17:04
15/5/2015

Ciekawa sytuacja zdarzyła się w Gdyni. Pracownica spółdzielni wpisała w interfejsie Alior Banku służącym do generowania rachunków indywidualnych zły (nie nadany spółdzielni) numer identyfikacyjny na podstawie którego wygenerowane zostały błędne numery rachunków dla klientów. Ci więc opłacili czynsz, ale pieniądze trafiły na “złe” konta. Alior nie chce powiedzieć na czyje (zasłania się tajemnicą bankową, do czego ma prawo), a prokuratura, która może bank zwolnić z tajemnicy bankowej nie chce wszcząć postępowania… 

Żeby było weselej, przelewy były jednoznacznie opisane — ale bank nie ma obowiązku weryfikacji danych rachunku odbiorcy deklarowanych z faktycznymi. Może pora to zmienić? Jeśli nie – to po co w ogóle pole z opisem nazwy odbiorcy przelewu?

Ktoś wie jak wygląda i jak dokładnie działa ‘moduł generowania rachunków indywidualnych’? Naprawdę nie weryfikuje identyfikatora?

P.S. Z racji dużej oglądalności tego wpisu i świetnych komentarzy czytelników, wpis przenosimy z naszego linkbloga *ptr na stronę główną.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

113 komentarzy

Dodaj komentarz
  1. To jest doskonały przykład sytuacji, kiedy banki ograniczają sie od ryzyka swoich transakcji. Swiat numerków o długości 128B. I żadnej innej informacji.Rubta co chceta. Nam to wisi. Dno.

    • Zabezpieczenia transakcji bankowych zawsze będą kulały bo to się bankom opłaca :)
      Unikam jak tylko mogę płatności elektronicznych , nie ma jak przekazanie gotówki z rąk do rąk :D

    • całkiem niezły troll jak na 2015, zygmuncie (nawet ktoś odpisał! szkoda, że tylko ja)

    • Ja też stosuję tylko przekazywanie gotówki z rąk do rąk.

  2. A jak sobie takową weryfikację wyobrażacie? Jak dla mnie jest o wiele za dużo przelewów żeby się brać za coś takiego.

    • Weryfikacja 100% automatyczna, niedawno o tym pisałem! Mamy XXI wiek i ludzkość już zna lepsze algorytmy niż porównywanie binarne! Nieco inne końcówki typu “sp. z o.o.” czy “sp zoo”, zamienione miejscami imię i nazwisko czy nawet drobne literówki to żaden problem dla współczesnego IT. Zwłaszcza, że nie mówimy o firmach-krzakach co bidę klepią tylko o bogatych i poważnych instytucjach. Wpisz sobie w Google nazwę jakiejś firmy a nawet jej adres w nieco innej pisowni niż jest na stronie i zobaczysz, że znajdzie. Da się?

    • TO chyba żaden problem porównać elektronicznie, czy adresat i właściciel konto się zgadzają! Wszystkie przelewy są elektroniczne, nawet te piapierkowe.

    • @Marcin Maziarz
      Porównywanie do Google jest chybione z co najmniej trzech powodów:
      1. Google niedziała na zasadzie ręcznego stworzenia serii alternatywnych form danego wyrazu.
      2. Google równie dobrze jak znajduje właściwą stronę dla nazwy z literówką, znajduje błędne strony dla prawidłowo wpisanych nazw. Potrafią nawet wskazać wyrazy semantycznie niezwiązane z wyszukiwaniem.
      3. Powód, dla którego rozmyte rozwiązania Google’a w ogóle działają, to gigantyczna baza danych, na której mogą się oprzeć. Nędzna lista własnych klientów banku to zbiór zbyt mały, by nawet próbować coś takiego zrobić.

      Bank może znormalizować nazwę do samych wielkich liter i spacji, policzyć np. odległość Levenshteina każdego wyrazu i na tej podstawie próbować ocenić zgodność nazwy. Ewentualnie inny algorytm, ale mający podobną klasę skuteczności. Tylko po co? Ja wiem, że naskakiwanie na banki jest trendy (bo są bogate, a bogaty jest zawsze winny wszystkiemu), ale prawda jest taka, że bank nie ma tutaj nic do rzeczy. Winna jest tylko i wyłącznie pracownica spółdzielni, która najwyraźniej zlekceważyła swoje obowiązki i nie zweryfikowała, co wpisała. System bankowy swoje zadanie w przeciwdziałaniu takim zdarzeniom realizuje poprzez istnienie w IBANach sumy kontrolnej, minimalizującej ryzyko zwykłej literówki (jakość tej sumy kontrolnej to kwestia dyskusyjna, ale różnica jest rzędu “dobra” i “bardzo dobra”, a nie “brak” i “bezbłędność”). Oskarżanie w tej sytuacji banku ma równie wielki sens, co mówienie, że winą banku jest, że ktoś źle wpisał w przeglądarce ich adres i został przekierowany na podstawioną stronę.

    • Jednak po coś wynaleźli pole na nazwę odbiorcy. Takie było już za czasów druczków WP i takie mamy do dziś w bankowości elektronicznej. Nazwa odbiorcy jest też transportowana (wraz z numerem konta) w komunikatach ELIXIR czy SWIFT MT103 aż do banku docelowego. Po jakiego grzyba? Dla klientów sektora bankowego byłoby bezpieczniej gdyby nazwa jednak była sprawdzana! Czyli najpierw identyfikacja po NRB/IBAN a potem sprawdzenie zgodności nazwy. To są (niekiedy ciężko zapracowane) PIENIĄDZE a więc nie porównujmy przelewów na złe konto do błędnego adresu URL czy źle wykręconego numeru telefonu. Google to był tylko przykład, oczywiście można byłoby wypracować jakiś wspólny międzybankowy standard weryfikacji nazw, np. z inicjatywy NBP/KIR/KNF/ZBP. No ale kto by się zajmował takimi pierdołami? W grę wchodzą tylko poważne rzeczy: animowane okienka i wykresy, mOkazje, tablety w oddziale czy aplikacje mobilne na ajfona-srajfona!

    • @Marcin Maziarz:
      @lubas:

      Od kiedy można zmieniać nazwe (i właściciela) rachunku, te pole jest o kant d* rozbić. I to “my” (klienci) żeśmy tą zmiane wymusili na bankach. A jeśli można sobie zmieniać nazwe rachunku to nie można tej nazwy przypiąć do sprawdzania poprawności – bo, chyba rozumiesz, że dzisiaj pasuje a jutro już może nie pasować.

      A ty mając firme będziesz zmieniał na kilku stronach, ulotkach i rozsyłał do 500 kontrahentów informacje że zmieniłeś nazwe z “Wiesio najlepsze pomidory S.C.” na “Wiesio najlepsze jabłka i pomidory Sp. z o.o.” – i żeby KONIECZNIE nie pomylili się przy wysyłaniu przelewu bo będą cofki – czy może NIE poinformujesz nikogo i będziesz czekał na telefony z pytaniem jak twoi kontrahenci mają ci przelać pieniądze za jabłka i pomidory?

      No? Geniuszu? Wybierz pigułke ;)

    • Napisałem funkcje, które potrafią obliczyć korelacje dla nazw własnych i dla adresów. Potrafi na podstawie bazy administracyjnej Polski i na podstawie bazy kodów pocztowych zidentyfikować prawidłowy adres pomimo różnego rodzaju błędów/pomyłek. Nie są to jakieś wyrafinowane programy (brak czasu), ale dobrze działają. Fakt, że banki mając znacznie większe zasoby, tego nie robią świadczy, że mają nas, klientów, w głębokim poważaniu (miałem na myśli coś bardziej dosadnego, ale regulaminy…). A propo Alioru, zamierzam z niego zrezygnować. Od wielu miesięcy zgłaszam im błędy, ale … (ech, ten regulamin :).

    • @BloodMan
      Bank powinien weryfikować nazwę wg brzmienia aktualnego w chwili przetwarzania przelewu. Może też stosować okres przejściowy i przez pewien czas honorować poprzednią nazwę ale nie jest to konieczne. Podmiot który zmienia nazwę i tak musi powiadomić o tym swoich kontrahentów choćby dla celów fakturowania. Ja tam wolę, żeby czasami komuś wrócił przelew wysłany na nieaktualną nazwę niż żeby 60k czy 3,7M przepadało bez wieści! Poza tym każdy zmienia nazwę na własne życzenie (może z wyjątkiem dopisania “w upadłości” :)) i musi się liczyć z utrudnieniami – zmiana pieczątek, wizytówek, reklam, wydruków z kas fiskalnych, itd. Jak ktoś chce, niech sobie nawet co miesiąc zmienia nazwę i powiadamia kontrahentów, żeby dobrze wysyłali przelewy. Jego sprawa.

    • @zygmunt
      Ja też cośtam napisałem, cośtam, cośtam… A potrafisz udowodnić, że to działa, lub chociaż dać teoretyczne podstawy potwierdzające możliwość działania? Przeprowadziłeś jakiekolwiek poważne testy na dużym zbiorze realistycznych danych, czy twierdzisz, że działa, bo uruchomiłeś i się nie wysypało? Ilu miałeś testerów, żeby wykryć chociaż ⅓ pomysłowości użytkowników i tego, co mogą wpisać? Zadam tylko jedno, proste pytanie: czy twój program prawidłowo obsługuje rozpoznanie pustego pola jako pasującego do wszystkich kont? (pytanie retoryczne, więc nie odpowiadaj na nie tutaj, bo i tak nie ma to sensu)

      @Marcin Maziarz
      Podsumowując: chcesz wprowadzenia często występującej niedogodności dla wszystkich klientów tylko po to, żeby zmniejszyć ryzyko wystąpienia sytuacji, która już teraz ma bardzo niskie ryzyko wystąpienia i jest de facto nieistotna w obrazie całości, a pełną kontrolę nad jej wystąpieniem posiada sama potencjalna ofiara?

      Przeciwko rzeczywistym problemom banki jak najbardziej opracowują zabezpieczenia. Np. analizowanie typowych nawyków płatności kartami, żeby wykryć, że coś nie gra, jeśli od roku płacisz kartą w Polsce, o 13 zapłaciłeś w Warszawie, a o 13:30 płacisz gdzieś w Malezji. Przeciwko prostym literówkom w IBANach jest suma kontrolna. Przeciwko przejęciu hasła do konta masz dodatkową weryfikację przelewów tokenami. Bo to są realne zagrożenia. Nie to, żebym nie mógł nic zarzucić bankom, ale ostatnią rzeczą, do której mógłbym się przyczepić, jest brak utrudniania mi życia poprzez sprawdzanie nazw odbiorców.

      Jeżeli chcesz się bawić w walkę, to raczej skieruj swoje wysiłki w stronę:
      – Udostępnienia publicznego, wolnego, darmowego API dla klientów
      – Robienia sensownych, wygodnych serwisów internetowych zamiast szpanowania [nie]umiejętnością użycia JavaScriptu
      – Poprawienia bezpieczeństwa płatności kartami — chociaż akurat za to odpowiadają nie banki, bo i one mają niewielki wybór: mogą wybrać jeden z kilku (a w Europie z dwóch) podmiotów, które utrzymują oligopol na rynku i nie są chętne do naprawiania czegokolwiek, bo to dla nich koszty i stracenie potencjalnych zysków.

    • Nie trzeba pisać gigantycznych algorytmów, w takim PHP chociażby jest funkcja porównująca procentowo 2 stringi. Coś takiego by wystarczyło.

    • @Marcin Maziarz: do celów fakturowania to jest NIP i REGON. Nazwa może być nawet “Buraki i Ćwikła”, ale dopóki NIP/REGON jest OK to skarbówka to przyjmie. I bank też powinien działać tylko po numerze konta. Ja nie mam ochoty ani zamiaru wypisywać kolejnego pola bo mamy w Polsce ludzi którzy są fajtłapami albo roztrzepanymi śpiącymi misiami. Sorry, taki mamy klimat. Niech wyginą albo się obudzą.

