19:14
4/3/2017

Banki wspólnie z Krajową Izbą Rozliczeniową budują Centralny Mechanizm Oceny (CMO), który będzie zawierał dane o klientach biznesowych banków oraz ich “ocenę ryzyka“. Projekt jest dość tajemniczy, a my nie uzyskaliśmy potwierdzenia, że dane przesyłane między bankami i KIR będą jakkolwiek szyfrowane. Ministerstwo Finansów, zamiast odesłania odpowiedzi na zadane przez nas pytania, poprosiło naszego redaktora o …dodatkowe dane osobowe.

CMO, czyli co?

Niebezpiecznik kilka dni temu dowiedział się o projekcie CMO (Centralny Mechanizm Oceny). W ramach tego projektu wraz z początkiem kwietnia z polskich banków do KIR mają popłynąć informacje o rachunkach firmowych. Oficjalnie o tym projekcie niewiele wiadomo, ale pewne informacje zaczynają przeciekać. Nasza redakcja otrzymała trochę informacji wraz z dokumentami opisującymi projekt. Aby chronić tożsamość źródła, doszliśmy do wniosku, że na tym etapie zaprezentujemy jedynie fragmenty otrzymanych materiałów i podsumujemy to, co udało nam się ustalić.

Wszystko wskazuje na to, że projekt CMO ma doprowadzić do stworzenia bazy z informacjami o rachunkach firm. W tej bazie znajdą się takie dane jak:

  • numery identyfikacyjne (NIP, PESEL, REGON),
  • adresy,
  • daty rozpoczęcia działalności,
  • e-maile
  • numery telefonów

Będą tam dane nie tylko właścicieli firm ale również pełnomocników. Idea jest taka, że CMO ma ujawniać “beneficjentów rzeczywistych” powiązanych z danymi rachunkami. Te informacje w połączeniu z danymi z innych źródeł mają służyć wykrywaniu przestępstw podatkowych. Cel ten, i tu chyba wszyscy się zgodzimy, jest jak najbardziej szczytny. Ale…

Tajemnicza “ocena ryzyka”

W plikach przesyłanych z banków do KIR ma się znaleźć “ocena ryzyka“. Opracowano już strukturę XML, która będzie obejmować m.in.

  • sumaryczną liczbę punktów ryzyka,
  • kategorię ryzyka,
  • listę czynników ryzyka

Jednym z czynników ryzyka ma być adres rejestracji firmy w tzw. “wirtualnym biurze”. Niestety nie jest jeszcze jasne, jak na naliczone punkty karne (np. za rejestrację siedziby firmy w wirtualnym biurze) będą reagowały banki. Zalecenia postępowania w stosunku do “oflagowanych” podmiotów są wciąż ustalane.

Istotne to dane, ale czy będą szyfrowane?

Prace nad CMO wydają się dość zaawansowane. Przygotowano m.in. dokument ze wskazówkami dla banków w formie Q&A. Jedno z pytań w dokumencie brzmi

Czy pliki wystawione przez bank maja być jakoś szyfrowane?

Wydaje się oczywiste, że takie pliki powinny być szyfrowane, ale w dokumencie pod tym punktem napisano:

Wymagana odpowiedź od KIR

Czyli to nie było oczywiste dla autorów dokumentu!

“Czarna Lista Ministerstwa” i karne punkty za “wirtualną siedzibę”

Ponadto z dokumentu dowiadujemy się, że:

  • CMO ma wystartować już 3 kwietnia 2017r.
  • Planowany jest cykl codziennego (overnight) przetwarzania danych o podmiotach i codziennego wyliczania RiskScore
  • Serwery przetwarzania danych i scoringu oceny ryzyka będą posadowione w KIR.
  • Zakłada się wykorzystanie interfejsów już funkcjonujących w komunikacji plikowej pomiędzy KIR i Bankami (analogicznych jak Elixir), w celu przekazania plików XML z Banku do KIR.
  • Dodatkowo przewiduje się kolejne rodzaje interfejsów wymiany danych z Bankami:
    • Interfejs usługowy SOA – online odpytanie o nadany risk score,
    • Interfejs webowy – online odpytanie o nadany risk score.
  • W obszarze zainteresowania systemu CMO znajdują się wszystkie rachunki jakimi dysponują podmioty (firmy), które są dostępne do wykonywania i otrzymywania przelewów.
  • W ramach procesów CMO Banki otrzymają zwrotnie z KIR Risk Score. Wyliczenie Risk Score będzie uwzględniało w sobie obecność lub nie podmiotu na Czarnej Liście. Działania Banków w odpowiedzi na wynik risk score są jeszcze w trakcie ustaleń z Ministerstwem Finansów.
  • Do celów audytu lub weryfikacyjnych Banki powinny archiwizować przekazywane pliki – do ustalenia z Ministerstwem Finansów okres przechowywania plików

