keskiviikko 10. elokuuta 2022

OmaPostin maksut herättivät pelon urkinnasta - tietosuoja kiinnostaa kansalaisia

Posti on alkanut käyttää maksuvälittäjänä norjalaista Neonomicsia. Kun OmaPostiin tulleen laskun haluaa maksaa, valitaan ensin oma pankki ja sen jälkeen näytölle tulee välittäjän ikkuna.

Mitä ihmettä?

Ikkunassa Neonomics ilmoittaa saavansa 90 päivän käyttöoikeuden asiakkaan pankkitiliin sekä mm. oikeuden erilaisiin pankkitietoihin, aina viimeisten 12 kuukauden tilitapahtumia myöten. Siis mitä?

Tässä vaiheessa moni asiakas on vetänyt herneen nenään ja kysynyt Postilta, mitä tämä tarkoittaa. Miksi joku ulkopuolinen taho vaatii pääsyä pankkitietoihini, vaikka maksan laskun suoraan pankkitililtä? Vastaavia virityksiä on nähty ennenkin mm. Klarnalta, mutta niissä tarjotaan samalla maksuaikaa tai laskun jakamista osiin, joten tietojen kysyminen voi olla perusteltua luottopäätöstä varten. Suoran verkkomaksun tapauksessa tällaisia tietoja ei ole mitään syytä kysyä.

Postin vastaus on ollut ylimalkainen. Se vetoaa Neonomicsin omaan ilmoitukseen, jonka mukaan he saavat vain tarpeellisia tietoja. Tämä ei kuitenkaan riitä. Postin olisi pitänyt itsekin nähdä, että turhien tietojen kysyminen on GDPR:n vastaista. Vastuuta ei voi siirtää Norjaan. Yhtä lailla väärin on se, että vaaditaan (ei siis pyydetä) lupia, joita ei sitten käytetäkään. Suostumuksen on oltava aidosti vapaaehtoinen, kuten evästeissä. Tässä se ei ole. 

Posti teki saman virheen kuin Traficom joulukuussa 2018. Vaikka asiakkaat reklamoivat ajokortin tietopalvelusta, Traficom ei selvittänyt asiaa riittävästi ja reagoi vasta, kun asia nousi uutisiin. Siitäkin tuli monenlaista sotkua.

Posti ei ollut valmistautunut vastaamaan asiasta nousseisiin kysymyksiin vielä tänäänkään, joten asia sai velloa somessa ja perinteisessä mediassa pitkään. Uutisten lisäksi se poiki kyselyn omistajaohjauksesta vastaavalle ministerille. 

Taustalla on PSD2-direktiivi, joka velvoittaa pankkeja päästämään muita yrityksiä laskutietoihin. Näin pyritään ilmeisesti kilpailun lisäämiseen ja uusien lisäarvopalveluiden kehittämiseen. Asiakkaan kannalta olisi parempi, jos verkkopankin maksu menisi jatkossakin suoraan ko. pankin sivulta, eikä ulkopuolisten välittäjien kautta. Ilmeisesti ulkopuolinen välittäjä pystyy kuitenkin kilpailuttamaan pankkeja ja yritykselle (tässä Postille) sen integrointi omaan järjestelmään on helpompaa, kun tarvitaan vain yksi rajapinta. 

PSD2 muistuttaa surullisenkuuluisaa taksiuudistusta. Haluttiin tuoda kilpailua ja avata peliä uusille toimijoille. Kilpailu löi kuitenkin korville (liikenne)turvallisuutta ja arkista käyttöä. Kilpailu ei ole mikään taikasana.

Minkä Posti säästää, sen asiakas maksaa - joko ajankäytössä tai tietoturvassa. On ristiriitaista, että kansalaisia kehotetaan varomaan pankkihuijauksia, samalla kun pankkien aidot maksut menevät yhä vaikeammiksi ja alkavat itse muistuttaa huijauksia.

