Bankowość internetowa
Ogólny zarys
1.1. Początki bankowości internetowej w Polsce
Bankowość internetowa (internet banking) na świecie obecnie coraz częściej zastępuje lub uzupełnia dotychczas stosowane rozwiązania tzw. bankowości domowej (home banking). Home banking pozwala klientowi banku na dostęp do swojego konta bankowego przy użyciu modemu oraz dedykowanego oprogramowania, które łącząc się modemem bezpośrednio z serwerem banku (nie przez Internet) przesyła wszelkie niezbędne dane. Internet banking pozwala robić to samo bez użycia dedykowanego oprogramowania i potrzeby nawiązywania bezpośredniego połączenia z bankiem - dostęp do konta odbywa się poprzez Internet, za pomocą przeglądarki WWW.
Pierwszy system bankowości internetowej wprowadził w Polsce w roku 1998, nieistniejący już Powszechny Bank Gospodarczy S.A. z Łodzi (od 1 stycznia 1999 włączony do banku Pekao S.A.). Koncepcja przyjęta przez PBG nie zakładała uruchomienia dostępu przez Internet do dotychczasowych rachunków prowadzonych w tradycyjnych oddziałach banku, lecz utworzenie odrębnego oddziału wirtualnego, przeznaczonego specjalnie dla "internetowych" kont.
Odział Elektroniczny PBG S.A. (a od 1 stycznia 1999 - Pekao S.A.) działa na rynku już ponad rok - jego oficjalne otwarcie miało miejsce 14 października 1998. Do niedawna konta otwierane w tym oddziale miały wyłącznie charakter bezgotówkowy, to znaczy nie można było do nich uzyskać czeków, kart bankomatowych ani płatniczych. Nie było zatem możliwości wypłaty z takiego konta gotówki: można było jedynie wykonywać przelewy na inne konta. Posiadacz konta w Oddziale Elektronicznym musiał zatem mieć jeszcze jakieś inne konto w tradycyjnym banku, aby za jego pośrednictwem podejmować gotówkę.
Od 1 listopada 1999. odział, który zdążył "po drodze" zmienić nazwę na Centrum Bankowości Elektronicznej TELEPEKAO 24, zaoferował w miejsce dotychczasowych kont dla klientów indywidualnych nowy produkt - Eurokonto WWW (warto nadmienić, ze nie zmieniły się dotychczasowe zasady obsługi kont firmowych, które w TELEPEKAO również można zakładać). Eurokonto WWW jest odpowiednikiem "zwykłego" Eurokonta prowadzonego w tradycyjnych oddziałach banku Pekao S.A., różniącym się od niego jedynie możliwością obsługi przez Internet oraz nieco niższymi prowizjami od dokonywanych na rachunku operacji. Wciąż jednak zachowana jest koncepcja odrębnego oddziału wirtualnego - nie ma dostępu drogą internetowa do rachunków prowadzonych w innych oddziałach banku.
System BPH Sez@m, uruchomiony tydzień później, bo 8 listopada, wychodzi z odmiennego założenia - ma umożliwiać dostęp drogą internetową do wszystkich kont osobistych prowadzonych w banku BPH. Dodatkową atrakcją jest możliwość robienia zakupów w wielobranżowym internetowym sklepie Optimusa -należność, bez zbędnych utrudnień, ściągana jest bezpośrednio z konta.
1.2 Oferta innych banków
Jesienią 2000 roku swoje usługi internetowe udostępnił też Wielkopolski Bank Kredytowy, uważany za jeden z najbardziej zaawansowanych na krajowym rynku w tej branży. Usługi dostępne w WBK24 internet/wap to m.in. możliwość sprawdzenia bieżącego salda, historii operacji, dokonywanie przelewów między rachunkami własnymi i na rachunki w innych bankach. WBK24 jako pierwszy wprowadził też na naszym rynku opcję dostępu do konta za pośrednictwem telefonu komórkowego, wyposażonego w przeglądarkę WAP. Partnerem w tej inwestycji jest operator sieci komórkowej Idea. Warunkiem korzystania z usług WBK24 jest posiadanie tokena: to specjalne urządzenie kryptograficzne, wyglądem przypominające kalkulator, wytwarza jednorazowe kody niezbędne do identyfikacji klienta.
Kolejnym bankiem, który uruchomił swój internetowy serwis, jest Fortis Bank (niegdyś PPA Bank). Niestety, nie jest to oferta dla wszystkich. Aby otworzyć sobie tzw. konto srebrne, należy udokumentować miesięczne wpływy w wysokości 3 tys. zł. Oferta internetowa Fortis Banku - Pl@net jest bardzo wszechstronna. Za pośrednictwem sieci można bowiem zarówno sprawdzać stan swojego konta, jak również dokonywać przelewów na rachunki kontrahentów w dowolnym banku na terenie Polski - realizacja, w zależności od zamówienia, może być natychmiastowa albo w dowolnym terminie w przyszłości. Dane owych kontrahentów mogą zostać umieszczone w pamięci, a potem pobierane są każdorazowo z istniejącej już bazy, bez konieczności wypełniania kolejnych formularzy. Przez Internet można także złożyć wniosek o udostępnienie bankofonu, czyli urządzenia umożliwiającego uzyskanie za pomocą telefonu (w systemie tonowym) informacji o ofercie banku.
W marcu br. na internetowym rynku bankowym pojawił się Lukas e-Bank. Propozycja tej firmy jest jak na razie dość skromna - nie ma tu możliwości składania zleceń stałych, a także - co dość zaskakujące - klient musi z góry określić limit operacji dziennych. Opłata za dostęp do konta nie jest mała, wynosi ponad 6 zł miesięcznie. Lukas e-bank dysponuje dobrym zabezpieczeniem kont, ale udostępnienie tokena (takiego jak w WBK24) kosztuje 35 zł rocznie.
Ostatnim z szóstki banków oferujących usługi w Internecie jest Handlobank (prawdopodobnie zostanie przejęty przez Citibank). Firma ta, która swą kampanię reklamową kierowała głównie ku ludziom młodym, musiała pokazać, że jej działalność ma nowoczesny charakter. Handlonet - tak nazywa się internetowe ramię Handlobanku - w swych materiałach promocyjnych podkreśla szczególnie dwie zalety swej oferty: operacje dokonują się tam w czasie rzeczywistym, a sama witryna jest niezwykle funkcjonalna. Istotnie - klienci tego banku, dzięki przejrzystemu układowi stron, nie powinni mieć problemów z poruszaniem się w wirtualnej rzeczywistości Handlonetu. Dostęp do konta Handlonetu jest darmowy; nie jest też wymagane określenie minimalnych wpływów. Oferta Handlonetu jest dość bogata - obejmuje wszechstronną obsługę rachunków, możliwość transferu pieniędzy między rachunkami Handlonetu i wysyłanie ich na konta innych banków, zakładanie lokat, zlecenia stałe itd. Jeśli jednak ktoś nie ma zaufania do transakcji internetowych, może wybrać sobie opcję podgląd czyli dostęp do operacji pasywnych (sprawdzanie stanu konta).
Ciekawą inicjatywą w zakresie bankowości on-line jest Pierwszy Wirtualny Bank stworzony w celach szkoleniowych i edukacyjnych przez firmę ELBA CSB SA, przejętą ostatnio przez Computerland. Ci, którzy boją się "bankiera cybernetycznego", dzięki PVB mogą nabrać wprawy w przeprowadzaniu internetowych transakcji, posługując się wirtualnymi pieniędzmi. PVB ma pięć opcji: salda i operacje bieżące, polecenia przelewu, salda i operacje archiwalne, stany zleceń oraz operacje dodatkowe. I to wystarczy, aby niedoświadczony internauta nauczył się podstaw współpracy z wirtualnym bankiem.
Zapewne wkrótce wszystkie instytucje finansowe będą miały swą interaktywną ofertę internetową. Dobrym przykładem może być niedawne pojawienie się Warsetu - nowego systemu rozliczeń na warszawskiej Giełdzie Papierów Wartościowych, zbudowanego na bazie programu obsługującego giełdę paryską. Przesadą może byłoby stwierdzenie, że już wkrótce do przeszłości odejdzie makler w czerwonych szelkach, ale z pewnością coraz częściej zastępował go będzie system. Dzięki niemu bowiem już ulega zmianie forma składania zleceń zakupu czy sprzedaży akcji, a także kontrola stanu posiadania inwestora. Nie ma też możliwości, aby złożone zamówienie nie zostało zrealizowane, bo makler zapomni czy spóźni się z jego złożeniem. Warset może zrealizować do 45 zamówień w ciągu sekundy. Co więcej - dzięki tzw. Telegazecie - gracz uzyskuje na bieżąco notowania swojej spółki, a także bardziej ogólne informacje na temat sytuacji na giełdzie. Dla tych, którzy będą potrafili wykorzystać potencjał Warsetu, stanie się on wysoko kwalifikowanym doradcą inwestycyjnym. Jak zapewniają specjaliści - niemal niezawodnym.
II. Kwestie bezpieczeństwa.
2.1 Bank w przeglądarce (na przykładzie Pekao S.A. i BPH Sez@m)
Podstawowe funkcje, które powinna zapewniać bankowość internetowa, to wgląd w bieżące saldo i historie operacji na rachunku oraz możliwość dokonywania przelewów na inne konta. Możliwości te obydwa produkty zapewniają w całkowicie zadowalającym stopniu. Poza tymi podstawowymi funkcjami użytkownik Eurokonta WWW ma m.in. możliwość elektronicznego składania wniosków o karty płatnicze oraz limit kredytowy, zakładania i likwidacji lokat terminowych. Z kolei w banku BPH możliwe jest przez Internet składanie zamówień na nowe czeki oraz zastrzeganie czeków utraconych.
Niewątpliwie bardzo wartościowa cechą systemu Sez@m jest zintegrowanie go ze skrzynką pocztową, służącą do korespondencji z bankiem - tej opcji bardzo brak kontom w TELEPEKAO. Plusem systemu BPH jest również możliwość obsługi już istniejących kont, podczas gdy w Pekao trzeba zakładać sobie nowe konto w oddziale wirtualnym.
Ogromnym minusem jest natomiast, wspomniana już powyżej, możliwość korzystania z systemu Sez@m tylko za pomocą konfiguracji MSIE 4/Windows 95 (lub wyższe wersje). Choć faktem jest, że konfiguracji takiej używa 80, a może i 90 procent polskich Internautow, to z dyskusji na grupie dyskusyjnej wynika, że w gronie potencjalnych użytkowników bankowości internetowej proporcje te mogą przedstawiać się nieco inaczej - sporo osób używa tam np. Netscape'a w systemach unixowych. Jak by nie było, lekceważenie przez bank grupy potencjalnych klientów korzystających z innych niż "jedynie słuszna" przeglądarek nie wpływa z pewnością pozytywnie na jego obraz - dowodzi jedynie braku profesjonalizmu twórców systemu. Ze stron zagranicznych banków oferujących bankowość internetową, podobnie zresztą jak z TELEPEKAO, można bez problemu korzystać każda przeglądarka obsługująca bezpieczne połączenia SSL, w każdym środowisku - nawet tekstowym Lynxem. Nigdzie nie spotkałem się z napisami w stylu "tylko Internet Explorer". Ograniczenia tego rodzaju tolerowane mogą być ewentualnie na amatorskich stronach prywatnych, ale nie w tak poważnej instytucji, jak bank.
Można by bronić BPH argumentem iż konieczność użycia takiego właśnie oprogramowania wynika z zastosowania technologii ActiveX do wymiany kluczy szyfrowych. I tu jest właśnie kolejny potężny minus po stronie BPH: bezpieczeństwo systemu. System bankowości internetowej powinien być nade wszystko bezpieczny - jeżeli zabraknie bezpieczeństwa, wszelkie inne cechy są mniej istotne. Zabezpieczenia TELEPEKAO są jasne i klarowne: dla skorzystania z konta niezbędny jest token. Bez niego na dobra sprawę nie ma sposobu przewidzenia, jakie kombinacje cyfr należy wpisać na stronie WWW, aby dostać się do systemu lub wykonać jakąś operacje. Jedno-, a nawet kilkukrotne podsłuchanie sesji użytkownika z systemem na nic się nie zda, gdyż za każdym razem generowane ciągi cyfr są inne. Token dodatkowo zabezpieczony jest sześciocyfrowym PIN-em, który ustalamy samodzielnie, tak wiec nawet zgubiony lub skradziony nie będzie nikomu zbyt przydatny, gdyż po trzykrotnym błędnym wprowadzeniu PIN-u ulega zablokowaniu.
Zabezpieczenie za pomocą kluczy prywatnych i publicznych jest równie dobre, jak token, ale pod warunkiem, że klucz prywatny rezyduje na komputerze, z którego dokonujemy transakcji, i nigdzie więcej. Ten model zabezpieczenia realizują tzw. prywatne certyfikaty SSL, obsługiwane przez każda przeglądarkę z zaimplementowanym SSL-em (a zatem nie trzeba się ograniczać do MSIE). Rozwiązanie BPH jest jednak inne: tu klucz prywatny nie znajduje się na naszym komputerze, lecz jest nam przesyłany przez serwer każdorazowo przy logowaniu. Podważa to sens metody, w której identyfikacja użytkownika opiera się na fakcie posiadania przez niego klucza prywatnego. Fakt stosowania kluczy staje się w takim rozwiązaniu na dobra sprawę wyłącznie drugorzędną kwestia techniczna; z punktu widzenia użytkownika zabezpieczeniem konta są jedynie dwa hasła (jedno do serwera, drugie do odkodowania klucza), które można poznać np. przez przechwytywanie programem typu koń trojański znaków wprowadzanych z klawiatury. Dodatkowo pogarsza sprawę zastosowanie techniki ActiveX: sama ta technika jako taka jest powszechnie uważana za jedna z największych "dziur" w bezpieczeństwie Windows 95 i Internet Explorera; specjaliści od bezpieczeństwa zalecają wręcz wyłączanie w MSIE obsługi komponentów ActiveX podczas korzystania z Internetu.
2.2 Wgląd od zaplecza.
Rosnące wymagania klientów oraz stały rozwój usług świadczonych przez banki są powodem dużych wymagań stawianych przed systemem komputerowym automatyzującym pracę banku. Nowoczesne oprogramowanie pozwala na szybsze dokonywanie obliczeń, bieżące aktualizowanie i przekazywanie danych oraz błyskawiczny obieg pieniądza, a w rezultacie lepsze efekty pracy banku.
Nie mniej ważne jest spełnienie wymagań nadzoru bankowego w zakresie sprawozdań z pracy banku, dostarczenie kadrze kierowniczej niezbędnej wiedzy pozwalającej na wszechstronne analizy i efektywne zarządzanie bankiem, różnorodne usługi w zakresie rozliczeń międzybankowych (w tym poprzez izby rozliczeniowe).W celu zapewnienia stałej kontroli nad przepływem gotówki dane w systemie informatycznym powinny być na bieżąco aktualizowane.
Bezpieczeństwo banku wymaga natomiast rozbudowanych ograniczeń w dostępie do zgromadzonych danych, mechanizmów bieżącej kontroli wprowadzonych danych (np.: identyfikacja podpisów, kontrola czeków), przechowywania informacji w okresach zgodnych z obowiązującymi przepisami. Dla zagwarantowania ciągłego rozwoju banku system informatyczny powinien być otwarty, tzn. łatwy w rozbudowie i modyfikacjach, o formacie danych dostępnych dla innych programów (np.: zewnętrzne arkusze kalkulacyjne, generatory raportów lub zapytań).
Na potrzeby banków tworzone są skomplikowane autorskie systemy informatyczne tworzone w ścisłej współpracy ze specjalistami z dziedziny bankowości, które zawierają w sobie następujące usługi:
- pełną obsługą klienta na stanowisku dysponenckim (operacje na rachunkach, w tym lokatowe i kredytowe) oraz w kasie (wpłaty/wypłaty),
- prowadzenie księgowości,
- natychmiastowe tworzenie niezbędnych zestawień,
- przetwarzanie kredytów i lokat,
- kontrolę zasobów Banku,
- bieżące analizy ekonomiczne zgodnie z potrzebami Banku,
- komunikację z oddziałami rozliczeniowymi (w tym tworzenie zbiorówek).
W pełni zapewnia bezpieczeństwo banku poprzez:
- wbudowany system haseł i uprawnień operatorskich,
- uniemożliwianie dostępu osób niepowołanych,
- tworzenie kopii bezpieczeństwa,
- pełną powtarzalność operacji księgowych,
- kontrolę dokumentów zastrzeżonych, blokad, debetów.
W systemie takim komputery kompatybilne ze standardem IBM PC są stanowiskami pracy operatora. Nazywa się je stacjami roboczymi, lub stanowiskami roboczymi. Oprócz komputerów wyżej wymienionych w systemie znajduje się komputer główny nazywany FILE SERVER-em lub potocznie MATKĄ. Komputer główny nadzoruje pracę systemu. Jego zadaniem jest w szczególności:
- organizacja pracy w sieci,
- przechowywanie wszystkich danych wprowadzanych do systemu,
- zabezpieczenie informacji.
Do codziennego archiwizowania wszystkich danych bankowych w systemie wykorzystuje się pamięć kasetową zewnętrzną. Pozwala to na odtworzenie danych Banku nawet po uszkodzeniu komputera głównego. Do archiwizowania kompletu danych np.: z całego roku wykorzystywana jest pamięć zewnętrzna - CD ROM, jest nośnikiem tylko do odczytu, stąd informacja raz zapisana nie ulegnie zniszczeniu. Podtrzymywanie napięcia doprowadzonego do komputera, podczas awarii sieci elektrycznej lub nieprawidłowego jej działania, na czas potrzeby do wykonywania niezbędnych operacji mających na celu zabezpieczenie danych przed zniszczeniem wykorzystywany jest zasilacz awaryjny (UPS).
Jednym z takich systemów jest system „Saba”, który zapewnia:
- gromadzenie i aktualizację danych o klientach i ich kontach,
- kompleksową obsługę wszystkich kont z zakresu przyjętego planu kont,
- automatyczną obsługę kredytów i lokat terminowych,
- bezpieczeństwo pracy i danych,
- analizę danych.
System Saba posiada i wykorzystuje wielopoziomowe sposoby zabezpieczenia informacji tj.: zabezpieczenia programowe, sprzętowe oraz podwójne zabezpieczenie przed dostępem do informacji osób nieupoważnionych.