      Dodatkowo przypominam że z powodu sporadycznego i marginalnego incydentu po raz kolejny ludzie tacy jak Ty chcą zmieniać cały system i odwracać kota ogonem. (no wiem że nie Ty, ale sens rozumiesz?). Zachowujecie się jak politycy którzy zajmować się czymś pożytecznym (np. naprawą systemu emerytalnego – który jest rozwalony od A do Z) to zajmują się pierdołami w stylu spalona tęcza, zegarek ministra, albo pole odbiorcy w przelewie.

    • @BloodMan
      Art. 106e ust 1 pkt 3 Ustawy o PTU (VAT): “Faktura powinna zawierać (…) IMIONA I NAZWISKA lub NAZWY podatnika i nabywcy towarów lub usług oraz ich ADRESY”; art. 21 ust. 1 pkt 2 Ustawy o rachunkowości: “Dowód księgowy powinien zawierać co najmniej: (…) określenie stron (NAZWY, ADRESY) dokonujących operacji gospodarczej”. Tak więc życzę szczęścia przy kontroli z US jak Kolega wystawia faktury tylko z NIP-em i REGON-em!

      Jeśli chodzi o przelewy, to pole na nazwę odbiorcy już istnieje i to od czasów zleceń papierowych! Pytanie: po co? Albo faktycznie wszystko idzie po nr konta i nie ma zbędnych pól do wypełniania albo jest weryfikacja! Osobiście wolę drugą opcję a jeszcze lepszy byłby złoty środek: pole na nazwę odbiorcy ale fakultatywne! Jak klient nie wypełni, przelew idzie tylko wg numeru NRB/IBAN (na wyłączną odpowiedzialność klienta) albo klient wypełni i tym samym żąda weryfikacji. Myślę, że to wszystkich uszczęśliwi.

    • @Marcin Maziarz: ok, masz rację. Ustawa o VAT to zmieniła, bo wcześniej tego nie było. Mea culpa.

      Co do fakultatywnego pola odbiorcy, podejrzewam że takie coś mogłoby być… tylko pytanie kto by z tego korzystał – i co w przypadku błędu systemu lub błędu danych? Obwinianie banku że dane w systemie były złe? A kto by miał je (dane) aktualizować.

      Musiałby powstać kolejny “system” zarządzany przez Izbe Skarbową albo Nadzór Bankowy (KNF?) przypominający PLICBD który kompletuje dane firma=rachunek1,rachunek2,…,rachunek3492387 – bo przecież są hardkorowcy w stylu polsat który ma 3,5 mln klientów i jeśli ma (miałby) dla nich osobne konta tworzyłby masakre. Ludzie przychodzą i rezygnują. Litości (chociaż rozumiem że są pule kont i to byłoby prostsze). Rozumiem także że możnaby w takim systemie oznaczyć jakieś konto jako ZŁE – i próba przelewu wywaliłaby nam informacje że to złodziej na przykład. A kolejny problem wtedy powstaje – kto oznacza i na jakiej podstawie (wyrok?, bez wyroku?, prawo? bezprawie? konkurencja? dobrylekarz.pl ?) Jak sie potem wypisać z tego? Wyrok? U
      śmiech? Telefon do prezesa pisu? ;)

      Eeeee… chyba wole żeby zostało jak jest. Inaczej wyjdzie z tego kolejny system do któego musimy się podłączyć i z niego korzystać. Jak to Polska to na siłe.

    • @mpan – dlaczego z góry zakładasz, że nie przeprowadziłem testów itd. Napisałem podprogram dla konkretnych celów. Do tej pory przetworzył kilkaset tys. rzeczywistych rekordów. Oczywiście nie jest to program trywialny (kilka poziomów abstrakcji, ponad 20 różnych tunningowanych współczynników itp.), ale też nie jest zbyt skomplikowany i jak napisałem wcześniej dla banku nie jest to duży problem.

    • @mpan, a co wg Ciebie jest nie tak z bezpieczeństwem kart /pomijając CNP/ ?

    • @Zygmunt:
      Napisałem, że pytanie było retoryczne. To znaczy, że chciałem coś pokazać, a nie dyskutować nad szczegółami twojego konkretnego programu, o którym nie wiem nic. Jedyne, co mówię tobie i innym, to wskazanie, że to nie jest takie “hop-siup, hurra”. Bankowość to jest “troszeczkę” wyższy poziom problemu, gdzie dodatkowo zaczynają się liczyć kwestie finansowe pomyłek.

      @ARQC:
      Naiwny model działania, w którym wierzyciel stanowi zaufaną stronę. Nie to, żebym nie doceniał znaczenia zabezpieczeń ekonomicznych i prawnych, ale wolałbym jednak także zabezpieczenia techniczne na linii płacący–bank i wypłatę wierzycielowi pieniędzy decyzją swoją, a nie jego.

  3. do redakcji: 60 000 PLN od 45 osób, a nie 45 000 PLN jak w tytule ;]

    • Piotr chyba lepiej wie…ile trafiło na jego konto ;-)

      #pdk

    • Najpierw w RSS było 45 000, potem 60 000 a na koniec zniknęła gwiazdka. Jakieś dziwne rzeczy się tu wyprawiają!

    • Szatan! (45 było błędem, gwiazdka zniknęła – wyjaśnienie w PS)

  4. Ale dlaczego “nam to wisi”. Jak wystawiam FVAT i księgowa mi ją odrzuca bo w nazwie ktoś napisał dodatkowa kropkę – to mnie kurwica strzela. Wystarczyłby tylko NIP i cześć (oczywiście zakładając jego jednoznaczność która dzisiaj nie jest spełniona, choć z drugiej strony jak mam prywatny nip i firmowy ten sam nip – to co za rożnica US gdzie rozliczam VAT… ale to inna kwestia)

    • Obecnie błędy nieistotne nie ważą na nieważności faktury VAT, księgowa niech się douczy. :)

  5. @qlawy: cos mi sie wydaje ze to wlasnie zmieniono przepisy w tym zakresie ostatnio, i wlasnie by nie bylo takiej mozliwosci ustalenia celu ani wycofania przelewu .. :) byle tylko sam nr rachunku byl prawidlowy, nic wiecej nie jest weryfikowane przy dokonaniu przelewu

  6. Dlaczego jeśli mam konto w banku x to dlaczego niby miałby mój bank udzielać informacji bankowi y o moim rachunku ? :)

    • What? Przecież mówimy o weryfikacji odbiorcy nie nadawcy.

      Poza tym jak robisz przelew ze swojego konta to dane na temat konta i nadawcy są podawane, a jeśli zlecasz przelew to w Twoim interesie jest aby przelew przez odbiorcę był właściwie rozpoznany.

    • Znam jedna sytuacje osobiscie gdzie w wyniku bledu po stronie jednego banku (niestety nie pamietam juz czy byla to wina oprogramowania banku czy jak tutaj – pomylka przelewajacego), na konto innego banku wplynely pieniadze, nastepnie byl telefon do nieslusznie obdarowanego ze taki fakt mial miejsce i prosba o zwrot, obdarowany sie wypial i zignorowal to ze wpadla mu kasa (chcial ja po prostu zatrzymac a byla to czterocyfrowa suma) bank ostatecznie wrzucil ta kwote w swoje koszty i koniec sprawy. czasami nie oplaca sie bankom procesowac i szargac swojego dobrego wizerunku dla takich wpadek.

  7. Te kwoty to pewnie nic w porównaniu z:
    http://wyborcza.pl/1,91446,17865117,Podlaskie__Pieniadze_za_budowe_drogi_wojewodzkiej.html jak 3,7mln poszło na konto oszustów. I jeszcze za to zapłacą podatnicy.

    Co ciekawe: Jak do banku przyjdzie US, to ten bez szemrania COFA WYKONANE przelewy. Nie chce mi się już szukać, ale było to opisane kiedyś na blogu samcik.blox.pl – gość dostał przelew od jakiejś firmy, która zalegała mu z zapłatą faktury. Więc wydał te pieniądze na swoje własne zobowiązania. Po czym do banku wkroczył US i stwierdził, że tamta firma powinna mieć zablokowane konto i bank cofnął przelew robiąc oczywiście debet na koncie kolesia, któremu te pieniądze się należały i wepchnął go jeszcze w problemy.

    Piękny jest ten Świat?

  8. No no niezly czynsz tam maja… ponad 1300zł

    • Mam nadzieję, że mieszkania tego warte są.

  9. Przelewam zonie kasę z tytułem “na tampony” ciekawe jak to mieliby sprawdzić? Suma kontrolna numeru jest wystarczająca, reszta to błędy ludzi.

  10. Ależ mi sensacja…Nie takie wałki w Polszy przeszły.Oczywiście jak wszyscy najdalej za dwa tygodnie zapomną o całej sprawie.A pieniądze zniknęły…

  11. Z tą kontrolą przelewów to wcale nie jest tak prosto jak się wydaje. Weryfikacja taka może być wykonana na dwa sposoby:
    1. Ręcznie przez pracownika banku, ale przy ilości przelewów przechodzących przez systemy banku każdego dnia jest to niewykonalne
    2. Automatycznie, ale wtedy najdrobniejszy błąd w nazwie czy adresie powodowałby zwrot przelewu do nadawcy a to oznacza sporą ilość wybitnie wkurzonych klientów, którzy zaraz dzwoniliby do banku z pytaniem czemu przelew wrócił (oczywiście przy założeniu, że zauważyliby ten zwrot, bo i o to jest nieraz dość trudno).
    Co do tajemnicy bankowej, to bank wcale się nią nie “zasłania” tylko jej istnienie jest faktem. Bank nie może nawet ujawnić, że dana osoba ma u nich konto (za wyjątkiem kilku sytuacji gdy jest to uregulowane prawnie, ale dotyczy to określonych organów państwowych). Gdyby taką informację podał to prokuratura z miejsca wszczęłaby postępowanie co do pracownika, który tą informację ujawnił. Urząd Skarbowy, o którym było tu pisane ma inne uprawnienia, i akurat to nie jest winą banku. Takie jest prawo i pretensje możemy mieć do naszego rządu. A w sytuacji opisanej w komentarzu nie doszło do cofnięcia przelewu, bo to jest niemożliwe. Na koncie właściciela powstało tzw. niedozwolone saldo ujemne. Fakt, że są tego konsekwencje, ale to zupełnie inna sprawa. I znowu jest to kwestia regulacji prawnych.
    A tak na marginesie, w przypadku błędnie wykonanego przelewu (wykonanego na błędny numer rachunku) to są odpowiednie procedury postępowania w takim przypadku. Nie gwarantują one co prawda powodzenia, ale pytanie przede wszystkim, czy podjęto jakiekolwiek kroki w celu odzyskania środków dostępnymi metodami.
    A i jeszcze jedno. Oczywiście, że prokuratura odmówi postępowania w tej sprawie, ponieważ jeśli już, to takie sprawy toczą się z powództwa cywilnego. Nie jest to sprawa dla prokuratora. A jeśli już koniecznie miałby się on w to angażować, to tylko w sytuacji gdyby pracownica administracji podająca błędny numer rachunku podała go z pełną świadomością tego, że jest on błędy i chciała w ten sposób uzyskać korzyść majątkową.
    I nie są to dumania przypadkowej osoby. Pracowałem w bankach przez dłuższy czas i stąd wiem jak takie sprawy wyglądają. I nie, obecnie nie jestem już pracownikiem żadnego banku. Pracuję jako niezależny doradca finansowy, ale z takimi sytuacjami nadal mam do czynienia.