Nie podano podstawy prawnej do takiej wymiany danych

Interesujące jest to, że w chwili obecnej nie znamy podstawy prawnej uruchamiania CMO (a zwłaszcza przekazywania danych klientów banków). Konsultowaliśmy się w tej sprawie z Fundacją Panoptykon, która specjalizuje się w takich zagadnieniach. Małgorzata Szumańska z Fundacji Panoptykon w odpowiedzi na pytania Niebezpiecznika stwierdziła, że:

z naszego wstępnego rozeznania wynika, że prowadzone działania nie mają podstawy prawnej. A instytucje państwowe powinny działać na podstawie i w granicach prawa. Odpowiednia podstawa ustawowa niezbędna zwłaszcza wówczas, gdy podejmowane działania ingerują w prawa i wolności obywateli. Trudno jednoznacznie oceniać sprawę na podstawie wycinkowych doniesień, ale wszystko wskazuje na to, że tak właśnie jest w tym przypadku

Zamiast odpowiedzi, Ministerstwo Finansów prosi nas o dodatkowe dane osobowe

Niebezpiecznik już w czwartek zwrócił się z pewnymi pytaniami do Ministerstwa Finansów odnośnie projektu CMO. Jednocześnie wnioski o dostęp do informacji publicznej złożył Dziennik Internautów i planuje to również Fundacja Panoptykon.

Niestety, do momentu publikacji artykułu, Ministerstwo Finansów nie odpowiedziało merytorycznie na nasze pytania. Zamiast informacji, o które prosiliśmy, od pracownika biura Komunikacji i Promocji (który sam nie podał żadnych swoich danych) otrzymaliśmy dość zaskakującą prośbę o dosłanie …dodatkowych danych osobowych.

Wydawało nam się, że podanie adresu e-mail, numeru telefonu oraz adresu pocztowego do redakcji (wszystkie te dane były dołączone do naszego zapytania) wystarczy Ministerstwu do udzielenia odpowiedzi. Teraz zastanawiamy się, czy powinniśmy jeszcze dosłać nick ze Snapchata? A może lepiej namiar na konto na Instagramie? Bo chcemy wierzyć, że Ministerstwo Finansów nie dopytuje o nasz numer GG, ani o profil z Tindera… ;-)

Żarty na bok

Wydaje się, że Ministerstwo Finansów powinno lepiej wyjaśnić co dokładnie robi, a bezpieczeństwo wdrażanych rozwiązań operujących na tak ważnych danych powinno stać na najwyższym możliwym poziomie. Trochę martwi nas to, że obecnie zaangażowane w projekt strony mają wątpliwości, czy tak podstawowa kwestia jak szyfrowanie plików przekazywanych między KIR i bankami jest zasadne.

Z dokumentów jakie mamy dość jasno wynika, że CMO nie ma nic wspólnego z CBR, czyli z Centralną Bazą Rachunków jaka ma powstać na mocy specjalnej ustawy, a jaką potężnie skrytykowała Rada Legislacyjna przy Premierze, zarzucając projektowi, że może być niezgodny z konstytucją, a poprzez gromadzenie tak cennych danych w jednym miejscu, będzie prowokował hakerów do ataku. W pewnym sensie, ten brak powiązań CBR z CMO, czyni projekt CMO jeszcze bardziej tajemniczym…

Aktualizacja 7 marca 2017
Biuro Komunikacji i Promocji przesłało nam następującą odpowiedź na nasze pytania:

Ministerstwo Finansów prowadzi szereg priorytetowych działań mających zapobiegać wyłudzeniom VAT. Jednym z nich jest opracowanie modelu ograniczenia możliwości wykorzystania sytemu bankowego przez przestępców wyłudzających VAT.

Już teraz istniejące przepisy w zakresie przeciwdziałania praniu brudnych pieniędzy oraz prawa bankowego zobowiązują banki do monitorowania i zgłaszania wszelkich operacji bankowych podejrzanych o związek z przestępczością. Naszą intencją jest uczynić ten monitoring maksymalnie skutecznym i zastosować do zapobiegania przestępczym wyłudzeniom VAT z budżetu przy wykorzystaniu systemu rachunków bankowych. Konieczne jest opracowanie odpowiedniego modelu procedur dla banków, które mają doprowadzić do uprzedniej identyfikacji przedsiębiorców uczestniczących w karuzelach VAT-owskich i w efekcie utrudnić wyprowadzenie z Polski środków z wyłudzonego podatku VAT.

Rozwiązanie zakłada wykorzystanie informacji publicznych dostępnych w różnych ewidencjach urzędowych oraz bazach stworzonych przez banki. Rozwiązanie nakierowane będzie na optymalne alokowanie działań prewencyjnych KAS, a nie na pozyskiwanie wrażliwych informacji o podatnikach.

Prace przygotowawcze w przedstawionym zakresie trwają. Wszelkie nowe rozwiązania będą odpowiednio unormowane ustawowo. Decyzje w sprawie ewentualnego projektu i wdrożenia nowych regulacji zostaną w najbliższym czasie podjęte przez kierownictwo Ministerstwa Finansów.

Z kronikarskiego obowiązku, przywołajmy nasze pytania, na jakie Ministerstwo Finansów odpowiedziało powyższym oświadczeniem:

1. Czy to prawda, że do wymiany danych pomiędzy Bankami a KIR planowane jest utworzenie nowych interfejsów / mechanizmów wymiany danych?