Kaikesta selittelystä huolimatta jäi vastaamatta, miksi Neonomics varaa itselleen 12 kk oikeuden, kun sitä ei todellakaan tarvita mihinkään. Ehkä ilmoitus on sama kaikille yrityksille ja joillakin markkinoilla Nenomics tarjoaa luotollisiakin maksuja? Mutta silti Postin olisi itse pitänyt puuttua tähän. Esimerkiksi Paytrail vaatii vain 15 minuutin käyttöoikeuden tiliin, jotta maksu saadaan suoritettua. Se on kohtuullista, tämä ei. Vastauksessaan Neonomics väittää, ettei se voi vaikuttaa pankeilta tulevaan tekstiin, mutta tämä ei voi olla todellinen syy. Klarna pystyi vaikuttamaan, eikä mikään toinen välittäjäpalvelu esitä vastaavia vaatimuksia.

Ihmisten reaktiot Twitterissä olivat pöyristyneitä ja vihaisia. Mukana oli ehkä Postin heikentyneitä jakelupalveluita kohtaan tunnettua suuttumusta, mutta myös huoli omien henkilötietojen päätymisestä ulkomaiseen (joskin Norja kuuluu GDPR-alueeseen) palveluun herätti aidosti huolta. Tässä suhteessa tietoisuus tietosuojasta on kehittynyt ja sitä osataan vaatia.

Neonomicsin toiminta herättää silti ihmetystä. Tietosuojaselosteessa viitataan mahdollisuuteen, että tilitapahtumista profiloidaan esimerkiksi jäsenmaksuja puolueille. Se on arkaluonteista tietoa, jota ei missään nimessä pitäisi kerätä tällaisessa tilanteessa. 

Toinen kummajainen on Neonomicsin lupaus tietojen tarkistamiseen - kunhan pyyntö lähetetään tavallisella sähköpostilla. Miten yritys tarkistaa, onko lähettäjä aidosti tilin omistaja vai pyydetäänkö tietoja jonkun toisen puolesta? Tarkistuksen pitäisi aina perustua vahvaan todennukseen.

Päivän sotkusta kannattaa oppia se, että tilitapahtumat ovat hyvin luottamuksellista tietoa, johon ei kannata päästää ketä tahansa. Lupapyynnöt kannattaa lukea tarkoin, eikä mihin tahansa pidä suostua. Ja yritysten kannattaa varmistaa, että heidän toimintansa näyttää oikealta myös asiakkaisiin päin. Ulkopuolisen palvelun selän taakse ei voi piiloutua, kun jotain ikävää osuu tuulettimeen.

21 kommenttia:

Anonyymi kirjoitti...

"Tietosuojaselosteessa viitataan mahdollisuuteen, että tilitapahtumista profiloidaan esimerkiksi jäsenmaksuja puolueille. Se on arkaluonteista tietoa, jota ei missään nimessä pitäisi kerätä tällaisessa tilanteessa."

Pankkisalaisuus on valitettavasti historiaa. Firmoilla on yleensä velvollisuus vahtia, että heidän järjestelmiään ei käytetä esim. rahanpesuun. Tuskinpa firmat huvikseen mitään poliittisia tietoja profiloivat. Pankkien rahanpesualgoritmeja ei esitellä julkisuudessa, mutta tekisin oletuksen että jokainen maksu mitä kukaan tekee menee rahanpesualgoritmin läpi.

Toinen asia on käyttävätkö firmat maksutietoja jotenkin kaupallisesti hyväksi esim. myymällä niitä. Minulla on yksi eurooppalainen verkkopankki, joka on ilmoittanut, että he eivät myy tietoja. Muut sitten ilmeisesti myyvät. En tiedä ovatko suomalaiset pankit ottaneet asiaan julkisesti kantaa.