    • Co każe wtedy procedura?

    • @Krzysztof:
      aby założyć sprawę cywilną – trzeba znać dane “obdarowanego przelewem”. A bank tej informacji nie ujawnia. Paragraf 22?

  12. Cieszę się, że banki dbają o dane osobowe i nie wydają klientów.

    • Cieszę się, że są tacy naiwni ludzie. Dzięki temu żyje się lepiej.

  13. Niby dlaczego Bank ma brać odpowiedzialność za kogoś błędy? Jak spowodujesz wypadek autem to zgłosisz się do producenta aby pokrył koszty? Come on. Trzeba myśleć a nie bezmyślnie klikać myszką.

  14. Nie przesadzaj – mała firma jest w stanie taką weryfikacje zrobić, to nie jest żaden “rocket-science” byle bardziej ogarnięty licealista wzwyż interesujący się oprogramowaniem i działający coś w temacie jest w stanie ogarnąć temat (btw. “duża firma nie krzak” czasami studentem stoi ;) )

  15. W każdym banku wygląda to identycznie ponieważ wynika to z zapisów ustawy. W pierwszej kolejności każda z osób, która wykonała ten błędny przelew powinna zwrócić się do swojego banku z prośbą o zwrot środków. Po otrzymaniu takiej prośby bank, który wysłał przelew kontaktuje się z bankiem docelowym z prośbą o zwrot środków. Po otrzymaniu takiej prośby bank odbiorcy przelewu kontaktuje się ze swoim klientem, który jest właścicielem tego rachunku z informacją o błędnym przelewie i prośbą o zwrot środków. Jeśli właściciel udzieli takiej zgody, to bank przelewa środki na rachunek, z którego otrzymał błędny przelew. Jeśli natomiast odbiorca błędnego przelewu nie wyrazi zgody na zwrot to pozostaje droga sądowa (z powództwa cywilnego a nie jako sprawa karna). Zdaję sobie sprawę, że problemem jest jeśli odbiorca nie wyrazi zgody na zwrot, ale takie jest prawo. Bank nie ma możliwości wymuszenia zwrotu środków. Ale jak napisałem, ciekawy jestem czy którakolwiek z tych osób podjęła próbę kontaktu ze swoim bankiem w celu otrzymania zwrotu.
    Inną zupełnie jest sprawą, że pracownica administracji powinna ponieść jakieś konsekwencje swojego błędu, ale to już jest zupełnie niezależne od działań banku.

    • Powództwo cywilne, ale przepraszam – kogo wskazać jako pozwanego?

  16. Troszkę przesadzasz. Nie każdy robi jakieś wielkie pomyłki albo w ogóle pomyłki (w przelewach). Większość ludzi których znam (osoby prywatne, małe firmy) po wypełnieniu przelewu weryfikuje dane. Część zapisuje sobie stałych odbiorców, część używa opcji “wykonaj ponownie” na danym przelewie. Błędne wartości które odpadną przy bardziej rozgarniętym porównywaniu (normalizacja liter, usunięcie ogonków, i proste do przewidzenia sp zoo, Sp. z o.o. itd…) to będzie jakiś niewielki procent, jeśli nie promil. Jeśli raz i drugi taki przelew Ci się wróci to nauczysz się poprawnie wypełniać blankiet.

    PS. zakładasz, że wszyscy to nierozgarnięci, niepisaci i niekumaci nie umiejący z balnkietu danych przepisać??

  17. Nie zgodzę się z tym, że bank nie ma obowiązku weryfikacji danych przelewu.Artykuł 64 ustawy Prawo Bankowe mówi:

    “Jeżeli polecenie przeprowadzenia rozliczenia pieniężnego złożone przez posiadacza rachunku bankowego jest wykonywane przez kilka banków, każdy z tych banków ponosi wraz z pozostałymi solidarną odpowiedzialność wobec posiadacza rachunku za szkody spowodowane niewykonaniem lub nienależytym wykonaniem polecenia.”

    A sytuacja, w której wykonuje się wadliwe zlecenie przelewu może być przecież uznana za “nienależyte wykonanie polecenia”.

    Na ten artykuł Prawa bankowego powołuje się wyrok Sądu Najwyższego z 17 grudnia 2008 r., sygn. I CSK 205/08:

    “Przewidziana w art. 64 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst jedn.: Dz. U. z 2002 r. Nr 72, poz. 665 ze zmianami) solidarna odpowiedzialność banków za szkodę wyrządzoną nienależytym wykonaniem polecenia przelewu bankowego jest odpowiedzialnością ustawową (ex lege), od której bank uczestniczący w przeprowadzeniu rozliczenia pieniężnego może się uwolnić tylko w przypadku zaistnienia siły wyższej.”

    W świetle tego wyroku bank nie może się więc uchylić od odpowiedzialności powołując się na klauzule w umowie rachunku, które w umowach konsumenckich nabierają w ten sposób charakteru klauzul niedozwolonych.

    Nowelizacja art. 64 polegała swego czasu na tym, że wykreślono z niej zdanie: “Wolny od odpowiedzialności jest bank, który udowodni, że szkoda nie powstała z jego winy.”

    Zarówno istniejące prawo, zmiany prawa, jak i orzecznictwo zmierzają więc do zapewnienia klientom banków większej ochrony. Jest to ochrona także przed skutkami ich własnych błędów. Jak określono to w przywoływanym wcześniej orzeczeniu sądu: “Odpowiedzialność banków uczestniczących w procesie uruchomionym poleceniem przelewu jest odpowiedzialnością typu gwarancyjnego, zapewniającą w sposób szczególny i szeroki ochronę klientów banku”.

    W tym samym orzeczeniu Sąd Najwyższy przyznał, że bank ma obowiązek sprawdzania numeru konta beneficjenta przelewu, co wynika z art. 354 Kodeksu Cywilnego, bo cel przelewu zostaje osiągnięty, gdy pieniądze dotrą na konto adresata przelewu. Gdy podany numer konta nie jest numerem konta wskazanego adresata, cel przelewu nie zostaje osiągnięty. Ja bym składał reklamację do banku, że nie odesłał pieniędzy, a jak nie to do sądu.

    • “A sytuacja, w której wykonuje się wadliwe zlecenie przelewu może być przecież uznana za “nienależyte wykonanie polecenia”. ”

      W życiu. Bank wykonał poprawnie zlecenie, które otrzymał. To nie on je wystawiał, więc nie on jest odpowiedzialny. To o czym piszesz dotyczy sytuacji gdyby klient poprawnie zlecił przelew, a pieniądze w wyniku jakiegoś błędu w systemie bankowym poszły do kogoś innego.

      Jeśli na zleceniu jest “przelać 10 000 zł na rachunek Kowalskiego o numerze xxxxx” to bank robi dokładnie to bo niby skąd ma wiedzieć, że klient chciał zrobić przelew na konto o numerze yyyyy należące do Nowaka?

    • Przeczytaj sobie taki punkt w każdym regulaminie banku: “Bank nie odpowiada za skutki błędów popełnionych przez użytkownika”. Z tym zapisem możesz sobie powalczyć.
      Inaczej mógłbyś w dowolnej chwili przelać sobie miliony, a później prosić bank o zwrot, po czym znowu wysyłać miliony i znowu prosić o zwrot…

  18. Co dokładnie znaczy “wygenerowała w interfejsie Alior Banku zły numer rachunku”? To był błąd jej czy np. backendu stojącego za tym interfejsem?

    • No właśnie. Tekst ma 68 (chyba) słów i po przeczytaniu kilku komentarzy “obrońców uciśnionych” banków widać, że niektórzy nie potrafią przeczytać tych 68 słów ze zrozumieniem lub – ewentualnie – postawić to jedno dodatkowe pytanie, które Ty zadałeś/aś.
      –uwaga sarkazm:oczywiście, że winna jest pracownica spółdzielni, bo nie patrzyła co i gdzie wysyła, pewnie piła kawę albo malowała paznokcie–koniec sarkazmu.
      O ile sprawdzanie czy przelew jest na tampony czy za zrobienie dobrze ustami nie ma sensu, to sprawdzenie czy imię i nazwisko (nazwa) właściciela konta się zgadza jest dosyć proste przy przelewach elektronicznych.

    • @cdn-hgw, wrg
      Z tych 68 słów wystarczy ze zrozumieniem przeczytać pierwsze 25 :D. Pracownica podała zły numerek, bank zrobił dla podanej wartości numery kont i tyle. Koniec. Proste?

      Jak mniemam, chodzi o indywidlane konta do rozliczeń — teraz dosyć powszechna forma dla przelewów cyklicznych. Dzięki temu nie tylko nie trzeba się martwić nazwą odbiorcy, ale też spółdzielnia nie musi się martwić weryfikacją danych nadawców, tylko przetwarzać rzecz automatycznie. I jakoś nikt z tego powodu nie wiesza psów ani na spółdzielni, która jest ofiarą pomyłki, ani też na N innych firm, z usług których zapewne codziennie korzystacie, przelewając kasę na swoje indywidualne konta albo z KTR-ami.

    • @cdn-hgw: może umieją czytać, ale dyskutują na temat który “wyszedł” przy okazji i zdaje się być ciekawszy niż z topica ;D

  19. Na końcu wyjdzie że wygenerowała wg złej maski rachunek masowy w swojej aplikacji i ją podała.

    • Właśnie na to wygląda.
      Tylko czy ta aplikacja, która jest zdaje się online w banku, nie powinna sprawdzać czy dany klient wpisał przydzielone sobie parametry?

  20. Nic nie zmieniajcie! Mi się to podoba, że nic nie jest weryfikowane!

    PS.
    Pozdrawiam całą ekipę niebezpiecznika.pl i Piotrka Koniecznego prosto z kanapy w dużym pokoju,
    Andrzej.

  21. ale przeciez byly juz takie kejsy, jednoznacznie wynika ze ten do ktorego trafila kasa przez pomylke ma obowiazek zwrocic. moze na prokurature trzeba zlozyc zazalenie?

    • Się to nazywa “bezpodstawne wzbogacenie”. Zwracać trzeba, jeśli się ich nie wyda. Jeśli się wydało, to już nie trzeba. Poważnie.

    • jest jeszcze inaczej. jeśli wydasz pieniadze, zanim sobie uświadomisz, że je dostałeś w wyniku błędu, to ich nie zwracasz. Jeśli je wydasz potem (czyli pieniadze leżą na koncie, ktoś się o nie upomnina i dopiero wtedy wydajesz), to musisz je oddać

    • @w – w przypadku błędu banku pieniądze zostaną po prostu wycofane z rachunku, jeżeli zdążyłeś je wydać to powstanie ujemne saldo, które będziesz musiał prędzej czy później uregulować. Nikogo nie będzie obchodziło, że je wydałeś “w dobrej wierze”. W przypadku ogólnym bezpodstawnego wzbogacenia się, również ciężko posługiwać się “dobrą wolą”, bo każdy ostrożny podmiot powinien mieć świadomość, że ma więcej pieniędzy, niż mieć powinien, zatem również będą do zwrotu. Wyjątki, kiedy zwracać nie trzeba, dotyczą zupełnie innych sytuacji.

