NLB razkrila ogromno količino podatkov o svojih uporabnikih

Nova ljubljanska banka (NLB) je prek vmesnikov (API), ki so namenjeni zagotavljanju bančnih podatkov tretjim aplikacijam za upravljanje osebnih financ posredovala na stotine izpisov transakcij uporabnikov banke.¹

Upravljalci aplikacije Toshl zatrjujejo, da jim je bila posredovana zahteva za izbris transakcij 234 uporabnikov NLB. Gre za enoletno zgodovino transakcij, vključujoč opise, stanja računov in transakcije Flik, kjer so vidna imena.

Banka zanika, da gre za nedovoljeno razkritje osebnih podatkov uporabnikov, čeprav je uporabnike z nekaj vloženega truda pri analiziranju pobeglih podatkov verjetno možno prepoznati.²

NLB prav tako trdi, da so bili zares oškodovani le štirje uporabniki, kar je malo verjetno. Samo aplikacija Toshl je prejela zahtevo za izbris podatkov 234 uporabnikov, a gre le za eno izmed številnih aplikacij, ki pridobivajo podatke o transakcijah preko strojnih vmesnikov, kot predvideva EU direktiva PSD2 (oz. ZPlaSSIED) . Potencialen obseg razkritja podatkov bi lahko bil mnogo večji.³

Zdaj smo priča aktivnim naporom banke, da razsežnost težave v medijih prikrije. Žal pa ne gre za prvi primer neupoštevanja varstva zasebnosti s strani bank.

Pred kratkim je banka Ferratum od ljudi, ki so želeli najeti posojilo, zahtevala, da delijo digitalno potrdilo in tudi zasebni ključ. S tem je uporabnike izpostavila nesprejemljivemu tveganju zlorabe njihove identitete.⁴

Tri slovenske banke: NLB, NKBM in Sparkasse, pa so nedosledne pri spoštovanju evropske zakonodaje (PSD2), ki ureja zagotavljanje ustreznosti dostopa do podatkov bank s strani uporabnikov.⁵

Bankam ne sme biti dovoljeno, da po svoje interpretirajo zakone. Vloga Informacijskega pooblaščenca in Banke Slovenije bi morala v takih primerih biti veliko bolj proaktivna.

¹ prt.si/toshnlb

² prt.si/osebpodat

³ prt.si/nlb24u

prt.si/ferr

prt.si/slaban