Řada fintech služeb potřebuje data. Data o klientech a jejich transakcích jsou tím novodobým zlatem v bankovních serverech. Až na pár světových výjimek s těmito daty však banky neumějí pracovat. Takže se v hlavách inovátorů rodí nápady, jak taková data využít. Stačí si představit, že když víte o klientovi všechno, co dělá se svými penězi za dlouhý čas, můžete mu nejenom ukázat, jaký produkt by se mu právě hodil a kam by volný zůstatek mohl nejlépe investovat, ale můžete mu nabídnout vhodný úvěr nebo ho upozornit, že už tento den utratil moc a do výplaty je daleko a místo do restaurace jej navigovat do nejbližší sámošky.

Jak se fintech k velkým datům mohou dostat?

1. Mohou nechat klienta zapisovat své výdaje do nějaké aplikace – to nikoho bavit nebude.
2. Mohou se napojit na banky a jejich API a číst si historické transakce klienta. Tohle je hudba blízké evropské budoucnosti po implementaci PSD2.
3. Třetí možností je screen scraping. Z aplikace fintech je uživatel vyzván, aby vybral u jaké banky má účet a zadal své přihlašovací údaje, typicky jméno a heslo. Aplikace se pak připojí jménem klienta a historii si načte sama, jednorázově nebo i opakovaně.

Současné aplikace se umí přihlásit opakovaně klientským jménem a heslem. Jednorázově zvládají i přihlášení, kdy klient do aplikace přepíše jednorázový kód, který mu přišel přes SMS. Co nefunguje je přihlašování prostřednictvím certifikátu, který má klient uložen někde na disku a aplikace se k němu nedostane. Takové zabezpečení využívá např. KB.

Jak je to bezpečné?

Není. V zásadě screen scraping popírá veškeré bezpečností poučky. Typicky:

• nikomu nesdělujte své přihlašovací údaje
• když se přihlašujete do svého bankovnictví, sledujte, zda jste na správné stránce a omezte hrozbu podvržených stránek, tzv. pharming.

Když uživatel dobrovolně sdělí své přihlašovací údaje fintech aplikaci, je jen na jejím provozovateli, jak se ke klientským datům bude chovat. Detaily transakcí mohou být $$$zajímavé$$$ pro řadu subjektů od manželky, přes pojišťovnu a zloděje až po finanční úřad.

Banky se snaží screen scrapingu bránit a v rámci European Banking Federation vyzvaly Evropskou komisi k prosazení zákazu. Ten měl být původně zakomponován i do připravované RTS, viz zde. Na stránkách EBF je i sugestivní video. Téměř to vypadá, že před screen scrapingem je třeba si pomazat klávesnici česnekem, případně spouštět jen ze stříbrného mobilu.

Zastáncem fintechů v tomto sporu je Evropská komise, která se snaží podporovat konkurenční prostředí a inovace. Doposud 65 fintech se spojilo a vydaly svůj Manifest proti zákazu screen scrapingu a nabízejí řešení postavené právě na tomto způsobu získávání dat. V ČR např. Spendee, kteří se chlubí 800 000 klienty. Zamotala se do toho i PSD2, kdy fintech říkají: do doby než nám banky otevřou své API, je pro nás screen scraping jedinou možností, jak se k transakčním datům dostat.

Domácí rozhodčí (ČNB) se na konferencích k tomuto tématu opakovaně vyjadřuje tak, že do sporu nechce zasahovat.

Jak to asi dopadne?

Poslední slovo má a bude mít zákazník. Pokud spokojení uživatelé už dnes bez rozpaků poskytují hromadně své přihlašovací údaje výměnou za službu, o kterou mají zájem (a kterou jim banky doposud nebyly schopny nabídnout!), pak proti tomu ani případný zákaz bruselských osvícenců nic nezmůže.

Po pravdě banky se mohou jen omezeně bránit. Sice lze při analýze přihlašování z dat vyčíst, zda na konci je rozvážně klikající klient nebo naspídovaná fintech aplikace, ale co s tím. Banka není povinna sledovat tak detailní údaje a vždy může prohlásit, že přihlášení bylo provedeno unikátním klientským heslem, takže se má za to, že to byl klient. V extrémním případě by naopak banky mohly využít ustanovení svých podmínek a klientům přístup rušit, pokud zjistí, že klient přihlašovací údaje vyzradil – to lze interpretovat jako závažné porušení obchodních podmínek. Banky sice nechtějí hromadně rušit účty svým klientům, ale někdy se to hodit může…

Opravdu zajímavé to bude až v okamžiku, kdy nějaká z těch desítek firem poskytnutá data zneužije (samozřejmě až jich nasbírá větší než malé množství) a klient se obrátí na soud. Právníci na obou stranách se určitě těší už dnes.

Riziko zneužití není zanedbatelné. Akceptací vypuštěného džina screen scrapingu banky popřou svou dlouhé roky budovanou image bezpečně chráněných peněz, ke kterým se kromě banky a klienta nikdo nedostane.

Fintech na tuto hrozbu reagují, že přeci klient o své peníze přijít nemůže. Vždyť screen scrapingem si lze počíst v historii transakcí, nikoli zadat platbu, pro kterou je zpravidla nutné zadat jednorázový kód. Ale jakmile je cesta prošlápnutá, nic nezabrání fintech klientovi zobrazit:

Ahoj Karle, na účtu ve spořitelně máš ladem 10.000 Kč. Teď je čas vyrazit na dovolenou. Pro nákup zájezdu do Bruselu klikni OK a zadej jednorázový kód, který Ti přišel na mobil…