikov, ki omogocajo tak nacin placevanja. Praviloma gre za ponudnike storitev, ki svoje storitve mesecno zaracunajo (elektrika, voda, telefon...). Tudi tukaj ce pac pride do zlorabe, vrnejo denar in potem narocnika pac terjajo za neplacano storitev. Ni pa velike verjetnosti za zlorabe ker, je velika sledljivost in bi se hitro znasel v tezavah ce bi hotel svojo elektriko placevat s sosedovim IBAN. Ali se s njegovim TRR vclanit v drustvo.

Zgodovina sprememb…

  • spremenilo: Legon ()

Utk ::

je velika sledljivost in bi se hitro znasel v tezavah ce bi hotel svojo elektriko placevat s sosedovim IBAN

Tu je sledljivost ja.

Ali se s njegovim TRR vclanit v drustvo.

Tu pa ne, če je to neko online društvo z online revijo. Kako te bojo našli?

MrStein ::

Po podatkih, ki si jih pustil?

Sicer pa kot so že rekli: za direktno bremenitev je poenostavljeno povedano dovolj, da upnik banki reče "rad bi bremenili ta in ta TRR, vse štima, prisežem"
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Utk ::

Menda nisi tako neumen, da boš pustil svoje podatke in plačal vse skupaj s tujim računom.

Legon ::

Utk je izjavil:

je velika sledljivost in bi se hitro znasel v tezavah ce bi hotel svojo elektriko placevat s sosedovim IBAN

Tu je sledljivost ja.

Ali se s njegovim TRR vclanit v drustvo.

Tu pa ne, če je to neko online društvo z online revijo. Kako te bojo našli?

Koliko online drustev z online revijo poznas ki omogoca tako placevanje? Ko bos kaksno nasel se lahko pogovarjamo naprej.

Utk je izjavil:

Menda nisi tako neumen, da boš pustil svoje podatke in plačal vse skupaj s tujim računom.

In ravno zato je zlorab tega mehanizma malo. Ker ponudniki kjer je mozna anonimnost takega placevanja ne omogocajo.

Zgodovina sprememb…

  • spremenilo: Legon ()

delavec44 ::

Poleg tega dorektno bremenitev enostavno prekličeš nekaj tednov po izvršitvi. Če nisi podal soglasja, še dlje.

Zgodovina sprememb…