keskiviikko 2. joulukuuta 2020

Nordea haluaa selfien ja valokuvan passista

Nordean mobiilipankki yllätti vaatimalla henkilötietojen päivittämistä.  

Mobiilipankki haluaa selfien.

Asetun nyt taviskäyttäjän rooliin. Ensimmäinen epäily on, että tämän täytyy olla jokin huijaus. Ei voi olla oikein, että pankki pyytää lähettämään itselleen selfien ja vieläpä valokuvan passista. Varmaankin jokin tiedonkalastelu, mistä uutisissakin on varoitettu.

Vanhempi käyttäjä saattaisi kysyä, miten ihmeessä selfie- ja passikuvat otetaan ja lähetetään palveluun? Kaikilla ei edes ole passia saati henkilökorttia - meillähän on käytössä sähköinen vahva tunnistaminen, ne Nordean omat pankkitunnukset! Ja sitten on vielä mobiilivarmenne sekä muita tekniikoita.

Miksi ihmeessä Nordea haluaa päivittää henkilötietoni, sillä ne eivät ole muuttuneet. Syntymäaikani ja HETUni ovat edelleen samat. Passin numero on saattanut vaihtua, mutta eihän pankki sillä tiedolla mitään tee (eikä ole sitä koskaan ennen kysynytkään). Mikä siis on se uusi tieto, jonka Nordea saa katsomalla selfiekuvaani tai valokuvaani passista?

Kyse on tietenkin EU:n rahanpesudirektiivistä, joka aiemmin on huvittanut/ärsyttänyt asiakkaita kysymällä, onko näiden sukulaisissa diktaattoreita tai muita vaikutusvaltaisia henkilöitä.

Mutta edelleen: miten nämä tai muutkaan asiakkaan tuntemiseen liittyvät tiedot selviävät passin tai kasvojen valokuvasta, jotka on kaiken lisäksi helppo muokata kuvankäsittelyllä? 

Eniten ihmetyttää se, että Nordea myy muille (Kela, Omakanta, lääkärien ajanvaraus, Trafi ym) asiakkaan vahvaa tunnistuspalvelua ja laskuttaa jokaisesta tunnistuskerrasta joitakin senttejä. Miksei Nordea pyydä tunnistautumaan omilla pankkitunnuksilla?

Miten Nordea voi tarjota tunnistuspalvelua muille, jos se ei luota omiin tunnuksiinsa? Miten Kela ja Omakanta voivat varmistaa tietosuojan, jos pankkitunnuksiin ei olekaan luottamista? Tämähän romahduttaa koko vahvan tunnistamisen ja verkkoasioinnin.

Olisiko niin, että rahanpesudirektiivi edellyttää pankin tuntevan asiakkaansa, mutta ei ota huomioon sitä, että Suomessa pankit tuntevat asiakkaansa jopa viranomaisten puolesta tarjoamalla pankkitunnuksia vahvaan tunnistamiseen? 

Kiinnostaisi myös tietää, onko kuvien pyytäminen GDPR:n mukaista. Täyttävätkö ne edes tarpeellisuusvaatimusta? Vertaileeko joku henkilö oikeasti kuvia silmämääräisesti ja pystyy niiden perusteella tuntemaan asiakkaan? Mitä kuville tapahtuu, kun tämä vertailu on tehty?

Ilmoituksessa kerrottu osoite www.nordea.fi/miksipankkikysyy vie sivulle https://www.nordea.fi/henkiloasiakkaat/tule-asiakkaaksi/asiakkaan-tunteminen.html, jossa selitetään ympäripyöreitä pankin vastuusta ja tarpeesta tuntea asiakkaansa koska ...Pankki voi myös käyttää antamiasi tietoja soveltuvin osin niiden pankkipalvelujen yhteydessä, joissa meillä pankkina on velvollisuus selvittää sinusta tietyt asiat, kuten arvioidaksemme sijoitustuotteen tai -palvelun soveltuvuutta sinulle. Tällöin meidän ei tarvitse kysyä samoja asioita useampaan kertaan. 