  22. Automatyczne filtrowanie z użyciem danych odbiorcy jak najbardziej JEST możliwe – używa się tu mechanizmów fuzzy string match, które zwracają niepewność i nie ma problemu z poprzestawianymi literkami i innymi błędami, kwestia jedynie dobrania odpowiedniej wartości, którą ma przejżeć człowiek. Wiem, bo sam taki mechanizm mam zaimplementowany i to po prostu działa DOBRZE (korzystam z trigramów w postgresie), więc zasadniczo problemu nie ma. Ale to tylko w sferze teorii, bo w praktyce:

    1. porównanie wielkości mojej bazy z bazą bankową to jak porównanie jazdy rowerkiem trójkołowym po lody a wyprawą na Marsa – pal licho implementację, na zapłacenie za to bank będzie stać, ale co z obciążeniem systemów bazodanowych? U mnie to dopasowywanie generuje większość sumarycznego obciążenia bazy, mimo że same zapytania stanowią pojedyncze procenty, taki koszt jest zupełnie nieracjonalny, jeżeli jego celem jest JEDYNIE wyłapanie takich błędów (a innego celu nie spełni). No chyba że udostępni się klientom płatną opcję przelewu ‘weryfikuj odbiorcę’, ale kto się na to zdecyduje, uczciwie?

    2. koszt pracowników-weryfikatorów, jeżeli dane się nie zgadzają – tylko dlatego, że jacyś ludzie (i to nawet niekoniecznie klienci danego banku!) są niedopasowani do dzisiejszych realiów, mają generować sobie takie koszty (za koszty płacą inni klienci)?

    3. dlaczego moje przelewy mają potencjalnie być opóźniane, bo wpisałem źle (albo mi się nie chciało) danych odbiorcy? A już nawet nie myślę o ich odrzuceniu!

    4. a to właśnie najważniejsze pytanie – co z przelewem ‘nieprawidłowym’? Bank odbiorcy ma cofnąć do nadawcy? – tak nie wolno, przelew ma dojść. Ma dzwonić do nadawcy potwierdzać, a w zasadzie to wysłać informację poleconym? – nie ma danych.

    Taki mechanizm mógłby wdrożyć bank w ramach przelewów wewnętrznych – po prostu wyświetlając informację w systemie transakcyjnym z prośbą o potwierdzenie, czy aby na pewno jest poprawny rachunek (i pamiętać: nie może pokazać posiadanej przez siebie nazwy odbiorcy, ochrona danych osobowych – chyba że firmowe). Ale tworzenie dziesiątek takich odrębnych wysepek to nic nie da. Jak ktoś nie umie robić przelewów samemu, to niech korzysta z usług płatnych pośrednictw (idzie z blankiecikiem i gotówką do okienka), robi (z czyjąś pomocą) zlecenie stałe albo składa dyspozycję polecenia zapłaty.

    Natomiast w przypadku z tematu – sprawa ciekawa, bo winny jest nie płatnik, lecz wierzyciel. Jedyna droga obecnie, to:
    1. spółdzielnia pisze wzór pisma do banku z prośbą o wycofanie przelewu ze względu na nieprawidłowy numer konta,
    2. PROSI lokatorów o podpisanie tego pisma i na swój koszt wysyła do odpowiednich banków (bo niby czemu Kowalski ma się męczyć),
    3. w razie negatywnej odpowiedzi banku-odbiorcy (gdy np. właściciel konta nie wyrazi zgody na wycofanie przelewów) trzeba skorzystać z przepisów o bezpodstawnym wzbogaceniu się. Problem w tym, że wzbogacił się kosztem lokatorów, więc to oni muszą składać pozwy – czyli spółdzielnia musi im wynająć adwokata i znowu PROSIĆ o pełnomocnictwo do prowadzenia sprawy. Sprawa taka będzie wygrana bezsprzecznie, ale trochę to potrwa – mimo wszystko jako lokator obawiałbym się ciągania na rozprawy (chociaż od lipca nie wiem, czy nie ma prekluzji dowodów także w cywilnym postępowaniu, więc po prostu trzeba poczekać jeszcze te półtora miesiąca dla spokoju), więc z uzyskaniem takiej zgody może być olbrzymi problem praktyczny. Nie za bardzo widzę możliwość pominięcia lokatorów w sprawie i hurtowego przekazania pieniędzy z czynszu na konto spółdzielni w postępowaniu sądowym.

    Inaczej sprawa wygląda, gdy z winy banku nadawcy przelew pójdzie np. dwukrotnie (miałem taki przypadek). Wówczas sami potrafią załatwić sprawę, robiąc storno na koncie odbiorcy. Ale taka forma korekty dotyczy przypadków błędów systemowych gdzieś w drodze, a nie ludzkich podczas samego zlecenia.

    Ale roboty dla prokuratora tu nie ma.

    Natomiast dla wszystkich tych ‘mamy XXI wiek, a tu cyferki każą klepać, zamiast “MoojŁulobionyMisioPysio” na fejsbuku’ – a ile razy maila ktoś źle przepisze, ile razy złapie się na stronę phishingową? Ludzie własnego maila nie umieją podać prawidłowo, a w NRB jest przynajmniej suma kontrolna, łatwo to wrzucić na kod kreskowy czy QR. Ponadto IBAN to system międzynarodowy, a przelewy to przede wszystkim biznes.

    • Zgadza się, że w tym przypadku jedyna możliwa droga to wykorzystanie przepisów o bezpodstawnym wzbogaceniu się. W takich sprawach sygnalizowano wcześniej (może się to zmieniło) istnienie istotnego problemu – w sprawie należy wskazać konkretny podmiot, który się wzbogacił. Bank takich informacji nie udzieli ze względu na tajemnicę bankową (chodzi o wskazanie własciciela konta, na którego konto wykonano przelew). Sąd natomiast może nie podjąć sprawy ze względu na niewskazanie podmiotu przeciwko któremu kieruje się sprawę. Może jakiś prawnik wypowiedziałby się w temacie “jak sobie z tym poradzić”?
      Mi do głowy przychodzi może drastyczny ale jednak jakiś pomysł – złożenie donosu do Urzędu Skarbowego podając tylko numer konta. Może w trakcie takiej walki udałoby się ujawnić tożsamość podmiotu, który otrzymał pieniądze i założyć na tej podstawie sprawę w sądzie ;)

    • A bank odpowiada, że podpis musi być potwierdzony notarialnie.

  23. Bank ma obowiązek weryfikacji danych – wypowiedział się na ten temat Sąd Najwyższy
    w orzeczeniu I CSK 205/08:
    https://mojepanstwo.pl/dane/sn_orzeczenia/20451,csk-205-08

    W praktyce banki tego nie robią, prawdopodobnie jest to zbyt pracochłonne, i akceptują ryzyko sporadycznej konieczności zwrotu środków. Gdyby problem występował częściej, zapewne zmieniłaby się i praktyka banków.

    • Podobno od czasu tego orzeczenia zmieniły się przepisy o usługach płatniczych (za sprawą najukochańszej Unii – a jakże!) które poluzowały nieco reguły gry i wymagają jedynie sprawdzania “unikatowego identyfikatora”, którym w przypadku przelewów jest numer konta NRB/IBAN. Jednak chyba nic nie stoi na przeszkodzie, aby na poziomie krajowym wymusić na bankach dodatkowy obowiązek weryfikacji danych. Byłoby to z korzyścią dla bezpieczeństwa obrotu finansowego. Istnieją dzisiaj dość wyrafinowane algorytmy porównywania danych (odporne na nieco inne wersje pisowni) a więc proces weryfikacji powinien być 100% automatyczny – jest to możliwe!

  24. Ale to problem między spółdzielnią a bankiem? Bo ludzie czynsze mają opłącone?

  25. Dobrze, że nie pomyliła krajów i nie wysłała SWIFT-em do Szwajcarii czy Liechtensteinu. Tam to dopiero tajemnica! :)

    • Już nie. Unia ich zmusiła szantażem do poluzowania.

      Teraz na topie są Kajmany.

  26. Odnosnie weryfikacji przelewow po danych innych niz numer rachunku. Wyrok SN jest nieaktualny w obecnym stanie prawnym. Hint -> ustawa o elektronicznych instrumentach platniczych. Postepowanie banku absolutnie prawidlowe – sprry taki mamy klimat.

  27. Praktycznie nie da się pomylić numeru banku. Ma on zbyt dużo cyfr żebyś ot tak trafił we właściwy. Tak więc ta babka pewnie umyślnie wpisała inny nr rachunku bankowego.
    Niech sobie ktoś zrobi test i wyśle przelew 1zł na losowy nr. Na 99% dostanie zwrot z uwagi na nieistniejący nr rachunku.

    • Tylko że przy płatnościach masowych połowa albo 1/3 nr konta wirtualnego należy do klienta więc dużo łatwiej o błąd. Wygląda to mniej więcej tak (przykład z maską 10-cyfrową):
      KK BBBB BBBC MMMM MMXX XXXX XXXX

      BBBBBBBC to nr kierunkowy banku, który (z przyczyn historycznych) ma jeszcze w sobie cyfrę kontrolną C. Gdyby tutaj była pomyłka, na 99,999% numer byłby nieprawidłowy. Ta część przeważnie jest wpisana w systemie na sztywno a jak nie to mieli pecha że akurat nie tutaj była pomyłka;
      MMMMMM to numer przypisany klientowi;
      XXXXXXXXXX to maska pozostałej część numeru – bez względu na kombinacje cyfr, wszystkie przelewy trafią na to samo konto fizyczne czyli do tej samej firmy (będą tylko inaczej oznaczone w raportach);
      KK to suma kontrolna obliczana na podstawie reszty numeru.

      Tak więc otwierając normalne konto dostajesz 26 cyfr zabezpieczone liczbą kontrolną KK. Aktywując usługę płatności masowych dostajesz tylko MMMMMM i raczej wątpliwe aby bank to zabezpieczył dodatkową sumą kontrolną. Babka odpala generator, podaje zły MMMMMM i żądany zakres XXXXXXXXXX (od-do) i tak oto wychodzą cudze numery kont.

      W zależności od tego czy firma duża czy mała, mogą być nieco inne proporcje długości maski.

  28. (Ustawa o EIP została uchylona, teraz obowiązuje ustawa o usługach płatniczych)

    Z komentarza do art. 143 tejże ustawy:
    —-

    6. Zgodnie z brzmieniem ust. 2 komentowanego przepisu ryzyko podania błędnego identyfikatora, a w konsekwencji najczęściej wykonania transakcji płatniczej na rzecz innego odbiorcy niż wskazany przez płatnika, spoczywa w całości na płatniku. Z tego względu to płatnik jest zobowiązany znać i podać prawidłowy unikatowy identyfikator odbiorcy, który umożliwi zgodne z dyspozycją wykonanie transakcji płatniczej. Trafnie zatem podnosi się, że wprowadzenie art. 143 u.u.p. ucina prawne wątpliwości dotyczące obowiązku banków weryfikowania podanych przez osobę zlecającą dokonanie przelewu danych odbiorcy z podanym numerem rachunku bankowego tego odbiorcy (M. Grabowski, Ustawa…, komentarz do art. 143, teza 5, s. 273).
    [Dodaj notatkę]
    7. Zgodnie ze stanowiskiem wyrażonym w II Rekomendacji przez Radę Prawa Bankowego i Zespół ds. Regulacji Płatniczych przy Związku Banków Polskich (z 18 września 2012 r.) zlecenia płatnicze mogą być realizowane tylko na podstawie numeru rachunku bankowego bez narażania się przez dostawcę na odpowiedzialność odszkodowawczą. Rekomendacja dotyczyła bezpośrednio banków, ale na płaszczyźnie ustawy o usługach płatniczych można ją rozciągnąć na wszystkich dostawców usług płatniczych, jeżeli rachunkowi płatniczemu klienta przypisany jest unikatowy identyfikator. Przykładem będzie tutaj IBAN, ale możliwy jest także inny, analogiczny identyfikator – decydujący będzie tutaj stopień „unikatowości”, czyli możliwości przypisania takiego samego identyfikatora tylko jednemu użytkownikowi. Z reguły jednak warunek unikatowości będą spełniały tylko identyfikatory nadawane w jakimś centralnym systemie rozliczeń.

    Wyrażę tutaj opinię odmienną. Jeżeli bank udostępnia mi pola na dodatkowe informacje, odpowiednio wyodrębnione i nazwane (nazwa odbiorcy, adres odbiorcy itd) to uwagi z orzeczenia SN dotyczące należytej staranności wciąż mają rację bytu. Jeżeli bank chce się uchylić od odpowiedzialności, to przy wykonywaniu przelewu powinien pytać jedynie o numer rachunku docelowego oraz ewentualną wiadomość dla odbiorcy (“tytuł przelewu”). Obecna praktyka wprowadza klientów w błąd.

  29. 42 komentarze, a bodaj 40 jest nie na temat. Generowała numery rachunków do płatności masowych. System nie zweryfikował identyfikatora, przez co wygenerował rachunki z pulinprzypisanej innemu odbiorcy. tu jest problem. A nie w weryfikacji odbiorcy przelewu.

    • Kolega przyczepił się do weryfikacji w generatorze subkont wirtualnych a właściwie jej braku. Owszem, jest to jakiś problem ale ten mniej istotny. Patrzmy teraz co się dzieje dalej: lokatorzy wysyłają przelewy podając nazwę spółdzielni i numery kont należących do zupełnie kogoś innego. Bank przyjmując przelewy, nie sprawdza nazwy tylko z automatu księguje na kontach wg numerów! To jest właśnie drugi problem i to znacznie poważniejszy, powiedziałbym że systemowy!!! Otóż możliwych przypadków, że ktoś nieświadomie wyśle przelew na cudze konto jest znacznie więcej. Choćby fałszywe zawiadomienia o zmianie nr konta, podrobione faktury, przyjmowanie przelewów na “słupa” czy nawet pomyłka z winy samego płatnika. Gdyby ten drugi problem rozwiązać (czyli wprowadzić weryfikację) to mamy załatwioną nie tylko sprawę kiepskiego generatora subkont (przelewy powracają do nadawców, spółdzielnia poprawi numery i wyślą jeszcze raz) ale bezpieczniejszy cały obrót bezgotówkowy!

    • Odpowiedzi są jak najbardziej temat, bo ryzyka można i należy zwalczać na wielu poziomach, właśnie dlatego, że pojedyncze systemy zawodzą. Czy bezpieczeństwo swojej sieci opierasz tylko na firewallu, czy może tylko na AV, a może tylko na zespole IR?

      Brak orzecznictwa w obecnym stanie prawnym (ja takowego nie znam), ale czytając przepis dosłownie, i w oderwaniu od innych przepisów, wygląda na to, że cała odpowiedzialność została przerzucona na klientów banków (a opłaty nie zmalały :)

      Taka ciekawostka od brytyjskiego Rzecznika ds. Finansowych (Financial Ombudsman Service), która wpisuje się w mój tok rozumowania:

      So in cases where the problem has been caused by the consumer’s mistake, we consider whether the *business made it clear to the consumer* that only the “unique identifiers” would be used to process the payment.

      źródło: http://www.financial-ombudsman.org.uk/publications/technical_notes/wrong-account-payments.htm

    • Gdyby w trakcie procedury generowania ind. numerów pokazano na ekranie właściciela konta to można wzrokowo sprawdzić że generujemy dla właściwej instytucji – czuję że oprogramowanie jest tu mało przyjazne ;-)
      Pieniądze wpłynęły na indywidualne subkonta ale nie prywatnych właścicieli a jednej jakiejś firmy i z pewnością bank sam z tą firmą potrafi załatwić zgodę na wycofanie nienależnych kwot, więc nie ma co biadolić.
      Kilka lat temu jak jeszcze istniał FORTIS to zaczęli sprawdzać w przychodzących przelewach czy nazwa zgadza się z ich nazwą właściciela konta i niestety nie przyjęli mojego przelewu z MILLENNIUM – powód prosty: 2 polskie litery które MILLENNIUM zakodował niestandardowo. Musiałem iść osobiście do banku i dopilnować, żeby przelew puszczony jeszcze raz był bez polskich liter. FORTIS szybko zrezygnował z tej kontroli

  30. Coś w sprawie jak to banki “nie mogą”! Kiedyś pomyliłem numer rachunku i ok. 3000zł wysłałem “w buraki”, za granicę. Bank też zasłaniał się “tajemnicą bankową” i twierdził, że “przesłane pieniądze już nie są moje” itp. jak w artykule ALE okazało się, że pracownik banku policzył mi opłatę za przelew jak za krajowy, a ten poszedł za granicę i… ZAŻĄDAŁ ODE MNIE DOPŁATY – oczywiście się nie zgodziłem. Wtedy… BANK PO 2 DNIACH(!) ANULOWAŁ PRZELEW I KASA WRÓCIŁA DO MNIE! Czyli jak bank chce, to może, ale w tym przypadku najwyraźniej nie chce i powstaje pytanie dlaczego? W przypadku wysokopłatnych sekstelefonów i podobnych zwykle ich właścicielami są pracownicy firm telekomunikacyjnych. Sprawdziłbym powiązania właściciela konta z pracownikami banku…

    • Jak można pomylić przelew krajowy z zagranicznym??? Przecież do tego służy inny formularz, trzeba podać BIC (adres SWIFT) a do tego jeszcze w różnych krajach są różne formaty numerów kont i polski numer prawdopodobnie nie przeszedłby walidacji!

  31. Prawo bankowe i przepisy wykonawcze dawno powinny być zmienione gdyż są zbyt liberalne (takie ładne słowo). Sytuacji podobnych do opisanej w artykule są pewnie setki. A czarę goryczy przelewają bankowe karty pre-paid – pole do popisu dla przestępców.

    • Właśnie! I tutaj jedyną słuszną nazwą odbiorcy przelewu powinno być “RACHUNEK TECHNICZNY KARTY PRE-PAID” lub coś w tym stylu. Jak ktoś poda inną nazwę, przelew wraca. Dzięki temu każdy się zastanowi zanim wyśle taki przelew jako zapłatę za niewiarygodnie atrakcyjną ofertę! Na szczęście przy kartach pre-paid są limity.

  32. Przyszło mi do głowy jeszcze jedno – skoro pracownica generowała numery indywidualne, to raczej nie trafiły na konta osób prywatnych (kilkudziesięciu różnych), tylko na subkonta innego podmiotu posiadającego usługę płatności masowych, zatem firmowe. W takiej sytuacji można poszukać na własną rękę, kto dysponuje danym prefiksem, może nawet googlem wyleci konto nadrzędne, w końcu firmy podają numery rachunków na stronach WWW (w przeciwieństwie do osób prywatnych). Można też wysłać przelew z opisem typu “za odstrzelenie X” – i poczekać, aż Echelon nam zlokalizuje odbiorcę;)

    A wszystkie łajzy jęczące za weryfikacją przez bank – jak wyślę kasę do Zenka, a w opisie wpiszę “to nie dla Zenka, tylko Franka, on ma konto w innym banku” to może też by mieli nie zrealizować? A może niech banki przestaną przekazywać pole opisu – w końcu obie strony powinny wiedzieć, kto komu za co płaci. I jeżeli nie zauważyliście – sporo banków nie wymaga podawaniu adresu odbiorcy (np. mBank pola adresu ma zwinięte, trzeba kliknąć, żeby móc wpisać). Mało wam niańczenia? Może jeszcze bank powinien sprawdzać kwotę – np. jak ktoś za telefon przelewa 500 zł, to zamiast tego przelać 50, bo przecież to pewnie literówka! Albo wymagać wpisania kwoty słownie. A najlepiej to załączyć skan, pracownik banku niech sprawdzi wszystko! (właśnie wymyśliliśmy punkt płatności) Więcej – można wysłać fakturę do banku, niech sami zapłacą! (właśnie wymyśliliśmy polecenie zapłaty).

    Napiszę pewną prawdę, która powinna być truizmem, ale chyba nie każdy to jednak rozumie: NIKT nie będzie dbał o TWOJE interesy. Suma kontrolna w NRB jest wystarczająca, aby zapobiec błędom pisarskim, nawet UOKiK chroni jedynie “ostrożnego i uważnego konsumenta”, bo na głupotę lekarstwa nie ma (poza selekcją naturalną).

    A jeżeli ktoś twierdzi, że można w dużej skali wdrożyć automatyczne sprawdzanie treści, to niech zaraz po lekcjach leci do banku i zaoferuje napisanie tego za darmo w wersji generującej zerowe koszty utrzymania.

    @Marcin Maziarz: “proces weryfikacji powinien być 100% automatyczny – jest to możliwe!” – a tak konkretnie, to ile błędów mogę popełnić? Marcn Marziaz ma przejść? A Mqrcin Mziaz? Mranic aMaizrz? A wysyłając na konto spółki jawnej 5 wspólników, trzeba będzie wpisywać “Przedsiębiorstwo Produkcyjno-Usługowo-Handlowe Ochrypły Kur Krzysztof Albiński, Janusz Babiński, Marta Celińska, Zenon Dowojeński, Józef Franciszek spółka jawna”, ulica MCCXIV Batalionu Piechoty Kosynierów z Pierdzichowa-Dupowa Górnego, 12-345 Kretynice Małe, Stęchła Woda, czy będzie można pominąć 90% tego wszystkiego i wpisać samo “Zahrypla Kura”? Już widzę ten regulamin przelewów…

    • 1) weryfikacja adresu nazwy/adresu jest powszechnie uzywana przez banki do autoryzacji transakcji kartami platniczymi (w tym wypadku nazwa/adres platnika a nie odbiorcy) wiec rozwiazania techniczne sa
      2) kilka lat temu, przed nowelizacja, banki mialy taki obowiazek, o czym mowi cytowane juz tutaj orzeczenie i swiat sie nie zawalil.
      3) w praktyce wiekszosc albo nawet wszystkie banki pomijaly to sprawdzenie, przyjmujac na klate ryzyko ew. roszczen o zwrot pieniedzy. Ryzyko nieduze, bo w przeciwienstwie do nadawcy przelewu, bank zna dane odbiorcy i moze sie z nim skontaktowac
      4) jezeli ma byc utrzymany stan z dzis:
      Pole tytulem powinno zostac, wyrzucic nalezy nazwe i adres odbiorcy.

    • @gotar
      Każdy klient może podejrzeć swoje dane (nazwę i adres) w takiej pisowni w jakiej bank zapisał w kartotece:
      1) na wyciągu papierowym;
      2) w bankowości elektronicznej (zakładka typu “ustawienia”, “moje dane”, “profil” itp).
      Nazwę w takiej też postaci należy przekazać zleceniodawcom razem z nr konta i drukować na dokumentach jako dane do przelewu.

      Poza tym weryfikacja adresu nie jest konieczna. Nazwa dużo ważniejsza bo po niej widać czy płatnik wie komu wysyła przelew.

    • @gotar – Czy uważasz, że jeśli komuś zdarzy się zrobić błąd to należy uznać go za idiotę, którego nie można “niańczyć” itd.? Idiotą na pewno jest ten, który uważa, że jest nieomylny i jemu nie może się zdażyć pomyłka, ani nie może paść ofiarą jakiegoś przestępstwa. Nawet niewyrafinowane, proste oprogramowanie liczące korelację dla nazw i adresów, może wyeliminować 99,999% przypadków błędu itp. I nie tylko są to duże koszty, ale pomijalnie małe w porównianiu z innymi kosztami informatycznymi. To tylko kwestia dobrej woli banków.

    • @Zygmunt – uważam, że rozwiązania należy dopasowywać do problemu. Problem nie jest powszechny (bo suma kontrolna eliminuje literówki), więc zaprzęganie do jego rozwiązania powszechnego systemu (działająca zawsze weryfikacja) jest błędem projektowym. Rozwiązaniem jest utworzenie procedury blokowania środków na rachunku odbiorcy poprzez złożenie pozwu ‘na rachunek’. Dlaczego? Bo takim mechanizmem rozwiązujesz także problem powszechny – np. wirusy zmieniające dane do przelewów, faktury podmienione w skrzynce (żaden problem założyć działalność Orenga, IPC, Wectra – system weryfikacji danych adresata przelewu powinien to przepuścić przecież) itp. fraudy.