Kolmas asia on verkkopankkimaksujen käytettävyys, joka näyttää menevän huonompaan suuntaan. Asiakkaalle on helpompaa tehdä maksu kortilla kuin pohtia mitä kuvassa näkyvä ilmoitus tarkoittaa.

Zarr kirjoitti...

Jos nyt moista palvelua on ehdottoman pakko käyttää (minulle kävi samoin kun piti Paypalilla maksaa jollekin pienelle käsityöläispajalle kertaalleen), niin ainakin OP:lla on helppo kiertokeino: Avaa uusi käyttötili, siirrä sinne rahat, anna luvitukset tähän tiliin, siirrä rahat, sulje tili.

Toki tätä ei jaksa tehdä kovin usein, kyseessä oli aika kerran kymmeneen vuoteen-tason ostos...

Zarr kirjoitti...

Ai niin, sellainen mikä tuossa kokemuksessa ihmetytti: Kysyin OP:n asiakaspalvelusta että voinko mistään nähdä että mitä luvituksia olen tililleni antanut, ja perua niitä pankin suunnasta. Vastaus OP:n aspasta oli että "ei voi nähdä eikä voi poistaa". Eli ilmeisesti teknisellä tasolla tuohon tulee jokin API KEY jonka voimassaoloaika on jotain mitä on.

Käsittämätöntä jos pitää paikkansa, kyllähän minä muissakin palvelurajapinnoissa voin kuolettaa API Keyt jos ne vaikkapa vuotavat johonkin.

Anonyymi kirjoitti...

Ise tein Tullausvaltuutuksen Postista pienelle kiinakrääsälleni, jonka tilasin eBaysta. Ilmeisesti Postin maksutapahtumassa meni huomaamattani suostumus Neonomicsille.

Löytyykö "rautalankamallia" miten tuon suostumuksen voisi perua ennen 90 päivän umpeutumista? Ilmeisesti sen vaoisi tehdä verkkopankissa tai ottamalla yhteyttä suoraan Neonomicsiin?

Verkkopankista (Nordea) en löytänyt suostumuksen peruutusta eikä Neocomicsin sivlta ainakaan helppoa tietä ole löytynyt. Varmaan pitäisi norjaa tai vähintään jotain lontootakin kirjoittaa ja tekstinä mitä? Yleinen palaute -lootaan jotain?

Zarr kirjoitti...

Löytyykö "rautalankamallia" miten tuon suostumuksen voisi perua ennen 90 päivän umpeutumista? Ilmeisesti sen vaoisi tehdä verkkopankissa tai ottamalla yhteyttä suoraan Neonomicsiin?

Niin, tässä vielä omasta kokemuksesta OP:n vastaus. Paypalin osalta onnistui toki ihan vain sanomalla remove card (ja kyse oli luottokortista eikä tilistä), mutta minusta tosiaan käsittämätöntä että pankin päästä ei voi nähdä mihin kaikkialle liitoksia on tehty.

Esimerkiksi jos on käytössä yhteinen tili johon puolisoilla on käyttöoikeudet, niin vain toinen tilinomistajahan voi silloin tehdä valtuutuksia - eikä toisella ole mahdollisuutta katsoa mitä siellä on!

Käsittämätöntä jos PSD2 tosiaan toimii näin.

--------
Kiitos viestistäsi.

Ikävä kyllä kortin liitosta Paypaliin ei voida peruuttaa kauttamme vaan tulisi sinun tosiaankin poistaa syötetyn kortin tiedot omalta Paypalin sivultasi.

Mikäli haluat varmennuksen ettei kortin tiedot ole enää järjestelmässä, olethan yhteydessä Paypalin asiakaspalveluun jotta he voivat tarkistaa että kortin tiedot on poistuneet.
-----

Jokke kirjoitti...