Juurihan te kysytte samoja tietoja yhä uudelleen. Ja miten selfie liittyy palveluiden sopivuuden arviointiin? Näkeekö naamasta, kenelle kannattaa tarjota sijoitusneuvontaa?

Suomalainen HETU sisältää onneksi syntymäajan ja sukupuolen, vaikka molempia tietoja onkin vaadittu poistettavaksi. HETUn ansiosta pankki tietää tai saa selville kaiken tarpeellisen ilman outoja kyselyitäkin.

28 kommenttia:

Anonyymi kirjoitti...

Onko siinä oikeasti mahdollisuus käydä konttorissa henkilökohtaisesti? Minä ainakin menen käymään henk. koht. konttorissa jos ne minulta moisia kysyvät. En taatusti lähetä sähköisesti mitään!! Toivottavasti kaikki muutkin käyvät, saavat siinä tutustua ihmisiin oikein urakalla!!!

Anonyymi kirjoitti...

On ollut tapauksia joissa pankki on antanut konttorissa tyhjentää tilin varastetulla passilla tai henkilökortilla. Jos edes kasvokkain asiakasta ei voi luotettavasti tunnistaa, miksi pankeille on annettu lupa toimia henkilön tunnistajana? Vahva tunnistautuminen pitäisi olla pelkästään valtion hoitama palvelu. Järjetöntä että kansalainen maksaa verotuksessa pankeille siitä että saa käyttää valtion ja kuntien palveluita verkossa.

Pankkien palveluun pääsee kirjautumaan ja tunnistautumaan mobiilisovelluksella. Miksei valtio voisi tehdä omaa sovellusta kömpelön kortinlukulaitteen sijaan?

Mikko kirjoitti...

Minulla meni passi pois voimasta viime kesänä. Koska korona, päätin jättää uusimatta. Minulla ei ole koskaan ollut henkilökorttia (turha), joten minulla ei olisi ollut mitään Nordealle kelpaavaa henkilöllisyystodistusta. Mitäköhän sitten olisi käynyt? Nordea olisi vaatinut hakemaan passia/henkilökorttia? Luultavasti, ja kaipa se olisi ihan kohtuullinen vaatimus, että pankki saa hoidettua oman tunnistamisvelvoitteensa. Silloin tietysti herää kysymys, että jos he tunsivat minut aiemmin, miten passin voimassaolon loppuminen tähän vaikuttaa.

Melkein harmittaa, että sittemmin hain kuitenkin passin, joten en pääse testaamaan Nordean käytäntöjä käytännössä.

Anonyymi kirjoitti...



Löysin tuolta ohjeista kohdan, että tarvitsevat passikuvaa e-tunnistetta varten.

Anonyymi kirjoitti...

"Mikä siis on se uusi tieto, jonka Nordea saa katsomalla selfiekuvaani tai valokuvaani passista?"

Passeissa on jatkuvasti parantuvia turva-ominaisuuksia. Niissähän on myös digitaalinen allekirjoitus, tosin en tiedä missä määrin niitä tarkistetaan. Olethan voinut avata tilin aikoinaan väärennetyllä henkilöllisyystodistuksella.

Jos menee uuden henkilöllisyystodistuksen kanssa asioimaan pankin tiskille, virkailija naputtelee päätteelle jotain tietoja, luulisin että kyseessä on mm. henkilöllisyystodistuksen numero. Tämähän parantaa turvallisuutta. Väärennetyssä henkilöllisyystodistuksessa olisi luultavasti eri numero kuin mikä pankin tiedoissa on.

"pankit tuntevat asiakkaansa jopa viranomaisten puolesta tarjoamalla pankkitunnuksia vahvaan tunnistamiseen"

Pankit myöntävät verkkopankkitunnuksia poliisin myöntämän henkilökortin/passin perusteella. Poliisi on se joka tunnistaa ihmisiä.