      “Nawet niewyrafinowane, proste oprogramowanie liczące korelację dla nazw i adresów, może wyeliminować 99,999% przypadków błędu itp. I nie tylko są to duże koszty, ale pomijalnie małe w porównianiu z innymi kosztami informatycznymi. To tylko kwestia dobrej woli banków.”

      Wybacz, nie wiedziałem że masz tak duże doświadczenie w pisaniu tego rodzaju oprogramowania oraz utrzymywaniu systemów bankowych. Od razu widzę iż odpowiedziałeś na moje pytania/wątpliwości dotyczące szczegółów działania – nie ma to jak fachowa analiza.

      Niebezpieczniku – utwórz proszę jakieś niepubliczne komentarze, które będą mogli wysyłać tylko ludzie, którzy kiedykolwiek widzieli kod w jakimkolwiek języku, robili coś w jakiejkolwiek bazie danych, widzieli kiedyś serwerownię, bo coraz ciężej przebijać się przez te stosy bredni. Nie wiem, może pisanie komentarzy przez jakieś SQL-injection API? ;)

    • @Marcin Maziarz – nie odpowiedziałeś na zadane pytania. Nie pytałem, jak bank ma wpisane dane spółki, tylko skutki weryfikacji. Pełne nazwy niektórych spółek (cywilnych, a z KSH np. jawne czy sp. z o.o. sp. k.) zwyczajnie w danych do przelewu się NIE ZMIESZCZĄ. Panie na poczcie nie przepiszą (ja w prawdziwych przewach widzę realną pisownię) – a nieprzyjęcie takiego przelewu jest opłakane w skutkach, bo nie dość, że pieniędzy nie ma u adresata, to nie ma ich także u nadawcy – bo dopiero otrzymawszy wezwanie do zapłaty, zacznie wyjaśniać sytuację i ostatecznie złoży reklamację w punkcie przyjmującym opłaty (tej tytułowej ‘poczcie’). Procedura na 2 miesiące załatwiania, bo jakiś paściasty algorytm gdzieś wyłapie za dużo złych literek.

    • @gotar – to ciekawe, jak łatwo można być przemądrzałym i jak łatwo można z byle (wątpliwej) okazji obrażać innych. Tym razem akurat trafiłes na osobę która “kiedykolwiek widzieli kod w jakimkolwiek języku, robili coś w jakiejkolwiek bazie danych, widzieli kiedyś serwerownię”, nie tylko “widzIeli”, ale i tworzyła. Może jesteś jednym z tych “specjalistów”, którzy takie niedorobione systemy dla banków tworzą?

    • @Zygmunt: “Napisałem podprogram dla konkretnych celów. Do tej pory przetworzył kilkaset tys. rzeczywistych rekordów. Oczywiście nie jest to program trywialny (kilka poziomów abstrakcji, ponad 20 różnych tunningowanych współczynników itp.),”

      I sądzisz, że w bankach jest miejsce na taką heurystykę? To bądź łaskaw odpowiedzieć na moje pytania PRAKTYCZNE z tej dyskusji, bo pomimo tylu “obrońców uciśnionych klientów” do tej pory pozostają bez odpowiedzi. W tym akurat przypadku poza “powąchaniem serwera” potrzeba jeszcze trochę realizmu biznesowego mieć – dajesz. Nie będę tych pytań powtarzał, znajdziesz je w komentarzach po moim nicku. Bo nie jest żadną sztuką liczyć sobie korelacje we własnym systemie na abstrakcyjnych danych, problem się pojawia, gdy trzeba COŚ konkretnie zrobić z pieniędzmi.

      A skoro masz gotowy system – to z ciekawości, podaj mi czas przeliczenia korelacji powiedzmy miliona rekordów (dziennie jest jakieś 5 mln transakcji, podzielić to należałoby na wszystkie banki, no ale z drugiej strony ok. 10 dnia miesiąca czy w okolicach świąt jest spory wzrost, no i trzeba mieć zapas) na bazie 10 mln klientów oraz rozmiar indeksów. Bo u mnie indeksy chciały zająć KILKAKROTNIE WIĘCEJ, NIŻ CAŁA BAZA, a bez indeksów w sekundę dopasowuje ok. 100 (słownie: sto sztuk) rekordów. Fakt, że mój system działa nieco szerzej (bo dla danych wejściowych odszukuje najlepszych kandydatów bez korzystania ze wskazania ‘podejrzanego’), ale pomiędzy ilością danych do porównania jest przepaść. Ale to pytanie jest tak tylko na marginesie, bo podstawowe problemy z takim rozwiązaniem brzmią: CO ZROBIĆ, GDY ŚREDNIO (zdefiniuj!) PASUJE?

    • @gotar – jak dla mnie trochę za długo trwa ta dyskusja, więc krótko.
      Nie musisz korzystać z postgresowej funkcji trigram. W tym wypadku jest bezużyteczna.
      Bank przyjmujący przelew wyszukuje dane odbiorcy po numerze konta, co nie oczywiście nie obciąża systemu bazodanowego (tym bardziej, że to tylko odczyt). Dalej porównujesz… Fakt – parę watów więcej serwerownia zużyje z tego powodu. Jak ustawić poziomy korelacji (oczywiście nie może to być prosta korelacja, musi uwzględniać różne zapisy np. sp. z o.o. itd.) itp.? – oczywiście tak, by proste błędy i kombinacje, przestawienia itp. nie blokowały przelewu… (za dużo pisania, przy piwku można by o tym dłużej :). Jeśli zbyt nie pasuje – zwrócić nadawcy. Czy system będzie idealny? – nie, ale można w ten sposób uniknąć przykrych następstw co najmniej 99% przypadków, co w praktyce wyeliminowałoby część przestępstw (np. to z 3,7 mln).
      Oczywiście mam świadomość, że mając do czynienia z bankami jesteś pod presją kosztów działania systemu informatycznego. Sam nie raz widzę tego efekty, gdy na odświerzenie się strony banku lub wykonanie przelewu muszę czekać po kilkadziesiąt sekund, nie mówiąc już o zwykłych błędach, utrudniających życie, które wielokrotnie zgłaszałem do banku, w efekcie czego mogłem doświadczyć szablonowych odpowiedzi (po kilka razy tych samych) i arogancji ze strony banku. I tutaj właśnie leży problem dobrej woli banków.
      Więc reasumując, można nic nie robić, ograniczając się jedynie wymyślania argumentów dlaczego, ale można też pochylić się nad problemem i znaleźć rozwiązanie.

    • @Zygmunt – piszesz, że nie może być prosta korelacja, to pokaż proszę kawałek kodu, który ją policzy, to sobie sprawdzę na swoich danych (rzeczywistych). Uwzględnianie skrótów form prawnych typu sp. z o.o. nie ma najmniejszego sensu – ludzie tego w przelewach nie podają. Algorytm musi uwzgiędniać formy imię-nazwisko, nazwisko-imię, imię-jedna-część-nazwiska-dwuczłonowego, pierwsza litera imienia-nazwisko itp. – odstęp Levenshteina nie sprawdzi się w tym w ogóle, stąd ja korzystam z trigramów. Ponadto ja liczę korelację z INNYMI rekordami – bo ludziom zmieniają się nazwiska (no, zwykle ludziom rodzaju żeńskiego) a firmom zmieniają się zarówno formy prawne (Polkomtel S.A -> sp. z o.o.) jak i nazwy (na skutek np. przejęcia biznesu), a ludziom pozostają stare dane w zleceniach stałych, listach kontrahentów, historii (sam przelewam klikając “ponów”).

      To co proponujesz to albo koszmarnie skomplikowany algorytm, albo setki tysięcy odrzuconych przelewów DZIENNIE. Czyli miliony ludzi zmuszonych do aktualizowania zbędnych finansowo danych tylko dlatego, że raz na jakiś czas jakiś matoł źle wyśle przelew. Zbędnych finansowo, ale niezbędnych dla użytkownika systemu – to JA chcę wiedzieć, komu przelewam kasę, tak samo jak chcę wiedzieć ZA CO ją przelewam i do niczego więcej te pola nie służą (i proszę powstrzymaj się od optymalizowania systemów KIR przez usunięcie pola odbiorcy – to akurat dużo ‘watów’ nie zjada i najwyraźniej radzą sobie z przekazywaniem ich).

      “można w ten sposób uniknąć przykrych następstw co najmniej 99% przypadków”

      Czyli ilu, 1 przypadku rocznie? 2? 100? Kosztem odrzucenia 100 tys. przelewów dziennie?

      “co w praktyce wyeliminowałoby część przestępstw (np. to z 3,7 mln).”

      Nic by nie wyeliminowało – po prostu taki oszust musiałby sobie zarejestrować działalność na taką samą nazwę. Robi się to od ręki, można nawet na taki sam adres, gdybyś i to chciał porównywać. A w przelewie nie ma NIP-u ani REGON-u, więc przy fraudzie na taką kasę jest to nic więcej, jak drobna czynność do wykonania po drodze.

      “Jeśli zbyt nie pasuje – zwrócić nadawcy. Czy system będzie idealny?”

      To teraz określ to “zbyt nie pasuje” w regulaminie. Bo wiesz, banki muszą tak kluczowe rzeczy objąć regulaminem, żeby posiadacz konta sam wiedział, czego wymagać od swoich kontrahentów (albo że z usług banku korzystał w ogóle nie będzie, bo ma nazwę na 3 linijki i żaden przelew nigdy do niego nie dotrze). W ten sposób ograniczasz się do algorytmów prostych, tak jak sam proponujesz – a one odrzucą jakieś 20% przelewów, za dużo, żeby ich rzeczywiście nie zrealizować. Czyli milion przelewów DZIENNIE będzie szedł na drugą linię, gdzie pracownicy będą ręcznie sprawdzali, czy Yzmgutn to Zygmunt (Z/Y zamienione na klawiaturze niemieckiej, g/m n/t zamienione z szybkiego pisania dwiema rękami).

      Pisząc “zwrócić nadawcy” również pokazujesz, że nie przeczytałeś moich uwag – kilkanaście procent przelewów realizowanych jest w punktach kasowych, w których poprawnie wpisane dane odbiorcy to rzadkość (nadawcy zresztą również). Chcesz zmuszać setki tysięcy ludzi do regularnego czytania wezwań do zapłaty i składania reklamacji w takich miejscach?! Tylko dlatego, że raz na jakiś czas jakiś matoł źle wyśle przelew?

      Ponadto zapomniałeś, że banki przekazują dane nadawcy w całości, tzn. nazwa+adres, więc do porównania masz np.:

      dane w banku posiadacza rachunku:
      Ochrypły Kur Krzysztof Albiński, Janusz Babiński, Marta Celińska, Zenon Dowojeński, Józef Franciszek spółka jawna
      ul. MCCXIV Batalionu Piechoty Kosynierów z Pierdzichowa-Dupowa Górnego 82d
      12-345 Kretynice Małe, Stęchła Woda

      dane w przelewie:
      Zahrypla Kura sp.j.
      ul, 8932 batalionu PKzPD 85
      12-345 Stęchła Woda

      albo po prostu (adresu wiele banków nie wymaga): Zahrypla Kura sp.j. Nie widzę algorytmu, który taki przelew przepuści automatycznie. A to oznacza wykluczenie bankowe dla wielu gmin (szczególnie takich, których nazwy zawierają rzeczowniki pospolite, ale z inną pisownią, np. Kórnik), form prawnych (spółki cywilne, jawne, z o.o. sp. k), dyskryminację ze względu na adres (wszelkie długie nazwiska, tytuły, numeracje rzymskie albo najgorzej – pisane słownie). Algorytm, który to uwzględni, to jest kobyła statystyczna i piszę to z perspektywy osoby, która dokładnie takie coś robi. Przypomnę: 1 sekunda == 100 dopasowań przy 97% skuteczności. Dla mnie taka sekunda na 100 przelewów to nic, 3% odpadu do ręcznego zaksięgowania również, ale w średniego skali banku to armagedon.

      “można nic nie robić, ograniczając się jedynie wymyślania argumentów dlaczego, ale można też pochylić się nad problemem i znaleźć rozwiązanie”

      Problem rozwiązano lata temu – wprowadzając rachunki z sumą kontrolną. To o czym teraz mówisz, to incydentalne przypadki ludzi, którzy i tak znajdą sposób, aby ‘pokonać system’ i stracić pieniądze.
      Rozwiązania systemowe stosować należy tam, gdzie nakładem 5% rozwiązuje się 95% problemów. Rozwiązanie pozostałych 5% zajęłoby 95% nakładów i to już nie jest rozwiązanie systemowe, lecz rzeźba z “dziesiątkami parametrów do tuningowania”.

      Wasza propozycja automatycznej weryfikacji tekstu przypomina założenie 30 skobli na drzwiach – uciążliwe do codziennego użytku, a złodzieja nie powstrzyma; co najwyżej zalany w trupa sąsiad nie da rady naszych drzwi przez pomyłkę sforsować, no ale jak ktoś zamyka drzwi jedynie na klamkę, to sam sobie jest winien takich odwiedzin – zwykły zamek jest w zupełności wystarczający.

    • Zgodzę się, że miejsce na nazwę odbiorcy jest ograniczone – dokładnie 140 znaków wraz z adresem a więc bank czasami musi ją skrócić. Jeśli bank zapisał twoją firmę w systemie jako “Zahrypla Kura sp.j.” to dokładnie taką nazwę możesz sobie podejrzeć w zakładce typu “mój profil”, “ustawienia”, “moje dane” i taką nazwę będziesz miał drukowaną na wyciągach papierowych. Dzięki temu wiesz:
      1) jak bank cię zapisał;
      2) jakie dane do przelewu masz podawać swoim płatnikom;
      3) jakie dane mają podawać płatnicy wysyłające przelew.
      Choćby pełna nazwa firmy była 10x dłuższa! Rozpoznawanie różnych pisowni “sp.j.”, “S.J.”, “SPJ” jak już wspominałem, to dla algorytmów wynalezionych w tym stuleciu żaden problem.

      Zwracam uwagę, że podobna sprawa dotyczy kart płatniczych. Tam też są limity i bardzo długie imiona/nazwiska trzeba skracać. Jednak dokonując płatności w formularzu masz napisane “imię i nazwisko JAK NA KARCIE”.

    • @Marcin Maziarz – jako że nie odniosłeś się do żadnego zarzutu nie wiem nawet, czy powinienem odpowiadać. Ale że już cię upominałem (2015.05.18 11:40), to będzie krytyka: Już lata temu zauważyłem, że to jest typowe dla wielu programistów korporacyjnych – rozpatrywanie pojedynczego problemu bez ujęcia kontekstu, a wręcz z komentarzem “to niech tutaj klikną, tutaj wpiszą i jeszcze coś zrobią”, czego efektem końcowym jest oprogramowanie, którego nikt nie chce używać z powodu chaosu (nie wiadomo, dlaczego czasem nie da się czegoś zrobić) oraz masy totalnie zbędnych czynności, które trzeba wykonać przy jakiejś trywialnej operacji (a przecież takie miało dobre być). I tacy programiści nie rozumieją, dlaczego gość od projektowania zarabia więcej od nich, szczególnie że każe im robić takie bzdury, które oni dopiero muszą naprawiać (historyjki obrazkowej z huśtawką nie trzeba nikomu przypominać). Czyżbyś miał za sobą doświadczenie w, nie wiem, Comarchu?

      Otóż przypomnę, że zarzut, który skomentowałeś (nie rozwiązując problemu) brzmiał: ludzie nie wpisują tego, co im każesz. Koniec kropka. Nie wiem dlaczego kwestię “długa nazwa” ograniczyłeś do “nie mieści się w banku” – przecież to by można rozwiązać w trywialny sposób, znosząc limit 140 znaków! (jakkolwiek – niech wychodząc poza dostosowane systemy po prostu obcina do tej długości). Rozwiąż problem niewpisywania tego – w sposób nieuciążliwy dla wszystkich normalnych.

      Rozwinięcie: nawet jeżeli chcą, to pani na poczcie może się nie chcieć. Jeżeli bank skróci mi nazwę do 140 znaków, to w przelewie i tak będzie 1/3 z tego. Swoim rozwiązaniem ‘problemu’, który dotyczy pewnie paru matołów rocznie (do tej pory nikt nie podał skali zjawiska) chcesz skomplikować życie milionom ludzi – typowe myślenie zzaklawiaturowe, programisty który patrzy na pojedynczą operację, a nie na miliony dziennie. I który nie dostrzega, że to jedno zbędne kliknięcie oznacza zmarnowane godziny, spadek produktywności i masę innych negatywnych efektów (po jewropejsko-zielono-socjalistyczemu: ile drzew trzeba wyciąć, ile zbędnych kliknięć, ile energii się na to zmarnuje, jak zwiększy emisję CO2).

      Ale jednak odniosę się nawet do tych strzępów rozwiązania, które zaprezentowałeś: otóż firma w obrocie gospodarczym MUSI posługiwać się swoją nazwą. Skróty dopuszczalne określa k.s.h. i tyczą się jedynie formy działalności. I tak na przykład “sp. z o.o. sp. k.”, które już dwa razy celowo wspomniałem, formalnie jest niepoprawne – podchodząc purystycznie może być jedynie “spółka z ograniczoną odpowiedzialnością sp. k.”. Dodaj z przodu firmę i masz potworka. Istnieje jeszcze osobny byt, tzw. “nazwa skrócona” w PTU – ale ona dotyczy (znowu purystycznie) jedynie rachunków (a nie przykładowo umów).

      Powiedz mi zatem, czy prawo bankowe określa SPOSÓB skracania do tych 140 znaków? Tak, aby legalizowało de jure to, co obecnie ma miejsce de facto? Innymi słowy (choć nie ma to znaczenia, bo problem tkwi w innym miejscu): to nie wyciąg czy system transakcyjny ma mi pokazywać, jak mnie bank zapisał, musi być ustawa/rozporządzenie (regulamin banku nie wystarczy – nadawca przelewu go NIE ZNA). A sprawdziłem sobie właśnie – banki wpisują …różnie. Nawet gdy nazwa się mieści (co pokazuje bank 1), to inny to dokonuje skrótu nazwisk wspólników (stosując inicjał imienia). A bez tego – jeżeli nadawca wpisze dane odbiorcy, jak widnieją w KRS (ucinając wprost, co się nie zmieści), odpowiedz mi: JAKIM PRAWEM BANK ODBIORCY MA ODRZUCIĆ PRZELEW. Pytałem już wcześniej, nikt nie odpisał – JAKIM ZAPISEM W JAKIM DOKUMENCIE przelew ma zostać cofnięty? Poszedł na dane z KRS (ucięte tyle, co się nie zmieściło), bo nadawca ma w głębokim poważaniu, co mu wpisałem jako “dane do przelewu” – i co?! MUSI dojść, chyba że …ustawa/rozporządzenie.

      Zatem wykonam część pracy za was. Aby to, co proponujecie, mogło zostać wdrożone, trzeba:

      1. zmienić ustawę prawo bankowe tak, aby:
      a) sformalizowała pisownię nazw (imię nazwisko, nazwisko imię, co z drugim imieniem, oficjalnymi tytułami) oraz zasady ich skracania (np. w pierwszej kolejności zamiana form prawnych, w drugiej imion na inicjały, co w trzeciej?),
      b) określiła algorytm dopasowania danych w przelewach oraz próg, kiedy przelew ma zostać odrzucony (po raz piąty, jeżeli ktoś wciąż nie zrozumiał: nadawca nie będzie czytał regulaminu banku odbiorcy).
      2. aneksować kilkaset tysięcy umów o prowadzenie rachunków bankowych tak, aby dopasować brzmienie nazw (ewentualnie – ustawą zmusić banki do poprawy i jednostronnego poinformowania wszystkich dotkniętych zmianą),
      3. zmusić kilka milionów osób do aktualizacji danych w zleceniach stałych, profilaktycznie wyłączyć im funkcję “ponów” z przelewów sprzed rewolucji.

      Pozostałe kwestie rozwiążcie sami – myślę, że komentarze tutaj to nie będzie odpowiednia forma, najlepiej załóżcie jakąś fundację, a dokumenty końcowe opublikujcie na jakiejś stronie. Najbardziej mnie interesuje, czy do zwrotek przelewów wykonywanych przez pośrednictwa finansowe powołacie jakąś instytucję, czy wprowadzicie jakiś dodatkowy ekspresowy tryb reklamacyjny. Podniesie to koszty przelewów “w okienkach”, no ale przecież chronicie najsłabszych (intelektem…), społeczeństwo powinno się solidaryzować. A jak babci nie stać na ekskluzywną usługę płatności gotówkowej, to niech sobie zakłada konto i przez Internet sama przelewa.

      Dobra, dość czasu zmarnowanego – nie liczę ani na twoją kompleksową odpowiedź (a wyrywkowe sobie daruj), Zygmunt już się dawno wycofał. Wniosek z tej dyskusji może być tylko jeden: po raz kolejny parę osób okołotechnicznych myśli, ze coś da się zrobić, bo “jest taki kawałek kodu, który…” – zupełnie nie rozumiejąc, że ten kawałek kodu wywołałby określone skutki w świecie realnym (takim za oknem) i to z ICH efektami trzeba się przede wszystkim uporać, a nie z mocą maszyn w czyjejś serwerowni. Jak chcecie przelewów “po nazwach” to róbcie je sobie fejsbukiem czy co tam teraz jest modne. Pokazaliście, że kompletnie nie rozumiecie zależności pomiędzy różnymi elementami otaczającej was rzeczywistości, spłycając problem do ‘da się porównać “spółka jawna” do “sp.j.”‘ (OMG, poważnie?!).

      A porównanie do kart płatniczych …cóż, zupełnie nietrafione. Po pierwsze, tam na gotówce (szybkim jej przekazaniu) zależy temu, który przepisuje. Po drugie, tam jest znacznie mniej znaków. Po trzecie, tam jest autoryzacja on-line (a nie zwrot płatności po kilku dniach). Po czwarte, tam jest “przepisywanie” elektroniczne (a jak z żelazka – to sprzedawca ma kopię karty i chyba może skorygować dane, nie?). Po piąte, tam jest jasne, co i jak przepisać (tak jak wydrukowane – a nie różne formy pisowni nazw, adresów itp.). Po szóste, w przekazaniu kasy jest jeden wspólny pośrednik, z którym obie strony mogą mieć ‘uzgodniony’ regulamin. Czyli nie ma żadnego z problemów, o których pisałem – ani nie ma wątpliwości dot. zapisu, ani nie ma problemu ze zwrotem kasy, ani nie ma przeszkód formalnych nieprzyjęcia transakcji do realizacji. W zasadzie jedyne, co łączy karty z tym, co proponujecie, to fakt występowania porównania łańcucha znaków, czyli jakiś techniczny detal.

  33. Punkt 4 nawet mi sie podoba. Do tego w dowolnym momencie chcialbym moc sobie powiazac w interfejsie webowym numer konta ze zdefiniowana etykietka i w ten sposob generowac historie rachunku z odpowiednim opisem.

