Qiwi позволяет верифицировать кошельки на чужие данные без дополнительной проверки
Всем привет.
Так получилось, что был взломан мой аккаунт в Госуслугах. Сам виноват, двухфакторки не стояло, а пароль был хоть и уникальным, но никогда не менялся. Побродив по логам обнаружил, что кто-то логинился в разные МФО, Теле-2, Единый ЦУПИС и Киви.
Со всеми организациями я оперативно связался, сообщил о ситуации, кредит на меня оформить пытались, но все МФО отказали, т.к. не были переданы сканы документов. На всякий случай на попытку взятия микрозаймов я написал заявление в полицию. В принципе, отделался легким испугом, паспорт в ближайшее время буду менять, но общение с техподдержкой Киви доставило много хлопот.
Выясняю какие кошельки на меня зарегистрировали
Для начала я пытался выяснить есть ли на мои данные какие-либо кошельки. Я никогда не пользовался Киви, и по сути быть их не должно. Обратился в техподдержку, мне предложили написать заявление и прислать селфи с паспортом для получения данной информации. Так как мои данные уже скомпрометированы, не очень хотелось отправлять подобные фото. Спросил об альтернативных методах верификации. Предложил им, чтобы я пришел в офис Киви в Казани и они там мне выдали данную информацию.
Техподдержка начала ссылаться на внутренние регламенты
После длительной переписки, я решил узнать на горячей линии ЦБ РФ насколько законны требования техподдержки. Выяснил, что я могу запрашивать данные о зарегистрированных на меня счетах в отделении банка и слать селфи с паспортом не обязательно. После этого снова позвонил в Киви и сообщил им об этом.
Оказалось, что я таки могу получить информацию лично, но только в Москве.
Несмотря на отказ, на следующий день я все-таки поехал в казанский офис и написал заявление на выдачу информации о счетах зарегистрированных на мои данные. Его у меня спокойно приняли и сказали ждать ответ.
После получения ответа
После новогодних праздниов ответ пришел. На мое имя есть два кошелька. Но номера телефонов, естественно, не мои и мне не принадлежат.
В ответ я сообшил, что кошельки я не регистрировал и попросил историю операций по ним, для предоставления в полицию. Киви отказал. Вот так вот, мошенники имеют право на банковскую тайну, несмотря на то что кошельки оформлены на меня
Кошельки по моему заявлению вскоре удалили, направил также запрос на отзыв персональных данных и задал последние вопросы и получил потрясающие ответы.
Впечатляет. Киви говорит, что я сам несу ответственность за сохранность личных данных. Это действительно так. Но в свою очередь они подтверждают, что при верификации кошельков им достаточно просто валидных (бьющихся через СМЭВ) номера, серии и ФИО. Учитывая как хорошо текут паспортные данные в нашей стране, получить эту информацию не очень сложно. А затем верифицировать кошельки пачками без дополнительной проверки наличия документа у верифицирующего.
Выводы
Данный пост попытка обратить внимание на "слабые места", нежели жалоба.
Я не юрист, не понимаю насколько законно Киви ссылается на упрощенную идентификацию в 115-ФЗ, моих знаний хватило найти вот это.
1.12. Упрощенная идентификация клиента - физического лица проводится одним из следующих способов:
1) посредством личного представления клиентом - физическим лицом оригиналов документов и (или) надлежащим образом заверенных копий документов;
2) посредством направления клиентом - физическим лицом [...] следующих сведений о себе: фамилии, имени, отчества (если иное не вытекает из закона или национального обычая), серии и номера документа, удостоверяющего личность, страхового номера индивидуального лицевого счета застрахованного лица в системе персонифицированного учета Пенсионного фонда Российской Федерации, и (или) идентификационного номера налогоплательщика, и (или) номера полиса обязательного медицинского страхования застрахованного лица, а также абонентского номера клиента - физического лица, пользующегося услугами подвижной радиотелефонной связи;
3) посредством прохождения клиентом - физическим лицом авторизации в единой системе идентификации и аутентификации при использовании усиленной квалифицированной электронной подписи или простой электронной подписи при условии, что при выдаче ключа простой электронной подписи личность физического лица установлена при личном приеме, с указанием следующих сведений о себе: фамилии, имени, отчества (если иное не вытекает из закона или национального обычая), страхового номера индивидуального лицевого счета застрахованного лица в системе персонифицированного учета Пенсионного фонда Российской Федерации.
И вроде как пункты 2 и 3 подходят под мой случай, но я не понимаю применимы ли они конкретно при верификации кошельков. Считается ли это открытием счета? Если да, то упрощенная идентификация здесь уже неприемлима.
Мне кажется абсурдным сам факт того, что на твое имя можно спокойно верифицировать Киви-кошелек и от твоего имени производить любые операции. Никто не потребует даже скан паспорта, я уже молчу о подтверждении, что номер телефона принадлежит тебе.
Плюс ко всему, все это время Киви отбрабатывает твои персональные данные без твоего согласия.
А если ты вдруг чудом узнал, что кошельки на твое имя есть, получить выписку по операциям невозможно. Банковская тайна мошенников она тоже священна.
По данному вопросу планирую проконсультироваться с юристом насколько правомерна верификация кошельков таким способом и обратиться в суд.
Это же специализированный сервис для кардеров и драгдилеров, чего вы удивляетесь? :)
Тиньков такой же. Я нахожусь не в России и узнавал у них возможность выслать карту за границу. Они сказали первый раз надо встретить курьера лично для проверки паспорта. Но если ввести паспортные данные и номер телефона, можно без встречи с курьером и получения физической карты пользоваться виртуальной картой. Тоже самое по сути.
Так не только в киви и не только в России. Балансируют между удобством и безопасностью. Можно кучу проверок устраивать, но тогда сколько порядочных людей получит массу геморроя из за тех кто похерил свои паспортные данные? Они могут запросить нотариально заверенные документы и справку от сотового оператора что владелец номера тот же человек, но многие порядочные юзеры пошлют их нафиг. Киви балансирует за счёт лимитов. Без дополнительных проверок лимиты по кошелькам там очень низкие.
В таком случае они должны быть заинтересованы в том, чтобы при обращении реального владельца паспорта как можно скорее блокировать счета и считать договор-оферту незаключенным. А не включать дурачка и говорить, что "паспорт валидный, мы невиноватые". Кошельки-то удалят, но товарищ майор в случае чего разбираться не будет.
Киви открывает не обычные банковские счета, а ЭСП (электронное средство платежа), насколько я знаю. Так же работает Вебмани в России (через Банк ККБ). Эти ЭСП бывают вообще неперсонализироваными(Н-ЭСП), бывают просто с вводом паспортных данных( упрощённая верификация) и с полной верификацией. У Киви как раз все указывает на то, что они открывают ЭСП: есть такие же разные виды идентификации, есть лимит на 600к руб, который есть у ЭСП.
В данном случае все зависит от того какая была верификация у кошельков, зарегистрированных на Вас. Если была упрощенная идентификация - то все законно, если полная - скорее всего, нет(но я не уверен)
полная разве не через госуслуги просто подтверждается?
Киви заблокирует эти счета, деньги оставит себе, у них это часть бизнеса.