Uutta henkilökorttia (tai passia) haettaessa pitäisi olla vanha henkilökortti (tai passi) tunnistamista varten. Jos näitä ei ole, poliisi voi käyttää väestörekisteritietoihin perustuvaa tunnistuskyselyä. Pelkän verkkopankkitunnistautumisen perusteella ei tietääkseni voi saada passia.

"HETUn ansiosta pankki tietää tai saa selville kaiken tarpeellisen ilman outoja kyselyitäkin."

Tämä on jo mennyttä maailmaa.

Minusta henkilöllisyystodistusten tarkistaminen on ok, vaikka pankkien muut kyselyt ovat ärsyttäviä.

Rahanpesunkin kannalta on tärkeää että pankeissa ei ole tilejä olemattomilla henkilöillä.

"Melkein harmittaa, että sittemmin hain kuitenkin passin, joten en pääse testaamaan Nordean käytäntöjä käytännössä."

Ajokortti riittää konttorissa asioimiseen. Pankkien sivuilla on luettelo hyväksytyistä henkilöllisyystodistuksista. Verkkopankkitunnukset vaativat lain mukaan henkilökortin/passin.

Anonyymi kirjoitti...

Ukko.fi pyysi samaa. Ennen vastaavaa on tullut vastaan vain pokerisivustoilla, joilla huijausyrityksiä varmaan riitää. En ymmärrä miksi palkanmaksu/pankki kyselee tällaista. Uusia vuotoja odotellessa...

MadMax kirjoitti...

Petteri, ensisijaisesti vaihda pankkia. Nordea on kallein ja p***in, mitä Suomesta tällä hetkellä löytyy. Tosin muutkin toimijat aktiivisesti pyrkivät tekemään asiakaskokemuksestaan aina vaan kamalampaa.

Tai sitten ehkä pyydä GDPR:n mukainen rekisteriseloste, siitä pitää käydä ilmi, miten kuvia säilytetään ja mihin niitä käytetään.

Rahanpesudirektiivistä sen verran, että jos joku sukulaiseni sattuisi olemaan diktaattori, niin mitä minä sille mahdan? Sukulaisiaan ei voi valita.

Vrt. esim. USAn maahantulokortissa kysyttiin aikaisemmin (ei vissiin enää nykyään) että olenko osallistunut Natsi-Saksan kansanmurhiin 1938 - 1945. Se on esimerkki asiasta, johon voi sentään itse vaikuttaa eli olla osallistumatta (tai jopa olla olematta olemassa kyseisenä ajanjaksona).

Erakko Väätäinen kirjoitti...

Minä jätin uppoavan laivan jo lähes kolme vuotta sitten...

Nykyään tyytyväinen S-pankin asiakas.

Ei ole Nordeaa ikävä.

Anonyymi kirjoitti...

S-etukortin omistajien osoitetietoja on saatavilla julkisesta rekisteristä. Jos ottaa omien tietojen turvaamisen vakavasti, tämä on suurempi vaara kuin se, että pankilla on kopio passista.

Anonyymi kirjoitti...

S-Pankki kyseli samat, siis vaimolta. Itse kävin pari vuotta sitten Nordean konttorissa ja eivät ole sen jälkeen kyselleet. Toki varsinaiset tilit ovat muussa pankissa.

Markus kirjoitti...

En ole nyt ihan varma, onko Nordea ainoa suomessa toimiva pankki, joka näin tekee.

Itselläni ei ole koskaan tehnyt, mutta asuinpaikkakunnallani on nordean konttori jossa tulee se "kerran kolmessa vuodessa" asioitua, ja tunnistus on tehty tällöin viimeeksi kun olen konttorissa käynyt.