    1.1.2010 -1000 serwis ABC naprawa skrzyni biegow

    ta sama pozycja przegladana rok pozniej

    1.1.2010 -1000 nigdy_wiecej_ABC naprawa skrzyni biegow

    (podobnie mozna zona->byla zona, firma budowlana -> partacze itp itd)

    Ma ktorys bank taki ficzer?

    Ze wzgledow ochrony danych itd nie do wykonania, ale dodatkowe usprawnienie: publiczna chmura etykiet dla numerow kont. Placisz za transakcje na allegro, a tutaj wielki tag NACIAGACZ.

  34. Wait, what? Spółdzielnia zrobiła błąd, w wyniku ich własnego błędu stracili kasę. Po co to tego wciągać bank i prokuraturę? Prokuraturę za nasze pieniądze na dodatek! Niech sobie ta spółdzielnia zaksięguje te 60k jako “szkolenie z obsługi systemów bankowych” (lub przerzuci koszt na pracownika, który popełnił błąd, o ile mają umowę z takim zapisem) i dorośnie – za błędy się płaci.

    • Czyli rozumiem że nie widzisz nic złego w tym, że jak ktoś popełni błąd i przeleje ci kasę, to żebyś sobie tą kasę zatrzymał?

      Tylko ja nie jestem takim ch#$&@& i bym wykonał przelew zwrotny albo przynajmniej próbował wyjaśnić?

    • Wyobraźmy sobie, że ktoś podchodzi do ciebie i daje ci 100 zł. Ty bierzesz. A on dziękuje i odchodzi. Za 5 dni, przychodzi prokuratura i każe oddać. A NIBY JAKIM PRAWEM?

  35. Dziwny artykuł, z tego wynika że pracownica wygenerowała rachunki wirtualne dla innego modulo niż spółdzielni co za tym idzie byłyło to modulo innego klienta (Alior banku) to mało prawdopodobne jest żeby miała takiego pecha że ten klient miał też usługę z rachunkami wirtualnymi a jeśli już nawet to nadawana numeracja rachunków jest dość dowolna więc wpasowanie numerów między Spółdzielnia a tym pomylonym rachunkiem mało prawdopodobne więc przelewy poszły na nieistniejące rachunki ale to wszystko w obrębie banku Alior. Więc tutaj tylko dobra wola banku.
    Co do weryfikacji nazwy odbiorcy przelewu nie wykonalne ze względu na ochronę danych osobowych.
    jestem klientem banku A i chce zrobić przelew do klienta banku B, wpisuje NRB odbiorcy, wypisuje pola odbiorca i jak mój bank ma zweryfikować czy w banku B pod tym NRB jest ta osoba którą wypisałem?

  36. prokuratura jest śmieszna ale wiem z doświadczenia swojego że sprawa do załatwienia składamy reklamację bak ma 30 dni na rozpatrzenie jeśli jest pozytywna niema problemu jeśli negatywna dwie drogi sprawa cywilna lub karna w moim przypadku była cywilna wygrałem fakt trwało to rok . Po za tym właścicielom rachunku grozi kara za przywłaszczenie właśnie tak załatwił mój prawnik panią na której konto trafiły pieniądze za moje volvo Jak do tego doszło to inna sprawa napisze ze wina salonu .
    bank nie weryfikuje danych takich jak adres i nazwa z prostego powodu małżonkowie mają jedno konto pensie przelewane są na to konto i gitara tak sobie życzą tak mają ich sprawa ale gdyby była weryfikacja trzeba zakładać drugie konto . Po za tym ci co maja jedno konto na jednego w spół małżonka wiedza jaka to wygoda przy kredycie .

    • Ale jaki problem?
      Bank zmienia strukturę danych i masz 2 osoby wpisane jako właściciela, mechanizm musi sprawdzić że dopasowuje się do jednego nazwiska z… to samo z rachunkami które mają współwłaścicieli (Zapomniałeś że tak też można, może być ich więcej niż współmałżonków)

  37. Problem chyba polegał na tym, że pracownica spółdzielni zrobiła błąd przepisując numerek otrzymany od banku.

    A raczej na tym, że bank nie wymusił wpisania np. regonu w drugie pole formularza, żeby uchronić przed takim błędem.

    Przyjemne z pożytecznym – nie narobić się w dziale IT i mieć chroniony tyłek. A że klient ucierpi, kogo klient obchodzi.

    • Od kiedy banki wymagają prawidłowych danych odbiorcy przelewu w tym regonu?

    • A dlaczego niby generator NRB (który możesz napisać sam w kwadrans) banku miałby być elementem systemu transakcyjnego, bo tylko wtedy miałby dostęp do danych typu REGON? Niemalże z definicji system subkont przeznaczony jest dla klienta profesjonalnego, którego aż tak chronić na lewo i prawo nie trzeba przed własną głupotą, zakłada się, że taki klient czyta instrukcje i korzysta ze szkoleń, bo bez tego to pieniędzy może się pozbyć na dziesiątki sposobów (poprzez nieprawidłowe korzystanie z systemu księgowego, z którym bank będzie spięty). Tacy klienci korzystają z innych API niż strona WWW, tam zabezpiecza się przed innymi incydentami. Ile roboty ($$$) w ilu bankach trzeba by poświęcić, żeby zabezpieczyć się przed TAKIM błędem? A ile razy taki błąd ktoś popełnił? – przecież przed wydrukowaniem numerów kont (i to nieważne, czy indywidualnych czy nie) ostrożność nakazuje dokonania testowego przelewu na jedno konto z KAŻDEJ SERII przychodzącej z drukarni.

    • a) to nie była kwestia wypełniania przelewu (z tym REGONEM)
      b) @gotar – a dlaczego NIE miałby być? staranność i odpowiedzialność w działaniu powinna cechować programistów również bankowych.

    • @Jacek – przecież napisałem dlaczego. Bo taki klient np. nie loguje się przez “wuwę”. W szczególności osoba, która generuje numery kont do wydruku, czyli jakiś pracownik administracyjny, może nie być osobą uprawnioną do JAKIEGOKOLWIEK dostępu do rachunku bankowego.

      Równie dobrze możesz zapytać: dlaczego w ogóle pracownica korzystała z narzędzia niewbudowanego w system FK, przecież to tam powinien być zarejestrowany rachunek (przez osobę z odpowiednio wysokimi uprawnieniami, główną księgową albo prezesa), dzięki czemu pracownik nie miałby w ogóle możliwości (bez jawnego fałszerstwa dokumentów) popełnienia pomyłki.

      A odpowiedź jak zwykle jest bardzo prosta i dla każdego programisty oczywista: bo użytkownicy mają nieograniczoną zdolność robienia głupich rzeczy i bardzo ciężko jest się przed nimi wszystkimi zabezpieczyć. A co nie jest dla programistów (z moich obserwacji) oczywiste, że oprogramowanie takich rzeczy kosztuje – nie tylko przez ich wynagrodzenia (implementacja to wręcz jest ta tania rzecz), tylko wymyślanie samej idei oraz mechanizmu działania. Bo wprowadzając KAŻDE ograniczenie ingerujesz w jakiś proces biznesowy i możesz takim updatem ograniczyć działanie jakiemuś klientowi.

      To wszystko jest “takie proste” tylko dla osób, które nie wychyliły nosa zza klawiatury i nie pracowały na czymś dużym, gdzie granice tego, co system ma pozwolić wykonać, są nie tyle rozmyte, co ciężkie do wskazania. Patrz utopijne propozycje weryfikacji pola odbiorcy; aby system miał jasno określone granice, nie może dopuszczać ŻADNEJ literówki, a to z kolei byłoby możliwe jedynie w sytuacji, gdyby został wyeliminowany nieelektroniczny obrót – ale wtedy to sprawdzanie nie byłoby do niczego potrzebne.

  38. Soft dla Aliora pisał Comarch (na pewno apkę na andka, która nawet ma klasę com.comarch.mobile, a coś mi się kojarzy, że web też popełnili), więc należy się cieszyć, że w ogóle pieniądze gdzieś trafiają i że nie da się zalogować (już) na administratora pustym hasłem. Weryfikacja (trudne słowo…) tego typu to w ogóle ścięte fikszyn, o którym studenci, którzy ten soft w pocie czoła lepili, prawdopodobnie wtedy nawet nie słyszeli ;P

  39. Pare lat temu bylo tak – ze jak ktos zle przelal pieniadze (tzn pomylil rachunek i dane odbiorcy) – i pieniadze trafily na cudzy rachunek, sądy uznawały winę banku (przynajmniej w 50%). Wynikalo to z tego ze bank powinien zapewniac profesjonalnosc uslug, oraz tego, zze jesli pole odbiorca jest obowiazkowe – to zleceniodawca ma prawo oczekiwac ze jest weryfikowane. Mozliwe ze cos costalo poprawione w prawie, albo pola te nie sa juz wymagane.

  40. A czy nie jest tak, że mamy obowiązek ustawowy zgłosić pieniądze jakie dostaliśmy z nieznanego źródła? W tym przypadku ktoś dostał 60 tys gratis, i nie sposób tego nie zauważyć.

  41. Bank powinien weryfikować dane do przelewu – wynika to z wyroku Sądu Najwyższego z dnia 17 grudnia 2008 r. (sygn. I CSK 205/08).
    A więc można dochodzić swojego.

  42. Zresztą weryfikację danych klienta można zrobić. Robiłem to dla banków ponad 10 lat temu – m.in. właśnie przy pomocy odległości Levenshteina (ale to nie wystarczy). Każdy algorytm będzie lepszy niż brak algorytmu. Banki myślę że można śmiało skarżyć jeśli takiej weryfikacji nie posiadają.

  43. no to już wiem czemu mnie odrzucało od tego “banku” na starcie. jednak jeśli w treści przelewów jest informacja słowna do kogo przelew jest adresowany, to bank powinien dochować wszelkiej staranności, by właściwie się takim przelewem zająć pomimo błędnego numeru. bank nie musi ujawniać do kogo doszła kasa. ma prawo do anulowania takiego przelewu jako wadliwie zaksięgowana pozycja. Niby bank, a nie zna bankowego prawa. Na miejscu spółdzielni zmieniłbym bank. Nie szanują klienta, to trudno.

  44. co wy ludzie pier……..licie o trudności weryfikacji i o potrzebie 100% poprawnośći wpisanych danych. To jest banał
    Masz konto, masz Imię nazwisko i adress
    W programie stosujesz funkcje typu jeśli 90% znaków imienia i nazwiska jest zgodna
    i 90% znaków adresu jest zgodna wtedy przelew przepuszczasz. aby zmniejszyć ilość błędów oddzielnie dajesz dla użytkownika pole, imię, nazwisko, miejscowość, ulica, kod pocztwy. brak znaków diakrytyczny traktujesz jako marginalny błąd.. I tak user możę robić niewielkie błędy w przelewie a i tak automatycznie przelew ulengie w 99,99% prawidłowej weryfikacji

  45. “Pracownica spółdzielni wpisała w interfejsie Alior Banku służącym do generowania rachunków indywidualnych zły (nie nadany spółdzielni) numer identyfikacyjny na podstawie którego wygenerowane zostały błędne numery rachunków dla klientów.”

    Jak mawiał “Wielki Demokrata”
    “Kadry decydują o wszystkim”.

    Poza tym Alior to też jest taki “‘bank” który dopiero się uczy, jak funkcjonować, brakuje mu tych 20 lat doświadczenia, jakie mają starsze i większe banki.

    Pozostaje też pytanie, dlaczego nie można było super ważnego kodu skopiować myszką?
    i dlaczego bank nie przysłał prefixu, do którego się dodaje numer umowy, i gotowe.

    Pozdro

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: