18
Facebookowy bank
Wpadł mi niedawno w ręce (właściwie to nie tyle w ręce, co na monitor) pewien artykuł dotyczący planów powstania w Polsce nowego banku – Alior Sync. I wszystko byłoby OK, gdyby nie jedno ale… zbyt duża integracja z Facebookiem.
Na początek zacytuję to, co powiedział p. Wojciech Sobieraj, prezes Alior Banku:
Jeśli ktoś ma na FB profil o nazwie Satan i tylko trzech znajomych, to ja takiej osobie kredytu nie udzielę
.
Chciałoby się już na początku zapytać – skoro ktoś posiada profil o nazwie Satan, to na jakiej podstawie bank zweryfikuje, że potencjalny kredytobiorca rzeczywiście jest posiadaczem tego konta i nie podał bankowi fałszywego profilu? No, ale pomińmy to niewygodne pytanie, które czepia się pojedynczych słówek i zerknijmy na pomysł sprawdzania zdolności kredytowej za pośrednictwem Facebooka.
Ten innowacyjny pomysł na pewno wiele zmieni. Pierwszą zauważalną zmianą będzie ożywienie rynku black SEO w Polsce. W Stanach kupienie kilkudziesięciu tysięcy znajomych Facebookowiczów to nie problem – w Polsce trzeba się poważnie nagimnastykować, żeby znaleźć takie oferty (chociaż są już firmy, które nabijają like’owe liczniki Fanpage’y). Skoro liczba znajomych świadczy o naszej zdolności kredytowej, to zapewne wiele osób pokusi się, aby ją powiększyć.
Zarobią również graficy – „bo skoro byłem na drogiej wycieczce w Egipcie, to znaczy, że jestem bogaty i stać mnie na spłacenie kredytu). Jedyny plus jest taki, że znikną nareszcie amatorskie, nieudolne fotomontaże, na rzecz tych bardziej profesjonalnych (chociaż, to czy zdjęcie jest fotomontażem można sprawdzać [jeśli tylko uda mi się skontaktować z autorem pewnego pomysłu, to napiszę parę słów o samej metodzie wykrywania, czy dane zdjęcie można wrzucić do kategorii „photoshoped”).
Załóżmy, że powyższe problemy udało się jakoś rozwiązać (chociaż założenie, że bank posiada tak wielkie fundusze, żeby opłacić analizę każdego zdjęcia i każdego znajomego, wydaje się błędne). Kłopoty pojawiają się dalej. Co zrobić z osobami, które w ustawieniach prywatności nie zezwoliły na oglądanie swoich znajomych (i zdjęć)? Wymaganie ich udostępnienia byłoby zbyt dużym naruszeniem. Analogicznie – co z osobami, które Facebooka nie mają? Stosujemy dla nich weryfikację zdolności kredytowej „tylko po staremu”? To byłoby głupie z prostego powodu – nikt nie przyznałby się, że ma konto na popularnej Twarzo-Książce… bo po co przechodzić dodatkową weryfikację znajomych i zdjęć? A może potraktujmy wszystkich, którzy konta nie mają jako dziwaków? „Wszyscy mają, on nie ma, jest dziwny, a dziwnym kredytów nie dajemy”? Chociaż szczerze mówiąc, wolałbym, żeby zadziałało to w drugą stronę: „Robi wszystko za pośrednictwem portali społecznościowych, chce nawet operować rachunkiem bankowym za pomocą Facebooka. Znaczy, że pewnie jest uzależniony, a uzależnionym kredytów nie dajemy”.
I kolejnych cytat p. Sobieraja:
Sync ma być bankiem, w którym zlecić przelew będzie można bez wylogowywania z Facebooka
Security składa się na ogół z pewnych warstw. W przypadku banków (mówiąc w skrócie) mamy najpierw: logowanie się do banku; później: ewentualne tokeny/kody SMS. Przelewy za pomocą Facebooka eliminują jedną z warstw. Bo skoro Facebook walczy ostatnio z plagą wirusów XSS, które potrafią „kliknąć w wyślij zaproszenie„, czy też poczatować ze znajomymi – to ja nie widzę problemu, żeby taki XSS Worm nie mógł również zainicjować żądania przelewu.
A jeśli jesteśmy już przy malware, to warto zastanowić się nad tym, z jaką częstotliwością powstaje. Czy więcej będzie szkodliwego oprogramowania, które bezpośrednio atakuje polski bank, czy może Facebook?
Na koniec pozostawiłem kwestie etyczne. Skoro mam zaufanie do danego banku i powierzam mu swoje dane, to nie wyrażam zgody, aby udostępniał on je do przetwarzania osobom trzecim (czyli Facebook do tej zakazanej listy również należy). Analogicznie, mam zaufanie do programistów danego banku i chcę, aby wszędzie wykorzystywali oni swój kod, a nie Facebookowe API.
Paweł, proponuję zaczekać z tak daleko idącą interpretacją kilku wyrwanych z kontekstu zdań prezesa Alior Banku. Chyba, że masz jeszcze inne informacje, których w cytowanym wywiadzie nie było.
Pozdrawiam
Nie, więcej informacji na temat Alior Sync obecnie nie posiadam. Wychodzę jednak z założenia, że osoby reprezentujące dana firmę (a taką funkcję niewątpliwie posiadać musi prezes) biorą odpowiedzialność za to, co wypuszczają do oceny opinii publicznej. Jedno zdanie w expose premiera spowodowało 1.5 mld zł strat Skarbu Państwa. Trzeba liczyć się z tym o czym się mówi (zwłaszcza, jeśli jest się na wysokiej pozycji) i skoro prezes banku udziela wywiadu, który po pewnej analizie może doprowadzić do wniosków typu „to, w jaki sposób zostało to omówione wygląda niebezpiecznie” – to warto o tym wspomnieć.
Dobra reklama nie pozwala na niekorzystną dla niej interpretację. I nie mówię tego, żeby w jakikolwiek sposób wytknąć cokolwiek Alior Bankowi. Wręcz przeciwnie – mam głęboką nadzieję, ze problemy, które poruszyłem zostaną w rozsądny sposób rozwiązane. Z doświadczenia jednak wiem, że wiele osób wzoruje się na firmowych gigantach. Weźmy typowego Kowalskiego, który po usłyszeniu o Alior Sync postanowi zintegrować swój sklep i moduł płatności również z Facebookiem (w sumie, przelew, a taki moduł płatności to dwie osobne sprawy, ale można zauważyć pewna część wspólną). Jeśli wspomniany Kowalski trafi przypadkiem na powyższy artykuł to istnieje całkiem spore prawdopodobieństwo, że zacznie zastanawiać się nad tym jakie dodatkowe problemy niesie taka Facebookowa integracja.
Paweł, proponuję wziąć pod uwagę, że Bank to … jest Bank. Każdy ma swoje zdolności percepcji, interpretacji. Ja jestem znacznie bardziej zdystansowany do tego wywiadu i nie poszedłem w interpretacji tak daleko jak Ty. Uważam, że budowa banku 3.0 w modelu jak opisałeś (czyt. zinterpretowałeś) to o ile okaże się prawdziwy będzie tylko częścią całości.
Zgadzam się natomiast z Tobą iż warto sygnalizować obawy.