Hyvä kirjoitus tässä ja nosto twitterissä.
(Sen sijaan pääosa netin käyttäjistä ei ole kiinnostunut tietosuojastaan, ollaan omalla nimellä netissä, annetaan kaikki henkilökohtaiset tiedot, mitä pyydetään, levitellään kuvia henkilökohtaisesta elämästä, sijainnista, talosta, mielipiteistä, ja osa jopa twitterissä raha-asioista, henkilökohtaisista viranomaispäätöksistä ym ym)

Jori kirjoitti...

Eilisessä uutisessa liiketoimintajohtaja sanoo:
"– Ei ole mitään syytä olla huolissaan, eikä mitään ylimääräistä tietoa kuluttajista ole hillottu mihinkään, Ketola vakuuttaa."

Tämänpäiväisessä uutisessa kerrotaan Postin keskeyttävän Neonomicsin käytön, ja samainen liiketoimintajohtaja toteaa näin:
"- Käymme käytäntöjä ja asiakaskokemusta läpi kumppanimme kanssa. Keskeytimme siksi palvelun lisäselvityksen ajaksi."

Ko. henkilön sanomiset eivät herätä minussa kauheasti luottamusta. Miksi keskeyttää palvelun, jos ei ole mitään syytä olla huolissaan?

Anonyymi kirjoitti...

"Ko. henkilön sanomiset eivät herätä minussa kauheasti luottamusta. Miksi keskeyttää palvelun, jos ei ole mitään syytä olla huolissaan?"

Varmaan sillä yritetään rajoittaa negatiivista julkisuutta.

Esim. pankkiasiakkaiden tilisiirtoja tarkaillaan jo pelkästään lain velvoittamana. Mikään pankki ei sitä mainosta, koska asiakkaat eivät halua kuulla sitä.

Minulla on eurooppalainen nettipankki jonka sivuilla sanotaan: "we will never sell or rent your personal data to third parties without your permission". Suomalaiset pankit eivät taida sanoa asiasta mitään, ja asiakkaat olettavat että näin ei tapahdu.

Suomalaiset pankit eivät myöskään ole laskeneet talletuskorkoja negatiiviseksi, koska siitä tulisi huonoa asiakaspalautetta.

Anonyymi kirjoitti...

Minusta tämä on vain jäävuoren huippu. Kuka tietää missä meidän henkilötiedot viilettää kun joudumme päivittäisiä asioita hoitaakseemme kirjautumaan tai tunnistautumaan. Edelleen ihmettelen F-Securen ID protectionin hetu tarkistusta...antaa vuototietoja mutta lähde on unkown. Sitten kun selvität heiltä, kyberturvallisuudesta ja poliisista liten suomalainen ghetu voisi päätyä ukrainan kansalaisen data tieovuotoon niin kukaan ei tiedä mistään mitään?!? Enkä edes itse koska tietääkseni en ole ole ollut missään tietovuodossa mukana. Joko sitä ei ole julkaistu tai siitä ei tiedetä tai f-securen hetu tutka sekoilee. Mene ja tiedä mutta alituisen hetupelon kanssa eletet sitten loppuikäsi. Siinä on digimaailman karuus. Kerran netissä AINA netissä.

Anonyymi kirjoitti...

Sain lisätietoa tuohon 11. elokuuta 2022 kello 8.20 lähettämääni hämmästelyyn täällä. Neonomicsin vastaus oli oheinen:

"Thanks for reaching out to us I am sorry that our service has not met your expectations. I understand that you are concerned about your data and account information and that you may have some questions as to why Neonomics requests that information.

When Neonomics Account Information Services are used by the merchant or invoice provider, we are sending a request to the bank to retrieve account information. In this request, the bank will provide access to account details for the specific accounts where you have provided consent, this access includes account details such as balance and transaction history for the account. However, just because the bank provides this information, does not mean that the merchant or invoice provider you are using, will hold or use this information. In the case of a payment, we are only using the information that is necessary for initiating an individual payment. We do not use this AIS consent for anything else. For information on how your service providers process your data, please refer to their terms and conditions. Neonomics is fully committed to protecting your individual rights and keeping your personal data safe.

If you are not comfortable with providing this consent to Neonomics, it can be retracted at any time. Technically, you are providing consent to your bank(s) to share information with Neonomics. So, in order to completely withdraw that consent, you need to contact your bank. Depending on your bank, you can often see a list of active consents in your online bank. In addition, Neonomics can also delete the session we created with your bank that holds the consent, to do this we will need some additional information from you to process the request.

We are very happy that you are using our service, and hope that it lives up to your expectations. Any suggestions for improvement will be taken into consideration."


Eipä tästä nyt hullua hurskaammaksi tullut, vaikka samalla pyysin poistamaan tietoni.

Petteri Järvinen kirjoitti...

Edelleen ihmettelen F-Securen ID protectionin hetu tarkistusta...antaa vuototietoja mutta lähde on unkown.

Olisiko tässä kyse hotellivuodosta, jonka yksityiskohtia ei koskaan kerrottu?
F-Secure kertoi silloin, että hetu saattaakin tarkoittaa Y-tunnusta. Go figure.

Eipä tästä nyt hullua hurskaammaksi tullut, vaikka samalla pyysin poistamaan tietoni.

Vahvistiko Neonomics henkilöllisyytesi turvallisesti, vai olisitko voinut pyytää/poistaa vieraan henkilön tiedot?

Anonyymi kirjoitti...

Vastaus 11. elokuuta 2022 klo 20.41:

Ihan Noenomicsin sivuilta lähetin pyynnön omalla etunimi.sukunimi (ät) hotmail.fi sähköpostillani. Viestini allekirjoitus oli sama nimi.

Pyysin poistoa mutta vastauksesta ymmärsin, että maksupankin (Nodrean) kautta pitää/pitäisi tehdä poistotoimenpiteet.

Anonyymi kirjoitti...

Ei ole minulle ainakaan ilmoitettu, enkä ole ollut kys. hotelleissa asiakkaana. Mietin y-tunnusta myös. Vuoto oli nimetty ukrainian citizenship database mikä helmikuulle 2022 mikä nostatti niskakarvat pystyyn. Kuitenkin kaikki edellä mainitut tahot vain viittasivat kintaalla ja koin että olisin itse tehnyt jotain väärin vaikken ole ikinä ukrainassa käynyt tai ollut tekemisissä tuollaisten kanssa. Passikaan ei ole ulkomailla käynyt tai paperit hävinneet. Mietin jopa kurjaa sattumaa että f-secure tulkitaisi suomalaisen hetun merkkimäärän ilman tuota viivaa koska ukrainalaisten veronumero googletuksella on 10 merkkinen. Todella outo case on mutta kuten sanoin kukaan ei tunnu ottavan tätä vakavasti. Jos hetu tosiaan viilettää pitkin eurooppaa kyllä haluaisin tietää miten se on sinne päätynyt tietämättäni.

Anonyymi kirjoitti...

F-Securen aspa kyllä väitti että kyse olisi ollut "aika vakavasta vuodosta" kun siitä heille ilmoitin et välillä appi ilmoittaa ettei olis hetu vuotanu ja sit siellä onki punainen pallero näkyvissä tietovuotonimineen. No itsellä on ollut kiellot ja estot sun muut päällä jo vuosia -varuilta. En olisi uskonut että niille konkreettista tarvetta olisi tullut mutta nyt olen tyytyväinen että ne stepit tein aikanaan. Ei toistaiseksi mitään viitettä väärinkäytöksistä mutta luotto on mennyt tietoturvaan ja ärsyttää kun hetua edelleen käytetään salasana.

Anonyymi kirjoitti...

"Pyysin poistoa mutta vastauksesta ymmärsin, että maksupankin (Nodrean) kautta pitää/pitäisi tehdä poistotoimenpiteet."

Ei ne tuon vastauksen perusteella mitään tietoa kerää.

Anonyymi kirjoitti...

Paypalin osalta näkee heidän sivulta näkee kyllä helposti ja voi myös poistaa niitä, jos on antanut luvan (ts. linkittänyt) maksuoikekusia johonkin.

Minulla ei ole kun luottokortti ja sekin erillinen päivittäiskäytössä olevasta kortista omalla tilillä ja firman Eurocard sitten tilillä, jolla olen ostanut firmalle. Aiemmin eBay josta olen toistakymmentä vuotta ostanut varaosia ja tarvikkeita ympäri maailmaa muutamia kertoja vuodessa yritti sitkeästi saada linkittämään ebay-tilin Paypalin tiliin, mutta olen aina kieltäytynyt tarjotusta vaihtoehdosta koska olen pitänyt turvallisempana pitää asiat erillisneä ja syöttää tiedot maksutapahtuman yhteydessä erikseen.

Ei tulisi mieleenkään antaa oikeuksia muille päästä suoraan tilille veloittamaan tai katselemaan tapahtumia, kun itselle ja pankille jossa tili on.

Ja tullaukset hoidan mieluiten itse, ei niistä niin paljon vaivaa nykyisin enää ole kun Tullin järjestelmä jo pitkään ollut varsin toimiva. Joskus jotkut kuriirit haluavat väen vängällä tullata ja veloittaa siitä, mutta en enää heidänkään anna tehdä sitä ettei tarvitse antaa heille luottokortin tietoja veloitusta varten.

Korttiyhtiön tai pankin mobiilisovellus vahvaa todentamista varten, mutta mitään postin tai jonkun heidän epämääräiisen maksunvälittäjän sovellusta en kyllä puhelimeen ota enkä anna heille oikeuksia tehdä veloituksia.

Anonyymi kirjoitti...

PSD2-direktiivin perusteella annettujen suostumusten peruminen pitää tehdä aina sen kolmannen osapuolen kautta, jolle suostumuksen on antanut. Eli Neonomicsille annettujen valtuutusten poistaminen ei onnistu suomalaisen tiliäpitävän pankin kautta, vaan Neonomicsin itsensä.

Zarr kirjoitti...

PSD2-direktiivin perusteella annettujen suostumusten peruminen pitää tehdä aina sen kolmannen osapuolen kautta, jolle suostumuksen on antanut. Eli Neonomicsille annettujen valtuutusten poistaminen ei onnistu suomalaisen tiliäpitävän pankin kautta, vaan Neonomicsin itsensä.

Niin pitää, ja tämä on harvinaisen idioottimainen toimintamalli.

Anonyymi kirjoitti...

Nyt tuli Neonomicilta vastaus, kun vaadin tietojani poistettavaksi. Mitään vahvaa tunnistautumista ei tarjottu. Oheiset viestissä mainitut tiedot riittäisivät. Kait se on katsottava loppuun saakka? Nimeni siellä on jo tiedossa, tapahtumapäivämäärästä tuskin on haitaa. Pystynevätkö imuroimaan tilin tyhjäksi tilinumerotiedolla ja entisellä suostumuksella?

Viesti on oheinen:

Axxx commented:

Hi,

Sorry to hear that your banking provider was unable to help you. I can delete the session we created and we will no longer be able to access any information from your account.

Could you please:
1.Confirm your full name, as it would be on your bank account.
2.Provide the date you provided consent or a close estimate.
3.Provide the account number(s) for the account(s) you gave consent for

Best,
Axxx

Anonyymi kirjoitti...

Tämä omaposti neonomics lupa-pelleily on ihan perseestä.
Loppui maksaminen oma postin kautta.
Saatanan tunarit.
Niin olen vihainen ja käytän kovaa kieltä ...

Anonyymi kirjoitti...

Se kortilla maksaminenkin on koodattu väärin omapostiin, kun ei voi valita meneekö (pankki-)luottokortin suoramaksulla vai luotolla eli creditillä...

terveisin
sama