Tiedän kuitenkin euroopasta sen verran, että muilla eurooppalaispankeilla käytäntö on hyvinkin yleinen. Kuten espanjalaisella santaderilla ja englantilaisilla (no se nyt ei enää ole EU:ta mutta oli). Eli itselleni tämä prosessi passista ja oman kasvon kuvasta passikuvan lisäksi digitaalisesti lähetettynä ei ole edes mitenkään uutta.

Tällähän siis säästää nimenomaan sen konttorissa käynnin vaivan joka voi olla melkoinen vaiva pankeilla --- joilla ei ole enää konttoreita.

Eli tässä ei kannata ajatella siten, että käytäntö sinällään olisi jokin uppo-outo ja mystinen. Vaan ennemmin siten, että kun pankki harventaa konttoriverkostoaan on keksitty tämä eurooppalainen kikka, jolla nakitetaan asian todistelu ja kustannukset asiasta itse asiakkaalle. Eli asiakkaalla pitäisi aina olla se henkilökortti tai passi ajan tasalla. Siis myöskin tilanteessa, jossa tunnistus pitää tehdä sielä konttorissa. Se ei siis muuta asiaa mitenkään.

Muistan muinaiset ajat kun konttorissa kelpasi ihan vain oma naama ilman mitään papereita "tunnettu" rasti paperiin. Muistan myös ajat kun ajokortti sentään kelpasi.

Kuitenkaan nyt nuo ei enää kelpaa ja siitä asiasta voi syyttää vain ja ainoastaan Euroopan Unionia. Se on eri asia onko se sitten hyvä/huono/hankala/kätevä.

Markus kirjoitti...

Täytyy muistaa kolikon kääntöpuolena, että nykyisin EU-kansalaisilla on teoreettinen mahdollisuus ottaa pankkitilejä ihan mistä EU-maasta haluaa, jos pankki sitä vain tarjoaa. Sielä on ihan samanlainen iban/bic kuin suomalaisillakin pankeilla.

Pitäähän asiakas silloin tosiaan tuntea.

Tämä tapa mahdollistaa sen asiakkaan tuntemisen etänä siten, ettei sentään tarvitse "ranskaan asti" konttoriin lähteä. Siten niillä pankeilla, jotka EU-laajuisia maksutapoja ja tilejä tarjoaa, on tämä passi/selfie käytäntö ollut jo ikiajat. Sama koskee tulevaisuuden sähköisiä palveluita.

Sama on muuten esim airBNB-palvelulla. En muista onko paypalilla mutta saattaa olla tulossa. Olen näitä ottanut joihinkin palveluihin mutta en nyt suurin surminkaan muista mihin. Kaikki ei kuitenkaan ollut pankkipalveluita kuten esim juuri tuo airbnb. Mutta matkustukseen liittyen ainakin.

Petteri Järvinen kirjoitti...

Pointtini on edelleen sama: miten asiakkalla voi olla pankkitunnukset muihin vahvaa tunnistusta edellyttäviin verkkopalveluihin, jos pankki ei "tunne" häntä?

Markus kirjoitti...

Niin. Onhan se vähän erikoista että muutama vuosi aikaisemmin on allekirjoittanu puolen miljoonan asuntolainapaperit ja yhtäkkiä "pankki ei tunne sua". Mahtaisiko alkaa yhtäkkiä tuntemaan jos sanot että jätätkin lainan maksamatta? Noh ulosottomies ainakin sen jälkeen tuntee sut.

Kuitenkin joku aikoinaan sanoi, en muista kuka, että jos luovut vapaudestasi turvallisuuden vuoksi, et ole ansainnut kumpaakaan.

