Qiwi позволяет верифицировать кошельки на чужие данные без дополнительной проверки
Всем привет.
Так получилось, что был взломан мой аккаунт в Госуслугах. Сам виноват, двухфакторки не стояло, а пароль был хоть и уникальным, но никогда не менялся. Побродив по логам обнаружил, что кто-то логинился в разные МФО, Теле-2, Единый ЦУПИС и Киви.
Руслан, добрый день!
По-человечески понимаем, как неприятно оказаться в такой ситуации, и всегда стараемся помочь. Оперативно удаляем кошельки на чужие данные, если к обращению прикрепить фото с паспортом. Это нужно, чтобы идентифицировать владельца паспорта.
Мы надежно храним все документы пользователей, но уважаем право считать отправку фотографии небезопасной, и в этом случае приглашаем обратиться лично. В Казани наше отделение действительно предусматривает в основном только идентификацию, поэтому специалист рекомендовал вам обратиться в офис в Москве. Ради вашего удобства мы приняли заявление в Казани и отправили его коллегам в головной офис, после чего удалили кошельки.
Что касается выписок, их действительно невозможно предоставить без запроса от правоохранительных органов, как бы нам не хотелось.
В QIWI заводится электронное средство платежа (ЭСП), само по себе оно не является счетом, поэтому может применяться упрощенная идентификация, в процессе мы запрашиваем согласие на обработку паспортных данных. Если проходить ИД не через Госуслуги, мы всегда требуем ввести данные дополнительного документа: СНИЛС, ИНН или ОМС. Значит, просто по паспорту повысить статус кошелька не получится.
"Ради вашего удобства мы приняли заявление в Казани и отправили его коллегам в головной офис, после чего удалили кошельки."
Ну это вранье :) Ваш специалист техподдержки (и не один) тыкал мне внутренними регламентами и предлагал приехать в Москву, сказав что в Казани у меня никогда не примут данное заявление. Спасибо операционистки из Казани, с которой удалось договориться и ЦБ РФ за консультацию.
"Что касается выписок, их действительно невозможно предоставить без запроса от правоохранительных органов, как бы нам не хотелось."
На что вы ссылаетесь? На какой ФЗ? Кошельки оформлены на мой паспорт, я имею законное право узнать что делали от моего имени мошенники. И передать эту информацию в Полицию. Иначе получается странная ситуация, кошелек вроде не мой (и вы и я это признаете), а договор-оферту незаключенной считать отказываетесь. Теле-2 в аналогичной ситуации мне передал детализацию вызовов и смс на сим-карту, которую оформили на меня.
"Если проходить ИД не через Госуслуги, мы всегда требуем ввести данные дополнительного документа: СНИЛС, ИНН или ОМС."
При наличии цифр паспорта и ФИО, получить ИНН, СНИЛС не составит никакого труда. При чем вполне легально. Это не защищает ни от чего.
Собственно, у меня до сих пор есть пару вопросов:
1. Почему Киви отказывается считать договор-оферту (заключенный мошенниками от моего имени) незаключенным и пересать обрабатывать ПД на основании этого, а техподдержка издевательски говорит, что "банк в праве продолжить обработку ПД". Если у данного кошелька есть криминальный след и будет запрос от правоохранителей - Киви спокойно выдаст мои данные без каких-либо дополнительных приписок. Потому что де-юре кошелек мой. Неужели надо идти в суд, чтобы избавиться от этих кошельков окончательно?
2. По поводу верификации, правильно ли я понимаю, что если цифры паспорта и ФИО бьются через СМЭВ, то Киви в принципе без разницы, кто их ввел? То есть, любой недопропорядочный сотрудник операторов сотовой связи, МФО, платной клиники etc может просто взять клиентскую базу, верифицировать сотни кошельков и делать все что хочет? При этом сам владелец паспорта никогда об этом не узнает, а Киви с удовольствием будет обрабатывать персональные данные. Вам не кажется это огромной дырой в безопасности? 115-ФЗ предполагает несколько способов упрощенной идентификации, но вы выбрали самый дырявый. И не надо говорить, что "только вы самостоятельно несете ответственность за сохранность своих личных данных". Это не так. Мои данные и данные других россиян есть в сотнях организаций, и как показывает практика, эти данные текут будь здоров каждому.