2. Wedle pozyskanych przez nas informacji, przekazywane rekordy mają również być oceniane pod kątem tzw. Risk Score. Gdzie obywatele mogą znaleźć opis celu powstania tego wskaźnika, a zwłaszcza instrukcje dotyczące sposobu jego wyliczenia?

3. Czy dane przekazywane w ramach CMO będą dotyczyć tylko rachunków bankowych czy również innych produktów finansowych (np. lokat, ubezpieczeń, kart płatniczych)?

4. Czy klienci banków będą informowani o tym, że ich dane zostaną przekazywane do KIR? Jaka jest lub będzie podstawa prawna przesyłania tego typu danych?

5. Czy dane przesyłane przez bank mają obowiązek być szyfrowane?

Aby uniknąć wątpliwości, informujemy, że odpowiedź Ministerstwa Finansów została przez nas zacytowana w całości.

Aktualizacja 17.03.2017
Fundacja Panoptykon otrzymała od Ministerstwa Finansów odpowiedź na swój wniosek o dostęp do informacji publicznej. Ministerstwo napisało, że:

  • Prace nad przedmiotowymi rozwiązaniami są obecnie na zbyt wczesnym etapie, aby jednoznacznie rozstrzygać kwestie, o których mowa w pytaniach Fundacji.
  • Opublikowanie projektu ustawy, która regulowałaby działanie CMO, może nastąpić w ciągu najbliższych tygodni

Odpowiedź Ministerstwa jest o tyle ciekawa, że mówi ona wyłącznie o pracach “koncepcyjnych” podczas gdy my widzieliśmy znacznie więcej. Jeden ze wspomnianych przez nas dokumentów miał 52 strony i dość szczegółowo opisywał w jaki sposób dane mają być przekazywane i jakie będą to dane. Dokument nie robił wrażenia koncepcji czy założeń. To jest dość dokładna instrukcja dotycząca realizacji koncepcji, która wydaje się dopracowana także w szczegółach.

Aktualizacja 21.03.2017

Od jednej z osób otrzymaliśmy kolejne informacje w sprawie CMO:

1. Przesyłane pliki nie będą dodatkowo szyfrowane. Do KIR przesyłane będą bezpiecznymi kanałami, wykorzystywanymi już obecnie do wymiany innych danych. Ale o tym już ktoś chyba pisał w komentarzach.
2. CMO ma wejść od kwietnia, a podstawą prawną ma być przygotowywana ustawa. Która nie jest gotowa, a z tego co widzę na stronach Sejmu, nie ma nawet projektu ustawy.
3. Mimo to, dostawcy systemów bankowych zostali jednak zobligowani do zaimplementowania rozwiązania w takim terminie, żeby banki były gotowe na kwiecień. Jeśli ustawy nadal nie będzie, wdrożenie CMO się przesunie – takie są informacje z KNF, przekazywane bankom.
4. Na stronach Sejmu można znaleźć jedynie interpelację posła Krzysztofa Sitarskiego w sprawie CMO i odpowiedź podsekretarza stanu w MF: http://www.sejm.gov.pl/Sejm8.nsf/interpelacja.xsp?documentId=E09B04DCDEF65159C12580B5004B7EDE
Ta odpowiedź to bullshit, bo:
– na dzień odpowiedzi (28.02.2017) trwały już nie prace koncepcyjne, lecz wszystko było już w zasadzie gotowe, włącznie z udostępnionym środowiskiem testowym do przesyłania plików,
– trudno więc zgodzić się z konkluzją zawartą w przedostatnim akapicie odpowiedzi.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

58 komentarzy

Dodaj komentarz
  1. a czepiajac sie szczegolow:

    – niby xml ale CZYN_RYZYKA zwiera liste rozdzielona pipe-ami. w bankowosci niektore zwyczaje nie umieraja tak latwo (tylko po co ten xml?)

    – Risk Score, Split Payment itp. Polacy nie gesi, we have our language

    VY 73

    • CMO to jeden z narzędzi umożliwiający szybsze działania organów ścigania, taki system ostrzegawczy.
      Firmy które nie spełniają określonych norm ( są np. niedawno założona firma, adres wirtualnego biura , założona na bezdomnego itd. ) -będą mieć “status podejrzanych”
      Pozostaje będą na białej liście.
      Ten system można porównać do certyfikatów bezpieczeństwa :) To jest naprawdę super sprawa chyba że znowu spie %% sprawę ^^ Jak by nie patrzeć to co roku państwo na unikaniu płacenia podatków traci 100 miliardów złotych:)

    • Tylko, że firmy zalegające 90 z tych 100 prowadzi główne rachunki gdzieś w rajach podatkowych. Większość strat to wyłudzenia podatku VAT, a najwięcej go się wyłudza w obrocie międzynarodowym.

    • elathir
      10% to wcale nie jest tak mało i da to całkiem niezłe zawrotne sumy.
      Raje podatkowe ? To wszystko do czasu, kwestia determinacji polityków bo jak wjadą do takiej firmy smutni panowie to zawsze coś znajdą .
      Przypominam że rząd pracuje nad narodową kartą płatniczą, czy rekwirowaniem nielegalnie zdobytego majątku ,a jakie jeszcze ma inne pomysły żeby uszczelnić wałki to tego nikt nie wie.
      Kontrola nad przepływem pieniądza to część systemu.
      Po wprowadzeniu restrykcyjnych przepisów prawa nikt nie będzie ryzykował utraty majątku dla zysku kilkuset tysięcy złotych.