Siinä maailmassa me nyt eletään ja ihan itse olette sitä halunneet. Tämä on sitä terrorisminvastaista hömpötystä jota nyt käytetään pandoran lippaan auettua kaiken maailman markkinoinnin verukkeeksi. Terrorismihan kukoistaa niin kuin ennenkin mutta nyt se pankkiasiointi on vain niin pirun hankalaa. Terroristit sun muut talousrikolliset siirtelee rahojaankin miten tahtoo, mutta kun itse menet tallettamaan paritonnia tilille, siitä ei tehdä selvitystä edes tälleen kätevästi mobiiliappsilla vaan siinä pitääkin etsiä se konttori jostain.

Sekä sitten saat tehdä itsestäsi tunnettua jokatoinen vuosi.

Markus kirjoitti...

Ironistahan asiassa on vielä sekin, että suomessahan ei ole mitään pakkoa hommata henkilötodistusta. Sehän maksaa. Sitä ei kuitenkaan ole pakko hankkia eikä pakko kantaa mukana.

Mutta kuten tämäkin esimerkki osoittaa, niin suomessa et pysty kyllä edes pankkiasioita ja kohta paljoa muutakaan tekemään ilman sitä "ei pakollista" henkilötodistusta (tai passia).

Eli yhtäällä sinulla on vapaus valita mutta käytännössä se on yhtä luotettavaa kuin se viisikymmentävuotta täyttänyt tilapäinen autovero. Oikeassa elämässä toisaalla tulee hirveä määrä vaatimuksia sen käytölle. Eikä palvelua enää mitenkään tarjota ilmankaan. Eli edes se klassisin aikoinaan kelvannut ajokortti ei enää yhtäkkiä kelpaakaan. Se oikeasti oli hyvin vakiintunut henkilökortti.

On kuulemma jokin EU-juttu sekin. Mutta tietysti saksakin on EU-maa eikä sielä tällaisia ongelmia ole. Eli siitä voi taas päätellä jotain onko se sittenkään EU-juttu vai eikö. Mutta näin sitä asiaa meille perustellaan.

Anonyymi kirjoitti...

Eihän edes pankkikortit ole ikuisesti voimassa. Nyt kuitenkin verkkopankkitunnukset ovat käytännössä ikuisia. En usko, että pankki mitään erityistä tekee vaikka asiakas jättäisi passin toimittamatta.

Anonyymi kirjoitti...

Tosiaan muuten. Eihän pankilla ole mitään oikeutta sulkea minun tiliäni vaikka en reagoisi passipyyntöön mitenkään?!?

Markus kirjoitti...

Tässä on periaatteessa ristiriidassa kaksi asiaa.

Ensimmäinen on tuo, ettei suomessa ole mikään pakko omistaa henkilötodistusta/passia. Valtio ei niitä anna ilmaiseksi. Vaikuttaa kuitenkin siltä, että valtio pitää "vapaaehtoisuuden" voimassa vain lähinnä sen vuoksi, ettei valtion niitä ainakaan tarvitsisi maksaa vaan maksun voi nakittaa tavalliselle sukankuluttajalle.

Käänteisesti sitten, tavallinen elämä on aina vain hankalampaa ilman henkilötodistusta. Sama valtio kiristää koko ajan säännöksiä tavallisessa asioinnissa. Milloin valtio, milloin EU.

Toisaalta sitten taas pankkitili on nykyisin luokiteltu jo eräänlaiseksi perusoikeudeksi. Siis perustili, jotta voi hoitaa asiointia mm. valtion itsensä kanssa (esimerkiksi KELA-asioissa). Kuitenkaan et voisi käyttää tätä tiliä ilman sitä "ei pakollista" henkilökorttia.

Eli siis kaikkein moraalisesti oikein alkaisi olla jo kuvio, jossa valtio tosiaan ottaisi tunnistamisen omaan hallintaansa ihan täysin kaikkineen. Sekä tarjoaisi välineet ilmaiseksi kansalaisille aina silloin kun uusimisen aika koittaa.

Toinen vaihtoehto tietysti olisi se "kaasulaskuilla henkilöllisyyden osoittaminen".

Suomessa tämä on jäänyt vähän puolitiehen. Yhtäällä ollaan pirun tehokkaita ja vaatimassa sitä sun tätä mutta toisaalla asiat on jätetty täysin hoitamatta ja nakitetaan asian hoito tavan kansalaiselle tai firmoille, koska sen asian hoito maksaisi valtiolle.

Tällainen kustannusajattelun aika saisi pikkuhiljaa suomessa olla jo ohi. Joko se asia on niin tai näin mutta ei aina puolituinen ikuisten säästötalkoiden vuoksi. Valtio voisi pikkuhiljaa alkaa panostaa kansalaisiinsa muutoinkin kuin satujen juhlapuheissa (ulkomaille päin).

Mutta tässä siitä kyse on. Se ikiaikainen rahansäästö.

Anonyymi kirjoitti...

Mitä vähemmän on käteistä rahaa, sitä enemmän sitä on bitti-muodossa ja se houkuttaa rikollisia keksimään uudenlaisia keinoja saada se raha pois tavallisilta ihmisiltä joko suoraan huijaamalla tai manipuloimalla dataa. Sen vuoksi pankit ja muut rahoitusinstanssit ovat pakotettuja keksimään vastakeinoja asian suitsimiseksi. Mutta hämärähenkilöt ovat aina askeleen edellä - ja asiakas kärsii sen nahoissaan ja hän maksaa myös viulut sekä toimii koehenkilönä (molempiin suuntiin).

Anonyymi kirjoitti...

Eli edes se klassisin aikoinaan kelvannut ajokortti ei enää yhtäkkiä kelpaakaan. Se oikeasti oli hyvin vakiintunut henkilökortti.

On kuulemma jokin EU-juttu sekin. Mutta tietysti saksakin on EU-maa eikä sielä tällaisia ongelmia ole. Eli siitä voi taas päätellä jotain onko se sittenkään EU-juttu vai eikö. Mutta näin sitä asiaa meille perustellaan.


Ajokortin kelpaamattomuus viralliseksi henkilötodistukseksi johtuu siitä, että vaikka meillä Suomessa ajokortttia myönnettäessä varmistetaan henkilöllisyys luotettavasti, niin aivan kaikki EU-maat eivät sitä ole aina tehneet!

Ja koska olemme EU:ssa emme voi asettaa Suomalaisia ajokortteja eri asemaan muiden myöntämien ajokorttien kanssa.

Siis koska, EU:ssa on maita (saa arvata vapaasti millä ilmansuunnalla), joissa ajokortteja myönnetty niin, että henkilöä ei ole tunnistettu luotettavasti ja nämä kortit ovat voimassa vielä vuosikymmeniä.

Suomessa halutaan kuitenkin uskottavasti tunnistaa viranomaisen kanssa asioiva henkoö ja pankeissa pitää kiinni KYC (Tunne asiakkasi) periaatteesta, niin ajokorttia ei siksi enää virallisesti hyväksytä useiden viranomaisten toimesta eikä Pankkien toimesta viralliseksi henkilötodistukseksi.

Pankit noudattavat samaa korkeampaa tunnstautumisvaatimusta kun viranomaiset, sen vuoksi että he tuottavat tunnistuspalveluja viranomaisille verkkopalveluissa. Pankeille tunnistautumispalvelut ovat myös varsin kannattavaa liiketoimintaa, joten sen luotetttavuudesta halutaan siksi pitää kiinni.

Monissa muissa yhteyksissä ajokortti kelpaa vielä aivan hyvin, koska meillä on edelleen useimissa yhteyksissä melko suuri vapaus valita miten tunnstus on tehty -- siitä ei ole yleispätevää kaikkia koskevaa lainsäädäntöä.

Tästä valinnanvapaudesta, kun ei ole pakottavaa lainsäädäntöä, juontaa mm. ne systeemitason ongelmat HETU:n väärinkäytöstä tunnistamisesta ja mikä pitäisi saada korjattua pikinmiten.

Anonyymi kirjoitti...

... jatko

Mutta kuten aiemmassa blogin kommentissa esitin, niin aivan joka paikkaan ulottuvan vahvan tunnistamisen vaatiminen pankkitunnistuksena, mobiilivarmenteena on huomattavan kallis ja iso muutos. Liian kallis ja jäykkä tapa saatavaan hyötyyn nähden mielestäni.

Järkevämpää olisi tukeutua kevyempiin (ei suurta taloudellista vaikutusta) tarpeisiin hyväksyä joku helpompi, nopeampi menetelmä joka olisi edulinen, mutta silti huomattavasti luotettavampi tapa kun nykyinen HETU "tunnistus".

TOTP -sovellus tai erillinen pulikka sopisi tähän hyvin ja olisi lähes yhtä luotettava kun pankkitunnistus, mutta merkittävästi edullisempi ylläpitää palveluiden tuottajille kuin myös käyttäjille.

TOTP voi soveltaa usealla tavalla ja joko niin, että sovellus/pulikka pitäisi parittaa jokaisen palvelun tuottajan palvelussa tai vaihtoehtoisesti käyttäjille helpompaa olisi jos autentikointi palvelun tuottaisi erillinen toimija kuten vaikka DVV Suomi.fi palveluna.

Sen pienen USB-pulikan kokoisella laitteella ilman älypuhelintakin oleva ihminen voisi puhelimessa tunnistautua sen avulla. Kertoo vain nimensä, HETU:n ja sen mitä pulikka näyttää ruudulla juuri sillä hetkellä kun kysytään. Ajanvaraus puhelimitse onnistuisi helposti, ilman merkittävää lisäopettelua.

Ei tarvitse omistaa eikä osata käyttää älypuhelinta. on hyvin edullinen, paristo kestää 5v ja lapsi- tai hyvin vanhakin osaa käyttää. Esimerkiksi seuraavan kaltainen laite. Laite varottaa pariston loppumisesta hyvissä ajoin ja uuden esim. R-kioskilta ostettavan, jos siis siellä näitä myytäisiin ja varmasti myytäisiin jos sitä yleisesti käytettäisiin, joko itse tai sitten joku kotiapua tms. tarjoavan kanssa yhdessä.

https://www.protectimus.com/protectimus-crystal/

Eikä kannata väheksyä näitä laitteita, ne ovat erittäin hyviä myös varalla jos äly puhelin menee rikki, hukkuu tai varastetaan. Aina kannattaa olla vähintään kaksi fyysisesti erillään olevaa mekanismia 2FA:n kanssa.

FIDO ratkaisut, Yubikey yms. soveltuvat teknisimmille ihmisille ja korkeampaa tunnistustarvetta (vrt. henkilö-, virkakortti ja pankkitunnistus), olennaisempaa olisi kyetä ratkaisemaan nämä suurinta kansanosaa ja yleisimmin koskevat tunnistustarpeet, eikä haihatella kuinka viimeisen päälle hienoja sekä monimutkaisia tunnistusratkaisuja osaamme keksiä.

Anonyymi kirjoitti...

Itselleni myös tuli tuo pyyntö päivittää tietoja ja ihan huvikseni kokeilin vanhalla passilla ja lähetin siitä kuvan. Nyt tuli vastaus ja sanottiin että ei kelpaa koska pankin kuuluu pitää tiedot ajan tasalla ja pyytää päivittää tietoja. Sinäänsä aika typerää koska tietoja kysytään vain sellaisilta jotka eivät käytä aktiivisesti Nordean palveluita koska en tiedä ketään aktiivista Nordean käyttäjää joilta olisi kysytty passikopioita.

No itse en kyseistä pankkia ole käyttänyt pitkään aikaan ja tämä pelleily varmistaa sen että en jatkossakaan tule käyttämään.

Anonyymi kirjoitti...

Kun hankittiin pojalle verkkopankkitunnuksia ja maksukorttia, niin konttorissa piti luonnollisesti todistaa henkilöllisyys passeilla. Samalla skannasivat passit omiin rekistereihinsä.

Mielestäni tämä oli ihan ok. Olen vain tyytyväinen, että pankki tekee kaikkensa, että tilimme ovat turvassa kaiken maailman huijareilta.

Petteri Järvinen kirjoitti...

Itse käytän aktiivisesti Nordean tiliä maksuliikenteeseen, ja passitiedot kysyttiin silti.

Tiliä avattaessa henkilöllisyys pitää varmistaa aukottomasti, joko passin tai henkilökortin avulla. Mutta kun tunnistus on kerran tehty, sen ei pitäisi muuttua. Jos muuttumattomuuteen ei voida luottaa, ei pankkitunnuksia voi myöskään käyttää vahvaan tunnistautumiseen viranomaispalveluissa.

Nyt Nordea valtuuttaa minua eri palveluihin ja "todistaa" henkilöllisyyteni sähköisesti, samalla kun se itse pyytää minua todistamaan uudelleen henkilöllisyyteni. Tähän paradoksiin en ole saanut rationaalista vastausta.

Anonyymi kirjoitti...

Pankki ottaa henkilökortin tiedot ylös jos asiakas käy konttorissa. Eroaako tämä jotenkin siitä, että asiakas lähettää tiedot netin välityksellä?

Anonyymi kirjoitti...

Iltalehden mukaan myös Danske pankki pyytää asiakkaitaan lähettelemään kuvia. Lehden mukaan asiakkaan tili oli suljettu, kun hän ei ollut reagoinut pankin pyyntöihin.

Anonyymi kirjoitti...

Minullekin ao. vaatimus mobiilisovelluksessa esitettiin. Varasin asiointiajan Nordean konttoriin tätä nimenomaista asiaa varten. Ei auttanut, vaatimus ja uhkaus pankkipalvelujen rajaamisesta jatkui joka kirjautumisen yhteydessä.

Pitkän jonotuksen jälkeen Nordean asiakaspalvelu kertoi ettei tunnistamista pankissa tehty. Henkilökortti kyllä katsottiin ja tarkastettiin, mutta mitään ei kuulemma kirjattu järjestelmään!

Pitkän neuvottelun jälkeen päädyimme kompromissiin jossa minä lähetin pankille mobiilisovelluksen viestillä kuvan henkilökortistani, ja pankki jalomielisesti ei vaatinut minulta enää selfietä kyytipojaksi.

Ja tässähän ei suinkaan ole kyse suoraan EU-direktiivin vaatimuksesta, vaan pankkien oman edunvalvontajärjestön, finanssialan keskusliiton rahanpesulain pykälien tulkinnasta. Tältä osin EU:n selän taakse piiloutuminen onkin jotenkin niin perisuomalaista.

Anonyymi kirjoitti...

Mulla tässä jutussa on oma twisti :-)

Asun ulkomailla ja olen Nordean asiakas ja näitä KYC kysymyksiä tulee ihan jatkuvasti, tyyliin 3 kertaa vuodessa.. Viimeks tuli tää että ota passista kuva ja HYMYILEVÄ selfie, otti ainakin 10-15 kuvaa ennen kun hymy kelpas. Nauratti aika huolella vaikka hymyilin oikein huolella :-P Nyt kun seuraava on se et pitää tehdä jotain temppuja käsillä tai päällä tai tanssia, niin mitenhän mä siinä selviydyn??

Nää on ihan hanurista ja näillä ei oo mitään järkee ja ei edistä yhtään mitään mihkään suuntaan, mitä kun mulla ei ens vuonna oo enään suomalaista passia tai henkkaria "tuu käymään konttorissa?" no en tuu..