Po koniec lutego zrobiło się głośno na temat jednego z banków (z różowym T w logo). Sprawa dotyczyła zlecenia zamknięcia konta i przelania zgromadzonych na nim pieniędzy. Niby nic dziwnego, gdyby nie to, że dyspozycja została złożona przez nieznanego sprawcę, który wyczyścił środki z rachunku. Więcej o tej sprawie możecie poczytać na niebezpiecznik.pl
W nawiązaniu do tej sytuacji odezwał się do mnie czytelnik, z prośbą o sprawdzenie, jak jego bank jest przygotowany na próbę wyłudzenia pieniędzy, podczas zamykania konta. Postanowiłem zbadać sprawę kompleksowo.
Skontaktowałem się z bankami i zadałem pytanie:
W jaki sposób w Państwa banku przebiega weryfikacja, czy złożona zdalnie (np. korespondencyjnie) dyspozycja zamknięcia konta pochodzi na pewno od właściciela rachunku?
Oprócz procedur bezpieczeństwa interesowało mnie także, czy bank z chwilą likwidacji może przelać dowolnie wysoka kwotę? A jeśli nie, to jaki jest limit.
Jak banki sprawdzają, czy dyspozycja zamknięcia konta nie została złożona przez oszusta?
Kolejność banków w opisie jest losowa.
Alior Bank
Jeśli składamy dyspozycję korespondencyjnie, bank porównuje podpis ze wzorem. Gdy ma wątpliwości, kontaktuje się z klientem. Zamykając konto w oddziale jesteśmy legitymowani przez okazanie dowodu osobistego. Jeśli natomiast dyspozycja wpływa przez system, to poprawne zalogowanie uznawane jest za weryfikację.
Na rachunku można zostawić dowolną kwotę. Nie ma ograniczeń co do wysokości przelewu likwidacyjnego (wykonywanego w momencie zamykania konta).
Credit Agricole
Tutaj otrzymałem od banku jedynie zdawkową odpowiedź, że w przypadku otrzymania pisma z dyspozycją, bank porównuje podpis z posiadanym wzorem. W razie jakichkolwiek podejrzeń kontaktuje się z klientem.
Bank Ochrony Środowiska
Ten mail zwrócił moja uwagę. Odnośnie procedur bezpieczeństwa dowiedziałem się tylko, że:
zamknięcie rachunku drogą korespondencyjną jest możliwe jeżeli była w Oddziale złożona Karta Wzoru Podpisu.
Ale na tym nie koniec wiadomości. Korzystając z okazji bank zachęcał mnie gorąco do
uzyskania dostępu do dodatkowych środków.
Ech…
Neo Bank
Tutaj odpowiedź była również krótka, ale za to bardziej konkretna. I bez reklam. Co się dowiedziałem?
neoBANK informuje, iż wszystkie dyspozycje przyjmowane od Klientów są weryfikowane.
Nie ma limitów dotyczących wartości przelewu likwidacyjnego.
PKO BP
Od PKO dostałem chyba najdłuższego maila. Tutaj procedury wydają się być bezpieczne. A to wszystko z obawy przed… utratą klientów.
Gdy pismo z wypowiedzeniem wpływa pocztą, wówczas standardowo jest weryfikowany wzór podpisu. Gdy się nie zgadza, dyspozycja trafia do kosza.
Nie ma limitu odnośnie kwoty przelewu likwidacyjnego, ale w mailu bank zapewniał mnie, że w razie jakichkolwiek wątpliwości, dyspozycja jest potwierdzana przed podjęciem realizacji.
A dlaczego napisałem, że procedury wydają się być bezpieczne? Bo PKO nie lubi tracić klientów, wiec, cytuję:
W przypadku wpłynięcia wypowiedzenia umowy rachunku, z Klientami kontaktują się pracownicy z odpowiedniej jednostki Banku, w celu ustalenia przyczyn rezygnacji i zaproponowania innych rozwiązań np. obniżenia kosztów za prowadzenie rachunku.
Dodatkowo otrzymałem komplet informacji o kanałach komunikacji z bankiem oraz zachęcono mnie do zweryfikowania aktualności moich danych kontaktowych. Nieźle.
Pekao SA
Tutaj również nie ma limitów dotyczących dopuszczalnej wysokości przelewu likwidacyjnego. Odnośnie procedur bezpieczeństwa, w mailu otrzymałem jedynie informację, że dyspozycja złożona na piśmie jest realizowana tylko wtedy, gdy zgadza się podpis. W przypadku wątpliwości co do jego autentyczności, „może nastąpić kontakt telefoniczny”.
Inteligo
Inteligo na wstępie zapewniło mnie, że bezpieczeństwo jest sprawą priorytetową. Uff… Konto jest zamykane na podstawie pisemnej dyspozycji, gdy zgadza się podpis. W razie rozbieżności podpisów, ma miejsce weryfikacja telefoniczna lub prośba o przesłanie dyspozycji z podpisem potwierdzonym notarialnie lub przez pracownika oddziału. Bank „zastrzega sobie prawo do kontaktu telefonicznego w celu potwierdzenia złożenia dyspozycji”. Zamykanie konta mailem jest możliwe, gdy wiadomość zawiera podpis elektroniczny kwalifikowany.
Getin Bank
Tutaj nareszcie solidny konkret.
Niezależnie od tego w jaki sposób wypowiedzenie zostało złożone jest potwierdzane telefonicznie przez pracownika naszego Banku, dlatego nie ma takiej możliwości, aby rachunki zostały zamknięte poprzez dyspozycję złożoną przez inną osobę.
Przelew likwidacyjny może być wykonany jedynie na inny rachunek tego samego właściciela. Nie ma informacji o limitach kwotowych.
Toyota Bank
Standardowo. Pismo jest weryfikowane po jego wpłynięciu do banku. Podpisy muszą się zgadzać. W przypadku wątpliwości bank kontaktuje się z właścicielem rachunku. Brak limitów odnośnie dopuszczalnej wysokości przelewu likwidacyjnego.
Millennium
W Millennium również bez rewelacji. Weryfikacja podpisu pod względem zgodności z wzorem złożonym w banku. Dodatkowo:
Bank zastrzega sobie prawo do telefonicznej weryfikacji klienta i potwierdzenia dyspozycji.
Nie wiadomo jednak, jak często korzysta z tego prawa. Nie ma limitów w zakresie wysokości kwot, które można przelewać w momencie likwidacji konta.
ING Bank Śląski
Tutaj problem bezpieczeństwa został zduszony w zarodku. Właściciel konta (lub osoba upoważniona) może je zamknąć tylko podczas wizyty w oddziale…
BPS
Niezwykle szczerze i prosto z mostu.
Bank nie przeprowadza dodatkowej weryfikacji Klienta po otrzymaniu dyspozycji likwidacji rachunku.
W przypadku wątpliwości bank może zweryfikować podpis klienta na podstawie karty wzoru podpisów.
W przypadku wysokości kwoty przelewu także bez niespodzianek. Nie ma limitów. Jest za to informacja dodatkowa, że jeśli nie podamy numeru rachunku do przelewu, to środki zostaną przeksięgowane na nieoprocentowany rachunek własny banku.
BZ WBK
W tym banku, podobnie, jak w ING, konto zamykamy osobiście w placówce.
Bank w mailu poinformował mnie, że można też złożyć wypowiedzenie korespondencyjnie. Od siebie dodam, że w takim przypadku zarówno tożsamość oraz własnoręczność złożonych podpisów musi być potwierdzona notarialnie.
Nie ma informacji odnoście limitów kwoty przelewu likwidacyjnego.
Eurobank
Także w tym banku obowiązują standardowe procedury. W placówce sprawdzany jest dowód, w przypadku listu weryfikowana jest poprawność podpisu.
Jeśli zamykamy konto przez system, uwierzytelniamy się identyfikatorem, indywidualnym hasłem oraz zabezpieczeniem autoryzacyjnym (token w aplikacji mobilnej lub hasło sms). Nie ma dodatkowej weryfikacji telefonicznej.
Brak też limitów, co do wartości przelewu likwidacyjnego.
mBank
Podobnie jak zresztą większość banków zakłada, że dane do logowania zna jedynie właściciel rachunku oraz osoba upoważniona. Bank idzie jednak o krok dalej, dlatego podczas składania wniosku, należy go potwierdzić jednorazowym hasłem SMS.
Dodatkowo bank wysyła:
maila z informacją o każdej zmianie statusu wniosku. O przyjęciu i zakończeniu wniosku, również informujemy mailowo i SMSem. Często dzwonimy też do klientów, którzy złożyli u nas wypowiedzenie, natomiast nie jest to warunkiem.
Z doświadczenia wiem jednak, że od momentu złożenia dyspozycji w systemie mija dosłownie kilka minut, w ciągu których bank oddzwania. Głównie, aby przekonać do zmiany decyzji. 🙂
Nie określono limitów odnośnie kwot przelewów likwidacyjnych.
Orange Finanse
Jeśli chodzi o bezpieczeństwo procedur likwidacji konta, trzeba przyznać, że Orange pokazał się z lepszej strony niż w niedawnej reklamie szybkiego kredytu, z bluzą za 449 zł w tle 😉
Tutaj również nie ma limitów co do wysokości przelewów. Jest za to dodatkowa weryfikacja wiarygodności otrzymanego przez bank pisma. Klienci są powiadamiani mailowo oraz przez wiadomość sms, że wpłynęła dyspozycja zamknięcia konta. Jeśli natomiast zamykamy rachunek na infolinii, konieczne jest podanie identyfikatora oraz telekodu. Jeśli załatwiamy sprawę przez system transakcyjny, wówczas nie obędzie się bez potwierdzenia hasłem sms.
Nest Bank
W tym banku procedura zależy od tego, w jaki sposób konto było otwierane. Jeśli przelewem (nie ma wzoru podpisu w banku), to po otrzymaniu pisma pocztą lub mailem, bank potwierdza dyspozycję. Gdy bank posiada wzór, wówczas sprawdza zgodność podpisów. Zamykając konto telefonicznie, logujemy się z użyciem kodu TelePIN, a nagranie rozmowy jest traktowane jako potwierdzenie woli właściciela.
Przelew likwidacyjny może być wykonany na inny numer konta tego samego posiadacza. Teoretycznie nie ma limitów, co do jego wysokości, jednak gdy saldo rachunku przekracza 50 zł wymagana jest dyspozycja zamknięcia rachunku z notarialnym poświadczeniem podpisu Klienta.
Citi Handlowy
Jeśli zamykamy konto przez CitiPhone, przechodzimy standardową weryfikację. Wypowiedzenie złożone przez system internetowy jest przyjmowane na podstawie poprawnego logowania. Gdy wysyłamy pismo pocztą sprawdzany jest wzór podpisu. Nie ma informacji odnośnie limitów kwotowych.
Plus Bank
Z tego banku, w odpowiedzi na maila, oddzwonił do mnie konsultant. Konto można tu zamknąć na 2 sposoby. Jeśli załatwiamy formalności w oddziale, to sprawdzany jest dokument tożsamości. Gdy wysyłamy pocztą, weryfikowany jest wzór podpisu. Z chwilą likwidacji bank może przelać dowolną kwotę.
Idea Bank
Na koniec bank, o który pytał wspomniany na wstępie czytelnik.
Napisałem maila z pytaniem, jak bank weryfikuje, czy dyspozycja została złożona przez osobę upoważnioną do rachunku. Nic, cisza. Napisałem drugi raz. Przyszła odpowiedź. Ale w mailu poinstruowano mnie jedynie, że mojego adresu nie ma ich bazie, więc odpowiedzi na pytania (o procedury) też nie będzie. Postanowiłem więc zadzwonić…
Nie dowiedziałem się nic, z czego można by robić tajemnicę… Jeśli przychodzimy do oddziału osobiście, to bank sprawdza dokument tożsamości. W przypadku otrzymania wypowiedzenia pocztą weryfikowana jest zgodność podpisu ze wzorem. Do przelewu likwidacyjnego można podać dowolny numer rachunku. Limitów kwotowych nie ustalono. Czyli podobnie jak w większości pozostałych banków.
Czy to wszystkie banki w Polsce? Nie. A dlaczego nie opisałem wszystkich?
Otóż dlatego, że od niektórych nie otrzymałem odpowiedzi (dodam je do opisu, jeśli takowe nadejdą). Milczy między innymi T-Mobile Usługi Bankowe, choć tak naprawdę trudno się temu dziwić, bo bank już niestety pokazał, że ma nad czym pracować. Czytelnicy zgłaszali mi, że w T-Mobile przelew likwidacyjny trzeba obecnie zrealizować samodzielnie przed zamknięciem konta.
Aktualizacja (2017-03-21):
Po długim namyśle na maila odpisał także T-Mobile Usługi Bankowe. Pozwolę sobie zacytować.
Stosowane przez Bank procedury weryfikacji tożsamości klientów, jak i autentyczności składanych dyspozycji, mają na celu zapewnienie pełnego bezpieczeństwa zdeponowanych przez klientów w Banku środków. Informuję również, iż wszelkie procedury bezpieczeństwa to regulacje wewnętrzne, których Bank nie udostępnia Klientom.
Dyplomatyczna odpowiedź 😉
Wpis nie daje pełnego obrazu procedur bezpieczeństwa. Celowo jednak nie uzupełniałem uzyskanych odpowiedzi np. dzwoniąc i dopytując. Chciałem przekazać to tak, jak banki mi to przedstawiły. Dlaczego niektóre odpowiedzi są tak zdawkowe? No cóż. Dużo zależy od tego w czyje ręce trafiło pytanie. Czynnik ludzki odgrywa jak zwykle dużą rolę. A może banki celowo nie wchodziły w szczegóły, aby np. nie ułatwiać zadania potencjalnym oszustom? Szczerze mówiąc nie sądzę, ale można to też w ten sposób tłumaczyć.
Czy każdy bank ma inne podejście do procedur bezpieczeństwa?
Na podstawie tego, co dowiedziałem się z maili można się pokusić o pewne wnioski. W każdym banku procedury są ustalanie indywidualnie, ale jednak sporo je łączy. Tzn.:
- problemu w zasadzie nie ma, gdy idziemy osobiście do placówki. Ale jest to najmniej wygodna opcja. I do tego czasochłonna.
- po otrzymaniu wypowiedzenia listownie, większość banków nie widzi problemu, jeśli podpis zgadza się ze wzorem. Zdarzają się nieliczne wyjątki, gdzie mimo wszystko bank oddzwania do klienta.
- jeśli dzwonimy na infolinię, to przechodzimy identyfikację na podstawie pytań. Skala trudności zależy od banku. Zdarzyło mi się kiedyś (nie pamiętam już, w którym banku), że konsultantka zakończyła weryfikację mojej tożsamości po jednym pytaniu: „nazwisko rodowe matki”. Słabo. W niektórych bankach, np. w Orange Finanse, potrzebny jest telekod. Lepiej.
- natomiast w przypadku rezygnacji przez system internetowy, banki zdają się zakładać, że tylko właściciel zna dane do logowania. Choć i tutaj zdarzają się pozytywne wyjątki, jak chociażby Getin czy mBank.
Co mogę zrobić, aby lepiej chronić swoje pieniądze?
Szkoda, że nie wszystkie banki dodatkowo weryfikują wiarygodność otrzymanej dyspozycji zamknięcia konta np. przez oddzwonienie do klienta. Według mnie, to powinien być standard. Dziwi mnie także powszechny brak limitów, co do wysokości przelewu. Pozostaje mieć nadzieję, że deklaracje banków, iż „w razie wątpliwości następuje kontakt z klientem” obejmują także sytuacje, gdzie w chwili likwidacji konta znajduje się na nim duża kwota.
- Po pierwsze i najważniejsze. NIGDY, ale to absolutnie nigdy nie podajemy danych poufnych osobom trzecim. Nie zapisujemy ich sobie na żółtych karteczkach, które mogą łatwo trafić w ręce złodzieja czy oszusta. Pamiętaj także o tworzeniu bezpiecznych haseł. Niech to nie będzie Abc1234, data urodzenia, czy też inna oczywistość.
- Pamiętaj o ustawieniu limitów transakcyjnych i limitów płatności kartą.
- Odradzam dokonywanie codziennych płatności z konta, na którym znajduje się spora suma pieniędzy. Lepiej mieć oddzielny rachunek do przechowywania oszczędności.
- Unikamy lub (lepiej) nie logujemy się do bankowości internetowej na nie swoim komputerze. Właściciel, nawet zaufana osoba, może nie mieć świadomości, że na jego komputerze znajduje się wirus, który przechwytuje dane umożliwiające dostęp do konta.
- Jeśli musisz zalogować się na smartfonie w miejscu publicznym, np. w kawiarni, czy autobusie, to rób to dyskretnie. Ujawnienie pinu do aplikacji banku w połączeniu z utratą telefonu może być bardzo niebezpieczne. W takich sytuacja dobrze jest także korzystać z własnego internetu, zamiast z publicznego wi-fi .
- Gdy zlecasz zamknięcie rachunku zostaw na nim tylko niezbędną kwotę (na pokrycie comiesięcznych opłat + ew. mała nadwyżka). Pozostałe środki radzę przelać samodzielnie, szczególnie, gdy jest to większa suma.
- Nie ściągamy oprogramowania z niepewnych źródeł i nie otwieramy załączników z podejrzanych maili! Mogą zawierać wirusy, które udostępnią oszustom dane do logowania.
- Nasza nieufność powinna się podwoić, jeśli jesteśmy otrzymujemy maila od kogoś, kto podaje się za bank, a w wiadomości jesteśmy proszeni o podjęcie jakiegoś nietypowego działania. Pamiętaj też, że bank nigdy nie wysyła maili z prośbą o podanie hasła lub danych poufnych.
- Jeśli dostaniemy podejrzanego maila lub sms, zawsze można zadzwonić na infolinię, aby się upewnić, czy nie padliśmy ofiarą oszustów.
- Przed zalogowaniem należy się upewnić, czy jest to na pewno strona banku. Czy adres zaczyna się od https (połączenie szyfrowane) i czy certyfikat jest bezpieczny i aktualny (banki przy logowaniu używają certyfikatów rozszerzonej walidacji, który można rozpoznać po tym, że na początku adresu oprócz kłódki jest zazwyczaj nazwa podmiotu w kolorze zielonym).
- Nie podajemy haseł czy kodów jednorazowych bez powodu! Bank nigdy nie żąda ich np. zaraz po zalogowaniu.
- Robimy zakupy przez internet tylko u wiarygodnych sprzedawców. Szczególnie unikamy podawania numerów karty na stronach sklepów, których nie znamy lub co do których nie mamy pełnego zaufania.
- I na koniec sprawa może oczywista, ale warto o niej przypominać. Zainstaluj i aktualizuj program antywirusowy.
Masz jeszcze jakieś pomysły na zwiększanie bezpieczeństwa? Daj znać w komentarzu.
Zobacz, jak zachowują się ludzie w nietypowych sytuacjach. Ty tak nie robisz?
[Aktualizacja. Sonda „Czy podasz mi swój pesel” była chyba na tyle kontrowersyjna, że filmik został usunięty z youtube.com. Szkoda, bo to działało na wyobraźnię oglądających.]
Mogę mieć do Ciebie prośbę?
Podziel się tym wpisem ze znajomymi. Warto przypominać o zasadach, które zwiększają bezpieczeństwo naszych pieniędzy.
Z jakieś dwa miesiące temu zamknąłem konto w Idea Banku listem bez podpisu (ponieważ bank nie miał wzoru podpisu, a nie chciało mi się drukować listu tylko po to by podpisać go). Odpowiedzieli mi e-mailem żebym zadzwonił na ich infolinię w celu potwierdzenia rezygnacji z rachunku, następnie zadzwoniłem z innego numeru telefonu niż podany bankowi, a na infolinii trzeba było podać 10 cyfrowy kod do bankowości telefonicznej, żadnych innych pytań weryfikacyjnych.
Ogólnie, podejrzewam że weryfikacja to wzór podpisu, lub w przypadku jego braku kod do bankowości telefonicznej. Możliwe jednak że bank ma dodatkową weryfikację w przypadku posiadania większych kwot na rachunku, ja miałem 40 zł.
Konkretnie dodam że weryfikacja na podstawie samego podpisu jest ze względu na: „uprzejmie proszę o telefoniczny kontakt z Infolinią w celu potwierdzenia przesłanej rezygnacji z prowadzenia rachunku. Rezygnacja musi zostać potwierdzona telefonicznie ze względu na brak podpisu na dyspozycji oraz brak Karty Wzoru Podpisu.”