    • @abc – ten, kto nie ma majątku rzędu kilkuset tys. złotych raczej i tak zaryzykuje ;o)

      Bo to wszystko działa bardziej jak ochroniarz w markecie niż realnie. Gdyby nawet US chciał uszczelnić system podatkowy poprzez liczbę kontroli i postępowań wyjaśniających (tak prewencyjnie) to by musieli zatrudnić setki dodatkowych osób. W efekcie typuje się na podstawie rodzaju działalności, czyli jak przykładowo nie sprzedajesz w sieci albo nie jesteś dystrybutorem paliw to możesz robić różne różności i nikt tego nie znajdzie.

    • @Monter jak nie ryzykuje ? Nie będzie co zabrać to pójdzie do paki na „wieczność”
      Czy jest sens odsiadywać kilka lat więzienia za powiedzmy 1 milion złotych gdzie za granicą można takie pieniądze zarobić legalnie w ciągu kilku lat?

      Nie potrzeba zatrudniać tysięcy obywateli żeby zorientować się czy ktoś kradnie czy też nie kradnie. Większość odsiewa automat , przynajmniej tak było w firmie analitycznej ds. przeciwdziałaniu praniu pieniędzy w której miałem praktykę. Dostajesz wszystko na tacy , wystarczy tylko to połączyć, myśleć analitycznie ,a jak nie wiesz to pytasz „starszego rangą „ i tyle. W XXI wieku jest masa dostępnych rozwiązań tylko należy je wdrożyć i nie może tego robić ktoś się na tym nie zna.

  2. Ale to są dane firm, a więc nie podlegają ochronie danych osobowych.

    • Ale chyba nadal podlegają tajemnicy bankowej? Coś ostatnio szumiało, że ustawą chcą ją uchylić, ale czy już to zrobili…. ?

    • Z tego o mi wiadomo to w tej chwili wszystkie dane podlegają ochronie – nawet firm

  3. Dane pełnomocników są już danymi osobowymi.

  4. Kolejny raz utwierdzam się w przekonaniu, że nie macie wtyki w żadnym banku, o CMO wiadomo już od dawna a jeśli chodzi o szyfrowanie i inne kwiatki to jest gro systemów, które musieliśmy uruchomić (KIR/rząd) a tworzone były na kolanie.

  5. Od kilku lat dane osób prowadzących firmy wg wpisu do CEiDG objęte są tą samą ochroną jak dane pozostałych osób. Poza tym chodzi nie tylko o ochronę danych osobowych…

    • No właśnie już nie…
      Co prawda lektura uzasadnienia nowelizacji wskazuje, że wyłączeniu z ustawy o ochronie danych powinny podlegać jedynie dane w systemie ceidg, ale wyszło na to, że dane przedsiębiorców nie podlegają już ochronie uodo.

  6. No cóż… W PRLu jasnym jest że prawo jest prawem a racja musi być po ich stronie… Kiedy ludzie zrozumieją ? Kiedy biznesy się wyniosą za granicę w całości ?

  7. Od 2007 roku istnieje już coś takiego jak rejestr rachunków bankowych związanych z prowadzeniem działalności gospodarczej. Banki przekazują informacje o nich do Ministerstwa Finansów za pomocą systemu o wielce wymownej nazwie CERBER.
    http://www.finanse.mf.gov.pl/systemy-informatyczne/cerber/o-systemie

  8. Mnie najbardziej zainteresował znacznik “Czy zajmuje eksponowane stanowisko polityczne”. Ciekawe po co to?

  9. Sam ten punkt oznacza ze komunikacja bedzie szyfrowana: ”Zakłada się wykorzystanie interfejsów już funkcjonujących w komunikacji plikowej pomiędzy KIR i Bankami (analogicznych jak Elixir), w celu przekazania plików XML z Banku do KIR.”
    Istniejace Interfejsy do KIR sa szyfrowane…

    • Zaciekawiło mnie niespotkane przeze mnie do tej pory określenie “komunikacja plikowa”, a fakt że Google zwraca dla tego ciągu znaków aż 123 rezultaty utwierdza mnie w przypuszczeniu, że raczej nie jest to żadna realna terminologia. Jeśli ktoś uważa inaczej, będę wdzięczny za opinię.

  10. Pewnie chodzi o to:

    https://www.obserwatorfinansowy.pl/tematyka/bankowosc/banki-wciaz-zbyt-latwo-zamienic-w-pralnie/

    Dokładniej, o wdrożenie tej dyrektywy UE:
    http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32015L0849&from=PL

    Jej tytuł brzmi:
    DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2015/849
    z dnia 20 maja 2015 r.
    w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub
    finansowania terroryzmu, zmieniająca rozporządzenie Parlamentu Europejskiego i Rady (UE)
    nr 648/2012 i uchylająca dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz
    dyrektywę Komisji 2006/70/WE

    Pozdro

  11. Świetny deal – ministerstwo dostaje informacje o pełnomocnikach w koncie, a w zamian oddaje informacje o “obecności na czarnej liście”(bo do tego sprowadzi się ten zaawansowany scoring). Zasadniczo, to ministerstwo postanowiło przehandlować informacje, których przekazywać nie powinno. A wy się dziwicie, że nie ma podstawy prawnej ani komentarza.:)

  12. Nie odnoszę się do podstaw prawnych. Jednak sam pomysł centralizacji informacji przez uprawnione komórki Państwa jest jak najbardziej słuszny. Pracując z takimi danymi codziennie, widzę wiele rzeczy, których nie mogę “ugryźć”, bo mam robić inne rzeczy, które będą korzystne dla Banku. Mając dostęp do takiej bazy, mam nadzieję, że pracownicy z instytucji niebankowej, będą miały czas by ukrócić, naprawdę niezłe łańcuszki beneficjentów mocno kombinujących. Temat wirtualnych biur też jest dla nas dużą bolączką. Ja osobiście pokładam wielkie nadzieje co do tego projektu. Jeżeli będzie zrobione to z głową, to jest nadzieja, że niektóre bezkarne do tej pory działania zostaną ukrócone. Pierwszy pomysł rządzących, który mi osobiście bardzo się podoba. Mam nadzieję tylko, że będzie dopracowany, a nie tak jak w chwili obecnej wiele ustaw, pomysł dobry, a wykonanie fatalne.

    • Dawniej nazywało się to komuną i inwigilacją.

    • Nikt się nie czepia możliwości ścigania przestępców, lub nawet inwigilacji osób o popełnienie przestępstwa podejrzanych. Tu chodzi o to, że przetwarzamy dane _wszystkich_ czyli dla państwa wszyscy jesteśmy podejrzani. Jeżeli piszesz „widzę wiele rzeczy”, to znaczy że da się wyłapać nieprawidłowości bez prowadzenia analizy moich danych. W takim razie dlaczego państwo chce oceniać mnie?

  13. To może niech od razu udostępnią restowe api do tych danych :D

  14. Co jest złego w wirtualnym biurze dla freelancera, który nie chce aby w publicznej ewidencji firm byl prezentowany jego adres zameldowania??? Jaki to problem z punktu widzenia poboru podatków nie rozumiem..

    • Problem jest taki, że skarbówka nie będzie mogła ci zrobić wjazdu na chatę, z psami i taranami.

  15. Cala komunikacja KIR-banki jest szyfrowana – czy chodzi o dodatkowe szyfrowanie?

    Poza tym – dane o firmach i ich pelnomocnikach powinny byc jawne za wzgledu na jawnosc reprezentacji w obrocie gospodarczym. Ja wiem ze wprowadzanie takich elementow bedzie bardzo bolalo niektorych. Nie wiem czy powinienem im wspolczuc.

    Mnie bardziej interesuje ostatnio traktowanie logow serwera (IP/ dane browsera itd) jako danych osobowych. Moze ktos by to podrazyl?

  16. Ocena ryzyka najbardziej kojarzy mi się z kredytami.

  17. Jeśli dane mają iść przez OGNIVO to tam szyfrowanie już jest zapewnione.

  18. Czytając powyższe komentarze odnoszę wrażenie, że niektóre wypowiedzi zamieszczane są przez osoby, które zawsze są na nie – aby oceniać tego typu rozwiązania, które wdrażane są w instytucjach finansowych należy spojrzeć bardziej ogólnie. Proponuje co niektórym wczuć się w sytuację osób “rzekomo oszukanych przez banki”. Jeżeli ktoś opróżnia nam konto lub zaciąga na nasze dane kredyt – wtedy winne są banki. W bankach też pracują ludzie. Jeżeli próbuje się coś poprawić i np. rejestrować dane firm czy osób, które zakładały konta na tzw. słupy, to robi się to w dobrej wierze. Jeżeli rejestruje się dane firm, które piorą pieniądze to też w dobrej wierze. Jeżeli rejestruje się dane firm i ich właścicieli ponieważ robią przekręty finansowe – to raczej też w dobrej wierze.
    W takiej sytuacji jeżeli nawet przy tej okazji zostaną zarejestrowane dane przypadkowej firmy i jego właściciela to jakie to ma znaczenie dla kogoś kto prowadzi legalny biznes i nie ma nic do ukrycia.
    Już od kilku ładnych lat instytucje w Polsce rejestrują dane, o których większość społeczeństwa nie ma “zielonego pojęcia”. Sam po sobie wiem, że moimi danymi choćby je ktoś umieścił w tego typu rejestrach to raczej nikt się nimi nie zainteresuje – dlaczego, ponieważ chodzi tu o pieniądze, które raczej nigdy, przy uczciwym podejściu do życia, nie będą w moim zasięgu..
    Jeżeli zejdziemy z przysłowiowego Kowalskiego i wczujemy się w sytuację firmy, która podpisuje kontrakt z inną firmą na wykonanie jakiegoś projektu i po jego wykonaniu nie otrzymamy ustalonego wynagrodzenia, ponieważ firma “wyparowała” lub okazuje się niewypłacalna (z reguły w podobnych sytuacjach nie są to działania przypadkowe) co w tedy? – Osoba związana z nieuczciwą firmą zakłada kolejna i naciąga koleją ofiarę – i jak się w takiej sytuacji czujemy? – Mamy do wszystkich uzasadnione pretensje – Tu z pomocą mogą przyjść podobne systemy.
    Myślę, że nie jest problemem gromadzenie i analiza takich danych, każdy kto korzysta z sytemu bankowego czy podatkowego, dobrowolnie przekazuje dane. Czy ktoś je będzie analizował czy nie? Dla mnie nie ma znaczenia .
    Najważniejsze jednak myślę jest to, jak dane i wyniki tych wszystkich analiz będą zabezpieczane, przechowywane i kto będzie miał do nich dostęp i na jakich zasadach.

    A jeżeli ktoś ma gotowe rozwiązanie na anonimowy i bezpieczny system finansowy to należy mu się nagroda Nobla.

    • > aby oceniać tego typu rozwiązania, które wdrażane są w instytucjach
      > finansowych należy spojrzeć bardziej ogólnie

      Oczywiście. Zaczynając od Konstytucji, art. 51 ust. 2: “Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym”.

      Nie wystarczy, że dane są przydatne. Można gromadzić tylko dane *niezbędne*.

      > Proponuje co niektórym wczuć się w sytuację osób
      > “rzekomo oszukanych przez banki”. Jeżeli ktoś opróżnia nam
      > konto lub zaciąga na nasze dane kredyt – wtedy winne są banki

      Tak, winne są banki oraz firmy pożyczkowe. Są winne, bo pozwalają brać kredyty i czyścić rachunki na podstawie skanów dokumentów. Są winne, po pozwalają na potwierdzanie tożsamości po odpowiedzi przez telefon na kilka pytań, na które odpowiedź zna każda pani pracująca w dziale ewidencji ludności w Pcimiu Dolnym, każdy policjant mający dostęp do rejestru PESEL, itd., itd.

      Po to jest, do ciężkiej cholery, fizyczny dokument, specjalnie zabezpieczony, by się posługiwać nim, a nie jego skanem czy zdjęciem. Wreszcie są winne, bo w pazerności swojej pozwalają na zdalne zakładanie kont (na przelew, na skan, na kuriera), na czym cierpią niewinni ludzie, którym ukradziono dowód. Są winne, bo miewają gówniane zabezpieczenia swoich systemów.

      I winne jest też państwo, że masowo tworzy olbrzymie bazy danych, których nie potrafi zabezpieczyć nawet przed masowym odpytywaniem (vide sprawa komorników).

      > Jeżeli próbuje się coś poprawić i np. rejestrować dane
      > firm czy osób, które zakładały konta na tzw. słupy,
      > to robi się to w dobrej wierze

      Dobrymi chęciami piekło jest wybrukowane.
      Należy likwidować problem u źródła, tzn. wprowadzić porządny podpis elektroniczny (NIE w dowodzie, ale na osobnej karciez czipem *stykowym*; zapowiadane mDokumenty to jakiś absurd), zlikwidować zakładanie kont na słupu przez porządną weryfikację danych i osobiste stawiennictwo w oddziale potencjalnego klienta banku przy zakładaniu konta, wraz z 2 świadkami potwierdzającymi tożsamość + sprawdzenie w rejestrze dłużników, i osób karanych. W razie “zaświecenia się” – konto ograniczone. Całe szumnie zapowiadane ułatwienia, cyfryzacja – to kolejne żniwa dla oszustów i kolejni niczego nieświadomi, niewinni ludzie, wrobieni w kredyty i pożyczki z kontami założonymi przez banki chlubiące się “ułatwieniami”. I tak, dzieje się to też dlatego, że w bankach pracują, jak piszesz, ludzie. I w państwowych urzędach też – od kilkunastu miesięcy nie potrafią poprawnie wdrożyć TLS na ePUAP, a biorą się za cyfryzację kraju.

      > W takiej sytuacji jeżeli nawet przy tej okazji
      > zostaną zarejestrowane dane przypadkowej firmy
      > i jego właściciela to jakie to ma znaczenie
      > dla kogoś kto prowadzi legalny biznes

      Ma znaczenie, bo nie jestem przestępcą i nie życzę sobie moich danych w tym rejestrze. A pomyłkę w zbiorze danych należy sprostować – Konstytucja, art. 51, ust. 4.

      > i nie ma nic do ukrycia.

      Klasyczny argument nierozumiejących znaczenia słowa “prywatność”.
      Nie masz nic do ukrycia – podaj PESEL swój, PESELe rodziców oraz adres zamieszkania. Nie zapomnij wrzucić zdjęcia dowodu i zeskanowanych odcisków palców. A, i jeszcze poproszę wyciąg z konta za ostatni rok!

      Otóż każdy ma coś do ukrycia, i bardzo słusznie. Mam do ukrycia moje życie prywatne, mój adres, moje saldo na koncie, i wiele innych rzeczy. I wara innym od tego!

      > zło jest w pierdyliardzie kont utworzonych na słupa
      > za zwyczajową “flaszkę”

      No właśnie. I winni są ci, którzy dają i biorą (pracownicy banku) flaszkę, a nie każdy, kto korzysta z wirtualnego biura.

      > Jeżeli zejdziemy z przysłowiowego Kowalskiego
      > i wczujemy się w sytuację firmy

      Trzeba mieć na względzie i Kowalskiego, i firmę która ma problemy z zapłatą za usługi.

      > Tu z pomocą mogą przyjść podobne systemy
      Mogłyby, gdyby gromadziły tylko dane przestępców i podejrzanych (na krótki czas), a nie wszystkich.

      > każdy kto korzysta z sytemu bankowego czy podatkowego,
      > dobrowolnie przekazuje dane

      :D :D :D
      Jak można dobrowolnie przekazać dane do banku, gdy posiadanie konta jest obowiązkiem?
      Jak można dobrowolnie przekazać dane do systemu podatkowego, gdy złożenie zeznania podatkowego jest obowiązkiem?

      > Najważniejsze jednak myślę jest to, jak dane
      > i wyniki tych wszystkich analiz będą zabezpieczane,
      > przechowywane i kto będzie miał do nich dostęp i na jakich zasadach.

      Ja wyżej powiedziałem, kategorycznie się sprzeciwiam zbieganiu danych o wszystkich.
      A i nawet wówczas, jeśli byłyby dobrze zabezpieczone, to będą mieć do tego dostęp wszystkie służby i w trybie online. Dlatego projekt nadaje się do kosza.

    • > A jeżeli ktoś ma gotowe rozwiązanie na anonimowy
      > i bezpieczny system finansowy
      > to należy mu się nagroda Nobla.

      https://taler.net/en/

  19. W wirtualnym biurze dla freelancera nie ma nic złego – zło jest w pierdyliardzie kont utworzonych na słupa za zwyczajową “flaszkę” i zarządzanych przez grupkę “pełnomocników” czyli faktycznych operatorów rachunków. Myślę, że właśnie takie przypadki będą wyławiane z tych danych i faktycznym celem jest przerwanie karuzel vatowskich – tam jest naprawdę duża kasa do odzyskania dla rządu…

    • “Myślę, że właśnie takie przypadki będą wyławiane” – to co ty sobie myślisz to niestety nie ma konsekwencji prawnych. Jak by było tak jak ci się wydaje to Optimus czy JTT byłyby prężnymi firmami przynoszącymi ogromne wpływy podatkowe. Niestety w Polce trzeba przede wszystkim zabezpieczać ludzi przed mafią urzędniczą, a nie tworzyć prawo dające wgląd (praktycznie każdej) mafii w sytuację firm. Przekupienie/zastraszenie urzędnika mającego wgląd w dane jest dziecinnie proste. Również ustalenie kto to jest nie nastręcza większego problemu.

  20. Nie czepiajcie się szyfrowania, bo obowiązek zabezpieczenia (w praktyce – szyfrowania) wynika z innych przepisów.

    Ale w praktyce – jakie znaczenie ma szyfrowanie danych, do których dostęp będzie mogła uzyskać nieograniczona ilość podmiotów? Bo praktyka pokazuje, że zawsze można uchwalić nową lub znowelizować starą ustawę i umożliwić dostęp do danych innym podmiotom a nawet zmienić cel przetwarzania wcześniej zebranych danych. O konstytucyjność takich działań nie pytajcie, bo to jest głupie pytanie.

    Proszenie o dodatkowe dane jest standardową procedurą jeżeli chce się wydać decyzję odmawiającą udostępnienia informacji publicznej. I jeżeli pytaliście w jaki sposób dane będą zaszyfrowane, moim zdaniem na podstawie ustawy o ochronie danych osobowych (może też innych, ale znam się tylko na odo), Ministerstwo powinno odmówić udostępnienia informacji o sposobie szyfrowania (i wydaje mi się, że tu się nie zgadzamy z Panoptykonem). Jednak moim zdaniem, na pytanie czy w ogóle dane będą szyfrowane Ministerstwo powinno odpowiedzieć, bo nie ujawnia w ten sposób informacji o sposobie zabezpieczenia danych.

  21. Łączność jest szyfrowana oraz odbywa się na oddzielnych łączach fizycznych.

    • czuje się uspokojony :)

  22. No co? Ministerstwo chce dokonać oceny ryzyka redakcji więc potrzebuje wszelkich danych…

  23. Z jednej strony oczekujecie aby ‘bezpieczeństwo wdrażanych rozwiązań operujących na tak ważnych danych powinno stać na najwyższym możliwym poziomie’ a z drugiej prosicie o szczegółowe dane projektu (anonimowo) tylko po to by umieścić je na waszym blogu …

    Pozatym “Wymagana odpowiedź od KIR“ może oznaczać wszystko i nic – np. to że metoda szyfrowania nie jest jeszcze określona albo, że jak @Marcin Maziarz już zauważył: Jeśli dane mają iść przez OGNIVO to tam szyfrowanie już jest zapewnione.

    Czyli znowu artykuł ‘z igły widły’ – ciekawe kto to ten Anonim – pewnie “opozycja”

  24. Przynajmniej jedna z przychodni w moim mieście umożliwia rejestrację przez internet, przy czym połączenie nie jest w żaden sposób szyfrowane (serwer w ogóle takiego nie obsługuje, więc ręczna zamiana “http” na “https” jest bezcelowa).

  25. Centralna baza rachunków to informacja o beneficjentach (układ horyzontalny). Centralny mechanizm oceny to informacja o powiązaniach pomiędzy osobami (układ wertykalny). CMO wśród czynników oceny ryzyka poza adresem rejestracji (motyw na “znikającego podatnik”) będzie zapewne oceniać także branżę w jakiej działa podatnik (komisy, paliwa, restauracje, nieruchomości), czy było zapytanie z GIIF lub z prokuratury w przedmiocie tego podatnika, czy zmienił adres prowadzenia działalności (chodzi o częste zmiany domicylu a właściwego urzędu skarbowego) oraz czy ma duże obroty (w relacji do swojej daty rejestracji)

  26. Dane nie muszą być szyfrowane, ponieważ będą chronione tajemnicą bankową – tak samo skutecznie jak dokumenty adwokata na komputerze są chronione tajemnicą adwokacką.

    • Tak samo jak dane na komputerze ofiary są chronione prawem MS do tych właśnie danych ;-) Marketingowy bełkot i nic więcej. Pójdzie przetarg za parę milionów, wygra to firma z Katowic lub Rzeszowa i wszyscy będą zadowoleni. ;-)

  27. Ja bym chciał zobaczyć jak będą wyglądać wpisy takich instytucji jak US, ZUS, NFZ :P W końcu też będą podlegać takiej ocenie. :)

    Sami na siebie bat ukręcą :)
    Już oczami fantazji widzę pierwsze 10 pozycji na czarnej liście będą instytucje rządowe :P

    • Ale to będą instytucje poprzedniego rządu. Zawsze.

  28. pani z fundacji panoptykon chyba nie słyszała o tym, że unijna dyrektywa wymusza CRS (common reporting standard) i AEOI (automatic exchange of information) na krajach Unii. Inne kraje OECD też to wprwoadzają powoli

  29. Tajemnica? GIIF juz od zeszłego roku nad tym pracuje. Chodzi o regulacje AML dot. prania brudnych pieniedzy i przeciwdzialania terroryzmowi. Banki już teraz informują GIIF raz na miesiąc o ryzykownych klientach (wg swoich scoringow), a będą informować codziennie, uzyskując przy okazji dodatkowe informacje o kliencie od innych bankow i MF.

  30. Cytat z odpowiedzi MF:
    > Rozwiązanie nakierowane będzie na optymalne
    > alokowanie działań prewencyjnych KAS, a nie
    > na pozyskiwanie wrażliwych informacji o podatnikach.

    Celem podsłuchu np. policyjnego też nie jest pozyskiwanie wrażliwych informacji, tylko wykrycie albo udowodnienie sprawcy przestępstwa. Ale wrażliwe dane są pozyskiwane przy okazji, dlatego na podsłuch z zasady potrzeba zgody sądu. A tutaj…

  31. Stalin przewraca się w grobie z zazdrości.
    A wystarczy likwidacja VAT i miliona stanowisk urzędniczych.

  32. Będą monitorować wszystkich by się spierać o grosze, gdy tymczasem prawdziwi przestępcy robią przekręty na miliardy i od lat są poza prawem, albo sami je tworzą…

  33. “Serwery będą posadowione”.

    Nie czytam dalej.
    I drżę o bezpieczeństwo tych danych oraz zastanawiam się, dlaczego rządzą nami idioci, którzy nie umieją napisać zdania po polsku bez błędu. Wystarczy przeczytać jakąś ustawę, żeby zwątpić w ich wykształcenie.

  34. Momencik szanowni. Ministerstwo finansów chce udostępniać nasze dane skarbowe KIRowi, który jest PRYWATNĄ FIRMĄ!??? Czy ministra finansów popieprzyło?

  35. Więcej szczegółów o STIR
    http://di.com.pl/m/art,56929.html

  36. Pracowałem dla sektora finansowego w Niemczech jak i dla UK i to co nas wyraźnie odróżnia to fakt, że większość zmian prawnych dotyczących systemów informatycznych tego sektora wprowadzana jest z 2 letnim czasem na implementacji. Nie pozwala się na fuszerkę. Na etapie prac projektowych było tylko wiadomo, że trzeba przewidzieć czas zespołu w ciągu dwóch lat na dostosowanie systemów, a ustawa wskazywała dopiero na implementacje. Nikt nie siadał do klawiatury na etapie projektu.

    Tymczasem u nas implementuje się na podstawie niejasnych dokumentów, w czasie implementacji pojawia się dużo zmian, a końcowa ustawa ni jak nie przypomina pierwszego dokumentu, który był podstawą do zmian.

    Proszę pamiętać, że zmiany systemów informatycznych w takim sektorze wymagają analizy i choćby minimalnego projektu. Nikt nie dotyka klawiatury na podstawie niejasnego worda z ministerstwa z ‘koncepcją’.

Odpowiadasz na komentarz Tbybris

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: