7:43
27/4/2016

Wczoraj, w komentarzach pod artykułem na temat niezbyt roztropnej akcji firmy IBM, jeden z czytelników zgłosił nam niezbyt roztropną decyzję firmy PayPal. Serwis chwalący się “bezpiecznym podejściem do płatności internetowych” zaczął prosić użytkowników o loginy, hasła do kont bankowych, a także jednorazowe kody z bankowych SMS-ów służące do potwierdzania transakcji…

image

Cześć z naszych czytelników na pewno pamięta aferę z firmą Sofort, która jako pierwsza zaczęła od Polaków wymagać podawania loginów, haseł i jednorazowych kodów autoryzacyjnych z SMS do ich banków na swojej własnej stronie, a następnie pracownicy bądź algorytmy Sofortu w imieniu internautów, logowały się do ich kont bankowych i zlecały dyspozycje przelewów. Ponieważ jednak takie zlecenie przelewu, każdy klient może sam odwołać (przelewy “wychodzą” z banku co kilka godzin), ta nowa “innowacyjna” metoda płatności pozwala klientowi na okradzenie sklepu, tj. zamówienie produktu, opłacenie go przez Sofort, a następnie zalogowanie się na swoje konto bankowe i zmianę hasła (aby Sofort nie mógł wejść na nie ponownie) oraz — przede wszystkim — anulowanie przelewu wychodzącego. Efekt? Sklep ma informację od Sofortu, że towar został opłacony i go wysyła (w końcu to płatność natychmiastowa) — ale pieniądze nie docierają do sklepu (przelew został odwołany). Klient ma rzecz i nie zapłacił za nią. Ba! Czasem może ją nawet zwrócić w sklepie “naziemnym” i otrzymać zwrot gotówki. Dokładnie tak postąpił jeden z internautów, aby zwrócić uwagę na ryzyka związane z Sofortem — por. Zakupy przez internet za darmo. Poważny problem systemu płatności Sofort.

“PayPal zwariował” — piszą internauci

Teraz dokładnie tą drogą co Sofort poszedł PayPal, zmieniając dostawcę “szybkich doładowań” z firmy Bluemedia na tańszą ale kontrowersyjną firmę Trustly, która działa tak samo jak Sofort. Prosi o internautę o login i hasło oraz jednorazowe kody z SMS do jego bankowości internetowej, a następnie loguje się na jego konto i zleca dyspozycję przelewu.

Oto jak wygląda cały ten proces. Pokazujemy, abyście sami nigdy nawet nie musieli tam klikać.

PayPal__Podsumowanie

PayPal 2

Trustly

Tego typu działanie jest złe z tak wielu powodów, że nie wiemy od czego zacząć…

  • To już nie jest tylko twoje hasło. Nakłanianie internautów do podawania loginów i haseł do banków na innych niż bank stronach, to nie tylko podkopywanie wieloletnich starań edukacji klientów w zakresie bezpiecznego online bankingu, ale po prostu praktyka stricte phishingowa. Hasła wykrada złośliwe oprogramowanie, a nie szanujące się serwisy. Abstrahujemy już od tego, że pewnie część klientów banków ma takie samo lub podobne hasło co do banku ustawione także w innym miejscu. Wyciek lub atak na Trustly albo Sofort może więc skończyć się nie tylko nieautoryzowanym dostępem do konta.
  • Utrata prawa do reklamacji i naruszenie umowy z bankiem. Przekazanie komuś swojego loginu i hasła do banku może uniemożliwić reklamację w banku, bo logowanie na wasze konto przez Sofort i Trustly da się wykryć. Serwisy korzystają z tych samych serwerów proxy i po serwisie poruszają się w charakterystyczny sposób. Bank wie, że udostępniłeś komuś swoje hasło, a tym samym złamałeś regulamin korzystania z bankowości online. Możesz mieć problemy z reklamacją w przypadku nieautoryzowanego “zniknięcia środków”.
  • Tracisz prywatność bo Sofort i Trustly mają wgląd w historię Twojego rachunku (oraz kredyty i wnioski 500+). Czy musimy tłumaczyć jak bardzo można kogoś sprofilować na podstawie historii jego transakcji? Płaciłeś za drinka w Cocomo? Uregulowałeś fakturę w klinice odwykowej? Jakiś mandacik? A może opłata biletu na koncert Ich Troje? Firma Trustly oczywiście ma regulamin (który się nie ładuje) i ładującą się politykę prywatności, a w niej:

    Trustly may, however, store and process any and all information provided by you (…) User approves that information provided on the User in the online banking service (including name, address, telephone number, e-mail address, sending bank account number, personal identity number and, where applicable, passport number/identity card number) is used by Trustly for the purpose of verifying the identity of the User and/or for the purpose of executing your transaction. Your information is furthermore forwarded by Trustly to the Supplier

Skoro jest tyle minusów, dlaczego PayPal zdecydował się na taki ruch? Odpowiedź jest prosta. Korzystanie z Sofort i Trustly jest tańsze niż korzystanie z renomowanych pośredników w płatnościach, którzy do banków dostają się poprzez tzw. pay-by-linki, czyli przez bezpieczne, bankowe API.

PayPal hipokryta

Warto też zauważyć, że PayPal wdrażając Trustly jest hipokrytą. Oto fragment z regulaminu PayPala dotyczący ochrony haseł do tego serwisu. Widać ta sama polityka nie dotyczy już wg PayPala haseł do banków klientów.

Bardzo istotna dla bezpieczeństwa konta PayPal jest ochrona hasła dostępu do niego. Hasła tego nie wolno nikomu wyjawiać. (…) wszelkie wiadomości e-mail lub inne formy komunikacji zawierające prośby o podanie hasła powinny być traktowane jako nieautoryzowane i podejrzane (…) Jeśli Użytkownik uważa, że ktoś mógł uzyskać dostęp do jego hasła, powinien je natychmiast zmienić.

Czemu PayPal nie zaleca zmiany hasła do konta bankowego zaraz po “szybkim doładowaniu” konta PayPal? Czemu “hasła nie wolno nikomu wyjawiać” też nie działa w przypadku tej usługi?

readImage

Jak teraz doładować PayPala?

Osobom chcącym doładować swoje konto w PayPalu radzimy użyć innej metody niż “szybkie dołądowanie” (np. wpłatę przelewem) lub całkowicie zrezygnować z korzystania z PayPala do momentu oprzytomnienia managerów PayPala.

Jeśli PayPala wykorzystywaliście do płatności zagranicą, zdecydowanie lepszą alternatywą póki co będzie płacenie w zagranicznym internecie kartami płatniczymi/kredytowymi VISA i Mastercard — te obsługują tzw. CHARGEBACK i zawsze możecie reklamować każdą transakcję, a środki zostaną wam zwrócone (polecamy lekturę naszego postu w tym temacie).

W przypadku Polski z PayPala korzystać w ogóle nie musicie. Proponujemy więc jego pomijanie i korzystanie ze znanych i bezpiecznych pośredników w płatnościach: Przelewy24, PayU, czy Tpay.

P.S. KNF wydał ostrzeżenie przed Sofortem. Czekamy na kolejne — tym razem ze względu na nowe praktyki PayPala & Trustly.

Aktualizacja 14:38
Czytelniczka Zuza zauważa, że działalność serwisów takich jak Sofort i Trustly jest “dozwolona” prawem europejskim, dyrektywą PSD2, którą Polska także będzie musiała zaimplementować do końca 2017 roku. Dyrektywa wymusza na bankach udostępnienie/otwarcie się na firmy pokroju Sofort/Trustly — ale zwróćmy uwagę na to, że udzielenie dostępu może się odbywać przez API — nigdzie dyrektywa nie wymusza podawania loginu i hasła do konta na obcej stronie. I na pewno polskie banki w ten sposób zorganizują “dostęp” do swojego interfejsu. Zresztą taki dostęp już mają — z tym, że Sofort/Trustly po prostu nie chcą z niego korzystać, aby nie ponosić dodatkowych opłat. Jeśli dyrektywa wymusi “otwarcie API” (brak pobierania opłat przez banki) to tym lepiej — skorzystają na tym także Ci, którzy jako sprzedawcy używają Pay-By-Linków, bo i tu pobierana przez pośrednika prowizja spadnie.

Aktualizacja 15:05
Jak informują nas osoby blisie dobrze poinformowanych ;) bank PKO BP już zablokował dostęp do swoich serwerów scraperom PayPala/Trustly. Przy okazji, klienci banku mogą podziwiać takie ostrzeżenie:

Cursor_and_Bezpieczne_korzystanie_z_konta_–_poufność_Twoich_danych___Ogólnokrajowe___Aktualności___PKO_Bank_Polski

Brawa za szybkość reakcji!

Aktualizacja 28.04.2016, 7:30
Olga Biernacka z CluePR podesłała nam oficjalne stanowisko PayPal ws. współpracy podjętej z Trustly:

„W dniu 26 kwietnia 2016 roku PayPal zmienił dostawcę usługi błyskawicznych doładowań, nawiązując partnerstwo z firmą Trustly Group AB. Zdajemy sobie sprawę z obaw konsumentów, dotyczących tej zmiany. Aktualnie przygotowujemy szczegółowe wyjaśnienie dotyczące nowego procesu i korzyści dla użytkowników korzystających z usługi błyskawicznych doładowań”.

Jednocześnie, czytelnicy zgłaszają nam, że PayPal w odpowiedziach na ich maile w sprawie szybkich doładowań, albo wysyła stare instrukcje (sugerujace kontakt z Bluemedia, jeśli coś nie działa) albo taką formułkę:

PayPal jak i firma Trustly czuwają nad bezpieczeństwem danych naszych klientów. Firma Trustly działa w ramach dyrektywy o dostawcach usług finansowych, nie przechowuje Pańskich danych do logowania się do banku i stosuje zabezpieczenia komputerowe, takie jak zapory i szyfrowanie danych.
Proszę mieć na uwadze, że może Pan zawsze skorzystać z opcji tradycyjnego przelewu na koncie Paypal, który trwa do 2 dni roboczych.

Aktualizacja 04.05.2016 11:06

Od Anny Borys-Karwackiej otrzymaliśmy oświadczenie Grupy Trustly. Publikujemy je w całości poniżej:

Grupa Trustly AB (Trustly) chciałaby odnieść się do ostatnich informacji medialnych na temat jej usług. W szczególności chcielibyśmy podkreślić, że:
Trustly to licencjonowana, Szwedzka instytucja płatnicza działająca pod nadzorem Komisji Finansowej. Ma prawo i mandat do oferowania usług płatniczych na terenie Unii Europejskiej.
Firma Trustly przetwarza ponad 1,5 miliona transakcji miesięcznie i nie maiła ani jednego przypadku wycieku danych logowania lub danych osobowych.
Jednym z produktów oferowanych przez Trustly jest usługa płatnicza dzięki której konsument może dokonywać płatności oraz przelewów bezpośrednio ze swojego konta bankowego. Aby to umożliwić, Trustly oferuje oprogramowanie pełniące funkcję mostu pomiędzy konsumentem (osobą płacącą) oraz bankiem internetowym. W Europie istnieje szereg dostawców oferujących tego typu usługi, a dynamiczny wzrost tego rynku wynika z szybkości i wygody oferowanych usług przy zachowaniu bezpieczeństwa na poziomie banku.
Gdy konsument inicjuje płatność za pomocą Trustly, oprogramowanie dokonuje autoryzacji indywidualnej transakcji, która jest następnie realizowana zgodnie z zasadami użytkowania usług Trustly. Konsument osobiście nadzoruje wszystkie niezbędne kroki potrzebne do dokonania płatności takie jak logowanie do banku internetowego, wybór konta, z którego pobrane będą środki jak również końcowa akceptacja oraz autoryzacja. Tym samym konsument otrzymuje pełną kontrolę nad swoimi płatnościami.
Wszelka komunikacja danych, która ma miejsce w trakcie usługi jest zaszyfrowana za pomocą 2048-bitowego standardu RSA, używanego również przez banki. Trustly nie przechowuje danych logowania i jest podmiotem kontroli standardów bezpieczeństwa dokonywanych przez niezależne firmy z branży bezpieczeństwa danych.
Trustly zostało również skontrolowane przez Radę Kontroli Danych, która orzekła, iż obsługa danych osobowych oraz logowania oferowana przez Trustly nie wykracza poza normy niezbędne dla funkcjonowania usługi oraz, iż Trustly korzysta z odpowiednich środków w celu zabezpieczenia tych danych, do których ma dostęp (Źródło: strona 5 http://www.datainspektionen.se/Documents/beslut/2014-06-09-trustly.pdf).
Trustly zostało wymienione przez Komisję Europejską jako dostawca opłacalnych i innowacyjnych usług płatniczych (Źródło: sekcja 5a, Economic Benefits, http://europa.eu/rapid/press-release_MEMO-15-5793_en.htm?locale=en ).
Trustly jest licencjonowaną instytucją płatniczą pod kontrolą Komisji Finansowej i i tym samym podlega standardom kapitałowym. Trustly, zgodnie z prawem płatniczym, ma obowiązek kompensacji wobec użytkowników w sytuacji, gdy dany użytkownik, z winy Trustly, poniósłby negatywne konsekwencje użytkowania usług Trustly.

Przeczytaj także:

290 komentarzy

Dodaj komentarz
  1. Na prawo i lewo trąbią, by nie podawać haseł nawet swojej najbliższej rodzinie, a tu taki zonk.

    Swoją drogą, ciekawe jak ta usługa działa w bankach, gdzie hasło jest maskowane?

    Np. w ING podaję jedynie 5 znaków losowo wybranych z całego hasła.

    • Jak to jak. Siedzi pani Jadzia która przepisuje odpowiednie literki ;)

    • Chyba raczej jakiś pan Rajesh lub inny Damdaramdam.

    • w przypadku ING pytają właśnie o te 5 losowo wybranych znaków http://imgur.com/SPpeSRU

  2. Wysłałem już maila pracownikom Pekao z ostrzeżeniem przed tym serwisem i prośbą o wycięcie ruchu od nich.

    • pffft, i myślisz, że pani jadzia przed ekranem POS albo jakiś koleś z Indii na supporcie dają faka?

    • @nie – jeśli dużo klientów będzie o tym pisało, to coś się może ruszyć. Zresztą zawsze warto reagować, a nie siedzieć i nic nie robić, bo “i tak nic nie wyjdzie”.

  3. Faktycznie. Zmieniła się firma za pośrednictwem której mogłem doładować konto. Dobrze, że was obserwuję bo bym nie miał pojęcia o tym co sie kroi.
    To dla mnie przykre, bo często korzystam z tej opcji, ponieważ mając dodatnie saldo na paypalu ponoszę mniejszą opłatę. Z karty jest drożej, ale już chyba wolę to niż, żeby ktoś mi przeglądał konto bankowe i uzyskał wszystkie dane (w tym adres).

    • Czuje dokładnie to samo. Często korzystam z paypal smuci mnie ta sytuacja. Tak to jest jak ktoś chce “ulepszać” coś czego nie powinien

  4. Uff, jakie szczęście, że z PayPala korzystam tylko raz na ruski rok. Każda usługa żądająca pełnego dostępu do konta bankowego jest ze swej natury zła. Wystarczy przecież założyć taki klon Sofortu czy Trustly, zaoferować dumpingowe ceny, poświadczyć usługi przez 3 miesiące normalnie, a potem wyczyścić wszystkie dostępne konta bankowe i zwiać gdzieś do tropików…

    PayPal swego czasu był bardzo upierdliwy z wymogiem posiadania karty kredytowej, co wymagało w moim przypadku albo nabycia karty do płatności internetowych z kodem CVV2, albo karty wirtualnej. W końcu jednak się opamiętali i dotarło do nich, iż nie każdy z ich użytkowników jest amerykaninem-kretynem z tuzinem takich kart…

    • Nie wszyscy amerykanie to kretyni są nawet tacy co skończyli MIT

    • Jak widać niektórzy amerykanie miewają też problemy z czytaniem ze zrozumieniem ;)

  5. Właśnie napisałem do PayPala i poinformowałem ich o tym problemie. Mają 24h na ustosunkowanie się do mojej wiadomości a odpowiedź na pewno tutaj zamieszczę. Dodatkowo właśnie jestem w trakcie kontaktu z mBankiem i ich również poinformuje o tej sytuacji.

    • “Mają 24 h”

      Genialny żart! Jesteś nikim, nie odpiszą Ci i wcale nie muszą. Skąd w ogóle pomysł, że będa tracić czas na losową osobę z internetu?

    • Nie poznajesz? To Rafał Jeżyna, brak Krzysztofa Jeżyna ze Szczecina, szefa wszystkich szefów. Jutro Pan Krzysztof wyłączy PayPala. To złego to nie my.

    • G… zrobią, ale uważacie, że jako klient nie może wymagać? Kurczę, czytając krytykę osób, które coś robią, już wiem czemu banki takie są – bo Wy wszyscy się zgadzacie z tym, co się dzieje i gnębicie osoby, które próbują zmieniać i wymagać.

  6. Już widze nowe metody wyrastają jak grzyby po deszczu, na e-wnuczka, e-słupa itp.
    Swoją drogą z chęcią poczytałbym artykuł o privacy (dot) com

    • Panie, co to się w tym kraju dzieje teraz, jakieś e-papierosy, e-sporty, e-wnuczki, e-słupy…

  7. Trustly – dobra nazwa dla firmy chcącej zrobić przekręt ;)

  8. Całe szczęście jest jeszcze opcja doładowania zwykłym przelewem. Tylko trwa to dłużej.

  9. Z PayU… – ich API nie działa z CloudFlare.

    • :O
      -_-
      Dobrze wiedzieć.

  10. No to mamy problem: z PayPala muszę niestety korzystać w przypadku Steama. Chyba pora znaleźć inny sposób płatności.

    • Nie musisz przecież doładowywać swojego konta paypal w taki sposób.. Po prostu paypal dodał szybką metodę płatności, która jest zwyczajnie kretyńska. Ale nie trzeba z niej korzystać, bo jest to jedna z opcji.

    • na steamie można dodać dowolną kartę: debetową lub kredytową i nie trzeba korzystac z paypala

    • Załóż free konto w mbanku (czy gdziekolwiek), wybierz kartę wirtualną, doładowuj gdy chcesz coś kupić. Działa z steam

    • Co do steama to polecam pay safe card idziesz do sklepu kupujesz jak zwykłego prepaida i nigdzie nie podajesz żadnych danych osobowych

    • Możesz płacić na steam za pomocą skrill: Rejestrujesz się(możesz używać nieprawdziwych informacji), później wybierasz metodę płatności(w skrill, a nie steam), ja wybieram zawsze przelewy24, później na stronie przelewy 24 wybierasz bank. Na końcu tworzysz przelew w banku, i kopiujesz i wklejasz tekst w odpowiednie pola, i już. Żeby nie wklejać ciągle tekstu, możesz zainstalować rozszerzenie które skopiuje i wklei tekst za ciebie(albo nie).

    • Nie musisz. Steam wczoraj wprowadził płatność bitcoinami.

    • @Michał Gruca
      Ostatnio jak sprawdzałem, to taka wirtualna karta w mBanku kosztowała 50 złotych rocznie. Ale to było ze dwa lata temu, może się ogarnęli.

    • Ale przecież pod PayPal możesz podpiąć kartę? Po co doładowywać PayPalowe konto?

  11. „błyskawiczne“ doładowania via bluemedia szły po kilkadziesiąt godzin, więc zmiana wydawała się konieczna… a że komuś w polskin paypalu zabrakło wyobraźni…

    • Pewnie to zależy, ja najdłużej czekałem pół godziny a doładowywałem błyskawicznie swego czasu kilka razy na tydzień (ale były to małe kwoty). Teraz to podziękuję za coś takiego.

    • Jakim cudem? U mnie doładowanie z Aliora przez BM trwało maksymalnie 15 minut. A często 2-3 minuty.

    • U mnie przelew docierał w 90% przypadków w mniej niż 10 minut ;)

    • U mnie, od jakiegoś roku, przelew wykonany z mBanku w weekend dochodził dopiero w poniedziałek ale w normalny dzień max pół godziny.

    • Jakie kilkadziesiąt godzin? Najwyżej pół godziny – i było bezpiecznie!

    • Osobiście wiele razy w ten sposób doładowywałem swoje konto na paypal. MAX czekałem 15 min (Pekao) i miałem kase na paypal. Obecnie Trustly ładuje się drugą godzinę i nadal “mam nie odswiezac ani nie wylaczac strony” – dno.

  12. ale przecież z Paypala można korzystać jako pośrednika do płatności kartą, wystarczy dodać kartę przez podanie tych samych danych co w każdym innym sklepie(numer karty, CCV2 itp), bez konieczności doładowywania, także zalecanie całkowitej rezygnacji z PayPala na rzecz kart jest moim zdaniem przesadą

    • tylko jeśli użytkownicy na masową skalę przestaną korzystać z PayPala to może właściciele zrozumieją swój błąd. inaczej w ogóle nie zareagują ponieważ nawet tego nie odczują.

    • Widzisz, nie każdy ma ochotę podpinać kartę do paypala, ktoś ci rąbnie dostęp do konta w paypalu i hulaj dusza póki się nie zorientujesz.

  13. PayPal, a właściwie Trustly, każe Ci wpisać całe hasło, więc nie ma znaczenia maskowanie hasła. I tak znają całe Twoje hasło.

    • Nieprawda, w przypadku wybrania banku w którym podaje się hasło maskowane – wyskakują maskowane pola na hasło. Podejrzewam, że w momencie wybrania banku i wprowadzeniu numeru klienta – automatycznie w tle jest odpytywany serwis banku i pola na hasło pokazują się takie, jak na oryginalnej stronie banku.

      Najbardziej zastanawia mnie, jak Trustly obchodzi potwierdzanie przelewów kodem SMS – bez podania im prawdziwych danych dostępowych nie mam jak tego sprawdzić…

    • @khartv Szczerze wątpię. Formularz proszący o podanie identyfikatora użytkownika i hasła do bankowości internetowej wydaje się być wspólny dla wszystkich banków.

    • to nie wątp dalej: http://imgur.com/SPpeSRU

    • @khartv Nie obchodzą kodu SMS, ten kod trzeba podać, często o tym wspominają przy zasadach korzystania z ich usług.

  14. pierwszy obrazek idealnie oddaje moją mine po przeczytaniu tego wpisu

  15. Tam gdzie się da stosuje płatności przez Bitcoin i jestem bardzo z nich zadowolony. Szkoda tylko że niewiele “dużych” sklepów wspiera Bitcoina.

    • Czyli w całych dwóch serwisach sprzedających dragi i podrobione paszporty? ;]

    • Nie każdy używający bitcoina musi siedzieć na SilkRoada, AlphaBay i tym podobnych… nie wrzucaj ludzi, którzy cenią sobie anonimowe płatności do jednego worka z osobami łamiącymi prawo. Np steam obsługuje bitcoiny od kilku dni, w Warszawie masz bankomaty i kawiarenki, a nawet specjalny sklep z pierdołami (kubek, długopis), w których płacisz bitcoinami lub je wypłacasz w PLN. Google nie boli, poczytaj a nie wyszydzaj kogoś na zapas -.-

  16. “Pokazujemy, abyście sami nigdy nawet was nie kusiło tam klikać.”

    Tak to jest, jak się koncepcję zdania zmienia w połowie pisania. :)

  17. Zgłaszam sprawę do KNF-u.
    Ciekawe jak zareaguje PayPal.

  18. > Płaciłeś za drinka w Cocomo? Uregulowałeś fakturę w klinice odwykowej? Jakiś mandacik? A może opłata biletu na koncert Ich Troje?

    Tak. I to wszystko udało się zrobić w jeden wieczór!

  19. Warto dodać, że skoro wymagają hasła, żeby móc się później logować w banku to muszą je przechowywać plain textem. Bardzo rozsądny pomysł.

    • Plain textem to może i akurat nie musi być, co nie znaczy, że będzie jakoś o wiele bezpieczniej…

    • @Max – tak, plaintextem. W sensie, że przetrzymują nie same hashe, a całe hasło. Więc w przypadku włamu masakra.

    • Ceber, a o szyfrowaniu, symetrycznym bądź nie, żeś słyszał?

    • @SuperTux – a co ma piernik do wiatraka? Przetrzymują hasła, zaszyfrowane czy nie – całe hasła, zatem możliwe jest ich przechwycenie przez niepowołane osoby.

    • Hasła nie muszą być nigdzie zapisywane na stałe, mogą być przechowywane w pamięci tylko na okres autoryzacji.

  20. Heh… a ja już spanikowałem i zmieniłem hasło, wywaliłem karty z konta zawiadomiłem PP o potencjalnym malware… :D

  21. Poprosiliście PayPala o komentarz w tej sprawie ?

  22. Omijac paypal jak sie da, jeszcze nie jest tak zle jak w UK ale zaraz bedzie, cuda na kiju normalnie robia z nie swoja kasa.

  23. Faktycznie, z koncertem Ich Troje to niezła plama na honorze, jeżeli wyjdzie na jaw :)

  24. przeciwko takim rozwiązanią powinny protestować same banki a nawet próbować je całkowicie blokować po swojej stronie.

  25. Po 1 nie Sofort tylko już Klarna. Bardzo poważana firma, podobnie jak Paypal. Po 2 Te metody potencjalnie możliwego oszustwa to tylko Polak mógł wymyśleć, a jest to czysty kretynizm. Kto o zdrowych zmysłach z własnego konta miałby cofać przelew i dokonywać w ten sposób oszustwa? Przecież to jest od razu do wykrycia i do sankcji karnych podobnie jak wystąpienie o zwrot za niezapłacony towar. Jeśli nie z własnego konta, to kto normalny będzie zakładać konto bankowe na słupa żeby oszukać na 1000zł w Deichmannie i co potem? Uciec na Maledivy? Powyższe powoduje, że systemy są bezpieczne, bo nikt tego nie robi i nie będzie robić. Poza tym jest zabezpieczenie przed ponownym oszustwem, gdyż system przed kolejnym z serii sprawdza czy poprzedni zakup został zaksięgowany. Wasza filozofia, że skoro coś fizycznie można to już źle? Zabić na ulicy siekierą też można. Więc co? Wychodzenie z domu też odradzicie? Po 3 W ciągu roku regulaminy banków muszą się zmienić z uwagi na PSD II. Banki nie będą mogły odmawiać reklamacji z powodu dostępu do kont podmiotów trzeciech TPP/PIS. I po 4. Z rzekomych powodów bezpieczeństwa promujecie systemy które zwyczajnie zdzierają ze sprzedawcy(Merchanta) wysokie prowizje, bo jeszcze banki na tych pay-by-linkach sowicie zarabiają(drugie tyle co agregator). Brawo Klarna i brawo Paypal – niech się to nam sprzedawcom i klientom przekłada na niskie prowizje i koszty zakupu usług.

    • Czy jak idziesz do mięsnego i sprzedawca cię poprosi o pokazanie paragonu z piekarni w której byłeś przed chwilą to też uważasz że to coś normalnego? Tak samo jest w tym przypadku, posiadając login i hasło system pośredniczący może prześledzić twoją historię konta od momentu jego założenia. Poza tym może na twoim koncie zrobić w twoim imieniu to samo co ty (pomijając operacje które trzeba potwierdzać np. kodem sms).
      Ja rozumiem, że banki pobierają prowizje za dostęp do api płatności, ale są też firmy pośredniczące które udostępniają wszystkie dane do przelewu i proszą o przelew, który dociera w kilka minut, bo pośrednik ma w konto w każdym banku. Jednak teraz jest moda żeby wszystko robić za człowieka, a jeśli chodzi o płatności to najlepiej uprościć to do jednego kliknięcia, aby tylko rzeka pieniędzy płynęła szerokim strumieniem.

    • Te niskie prowizje dla sprzedawców i klientów mogą ich potem w końcu bardzo dużo kosztować, bo wbrew pozorom SĄ ludzie, którzy będą chętni taki system wykorzystać do oszustwa i kradzieży. Myślisz, że polski bank nie będzie odmawiał reklamacji z uwagi na dostęp osób trzecich??? Mają to bardzo wyraźnie zapisane w regulaminach i pamiętaj, że to POLSKIE (a nie niemieckie czy brytyjskie) banki i tutaj panuje POLSKA mentalność – każdy pretekst będzie dla nich dobry, aby maksymalnie utrudnić lub uniemożliwić ewentualną reklamację, a fakt udostępnienia swoich danych, na dzień dzisiejszy, właściwie cementuje ich wygraną przy ewentualnym sporze. Oczywiście – nikt “normalny” nie popełni kradzieży czy oszustwa wykorzystując Sofort. Ale chyba nie jesteś tak naiwny aby myśleć, że wszyscy są normalni?!?

    • haha, nikt ci nie broni rozdawać swoich danych dostępowych do rachunku, nawet możesz je sobie napisać na czole, coby chętni nie musieli się pytać.
      Niestety, niektórzy mają mózg i nie będą się sami nadziewać na widelec jakiemuś Trustly z outsourcingiem w indiach.

    • Żadne loginy i hasła nie są przechowywane. Wszystko idzie szyfrowanym kanałem po takich protokołach z jakich korzystają banki. Poza tym taki system jest bezpieczniejszy, bo nie przechowuje kasy jako pośrednik. Całość jest transferowana od klienta do sprzedawcy – bezpośrednio.

      A wy myślicie, że taki np. paypal tak bardzo się interesuje historiami Waszych operacji na karcie kredytowej albo w rachunku? Nie musi. Wystarczająco zarabia na prowizjach i mają gdzieś czy ktoś kupił w mięsnym kilo schabu, albo pił w cocomo. Może się to kiedyś przyda takie info jako Bigdata do personalizacji reklam, ale to pod warunkiem, że się zgodzisz na taką formę zaglądania do historii, wówczas dostaniesz spersonalizowaną reklamę. Ja wole takie niż przypadkowe skoro i tak mi wyświetlają.

    • a co do argumentu, że ktoś przeprogramuję roboty, agentów sesji tego systemu płatności aby zrobić na rachunku inną operację niż zakup butów….Chryste no na pewno się opłaci. Tylko czekać aż np PayU przestanie realizować wypłaty do sprzedawców:)
      Większość z Was ma zapisane dane karty kredytowej w PayPal. Gdyby nagle operator wpadł na dziki pomysł i wyczyścił Wam te karty aż po limit? Nie można spać spokojnie. Najlepiej płacić tylko gotówką przy odbiorze. O nie…przecież kurier też może Was oczukać. Paranoja:)

    • Do Dustie. Poczytaj o PSD II. Polska póki co Polska jest w UE i nasze banki oraz KNF mają się stosować do nowej dyrektywy o usługach płatności, które dopuszczają podawanie loginu i hasła stronom trzecim i żadna odmowa reklamacji nie będzie wchodziła w grę. Już niedługo.
      A tak apropos…podajemy loginy i hasła w przeglądarkach internetowych. Czy np. taki pośrednik techniczny jak Mozilla, Microsoft czy Google nie jest stroną trzecią?
      I niby w czym taki pośrednik techniczny różni się od Paypal, Klarna czy innego dostawcy usług?

    • Wskaż proszę zdanie, w którym PSD II “dopuszcza” podawanie loginu i hasła. Dzięki.

    • To wynika wprost z art. 66
      Artykuł 66

      Przepisy dotyczące dostępu do rachunku płatniczego w przypadku usług inicjowania płatności

      1. Państwa członkowskie zapewniają, by płatnik miał prawo do korzystania z dostawcy świadczącego usługę inicjowania płatności w celu otrzymania usług płatniczych, o których mowa w pkt 7 załącznika I. Prawo do korzystania z dostawcy świadczącego usługę inicjowania płatności nie ma zastosowania, gdy rachunek płatniczy nie jest dostępny online.
      2. W przypadku gdy płatnik udziela wyraźnej zgody na wykonanie płatności zgodnie z art. 64, dostawca usług płatniczych prowadzący rachunek wykonuje czynności określone w ust. 4 niniejszego artykułu, aby zapewnić prawo płatnika do korzystania z usługi inicjowania płatności.
      3. Dostawca świadczący usługę inicjowania płatności:
      a)
      nie posiada w żadnym momencie środków pieniężnych płatnika w związku ze świadczeniem usługi inicjowania płatności;
      b)
      zapewnia, by indywidualne dane uwierzytelniające użytkownika usług płatniczych nie były – z wyjątkiem użytkownika i wydawcy takich indywidualnych danych uwierzytelniających – dostępne dla innych stron oraz by były przekazywane przez dostawcę świadczącego usługę inicjowania płatności za pośrednictwem bezpiecznych i wydajnych kanałów;
      c)
      zapewnia, by wszelkie inne informacje o użytkowniku usług płatniczych, uzyskane w trakcie świadczenia usług inicjowania płatności, były dostarczane tylko odbiorcy i wyłącznie za wyraźną zgodą użytkownika usług płatniczych;
      d)
      każdorazowo, gdy inicjowana jest płatność – identyfikuje samego siebie wobec dostawcy usług płatniczych prowadzącego rachunek na rzecz płatnika i porozumiewa się z dostawcą usług płatniczych prowadzącym rachunek, płatnikiem i odbiorcą w sposób bezpieczny, zgodnie z art. 98 ust. 1 lit. d);
      e)
      nie przechowuje szczególnie chronionych danych dotyczących płatności użytkownika usług płatniczych;
      f)
      nie żąda od użytkownika usług płatniczych żadnych danych innych niż dane niezbędne do wykonania usługi inicjowania płatności;
      g)
      nie używa, nie uzyskuje ani nie przechowuje żadnych danych do celów innych niż do wykonania usługi inicjowania płatności wyraźnie zleconej przez płatnika;
      h)
      nie zmienia kwoty, odbiorcy ani żadnych innych cech transakcji.
      4. Dostawca usług płatniczych prowadzący rachunek:
      a)
      porozumiewa się w sposób bezpieczny z dostawcami świadczącymi usługę inicjowania płatności zgodnie z art. 98 ust. 1 lit. d);
      b)
      bezzwłocznie po otrzymaniu zlecenia płatniczego od dostawcy świadczącego usługę inicjowania płatności przekazuje lub udostępnia dostawcy świadczącemu usługę inicjowania płatności wszystkie informacje o zainicjowaniu transakcji płatniczej oraz wszystkie informacje dostępne dostawcy usług płatniczych prowadzącemu rachunek w odniesieniu do wykonania transakcji płatniczej;
      c)
      traktuje zlecenia płatnicze przekazane za pośrednictwem dostawcy świadczącego usługę inicjowania płatności w sposób niedyskryminujący – chyba że postępowanie dyskryminujące jest uzasadnione obiektywnymi przyczynami – w szczególności pod względem czasu wykonania, priorytetowego charakteru lub opłat, w stosunku do zleceń płatniczych przekazanych bezpośrednio przez samego płatnika.
      5. Świadczenia usług inicjowania płatności nie można uzależniać od istnienia stosunku umownego pomiędzy dostawcami świadczącymi usługę inicjowania płatności a dostawcami usług płatniczych prowadzącymi rachunek do tego celu.

    • Zacytuj proszę 1 konkretne zdanie, które mówi lub sugeruje, że podanie loginu i hasła klienta do banku na innej stronie jest OK/jedyną możliwością/obowiązkiem.

    • @Marek

      “Wystarczająco zarabia na prowizjach i mają gdzieś czy ktoś kupił w mięsnym kilo schabu, albo pił w cocomo.”

      Twoja naiwność jest porażająca. Gdyby mieli to gdzieś, to by nie prosili o te dane. Nie wiesz, że każda korporacja myśli tylko jak zmaksymalizować swoje zyski? Tu wymyślili sposób na wejście w posiadanie tych danych i profilowanie klienta. Forsują to w KE bo co się będą rozdrabniać na poszczególne kraje z osobna. Łatwiej jest przepchnąć taką dyrektywę w UE niż wojować i namawiać poszczególne kraje. Co wcale nie oznacza, że to jest dobre dla nas.

    • @Marek. Różnica jest ogromna.
      Kiedy korzystasz z przeglądarki Mozilli (czy jakiej tam), korzystasz z oprogramowania zainstalowanego na swoim komputerze (względnie komputerze którego jesteś posiadaczem), niejako sam sobie świadczysz usługi. Twoje hasła są używane tylko do autoryzacji. niejaki sam sobie jesteś takim Trustly, logujesz się używając oprogramowania które jest zainstalowane u ciebie, korzystasz z komputera nad którym masz całkowitą kontrolę itd. A z tym pośrednikiem jest jedna wielka niewiadoma. Wysyłasz mu hasło i rozpoczyna się mielenie na jego sprzęcie, jego oprogramowaniu i jedyne co to masz gdzieś podobno jakieś zapewnienie (regulamin nadal niedostępny) że niby jest bezpiecznie i tym bardziej że oni nie zapisują nigdzie hasła (taa, nie zapisują :D, zapisują ot choćby w zmiennej przechowywanej w pamięci RAM, RAM się swapuje na dysk i tadaaaam).

    • Ustawa została zrewidowana aby wzmocnić konkurencyjność w UE i obniżyć koszty e-commerce. Dostęp dla podmiotów trzecich wzmacnia konkurencyjność. Dyrektywa nie narzuca obowiązku i nie jest to jedyna możliwość realizowania płatności. Ustawa legalizuje(wnosi tzw.ok) stronę trzecią transakcji w postaci Dostawcy Usług Inicjowania Płatności (Klarna, Trustly itp.) w stosunku do Dostawcy Usług Płatności(Banki).

      “W przypadku gdy płatnik udziela wyraźnej zgody na wykonanie płatności zgodnie z art. 64, dostawca usług płatniczych prowadzący rachunek wykonuje czynności określone w ust. 4 niniejszego artykułu, aby zapewnić prawo płatnika do korzystania z usługi inicjowania płatności.
      Zapewnia, by indywidualne dane uwierzytelniające użytkownika usług płatniczych nie były – z wyjątkiem użytkownika i wydawcy takich indywidualnych danych uwierzytelniających – dostępne dla innych stron oraz by były przekazywane przez dostawcę świadczącego usługę inicjowania płatności za pośrednictwem bezpiecznych i wydajnych kanałów;

    • Twoje rozumowanie to mniej-więcej “nic się nie stało, więc nic się nie stanie”. Próbujemy ci wyjaśnić, że jest BŁĘDNE. To, że nikt jeszcze nie ogolił Deichmanna na 1000 PLN w butach, bo tobie się wydaje to śmieszne/absurdalne/niemożliwe, nie znaczy wcale, że nikt nigdy nie będzie tego próbował. Nie wszyscy są uczciwi i normalni. Wychodzenie z takiego założenia jest sprzeczne z podejściem, jakie jest tutaj propagowane i o jakim się dyskutuje. Gdybyśmy wszyscy zakładali, że “wszystko będzie dobrze”, to nie było by w ogóle tych artykułów, ani tej strony, ani tematu bezpieczeństwa w sieci w ogóle. Zrozum. Nie wszyscy są uczciwi. Sofort pewnie jest, ale pomyśl sobie o wszystkich tych, którzy nie są, a są bardzo zdolni i mogliby zaufanie klientów do systemu Sofort wykorzystać. Paypal mimo wszystko nie jest systemem, który sięga po środki na koncie internetowym. Pośrednicy z paybylinkami także nie sięgają.

    • ja widzę tu obronę interesów bankowego lobby które pobiera opłatę za udostępnienie API(wcale nie jest powiedziane w PSDII, że przestaną czerpać zyski), a inne sprytne rozwiązania omijające API, które to powodują, że np. Niemcy i połowa zachodniej europy mają o połowę niższe koszty prowizyjne od Polaków krytykujesz.
      Gdyby te systemy były takie wadliwe, to ich e-commerce dawno by się zawalił, a wręcz przeciwnie – kwitnie.

    • Napisałeś, że “udzielenie dostępu może się odbywać przez API — nigdzie dyrektywa nie wymusza podawania loginu i hasła do konta na obcej stronie.”

      Może, ale nie musi odbywać się przez API. Nie wymusza podawania loginu i hasła na obcej stronie, ale też nie zabrania.
      Co więcej – zabrania blokowania dostępu oraz dyskryminowania TPP.
      Vivat niskie koszty.

    • @janusz z krakowa Ja pisałem w kontekście strony trzeciej transakcji i wymaganiu KNF co do niepodawania danych trzecim stronom. Swoją drogą jaką mam mieć pewność, że producent przeglądarki nie przechwytuje danych z formularzy? Zawsze mogą wdrożyć taką funkcjonalność i co z tego, że instalacja jest lokalna? Łatwiejsze niż z grywanie z pamięci RAM zaszyfrowanych danych;)

    • 30)
      Indywidualne dane uwierzytelniające używane do bezpiecznego uwierzytelnienia klienta przez użytkownika usług płatniczych albo przez dostawcę świadczącego usługę inicjowania płatności są zwykle danymi wydanymi przez dostawców usług płatniczych prowadzących rachunek. Dostawcy świadczący usługę inicjowania płatności nie muszą koniecznie wchodzić w stosunki umowne z dostawcami usług płatniczych prowadzącymi rachunek, a dostawcy usług płatniczych prowadzący rachunek powinni umożliwiać dostawcom świadczącym usługę inicjowania płatności – bez względu na stosowany przez nich model biznesowy – korzystanie z procedur uwierzytelniających zapewnianych przez dostawców usług płatniczych prowadzących rachunek w celu zainicjowania konkretnej płatności w imieniu płatnika.

    • (69)
      Obowiązek bezpiecznego przechowywania indywidualnych danych uwierzytelniających ma ogromne znaczenie dla ochrony środków pieniężnych użytkownika usług płatniczych i dla ograniczenia ryzyk związanych z oszustwami i nieuprawnionym dostępem do rachunku płatniczego. Warunki lub inne obowiązki nakładane przez dostawców usług płatniczych na użytkowników usług płatniczych dotyczące bezpiecznego przechowywania indywidualnych danych uwierzytelniających nie powinny jednak być sformułowane w sposób, który uniemożliwia użytkownikom usług płatniczych korzystanie z usług oferowanych przez innych dostawców usług płatniczych, w tym usług inicjowania płatności i usług dostępu do informacji o rachunku. Ponadto warunki takie nie powinny zawierać żadnych postanowień, które w dowolny sposób utrudniałyby korzystanie z usług płatniczych świadczonych przez innych dostawców usług płatniczych posiadających zezwolenie lub zarejestrowanych zgodnie z niniejszą dyrektywą.

    • @Marek z Punktu 3 d:

      każdorazowo, gdy inicjowana jest płatność – identyfikuje samego siebie wobec dostawcy usług płatniczych prowadzącego rachunek na rzecz płatnika i porozumiewa się z dostawcą usług płatniczych prowadzącym rachunek, płatnikiem i odbiorcą w sposób bezpieczny, zgodnie z art. 98 ust. 1 lit. d);

      wynika, że logowanie się na twojego użytkownika i hasło jest nielegalne. W żaden sposób Sofort/Paypal/Trusty podszywając się pod ciebie nie identyfikuje się “wobec dostawcy usług płatniczych”.

    • @Dustie, typowi pośrednicy pay-by-link i każdy kolejny taki podmiot na rynku też może sięgnąć po środki klientów. Tym łatwiej, że w ich modelu kasa ląduje najpierw na ich koncie pośrednim, dlatego mogą zbiorczo, jednorazowo wytransferować cały dzienny utarg tysięcy klientów.
      Co do potencjalnej mozliwości fraudu to jest mozliwe wszędzie. Każdy może założyć sklep internetowy i oszukać kupujących. Każdy pośrednik może okazać się nieuczciwy i ukraść. Fajnie, że się pisze o bezpieczeństwie, ale tu jest swego rodzaju nagonka na inny model biznesowy. Faworyzuje się jedne podmioty kosztem innych. Ja wskazałem tylko na kompletny brak racjonalnej opłacalności takich praktyk. A jeśli przyjmiesz , że oszust jest idiotą, to naprawdę mozliwe są miliony niedorzecznych scenariuszy. Nie wiem czy warto o tym pisać w kontekście luk systemowych.

    • @pepe72 Jeśli bank udostępni dla TPP kanał komunikacji jedynie w celu identyfikacji, to moim zdaniem jeszcze nie oznacza, że PIS będzie zmuszony korzystać z API banku w celu realizowania całego przebiegu transakcji.
      Nie mam co do tego pewności.
      Być może Trustly lub Sofort może się identyfikować, ale w pkt 30 PSD II jest: “dostawcy usług płatniczych prowadzący rachunek powinni umożliwiać dostawcom świadczącym usługę inicjowania płatności – bez względu na stosowany przez nich model biznesowy”

    • @pepe72 nikt się nie loguje za Ciebie. To Ty się logujesz na swoim koncie i dokonujesz transferu. Pośrednik inicjujący płatność tylko dostarcza Tobie agregującej konto usługi technicznej abyś przeprowadził operację.

    • „Po 3 W ciągu roku regulaminy banków muszą się zmienić z uwagi na PSD II.”

      Absolutnie żadne regulaminy się nie zmienią. Nigdzie w dyrektywie nie ma wymogu dostępu przez login/hasło. Nigdzie też nie jest napisane, że dostęp ma być tak niebezpieczny jak oferuje to Sofort/Klarna/Trustly. Już od wielu lat w Polsce de facto działa to co tam jest opisane, tylko w bardziej ograniczonym zakresie.

    • “Żadne loginy i hasła nie są przechowywane.”

      Udowodnij.

      “typowi pośrednicy pay-by-link i każdy kolejny taki podmiot na rynku też może sięgnąć po środki klientów.”

      Nieprawda. Wszystkie dane potwierdzasz sam już na stronie własnego banku. Jeszcze raz – PSD II w żaden sposób nie zmusi żadnego banku do tego, aby akceptował podawanie danych podmiotom trzecim. A większość banków w Polsce API już ma, zrobione prawidłowo ze względów bezpieczeństwa. Wystarczy je rozszerzyć.

    • Piotr 2016.04.27 20:25 | # |
      “Żadne loginy i hasła nie są przechowywane.”

      Udowodnij.

      Nie ma żadnej potrzeby ani powodu aby te dane przechowywać. System działa sprawnie i zyskownie bez takiej funkcjonalności, więc nie ma sensu jej wprowadzać aby mieć później problem w czasie audytu lub zrobić sobie podatność na atak. Za dużo mają do stracenia, a zarabiają miliony. To byłby bezsens totalny.

      “typowi pośrednicy pay-by-link i każdy kolejny taki podmiot na rynku też może sięgnąć po środki klientów.”

      Nieprawda. Wszystkie dane potwierdzasz sam już na stronie własnego banku. Jeszcze raz – PSD II w żaden sposób nie zmusi żadnego banku do tego, aby akceptował podawanie danych podmiotom trzecim. A większość banków w Polsce API już ma, zrobione prawidłowo ze względów bezpieczeństwa. Wystarczy je rozszerzyć.

      Ależ oczywiście że mogą oszukać. Tpay czy przelewy24 najpierw transferują środki klientów na własne konta pośrednie, a później regulują wypłaty do sprzedawców. Wystarczy, że przeleją pieniądze tysięcy klientów z jednego dnia do republiki bananowej i tyle.
      Ty nie rozumiesz na czym polega problem z API banksterów. Co z tego że zabezpieczone skoro są słono płatne, co się przekłada na wyższe ceny w sklepach o 1-2%
      I oczywiście PSD II wymusza na bankach umożliwienie dostępu podmiotom trzecim na stronach których można podawać login i hasło. Odsyłam do źródeł które już tutaj cytowałem.

      Po 3 W ciągu roku regulaminy banków muszą się zmienić z uwagi na PSD II.”

      Absolutnie żadne regulaminy się nie zmienią. Nigdzie w dyrektywie nie ma wymogu dostępu przez login/hasło. Nigdzie też nie jest napisane, że dostęp ma być tak niebezpieczny jak oferuje to Sofort/Klarna/Trustly. Już od wielu lat w Polsce de facto działa to co tam jest opisane, tylko w bardziej ograniczonym zakresie.

      Nie chodzi o wymóg podawania loginu i hasła, tylko o taką możliwość. Wymóg, a możliwość – czujesz różnicę? Podobnie nie że ma być “niebezpieczny” dostęp, tylko może być. Ma, a może – czujesz różnicę? Wreszcie co to znaczy niebezpieczny? Gdyby taki był już dawno taki system by zbankrutował a tymczasem od wielu lat z sukcesem realizuje połowę transakcji e-handlu np. Niemcom i to o połowę taniej w stosunku do naszych pay-by-linków.

    • Sofort podobno sprawdza(ł) czy przelew nie został anulowany. Jak wg. ciebie miałoby to być zrealizowane jeśli nie przechowując login i hasło?
      Nic nie stoi na przeszkodzie żeby taki system zrealizować bez podawania danych do logowania. Wystarczy, tak jak robią to niektórzy pośrednicy, przekazać dane do przelewu, który użytkownik robi sam na stronie swojego banku. Do tego jeśli taki pośrednik ma konto w każdym banku to płatność realizowana jest w kilka minut. W ten sposób pomija się api banków i ich prowizje.
      A jeśli nadal nie rozumiesz to może inny przykład: dzwoni do ciebie kurier, że ma paczkę, czy odpowiadasz mu „będę za godzinę”, czy „klucz jest pod wycieraczką, paczkę proszę zostawić na stole w kuchni”?

    • Sprzedam iPhone 6s za 1115 zł nowy i z gwarancją, prześlij mi tylko klucz do swojego mieszkania, podaj adres i zostaw gotówkę na stole. Podczas twojej nieobecności przyjadę zostawię na stole pudełko z iPhone i zabiorę 1115 zł, jeśli będzie trzeba wydam resztę.
      Zapraszam do zakupów!

    • @Marek
      Art 66 p3d
      Co to według Ciebie oznacza?

    • gs 2016.04.27 23:18 | # |
      Niemiec ma tak samo do dyspozycji PayPal alternatywnie.

      Nie rozumiesz jak działa system przelewów bezpośrednich.
      Jak kupujesz coś np. w USA, to płacisz przecież z własnego konta , które jest w polsce. Niczym to się nie różni od tego jakbyć zlecił przelew z własnego konta. I ten sam problem masz w przypadku typowych polskich Pay-by-linków.
      Generalnie do kupowania w USA moim zdaniem lepiej sprawdza sie PayPal.

      Co ma piernik do wiatraka? Porównujesz ryzyko kursowe przy kredytach hipotecznych z usługami płatności które pobierają niższe prowizje od sprzedawcy? Hello?

      fyx 2016.04.28 07:41
      Nie ma znaczenia czy zrezygnujesz z marży, czy przerzucisz na klienta. W skali europejskiej jesteś mniej konkurencyjny:(

    • fyx 2016.04.28 07:3 Trustlyczek
      “Sofort podobno sprawdza(ł) czy przelew nie został anulowany. Jak wg. ciebie miałoby to być zrealizowane jeśli nie przechowując login i hasło?”
      Jest tylko kilka banków które pozwalają na cofanie. Mozna to prosto sprawdzić, ale dopiero w momencie drugiej transakcji. System na serwerze sprawdza czy z Twojego konta były w ostatnich 30 dniach zakupy. Jeśli tak, to zagląda w historię czy zostały zaksięgowane, tzn czy nie cofnąłeś przelewu jako oszust. Dopiero po tej weryfikacji możesz nadal kupowac.
      Żadne przechowywanie loginów i haseł nie jest potrzebne.

      Ty nie podajesz nikomu tych danych. One nie są rejestrowane. System dostarcza jedynie usługi technicznej która tylko pomaga Ci/TOBIE zrealizować przelew bezpośrednio do odbiorcy. Bez pośredników. Zatem żadnego kuriera nie wpuszczasz do domu. W Sofort i Trustly na stałe nic nie jest zapisane.

      A kartę płatniczą np. w Paypal macie zapisane na stałe? I co? Nie boicie się Kuriera w domu? Słusznie. Nikt Was nie oszuka. Pamiętajcie, że np. Sofort/Klarna i Trustly zarabiają miliony miesięcznie na prowizjach od transakcji i te Wasze salda bankowe oraz wielkie obawy mają głęboko w d…..Nikt nie zepsuje multimilionowego biznesu okradając Polaczka z pensji od Biedronki itp:)

    • @zrob
      art.66 3d będzie obowiązywać od 2017r. Do tego czasu banki mają obowiązek przygotować kanał którym PIS będzie się identyfikować. Żaden problem. To jeszcze nie oznacza, że transakcja będzie musiała od początku do końca przebiegać z wykorzystaniem API banku.
      pkt. 30 mówi:
      “dostawcy usług płatniczych(banki) prowadzący rachunek powinni umożliwiać dostawcom świadczącym usługę inicjowania płatności – bez względu na stosowany przez nich model biznesowy – korzystanie z procedur uwierzytelniających zapewnianych przez dostawców usług płatniczych prowadzących rachunek w celu zainicjowania konkretnej płatności w imieniu płatnika.”

    • PSD II
      Artykuł 115

      Transpozycja

      6. Państwa członkowskie zapewniają, by dopóki poszczególni dostawcy usług płatniczych prowadzący rachunek nie spełnią regulacyjnych standardów technicznych, o których mowa w ust. 4, dostawcy ci nie nadużywali braku zgodności z tymi standardami w celu blokowania lub utrudniania korzystania z usług inicjowania płatności i usług dostępu do informacji o rachunku w odniesieniu do rachunków, które ci dostawcy prowadzą.

    • Coś Ci się wątki pomieszały :)

      “Niemiec ma tak samo do dyspozycji PayPal alternatywnie. ”

      Chyba nadal nie zrozumiałeś, PO CO w Niemczech był potrzebny taki system. No to zadam łopatologiczne pytanie: czy Niemiec nie mający karty może od razu zapłacić z PayPal, czy też musi najpierw “zasilić” PayPal “alternatywnie” (czyli zwykłym przelewem), i już za dwa-trzy dni może zakończyć transakcję?

      “Nie rozumiesz jak działa system przelewów bezpośrednich.”
      Ale co tu jest, czego można nie rozumieć?

      “Jak kupujesz coś np. w USA, to płacisz przecież z własnego konta , które jest w polsce. Niczym to się nie różni od tego jakbyć zlecił przelew z własnego konta.”

      Zgadza się. Tylko że płacąc samodzielnie z własnego konta mam ŚWIADOMOŚĆ, że decyduję się na przelew zagraniczny o określonym koszcie. Jaki więc jest plus tego, że komuś dam dostęp i ktoś wykona za mnie przelew zagraniczny nie informując mnie nawet o tym, że będzie to przelew zagraniczny? Że nie będę musiał zrobić 3xCtrl+C, Ctrl+V?

      “I ten sam problem masz w przypadku typowych polskich Pay-by-linków.
      Generalnie do kupowania w USA moim zdaniem lepiej sprawdza sie PayPal.”

      Różnica jest taka, że płacąc pay-by-link to JA wchodzę na stronę MOJEGO banku i akceptuję transakcję. A nie daję trzeciej stronie pełny dostęp do wszystkiego: kont, debetów, kredytów (jakie, od kiedym na ile, na jak długo), inwestycji (wartość, profil inwestycyjny, szczegóły z biura maklerskiego, co i kiedy kupiłem itp, itd). A jeżeli bank stosuje pojedynczą identyfikację użytkownika to dodatkowo może zyskać dostęp np. do danych firmy, w której jesteś zatrudniony i upoważniony do wykonywania określonych operacji.
      Naprawdę nie rozumiesz różnicy?

      “Co ma piernik do wiatraka? Porównujesz ryzyko kursowe przy kredytach hipotecznych z usługami płatności które pobierają niższe prowizje od sprzedawcy? Hello?”

      Podniecasz się tym 1-1,5%, więc porównuję z podobnymi pseudo oszczędnościami powiązanymi z niezrozumieniem, z czego się biorą. Poza tym prawidłowe porównanie brzmiałoby: “Porównujesz kredyty hipoteczne o niższym oprocentowaniu z usługami płatności które pobierają niższe prowizje od sprzedawcy”.

      fyx 2016.04.28 07:41
      “Nie ma znaczenia czy zrezygnujesz z marży, czy przerzucisz na klienta. W skali europejskiej jesteś mniej konkurencyjny:(”

      Tak, zgadza się. Jesteś mniej konkurencyjny względem kogoś, kto przerzuci koszty w sposób ukryty (jak choćby wykonując kosztowny przelew zagraniczny). To ja już wolę, aby te koszty były jawnie podane, a nie zaskakiwały dopiero na wyciągu.

      “Mozna to prosto sprawdzić, ale dopiero w momencie drugiej transakcji. System na serwerze sprawdza czy z Twojego konta były w ostatnich 30 dniach zakupy. Jeśli tak, to zagląda w historię czy zostały zaksięgowane, tzn czy nie cofnąłeś przelewu jako oszust. Dopiero po tej weryfikacji możesz nadal kupowac.
      Żadne przechowywanie loginów i haseł nie jest potrzebne.”

      Ke? A skąd w takim razie (nie przechowując loginów i haseł) niby wie, że ja to ja i że pod tym loginem, który TERAZ podaję w historii powinno znajdować się potwierdzenie transakcji? Albo co, jeżeli kolejną transakcję będę wykonywał po 60 dniach?

      “Nikt nie zepsuje multimilionowego biznesu okradając Polaczka z pensji od Biedronki”
      Widzę, że na koniec się dowartościowałeś. Choć bardziej pokazałeś swoją prawdziwą twarz

      PS. Co do kuriera – przecież on też tyko użyje kluczy, aby wejść do domu, położyć paczkę i zabrać pieniądze. Po wyjściu odłoży je tam, gdzie leżały (albo jak zrobiłeś mu kopię to rozpuści w kwasie).

    • @wszyscy poza Markiem. Miałem się powstrzymać, ale gość pracuje w marketingu najwyraźniej:

      – “Słuchaj, nie rozumiem tego co sprzedaję”
      – “Ja ci to wytłumaczę…”
      – “Nie, nie. Wytłumaczyć to ja też potrafię.”

      @Marek: nawet jak wzywam hydraulika, bo się z rury leję, to jestem w domu a nie daję mu klucze i mówię “wpadnij i napraw”. A w toalecie nie trzymam rzeczy wartościowych. Ty możesz oczywiście zrobić jak uważasz, ale w tej sytuacji może podasz tutaj swój PESEL i numer dowodu – mnie się wyświetla https, więc Twoje dane są bezpieczne.

    • gs 2016.04.28 16:10 | # |
      Coś Ci się wątki pomieszały :)

      “Niemiec ma tak samo do dyspozycji PayPal alternatywnie. ”

      Chyba nadal nie zrozumiałeś, PO CO w Niemczech był potrzebny taki system. No to zadam łopatologiczne pytanie: czy Niemiec nie mający karty może od razu zapłacić z PayPal, czy też musi najpierw “zasilić” PayPal “alternatywnie” (czyli zwykłym przelewem), i już za dwa-trzy dni może zakończyć transakcję?

      – teraz Cię rozumiem. Ale od kiedy Niemcy nie mają kart kredytowych? Haha chyba dawno Cie tam nie było. Nie muszą zasilać alternatwnie przelewami.

      “Nie rozumiesz jak działa system przelewów bezpośrednich.”
      Ale co tu jest, czego można nie rozumieć?
      – …
      “Jak kupujesz coś np. w USA, to płacisz przecież z własnego konta , które jest w polsce. Niczym to się nie różni od tego jakbyć zlecił przelew z własnego konta.”

      Zgadza się. Tylko że płacąc samodzielnie z własnego konta mam ŚWIADOMOŚĆ, że decyduję się na przelew zagraniczny o określonym koszcie. Jaki więc jest plus tego, że komuś dam dostęp i ktoś wykona za mnie przelew zagraniczny nie informując mnie nawet o tym, że będzie to przelew zagraniczny? Że nie będę musiał zrobić 3xCtrl+C, Ctrl+V?

      – podtrzymuję,że nie masz pojęcia jak działa system przelewów bezpośrednich. Po 1 nikt za Ciebie nie wykonuje przelewu. Po 2 masz cały czas kontrolę ile i z jakiego konta płacisz. Sofort oraz Trustly kopiuje formatki abyś cały ten proces miał widoczny tak samo jak w interfejsie bankowym.
      PIS nie bierze od Ciebie dostępu tylko umozliwia Ci technicznie zrealizowanie przelewu wykonując operacje techniczne w Twoim imieniu, ale to wciąż tylko TY zatwierdzasz.

      “I ten sam problem masz w przypadku typowych polskich Pay-by-linków.
      Generalnie do kupowania w USA moim zdaniem lepiej sprawdza sie PayPal.”

      Różnica jest taka, że płacąc pay-by-link to JA wchodzę na stronę MOJEGO banku i akceptuję transakcję. A nie daję trzeciej stronie pełny dostęp do wszystkiego: kont, debetów, kredytów (jakie, od kiedym na ile, na jak długo), inwestycji (wartość, profil inwestycyjny, szczegóły z biura maklerskiego, co i kiedy kupiłem itp, itd). A jeżeli bank stosuje pojedynczą identyfikację użytkownika to dodatkowo może zyskać dostęp np. do danych firmy, w której jesteś zatrudniony i upoważniony do wykonywania określonych operacji.
      Naprawdę nie rozumiesz różnicy?

      – “Twojego Banku” A czym takim jest ten Twoj bank i jaki on Twój? Instytucja z kapitałem prywatnym nastawiona na zysk. Dajesz im dostęp do wszystkich informacji które tak tu podnosisz. Masz takie zaufanie, że te dane nie zostaną bez Twojej zgody wykorzystane?
      Tak samo mogą jak być dopuścił do nich PayPal.
      Inna sprawa, że poważne instytucje nie narażą swojego biznesu handlując Twoimi informacjami. To się nie opłaca, bo straty wizerunkowe przewyższą korzyści.
      A nawet jak dostaniesz spersonalizowaną reklamę czegoś. taka tragedia? I tak musisz oglądać reklamy, więc niech będą interesujące.

      “Co ma piernik do wiatraka? Porównujesz ryzyko kursowe przy kredytach hipotecznych z usługami płatności które pobierają niższe prowizje od sprzedawcy? Hello?”

      Podniecasz się tym 1-1,5%, więc porównuję z podobnymi pseudo oszczędnościami powiązanymi z niezrozumieniem, z czego się biorą. Poza tym prawidłowe porównanie brzmiałoby: “Porównujesz kredyty hipoteczne o niższym oprocentowaniu z usługami płatności które pobierają niższe prowizje od sprzedawcy”.

      – te oszczędności nie są wcale pseudo. Gdybyś handlował tak jak ja w internecie na marży 3%, to te 1,5 oszczędności stanowi połowe moich zarobków.
      Przykład porównawczy do kredytów sorry ale jest z d..y

      fyx 2016.04.28 07:41
      “Nie ma znaczenia czy zrezygnujesz z marży, czy przerzucisz na klienta. W skali europejskiej jesteś mniej konkurencyjny:(”

      Tak, zgadza się. Jesteś mniej konkurencyjny względem kogoś, kto przerzuci koszty w sposób ukryty (jak choćby wykonując kosztowny przelew zagraniczny). To ja już wolę, aby te koszty były jawnie podane, a nie zaskakiwały dopiero na wyciągu.

      – podobnie jak wyżej. Nikt nei ukrywa kosztów przelewu – ani Trustly ani Sofort, ani paypal. Wszystko masz widoczne w trakcie i niczym się nie różni od widoku zlecenia przelewu z okna banku.

      “Mozna to prosto sprawdzić, ale dopiero w momencie drugiej transakcji. System na serwerze sprawdza czy z Twojego konta były w ostatnich 30 dniach zakupy. Jeśli tak, to zagląda w historię czy zostały zaksięgowane, tzn czy nie cofnąłeś przelewu jako oszust. Dopiero po tej weryfikacji możesz nadal kupowac.
      Żadne przechowywanie loginów i haseł nie jest potrzebne.”

      Ke? A skąd w takim razie (nie przechowując loginów i haseł) niby wie, że ja to ja i że pod tym loginem, który TERAZ podaję w historii powinno znajdować się potwierdzenie transakcji? Albo co, jeżeli kolejną transakcję będę wykonywał po 60 dniach?

      – a stąd drogi Panie że w bazie zapisane ma numer konta z którego zrobiłeś fraud. Po nim wyszukuje czy już coś kupiłeś wcześniej. Zresztą musi mieć ustawowo i jprzechowywać tego typu dane osobowe. Jednak numer konta to nie Twoj login ani nie hasło.

      “Nikt nie zepsuje multimilionowego biznesu okradając Polaczka z pensji od Biedronki”
      Widzę, że na koniec się dowartościowałeś. Choć bardziej pokazałeś swoją prawdziwą twarz

      – masz rację. tu się zapędziłem, ale takie są realia biznesowe.

      PS. Co do kuriera – przecież on też tyko użyje kluczy, aby wejść do domu, położyć paczkę i zabrać pieniądze. Po wyjściu odłoży je tam, gdzie leżały (albo jak zrobiłeś mu kopię to rozpuści w kwasie).
      – czasem kurier wniesie coś do domu – przy Tobie – , połozy i wyjdzie. Nie ukradnie Ci po drodze srebrnej zastawy

    • @ Marek Danych dostępowych nie udostępnia się osobom trzecim i kropka. Ja w ogóle nie mam czasu ani chęci na głowienie się czy nieznany mi człowiek z drugiego końca świata jest na tyle “poważny” by nie zajumać mi kasy. Złota zasada bezpiecznego e-handlu jest prosta: każdego napotkanego w internecia człowieka/firmę należy traktować jako potencjalnego oszusta i postępować tak, by skutki ewentualnego oszustwa zredukować do mało dotkliwego poziomu. Rozumny człowiek nigdy nie trzyma całych swoich oszczędności w jednym banku/w jednej skarpecie/jednym garnku zakopanym w ziemi. To tyle.

    • @Adam
      w tych systemach nie udostępniasz danych, bo one nie są skonstruowane w taki sposób aby je pozyskiwać. Tylko te dane przepuszczają. Podobnie robi przeglądarka internetowa, którą z podobnymi kryteriami też możesz nazwać stroną trzecią.
      Poza tym działalność takich podmiotów została uregulowana prawnie, więc na nic te strachy na lachy KNFu i rozpowszechnianie fobii oraz nagonki.
      To wygląda jakby banki płaciły agencjom PR za obronę ich interesów i pisanie komentarzy, bo to one tylko tracą na screen scrapingu, a my wszyscy zyskujemy. N moze poza tradycyjnymi pay-by-linkami, które też mają interes by wylewać pomyje.
      Nie wiem czy wiesz, ale przez jakiś czas same banki prosiły klientów o zalogowanie się do innego banku w celu ustalenia zdolności kredytowej.
      KNF im zabronił, ale ten zakaz obowiązuje jedynie w okresie przejściowym. Za rok, zgodnie z dyrektywą Banki będą miały pełne prawo udostępnić Ci ponownie, jako strona trzecia, logowanie do innego banku i będą to robić, bo metoda jest sprawna, szybka i bezpieczna w przenoszeniu klientów.
      Zainteresowani nawbijali Wam do głowy, że to samo ZŁO.
      Niech edukują Kowalskiego czym się rożni phishingowa strona od audytowanego, legalnego systemu płatności. To wystarczy.

    • Marek, pokaz kod zrodlowy tego systemu i daj haslo na roota – to sprawdzimy czy rzeczywiscie tak sa konstuowane jak piszesz. Inaczej, mozna tylko nie zakladac ich zlej woli – ale w przypadku przekazywania komus mojego dostepu do konta, to ja nie bede taki ufny w stosunku do kazdego.

    • @Piotr Konieczny
      To byśmy musieli otrzymać zlecenie na testy typu White-Box. Firmy audytujące mają taki wgląd i być może zatrudnią kiedyś Niebezpiecznika aby rozwiać obawy.
      PSD II narzuca obowiązek audytowania podmiotów trzecich.
      Skoro nie jesteśmy stroną audytującą, to możemy polegać na reputacji organizacji audytującej i zaufać polityce prywatności. Dla mnie Trustly jest wiarygodne działając od 2008 roku, a od 2014 zasila w innych krajach Paypal, Groupon, a także ma współpracę z Facebookiem i tysiącem innych klientów. Myślę, że krytyka jaka tu się rozlewa jest mocno przesadzona i krzywdząca dla tego typu firm. Ciekawe, że tylko w Polsce ma miejsce takie czepialstwo w stosunku do systemów wykorzystujących scraping, zainicjowane przez KNF czy tam jakiegoś blogera, który odkrył “mega fraud życia”.

    • @Marek
      >Większość z Was ma zapisane dane karty kredytowej w PayPal.
      Nie po to korzystam z Paypala, żeby mu podawać dane karty płatniczej i takich danych ode mnie nie uzyskał i nie uzyska. Na jakiej podstawie wysuwasz twierdzenie, ze większość z “nas” ma zapisane tam dane karty?

    • Wydaje mi się, że Piotr Konieczny dobrze podsumował problem. Mogą sobie istnieć procedury , regulaminy, umowy i regulacje prawne. Ale jak to bywa w przypadku kwestii dotyczących prywatności – dopóki nie sprawdzisz kodu źródłowego nie masz pewności. Dane siedzą schowane gdzieś na serwerach i musisz wierzyć na słowo, że takie dane nie są zbierane albo nie są wykorzystywane.

      A jak będą składowane i wykorzystane, to jak to udowodnisz? I takie jest też podejście firm do danych prywatnych (i tu już piszę z doświadczenia) – “przecież nikt tego nie sprawdzi. Najwyżej się usunie jak ktoś zacznie robić raban”.

      Poza tym wszystkie operacje są rejestrowane i logowane. A do tych danych ma dostęp niejeden informatyk, który już dobrze wie jak zrobić z nich po cichu użytek. Teraz albo za 10 lat. I mogą mieć popodpisywane zobowiązania o niewykorzystywaniu danych, komputery mogą być chronione przed wynoszeniem danych itd., ale to wszystko za mało.

    • @Marek: mylisz się, podajesz w przeglądarce (na swoim komputerze) dane do logowania do banku, któe są przesyłąne do pośrednika (Trustly), który te dane odbiera (i może przetworzyć), a dopiero potem je przesłyła do banku (logując się na moje konto). Także technicznie rzecz biorąc to nie ja się loguję do banku na swoje konto – ja tylko podaję dane – a loguje się bot/automat/skrypt. I w dodatku nie mam żadnej kontroli (poza zapewnieniami firmy), co taki bot/skrypt robi na moim koncie (w sensie co sprawdza/pobiera).

    • @Marek:
      1. karta kredytowa to nie to samo co [pełny] dostęp do konta – poczytaj jak nie wierzysz.
      Ja wolę podać dane karty PayPalowi (czy nawet Sofortowi), niż dostęp do konta.
      Ba! wolałbym przesłać pieniądze Western Union Tobie do Twojego sklepu niż coś kupić od Ciebie przez Soforta. Całość jest skomplikowana i po wszystkich argumentach, które tutaj padły, nie chce mi się więcej tłumaczyć, naprawdę.
      2.
      “Gdyby było takie złe, to by nie przeszło jako prawo Unijne (…)”

      Prawo unijne zabraniało bananom być zbyt prostymi albo zbyt krzywymi. No i świetnie. Czy banany posłuchały tej legalnej i tańszej dla wszystkich dyrektywy?

      3.
      “(…) a doświadczenia z wielu innych krajów wskazały, że nie jest ZLE.”

      Doświadczenia z innych krajów wskazują, że zakaz sprzedaży i spożywania alkoholu nie jest zły. (zauważ, że być może mamy inne definicje “zła” i “dobra”).

      Prawdopodobnie z Twoim podejściem zarobisz miliony, ale część kupujących woli uczciwe transakcje – bez ukrytego wiązania z czymkolwiek.

    • @ Marek “W tych systemach nie udostępniasz danych, bo one nie są skonstruowane w taki sposób aby je pozyskiwać.”

      Ja nie mam dostępu do tych systemów, więc nie wiem jak działają a nie poparte dowodami oświadczenia mogą być fałszywe.

      “Podobnie robi przeglądarka internetowa, którą z podobnymi kryteriami też możesz nazwać stroną trzecią.”

      Bzdura. Moja przegądarka nie jest ani osobą ani nawet żywą istotą. Jest to natomiast program komputerowy o jawnym kodzie źródłowym, uruchomiony na maszynie znajdującej się na moim terenie i pod moją kontrolą.

    • Nie wierzę, że macie dostęp do kodu źródłowego przeglądarki Microsoftu albo Googla, a jednak wklepujecie tam swoje wrażliwe informacje. Prawda jest taka, że jak ktoś zechce oszukać, okraść to nawet pracownik banku może Wam wytransferować środki i przywłaszczyć, firmy typu Pay-by-link Tpay, Przelewy24, Paypal, Dotpay itp mogą zatrzymać środki setek tysięcy osób płacących z jednego dnia i przywłaszczyć. Jest kwestia odpowiedzialności i TPP biorą takową podobnie jak Banki i też będą musiały, a nawet już mają na to odpowiednie zabezpieczenie finansowe.
      Skoro nikomu nie można ufać najlepiej płacic gotówką a kase trzymać w skarpecie?

    • @Adam

      Bzdura. Moja przegądarka nie jest ani osobą ani nawet żywą istotą. Jest to natomiast program komputerowy o jawnym kodzie źródłowym, uruchomiony na maszynie znajdującej się na moim terenie i pod moją kontrolą.

      Masz kod źródłowy Chrome IE czy Edge? Chętnie odkupię
      Paypal jest żywą istotą? Wszystko przecież robi algorytm, skrypt itp…
      Co z tego, że instalacje przeglądarki masz lokalną. Trojana też instalujesz lokalnie:)

    • uomoujborze 2016.04.30 20:11 | # |
      1.
      —- Jaki pełny dostęp do konta? Aby mieć pełny dostęp trzeba mieć jeszcze SMSy z telefonu.
      Pełny dostęp to podajesz do Paypal często razem z CVV.
      Jak jesteś taki “p0srany” w związku z płatnościami w internecie to może sobie zrób podkonto w banku do płatności i trzymaj tam ograniczone środki.
      Tobie bym sprzedał jakiś lek na stany lękowe,ale nie prowadzę takiego asortymentu;)
      Jak Ty możesz spać spokojnie wiedząc, że do Twojego konta w banku dostęp ma 2000 pracowników tegoż banku, najpewniej jeszcze świeżo po studiach;)
      2.

      – Akurat co do praw regulujących systemy płatności wolę aby nie były zbyt skrzywione lub za proste:)
      3.
      Po przeczytaniu tego chyba się napiję.

      “Prawdopodobnie z Twoim podejściem zarobisz miliony, ale część kupujących woli uczciwe transakcje – bez ukrytego wiązania z czymkolwiek.”

      Zarzucasz mi nieuczciwość?
      Nigdy nikogo nie oszukałem i przeprowadzam uczciwe transakcje. Wypraszam sobie.

    • Widać kolego nie miałeś nigdy problemu z bezpieczeństwem, skoroś taki optymista :-) No powodzenia, przyszło mi do głowy inne powiedzenie: “admini dzielą się na takich którzy backupują i którzy będą backupować”, mam nadzieję że będziesz należeć do tej pierwszej grupy jeśli chodzi o bezpieczeństwo swoich danych i swojej kasy.

    • Marku, prosiłem abyś udowodnił, że żadne loginy/hasła nie są przechowywane. W odpowiedzi zacząłeś racjonalizować. To nie ma sensu.

      przelewy24 czy inne mogą oszukać tylko i wyłącznie do kwoty tej pojedynczej transakcji. Nie są w stanie zrobić nic poza tym. Natomiast Trustly może w zasadzie wszystko co się da online, w Twoim imieniu. I nie udowodnisz, że to oni, a nie Ty.

      Nie chodzi o możliwość podawania loginu i hasła, tylko o konieczność udostępnienia możliwości dostępu do pewnych danych, albo wykonania pewnych transakcji. Jeśli bank ma do tego API, wymogi dyrektywy ma już spełnione i może spokojnie blokować instytucje typu Trustly.

    • Do komentarza wyżej: oczywiście chodziło mi o blokowanie dostępu przez login/hasło zamiast przez API.

    • 1. Enron też był bardzo poważną firmą. Do czasu.
      2. Tego typu oszustwa są nagminne w krajach ‘zachodu’. Mam kontakt z właścicielami sklepów sprzedających tam towary i wyłudzenia z wykorzystaniem chargeback czy zakładanie sporu na Ebay o to że ‘towar nie doszedł’ krótko po jego dostarczeniu są nagminne.
      3. Zakładanie kont na słupy po to aby wykupić klucze do gier etc. jest bardzo częste.
      4. Stosunkowo niedawno okazało się że w systemie transakcyjnym jednego z banków miesiącami buszował włamywacz. Udowodnij że w systemie Trustly czegoś takiego nie ma.
      5. Promujemy systemy których konstrukcja daje nam elementarne bezpieczeństwo.

    • Piotr 2016.05.08 21:25 | # |
      udowodnij mi jak działa przeglądarka internetowa. Daj spokój, od tego są firmy audytujące, nadające np. certyfikat bezpieczeństwa ISO 27001. Słyszałeś o takim?
      Polityka prywatności w tych systemach też jest otwarcie zapisana.

      Przelewy 24 może jednorazowo zwinąć kasę całego dziennego utargu tysięcy klientów i sprzedawców.
      Pracownik banku może przelać Ci wszystkie Twoje środki gdzieś tam.
      CO z tego?
      Wszystko jest do udowodnienia i zostawia ślady w takich systemach.

      Jak się tak boisz płacić w internecie to sobie zrób subkonto i trzymaj minimalne środki.
      A jak chcesz korzystać z tych zdzierających kasę systemów i banków to mogę Ci wystawić w moich sklepach towary drożej o 2% i po sprawie.

      Jeśli chodzi o API to banki mają je już teraz dla tych pośredników którzy dzielą się z nimi kasą. Za rok będą musiały zrobić API dla systemów inicjujących płatność, czyli takich bezpośrednich płatności, systemy te nie wchodzą w posiadanie środków podczas transakcji. Przez te API będa mogły się zautoryzować w banku żeby taki bank ich nie blokował z chciwości, bo teraz muszą działac przez proxy .

      Poza ty już teraz, póki banki jeszcze nie napisały API dla PIS i AIS to nie mogą w żaden sposób utrudniać im działania. Te ostatnie akcje z PKO były nielegalne. Banki mają dysonans. Z jednej strony muszą słuchać KNF, ale ten też nie może już podejmować nielegalnych publikacji. Z ostatnią zdążył jeszcze przed PSD II. Teraz muszą stosować się do prawa.
      .

    • Marc1n
      1. Enron też był bardzo poważną firmą. Do czasu.
      Tu bym puścił filmik z Johnem Travoltą WTF

      2. Tego typu oszustwa są nagminne w krajach ‘zachodu’. Mam kontakt z właścicielami sklepów sprzedających tam towary i wyłudzenia z wykorzystaniem chargeback czy zakładanie sporu na Ebay o to że ‘towar nie doszedł’ krótko po jego dostarczeniu są nagminne.
      Sprzedaję tysiące towarów i usług miesięcznie. Wiem jaka jest skala oszustw.
      Mogę Ci powiedzieć, że z każdym rokiem w polsce maleje. Margines niezauważalny.

      3. Zakładanie kont na słupy po to aby wykupić klucze do gier etc. jest bardzo częste.
      Nie wierzę:)

      4. Stosunkowo niedawno okazało się że w systemie transakcyjnym jednego z banków miesiącami buszował włamywacz. Udowodnij że w systemie Trustly czegoś takiego nie ma.
      Z takim nastawiem to lepiej kompa nie włączać.

      5. Promujemy systemy których konstrukcja daje nam elementarne bezpieczeństwo.
      Wcale nie daje.
      Podam Ci przykład.
      Jak np. Przelewy24 zwinie mi utarg z całego dnia 800 tys zł,ale dowiem sie o tym za 1 lub 2 dni.
      Jak np Trustly czy Sofort potwierdzi mi transakcje bezpośrednią, ale po sesji elixir ich nie zobacze na koncie lub od razu tych wykonanych z tego samego banku(takie wskakuja mi na konto od razu) to mogę ntychmiastowo zawiesić sprzedaż tym systemem.
      To który jest bezpieczniejszy?Pytanie retoryczne.

    • “Jak np. Przelewy24 zwinie mi utarg z całego dnia 800 tys zł,ale dowiem sie o tym za 1 lub 2 dni.
      Jak np Trustly czy Sofort potwierdzi mi transakcje bezpośrednią, ale po sesji elixir ich nie zobacze na koncie lub od razu tych wykonanych z tego samego banku(takie wskakuja mi na konto od razu) to mogę ntychmiastowo zawiesić sprzedaż tym systemem.
      To który jest bezpieczniejszy?Pytanie retoryczne.”

      Ależ oczywiście, że Przelewy24. Oczywiście z punktu widzenia kupującego.
      Ależ oczywiście, że Trustly czy Sofort. Oczywiście z punktu widzenia sprzedającego.

      Na czym polega problem? Że to TY jako sprzedawca masz możliwość wyboru, kontrahent z którym współpracujesz jest Twoim wyborem i powinien być Twoim problemem.
      Ty chcesz:
      – zmusić kupującego do przekazania Twojemu kontrahentowi danych dostępowych do banku, który to dostęp jest czym znacznie szerszym, niż tylko prawem do wykonania przelewu;
      – przerzucić na kupującego koszty, np. przelewu zagranicznego;
      – przerzucić na kupującego odpowiedzialność: jak wybrana PRZEZ CIEBIE firma z Blabladocji coś mu ukradnie z konta, to będzie mógł ją skarżyć … w Blabladocji;
      – zdjąć z siebie odpowiedzialność za prawidłowe wywiązanie się z umowy: pokazywałeś “pozytywy” w postaci braku możliwości zrobienia chargeback. Czyli możesz wysłać cegłę, albo zrobić promocję “wszystko za pół ceny” i po szalonym weekendzie “zniknąć” z kasą. No bo skoro uważasz, że przelewy24 mogą zniknąć z Twoją, to tym bardziej Ty możesz.

      A propozycja ze zrobieniem “subkonta” pokazuje, że TOTALNIE nie masz pojęcia, o czym piszesz. Przecież login i hasło nie są nadawane odrębnie dla każdego konta i subkonta, ale jest JEDNO do wszystkiego, co w banku robisz. Już Ci to pisałem: przy pomocy tego samego loginu i hasła możesz mieć, a co za tym idzie przekazać Trustly dostęp do:
      – WSZYSTKICH prywatnych kont bankowych w określonym banku – dotyczy to również subkonta!
      – WSZYSTKICH lokat bankowych w tym banku
      – kredytów (np. hipotecznego, informacji o przyznanej linii w kocie, pożyczkach)
      – funduszy inwestycyjnych
      – konta maklerskiego
      – ubezpieczeń
      – KONT FIRMOWYCH, do których jesteś upoważniony
      – całej historii transakcji, dla wszystkich wyżej wymienionych obszarów.

      Jak więc założenie subkonta miałoby wpłynąć na poprawę bezpieczeństwa przy korzystaniu z Trustly? Hę?

      No i gdzie to większe bezpieczeństwo? Ale oceniane z punktu widzenia nabywcy?

    • “Przelewy 24 może jednorazowo zwinąć kasę całego dziennego utargu tysięcy klientów i sprzedawców.”

      Nie no, nie żartuj. Przelewy24 ma niewielki ułamek możliwości zrobienia tego, co może Trustly. Z bankiem z kolei mam umowę. Z Trustly nie mam nic. Trustly operuje w innym kraju. Jedyny ślad jaki pozostaje to IP. IP, który w sprawie o kasę jest praktycznie nic nie warty.

      Głównym problemem nawet nie jest to, kim są ludzie z Trustly. Głównym problemem jest ryzyko i uczenie ludzi ignorancji.

      “Jak się tak boisz płacić w internecie to sobie zrób subkonto i trzymaj minimalne środki.”

      Pomysł bez sensu głównie dlatego, że stworzony na podstawie głupiego założenia, że się boję płacić w Internecie. Nie mam z tym żadnego problemu, przecież sposoby jakich używam jest bezpieczne dla mojego konta.
      I nie rozumiem dlaczego sprzedawcy mają problem z przerzuceniem opłaty na klientów. Kilka tylko chlubnych przypadków widziałem, gdzie sklepy tak robiły i na rachunku było to explicite. To że Ty się boisz tak zrobić to tylko wstyd dla Ciebie, tym bardziej, że próbujesz wmawiać klientom, że podawanie danych do logowania do banku jakiejś firmie z dupy jest OK.

    • Subkonto – miałem na mysli jakieś konto w innym banku tylko do operacji w internecie jak ktoś jest bojaźliwy.
      Typowe pay-by-linki jak np. przelewy24 są bardziej niebezpieczne, bo mogą więcej zwinąć w ciągu dnia, a przelewy bezpośrednie od razu widać na koncie lub za chwilę po sesji elixir. Wątpię że dla kupującego miałby to być mniej bezpieczny system skoro przelewa bezpośrednio do sprzedawcy, a nie do pośrednika…To jest bezpieczniejsze tak samo dla nabywcy.
      Do Trustly i Sofort/Klarna nie podajesz żadnych danych, ich algorytm po prostu je przepuszcza, podobnie jak ten w przeglądarce internetowej. System jest audytowany, również na ISO 27001 i nie zagląda do żadnych danych o których tam piszesz. Inaczej by utracił certyfikacje status instytucji płatniczej, zgodność z PSDII itp. Nie jest to w niczyim interesie. Patrzysz tylko z punktu widzenia własnego, a jak spojrzysz na tysiące takich jak Ty NABYWCÓW w ciągu dnia, to już się robi możliwość Fraudu ze strony przelewy24 około 1 miliona zł netto dziennie obrotu tylko u mnie jako sprzedawcy. I chodzi tu tylko o środki nabywców/klientów/kupujących u mnie. Teraz to przemnożyc możesz przez wszystkich sprzedawców korzystających z Przelewy24. W przypadku gdy Trustly itp zacznie oszukiwać widać to od razu, a nie dopiero za 2 dni.Dalej twierdzisz, że taki operator systemu propomowany tutaj może narobić mniej szkód? Nie sądzę.

      Nikogo nie zmuszam do niczego. Transakcja przebiega tak samo jak w PayU z pełną kontrolą ile, na jakie konto, do kogo.
      Co za różnica czy firma jest w Szwecji , Niemczech czy w Polsce? Sofort/Klarna ma przedstawicielstwo w Polsce, siedzibę główną w Niemczech – tym bardziej nie rozumiem i nie korzystam z pośredników w blablalokacjach.
      Trustly od 2004 współpracuje z eBuy, Grouponem i Facebookiem z powodzeniem w krajach mniej bojaźliwych niż nasz.
      O co chodzi z przerzucaniem kosztu przelewu zagranicznego? Mój bank też jest w Polsce dla kupujących z polski. Acha…z PayU,Przelewy itp nie mogę przyjąć płatności z innego kraju-kolejny minus.
      Problem z brakiem chargeback dotyczy wszystkich systemów pay-by-link a także wszystkich sprzedawców korzystających z nich. To żaden argument – transparentny.

      Co do przerzucania wygórowanych prowizji na kupującego ma to wady. Klient może zrezygnować, porzucić koszyk i kupić np na Aliexpress. Każde przedrożeniu kosztów całkowitych rodzi ryzyko braku konwersji. Jak klient zauważał dodatkową opłatę np 20 zł za płatność Przelewy24 to często porzuca u mnie koszyk.
      Ja widzę wzrost obrotów przy korzystaniu z Sofort/Klarna i Trustly też mnie interesuje.

    • @Marek
      “Subkonto – miałem na mysli jakieś konto w innym banku”
      Niby taki jesteś biegły, tak rzucasz przepisami, dyrektywami – a podstawowych pojęć nie znasz lub nie rozumiesz.

      “Do Trustly i Sofort/Klarna nie podajesz żadnych danych, ich algorytm po prostu je przepuszcza” – jak niby może przepuścić coś, czego im nie podałem?

      “to już się robi możliwość Fraudu ze strony przelewy24 około 1 miliona zł netto dziennie obrotu tylko u mnie jako sprzedawcy.”
      Powinieneś sobie zapisywać dane, które o “swoim” biznesie podajesz – bo dopiero co było 800 tysięcy, a już jest milion dziennie.

      “System jest audytowany, również na ISO 27001 i nie zagląda do żadnych danych o których tam piszesz.” – napisał Marek, więc mamy się nie zastanawiać, tylko wierzyć na słowo.
      Ale ciekawe, bo zgodnie z tym Twoim stwierdzeniem do historii też nie zagląda. A chwilę wcześniej była mowa, że sprawdza w historii wykonanie przelewu. Czyli nie zagląda, a jedynie “sprawdza” :D
      Poza tym jeżeli
      A) tylko przepuszcza,
      B) nie zagląda do żadnych danych,
      to skąd i jak niby wie, jakie mam konta? A przecież pokazuje je na SWOJEJ stronie.
      Możesz to wytłumaczyć w oparciu o https://demo.trustly.com/
      Czy może demo kłamie i pokazuje nieprawdziwy proces?
      A może po prostu nie wiesz, jak to naprawdę działa?

      “Dalej twierdzisz, że taki operator systemu propomowany tutaj może narobić mniej szkód? Nie sądzę.” Mnie, którego poza akceptację regulaminu nie wiąże z nim nic? Oczywiście, że tak.

      “Transakcja przebiega tak samo jak w PayU z pełną kontrolą ile, na jakie konto, do kogo.”
      Nieprawda. PayU nie oczekuje podania danych do konta, a podając je nie mam ŻADNEJ kontroli nad tym, co robi na moim koncie identyfikując się przed bankiem jako ja. A że nic nie robi, a jedynie “przepuszcza” jest kłamstwem wykazałem Ci na przykładzie dema które udostępnia Trusty.

      “Co za różnica czy firma jest w Szwecji , Niemczech czy w Polsce?”
      Do czasu, aż nie musisz się z nią sądzić? Żadna.
      Przy czym ryzyko sądzenia się w jakimś innym kraju z pośrednikiem, którego Ty wybrałeś przerzucasz na nabywcę.

      “O co chodzi z przerzucaniem kosztu przelewu zagranicznego? Mój bank też jest w Polsce dla kupujących z polski.”
      A dla kupujących z zagranicy? Też masz zagraniczne konta, we wszystkich krajach, z których (może) pojawić się kupujący?

      “Co do przerzucania wygórowanych prowizji na kupującego ma to wady. Klient może zrezygnować, porzucić koszyk i kupić np na Aliexpress. Każde przedrożeniu kosztów całkowitych rodzi ryzyko braku konwersji. Jak klient zauważał dodatkową opłatę np 20 zł za płatność Przelewy24 to często porzuca u mnie koszyk.”
      A ile osób porzuca zakupy jeszcze przed wejściem w koszyk widząc, że nie ma możliwości zapłaty np. kartą? Analizowałeś? Czy może żyjesz w błogiej nieświadomości, że takich osób nie ma?

      “Ja widzę wzrost obrotów przy korzystaniu z Sofort/Klarna i Trustly też mnie interesuje.” Gdyby nie to, że jesteś przecież “poważnym biznesmenem”, który ma obroty roczne liczone setkami milionów złotych (co prawda zapomniał sobie zapisać jaki obrót ma podawać w dyskusji, więc podaje o nim różne dane, ważne że “duże” i mające budzić respekt) – to brzmiałoby to jak słabej jakości papka marketingowa.

    • gs 2016.05.12 14:35 | # |
      @Marek
      “Subkonto – miałem na mysli jakieś konto w innym banku”
      Niby taki jesteś biegły, tak rzucasz przepisami, dyrektywami – a podstawowych pojęć nie znasz lub nie rozumiesz.

      A co mają przepisy do nazwania dodatkowego konta subkontem? Nie twierdziłem nigdzie, że w ramach jednego banku.

      “Do Trustly i Sofort/Klarna nie podajesz żadnych danych, ich algorytm po prostu je przepuszcza” – jak niby może przepuścić coś, czego im nie podałem?

      Tak samo jak przeglądarka internetowa. Uważasz, że podajesz Microsoftowi Applowi i Googlowi swoje dane logowania?

      “to już się robi możliwość Fraudu ze strony przelewy24 około 1 miliona zł netto dziennie obrotu tylko u mnie jako sprzedawcy.”
      Powinieneś sobie zapisywać dane, które o “swoim” biznesie podajesz – bo dopiero co było 800 tysięcy, a już jest milion dziennie.

      Mogę Ci podać przedział od 700 do miliona. Czy to ważne? Czepiasz się bez sensu i nie na temat. A pomijasz sens, bo jest Ci z jakiegoś powodu niewygodny?

      “System jest audytowany, również na ISO 27001 i nie zagląda do żadnych danych o których tam piszesz.” – napisał Marek, więc mamy się nie zastanawiać, tylko wierzyć na słowo.
      Ale ciekawe, bo zgodnie z tym Twoim stwierdzeniem do historii też nie zagląda. A chwilę wcześniej była mowa, że sprawdza w historii wykonanie przelewu. Czyli nie zagląda, a jedynie “sprawdza” :D
      Poza tym jeżeli
      A) tylko przepuszcza,
      B) nie zagląda do żadnych danych,
      to skąd i jak niby wie, jakie mam konta? A przecież pokazuje je na SWOJEJ stronie.
      Możesz to wytłumaczyć w oparciu o https://demo.trustly.com/
      Czy może demo kłamie i pokazuje nieprawdziwy proces?
      A może po prostu nie wiesz, jak to naprawdę działa?

      Ja się odniosłem do całej litanii produktów bankowych i funkcji jakie wymieniłeś np lokaty, ubezpieczenia, itp, było tego mnóstwo i do tego nie zagląda. Historie sprawdza i saldo, przepisuje nr konta, pola logowania i inne które wypełniasz kopiuje do banku, a reszty nie dotyka.
      Tylko nie pytaj skąd wiem. Wiedzą audytorzy tych systemów jak Dekra, TUV instytucje nadzoru. Tak samo nie wiesz jak jest skonstruowany PayU i ufasz im jakoś w ciemno. Dualizm?

      “Dalej twierdzisz, że taki operator systemu propomowany tutaj może narobić mniej szkód? Nie sądzę.” Mnie, którego poza akceptację regulaminu nie wiąże z nim nic? Oczywiście, że tak.

      Z Przelewy24 i PayU też nic Cię nie wiąże jako kupującego, a mogą Cię okraść.

      “Transakcja przebiega tak samo jak w PayU z pełną kontrolą ile, na jakie konto, do kogo.”
      Nieprawda. PayU nie oczekuje podania danych do konta, a podając je nie mam ŻADNEJ kontroli nad tym, co robi na moim koncie identyfikując się przed bankiem jako ja. A że nic nie robi, a jedynie “przepuszcza” jest kłamstwem wykazałem Ci na przykładzie dema które udostępnia Trusty.

      Niczego nie robi co mogłoby Ci zaszkodzic i jest to potwierdzane rygorystycznymi audytami. Masz kontrole nad tym co system robi, bo nie robi niczego ponad to co zlecasz.
      Na marginesie skoro połowa Niemców tak płaci, to Ty uważasz że oni są naiwnymi idiotami i narażają się na Fraud? A dlaczego nie podejrzewasz, że producent przeglądarki Cię oszuka jak wprowadzasz swoje dane ? Idź na calość, nie korzystaj , bo w końcu jest taka mozliwość…

      “Co za różnica czy firma jest w Szwecji , Niemczech czy w Polsce?”
      Do czasu, aż nie musisz się z nią sądzić? Żadna.
      Przy czym ryzyko sądzenia się w jakimś innym kraju z pośrednikiem, którego Ty wybrałeś przerzucasz na nabywcę.

      Czyli Ty korzystasz tylko z polskich usług i producentów, bo w razie czego będziesz sie musiał sądzić się za granicą? Dobre.
      Na nikogo nie przerzucam ryzyka. Jeśli mój klient zostanie oszukany oddam mu pieniądze, albo sam poniosę stratę, a domagać się będę od dostawcy usługi.
      Te systemy są bezpieczne i uczciwe więc nie mam żadnych obaw podobnie jak MediaMarkt, Deichmann, TUI i wielu innych partnerów tego systemu.

      “O co chodzi z przerzucaniem kosztu przelewu zagranicznego? Mój bank też jest w Polsce dla kupujących z polski.”
      A dla kupujących z zagranicy? Też masz zagraniczne konta, we wszystkich krajach, z których (może) pojawić się kupujący?

      Dla kupujący z zagranicy głównie płaca przez Paypal, ale tak, mam konto w euro i sprzedaję do krajów UE, Sofort do tego świetnie się sprawdza.

      “Co do przerzucania wygórowanych prowizji na kupującego ma to wady. Klient może zrezygnować, porzucić koszyk i kupić np na Aliexpress. Każde przedrożeniu kosztów całkowitych rodzi ryzyko braku konwersji. Jak klient zauważał dodatkową opłatę np 20 zł za płatność Przelewy24 to często porzuca u mnie koszyk.”
      A ile osób porzuca zakupy jeszcze przed wejściem w koszyk widząc, że nie ma możliwości zapłaty np. kartą? Analizowałeś? Czy może żyjesz w błogiej nieświadomości, że takich osób nie ma?

      Ja mam płatność kartą również. Ale to nie na temat, bo mowa była o przerzucaniu kosztów.

      “Ja widzę wzrost obrotów przy korzystaniu z Sofort/Klarna i Trustly też mnie interesuje.” Gdyby nie to, że jesteś przecież “poważnym biznesmenem”, który ma obroty roczne liczone setkami milionów złotych (co prawda zapomniał sobie zapisać jaki obrót ma podawać w dyskusji, więc podaje o nim różne dane, ważne że “duże” i mające budzić respekt) – to brzmiałoby to jak słabej jakości papka marketingowa.

      Obroty roczne mam około 10 mln zł netto. Prócz tej fobii bycia oszukanym dostrzegam w Tobie inną naturę polaka. Szyderstwo z zawiści. Daje się przyzwyczaić.

    • Marku, nie, przelewy24 nie zwiną więcej. Mogą tylko tyle ile dokładnie widzę na swoim potwierdzeniu przelewu. Trustly może natomiast zrobić sobie przelew do wysokości wszystkich środków na moich kontach. Trustly może zaciągnąć kredyt w moim imieniu. Trustly może wszystko. A w pay-by-linkach widzę ile przelewają jeszcze zanim przelew nastąpi, bo przecież mi bank to wyświetla. Ja to potwierdzam. Dwukrotnie, bo w SMS-ie również jest kwota. W przypadku Trustly dowiaduje się dopiero po fakcie co tak na prawdę zrobili. Dlatego pay-by-linki są bezpieczne, a Trustly nie jest.

      I nie prawda, że klient przelewa bezpośrednio do sprzedawcy – klient niczego nie przelewa. Klient nawet nie wie, dokąd idzie przelew. Trustly sobie może go zrobić na swoje konta i wyjechać na Malediwy. A jak nie Trustly, to może zrobić to włamywacz, który się do ich systemów dostał i je wykorzystał (ciekawostka: certyfikaty ISO jakoś nie powodują u włamywaczy poczucia winy i nie zapobiegają przestępstwom). Trywialna podmiana kodu Javascript na stronie z formularzem Trustly sprawi, że dane do logowania oprócz samego Trustly będą trafiały na jakiś serwer włamywacza, który sobie potem, po cichutku, w nocy, zrobi odpowiednią liczbę przelewów gdzie trzeba.

      Nikogo nie obchodzi audyt zrobiony przez instytucje znikąd, z którymi nie masz żadnych umów i którym nic nie zrobisz w razie czego. Audyt jest nic nie warty w stosunku do obecnie działającego systemu. Audyt może ci tylko powiedzieć jak system wyglądał w chwili audytu. 10 minut po audycie wszystko może się zmienić, za pomocą jednego małego soft-switcha. Albo włamu.

      Punkt widzenia pojedynczego klienta jest prawidłowy – nie obchodzi mnie, że potencjalnie przelewy24 może ukraść milion, skoro moja strata ograniczy się do 30 zł, które wydałem przez Internet. A Trustly może mi zabrać 30,000 zł z mojego konta. Jak chcesz pomnożyć to przez liczbę użytkowników, to wyjdzie Ci sporo większa suma dziennego „utargu” niż w przypadku przelewy24.

      Czyli nie chcesz przerzucać kosztów na kupującego, bo klient kupi u kogoś kto tych kosztów nie przerzuca? No to teraz chyba się żalisz, że nie radzisz sobie wśród konkurencji. ;-) Ale chyba jednak sobie jakoś radzisz, skoro masz tylu klientów dziennie, nie? ;-)

      Ja natomiast widzę wzrost kradzieży spowodowany uczeniem ludzi, że tak, że spoko, że można sobie dane podawać dowolnie komu, byle tylko na stronie mieli napis ISO i ikonki z certyfikatami bliżej nieokreślonych instytucji europejskich.

    • Piotr 2016.05.12 17:43 | # |
      “Marku, nie, przelewy24 nie zwiną więcej. Mogą tylko tyle ile dokładnie widzę na swoim potwierdzeniu przelewu. Trustly może natomiast zrobić sobie przelew do wysokości wszystkich środków na moich kontach.”

      Piotrze, zwiną więcej. Patrzysz tylko ze swojej perspektywy kowalskiego, a masz za nic pieniądze dziesiątków tysięcy sprzedawców z 2 dni. Jeśli ode mnie jako sprzedawcy dziennie mieli ok. 30tys zł (a ja wcale nie jestem jakimś tuzem e-commerce) to weź to przemnóż przez kilkanaście tysięcy takich jak ja. To są setki milionów złotych z którymi mogą nagle zniknąć. Jak to się ma do zasobności konta większości z Was na pensji informatyka od Puap;)

      ” Trustly może zaciągnąć kredyt w moim imieniu. Trustly może wszystko.”

      Nie może. Do tego potrzebne są Smsy.

      ” A w pay-by-linkach widzę ile przelewają jeszcze zanim przelew nastąpi, bo przecież mi bank to wyświetla. Ja to potwierdzam. Dwukrotnie, bo w SMS-ie również jest kwota. W przypadku Trustly dowiaduje się dopiero po fakcie co tak na prawdę zrobili. Dlatego pay-by-linki są bezpieczne, a Trustly nie jest.”

      Nieprawda. Dokładnie w ten sam sposób kontrolujesz przelewy bezpośrednie. Masz przekopiowane na bieżąco z banku istotne formatki. Widać nie wiesz nawet jak działają, bo nie korzystałeś.

      I nie prawda, że klient przelewa bezpośrednio do sprzedawcy – klient niczego nie przelewa. Klient nawet nie wie, dokąd idzie przelew.

      “Trustly sobie może go zrobić na swoje konta i wyjechać na Malediwy. A jak nie Trustly, to może zrobić to włamywacz, który się do ich systemów dostał i je wykorzystał (ciekawostka: certyfikaty ISO jakoś nie powodują u włamywaczy poczucia winy i nie zapobiegają przestępstwom). Trywialna podmiana kodu Javascript na stronie z formularzem Trustly sprawi, że dane do logowania oprócz samego Trustly będą trafiały na jakiś serwer włamywacza, który sobie potem, po cichutku, w nocy, zrobi odpowiednią liczbę przelewów gdzie trzeba.”

      Tak? A w przypadku konkurencyjnych, zdzierskich systemów typu Przelewy wiesz do kogo idzie. D Pana Jasia, własciciela tego systemu i on nawet nei musi skryptów podmieniać. Zwija te setki milionów złotych i na Maledivy?
      To ma byc bezpieczny system?
      Różnica jest taka, że jak Pan Jasio planuje zwinąś kase to niczego nie zauważymy przez 2 dni, a w Trustly szybko będzie alarm, bo przelew bezpośredni szybko musi być zaksięgowany w ciągu 2-3h max, a jak ten sam bank nadawcy-odbiorcy to natychmiast.

      “Nikogo nie obchodzi audyt zrobiony przez instytucje znikąd, z którymi nie masz żadnych umów i którym nic nie zrobisz w razie czego. Audyt jest nic nie warty w stosunku do obecnie działającego systemu. Audyt może ci tylko powiedzieć jak system wyglądał w chwili audytu. 10 minut po audycie wszystko może się zmienić, za pomocą jednego małego soft-switcha. Albo włamu.”

      Jakie instytucje znikąd. To są poważne firmy. Z takim myśleniem jak Twoje to nie mozna niczego kupować w internecie, bo już abstrahując od systemów płatności, to każdy sklep może Cię oszukać i przywłaszczyć wpłatę. Kupujesz cokolwiek?

      Punkt widzenia pojedynczego klienta jest prawidłowy – nie obchodzi mnie, że potencjalnie przelewy24 może ukraść milion, skoro moja strata ograniczy się do 30 zł, które wydałem przez Internet. A Trustly może mi zabrać 30,000 zł z mojego konta. Jak chcesz pomnożyć to przez liczbę użytkowników, to wyjdzie Ci sporo większa suma dziennego „utargu” niż w przypadku przelewy24.

      Te wyliczenia są mocno nieprecyzyjne z powodu argumentu przytoczonego przeze mnie wyżej. Jak wspominałem alarm o oszustwie Trustly wyjdzie bardzo szybko. Kwestia paru przelewów które się nie zaksięgowały i juz mogę ich odłączyć i wszcząć alarm. A w przypadku Przelewy24 nic nei można zrobić przez 2,a zależy jak sie rozliczą i jakie masz ustawienia nawet 3 dni, 4 dni.
      Zatem zakładając że Trustly zacznie opróżniać konta, to szybko zostanie podniesiony alarm i będą odłączeni, a przelewy24 mniejszymi łyżeczkami i tak uzbierają więcej.
      Nie patrz tylko ze swojego punktu widzenia, bo tu rozmawiamy o bezpieczeństwie systemów płatności w skali makro.

      “Czyli nie chcesz przerzucać kosztów na kupującego, bo klient kupi u kogoś kto tych kosztów nie przerzuca? No to teraz chyba się żalisz, że nie radzisz sobie wśród konkurencji. ;-) Ale chyba jednak sobie jakoś radzisz, skoro masz tylu klientów dziennie, nie? ;-)”

      To nieważne kto na kogo przerzuci, dla klienta i tak liczy się cena końcowa na tle konkurencji, a dzięki Sofort jestem bardziej konkurencyjny o 1,5% niż gdy korzystałem z Przelewy. Polecam Dobrą Zmianę;) Jakoś sobie radzę.

      Ja natomiast widzę wzrost kradzieży spowodowany uczeniem ludzi, że tak, że spoko, że można sobie dane podawać dowolnie komu, byle tylko na stronie mieli napis ISO i ikonki z certyfikatami bliżej nieokreślonych instytucji europejskich.

      Dowolnie komu to nie. Moim zdaniem powinna byc lista systemów z audytami PSD II , a cala reszta to phishing.

    • „Piotrze, zwiną więcej. Patrzysz tylko ze swojej perspektywy kowalskiego, a masz za nic pieniądze dziesiątków tysięcy sprzedawców z 2 dni.”

      Marku, już pisałem przecież, że perspektywa Kowalskiego jest jedyną właściwą. Ja z PUAP-em nie mam nic wspólnego.

      „Nie może. Do tego potrzebne są Smsy.”

      A widzisz – może. Nie wszędzie i nie we wszystkich bankach są potrzebne SMS-y.

      „Dokładnie w ten sam sposób kontrolujesz przelewy bezpośrednie. Masz przekopiowane na bieżąco z banku istotne formatki. Widać nie wiesz nawet jak działają, bo nie korzystałeś.”

      No nie, nie wiedziałeś, że „formatki” mogą być wygenerowane, albo pozmieniane? Wiesz co to jest phishing i na czym w ogóle polega? O osadzaniu kodu na stronach przez włamywaczy też na pewno słyszałeś. Poza tym to nie jest API z ustalonym protokołem – to jest jakiś nahakowany sposób dostępu do banku. Bank może np. wprowadzić jakieś zmiany kosmetyczne w stronie i cała procedura „przelewu” z Trustly pójdzie się j…

      „Tak? A w przypadku konkurencyjnych, zdzierskich systemów typu Przelewy wiesz do kogo idzie.”

      W przypadku pay-by-linków wiem, że firmy nie zdzierają mi całej kasy z konta i wiem, że nic poza tym nie zrobią. Bo nie mają takiej technicznej możliwości.

      „Jakie instytucje znikąd. To są poważne firmy.”

      Ojej, poważne firmy. Tak poważne, że i tak nic im nie zrobisz, bo za nic nie odpowiadają. Jedyny ich cel to zebranie kasy za wystawienie certyfikatu. Certyfikaty są przydatne przedsiębiorstwom, żeby ocenić kontrahenta na wstępie, ale i tak zawsze wymagana jest faktyczna kontrola jakości dostarczanych elementów. Certy niczego jednak nie udowadniają, a instytucja certyfikująca za nic nie odpowiada.
      Jak kupuję coś za 30 zł w Internecie, to nic się nie stanie, jak stracę te 30 zł. Jak kupuję samochód, to nie robię tego przez Internet. Ty byś tak kupował?

      „Te wyliczenia są mocno nieprecyzyjne z powodu argumentu przytoczonego przeze mnie wyżej.”

      Coś mylisz – tu nie ma żadnych wyliczeń. To są normalne kwoty z mojego konta.

      „Nie patrz tylko ze swojego punktu widzenia, bo tu rozmawiamy o bezpieczeństwie systemów płatności w skali makro.”

      Nie. Ty rozmawiasz o oszczędzaniu, a ja się troszczę o własne bezpieczeństwo. Na nic mi wyłączenie Trustly 24 godziny po wyczyszczeniu konta.

      „Dowolnie komu to nie. Moim zdaniem powinna być lista systemów z audytami PSD II , a cala reszta to phishing.”

      No a kto by tę listę udostępniał? I kto by ją audytował? I jak trudne było by włamanie na serwer z tą listą, żeby ją uzupełnić o stronę phishingową? :D

      Twój tok myślenia można podsumować następująco: masz gdzieś bezpieczeństwo swoich klientów, liczy się tylko to, żeby jak najwięcej zarobić oszczędzając
      na pay-by-linkach. Lub inaczej: sprzedajesz bezpieczeństwo klientów za cenę kilku złotych. Tak to odbieram. :-) Oczywiście klient zawsze może wybrać, czy korzystać z takiej płatności, czy nie – jego wybór. Ja też mam wybór i już dwukrotnie zrezygnowałem z zakupu w jakichś sklepach tylko dlatego, że zaproponowały mi Sofort (i to dopiero na końcu procedury, niepotrzebnie tylko konta zakładałem). Kupiłem gdzie indziej – dla zasady.

    • „Piotrze, zwiną więcej. Patrzysz tylko ze swojej perspektywy kowalskiego, a masz za nic pieniądze dziesiątków tysięcy sprzedawców z 2 dni.”

      Marku, już pisałem przecież, że perspektywa Kowalskiego jest jedyną właściwą. Ja z PUAP-em nie mam nic wspólnego.

      ——–No ale z perspektywy Kowalskiego Twoje pieniądze też wtedy giną, bo pieniądze sprzedawców są Twoimi…jednostkowo mniejsze, ale w całej puli oszukanych jest to potencjalnie nie mniej niż Trustly itp.

      „Nie może. Do tego potrzebne są Smsy.”

      A widzisz – może. Nie wszędzie i nie we wszystkich bankach są potrzebne SMS-y.

      ——no już chyba mało który bank pozwala na zmianę przypisania stałego zlecenia czy zdefiniowanego przelewu bez kodu SMS.

      „Dokładnie w ten sam sposób kontrolujesz przelewy bezpośrednie. Masz przekopiowane na bieżąco z banku istotne formatki. Widać nie wiesz nawet jak działają, bo nie korzystałeś.”

      No nie, nie wiedziałeś, że „formatki” mogą być wygenerowane, albo pozmieniane? Wiesz co to jest phishing i na czym w ogóle polega? O osadzaniu kodu na stronach przez włamywaczy też na pewno słyszałeś. Poza tym to nie jest API z ustalonym protokołem – to jest jakiś nahakowany sposób dostępu do banku. Bank może np. wprowadzić jakieś zmiany kosmetyczne w stronie i cała procedura „przelewu” z Trustly pójdzie się j…

      —–Ale to tak samo ktoś Ci może podmienić interfejs innych pay-by-linków czy tez banków. To nic nam nie wnosi w kontekście rozmowy który system jest bezpieczniejszy lub może więcej ukraść.
      Te zmiany kosmetyczne są monitorowane przez automat i czas reakcji/przestoju w celu poprawki jest minimalny. Te algorytmy/skrypty sa na tyle mądre aby radzic sobie przy drobnych korektach interfejsu bankowego.

      „Tak? A w przypadku konkurencyjnych, zdzierskich systemów typu Przelewy wiesz do kogo idzie.”

      W przypadku pay-by-linków wiem, że firmy nie zdzierają mi całej kasy z konta i wiem, że nic poza tym nie zrobią. Bo nie mają takiej technicznej możliwości.

      —–tu chodziło o to, że przelewy bezpośrednie idą dokładnie tam gdzie je przesyłasz – do sprzedawcy. A znasz właściciela serwisu przelewy24 i potrafisz przewidzieć co zrobi ze środkami? Jednostkowo od Ciebie niewiele ukradną(to jeszcze zalezy jak drogi sprzet kupujesz), ale w skali wielu Kowalskich mogą ukraść więcej niż Trustly(opisywałem dlaczego-czas reakcji na fraud)

      „Jakie instytucje znikąd. To są poważne firmy.”

      Ojej, poważne firmy. Tak poważne, że i tak nic im nie zrobisz, bo za nic nie odpowiadają. Jedyny ich cel to zebranie kasy za wystawienie certyfikatu. Certyfikaty są przydatne przedsiębiorstwom, żeby ocenić kontrahenta na wstępie, ale i tak zawsze wymagana jest faktyczna kontrola jakości dostarczanych elementów. Certy niczego jednak nie udowadniają, a instytucja certyfikująca za nic nie odpowiada.
      Jak kupuję coś za 30 zł w Internecie, to nic się nie stanie, jak stracę te 30 zł. Jak kupuję samochód, to nie robię tego przez Internet. Ty byś tak kupował?

      —-no nie jest wcale łatwo zrobić ISO 27001. Zaręczam Ci bo robiłem. Pół roku wyjęte na procedury, audyty, testy, badania itp. To nei jest takie proste jak ISO 9001.

      „Te wyliczenia są mocno nieprecyzyjne z powodu argumentu przytoczonego przeze mnie wyżej.”

      Coś mylisz – tu nie ma żadnych wyliczeń. To są normalne kwoty z mojego konta.

      —–Z Twojego tak, ale Kowalskich jest więcej. Nie jesteś sam.

      „Nie patrz tylko ze swojego punktu widzenia, bo tu rozmawiamy o bezpieczeństwie systemów płatności w skali makro.”

      Nie. Ty rozmawiasz o oszczędzaniu, a ja się troszczę o własne bezpieczeństwo. Na nic mi wyłączenie Trustly 24 godziny po wyczyszczeniu konta.

      —-Tobie mogę poradzić jedno. Miej 2 konta. 1 do kupowania w internecie gdzie masz ograniczone środki, a na drugim trzymaj sobie oszczędności życia i po kłopocie.

      „Dowolnie komu to nie. Moim zdaniem powinna być lista systemów z audytami PSD II , a cala reszta to phishing.”

      No a kto by tę listę udostępniał? I kto by ją audytował? I jak trudne było by włamanie na serwer z tą listą, żeby ją uzupełnić o stronę phishingową? :D

      —-KNF

      Twój tok myślenia można podsumować następująco: masz gdzieś bezpieczeństwo swoich klientów, liczy się tylko to, żeby jak najwięcej zarobić oszczędzając
      na pay-by-linkach. Lub inaczej: sprzedajesz bezpieczeństwo klientów za cenę kilku złotych. Tak to odbieram. :-) Oczywiście klient zawsze może wybrać, czy korzystać z takiej płatności, czy nie – jego wybór. Ja też mam wybór i już dwukrotnie zrezygnowałem z zakupu w jakichś sklepach tylko dlatego, że zaproponowały mi Sofort (i to dopiero na końcu procedury, niepotrzebnie tylko konta zakładałem). Kupiłem gdzie indziej – dla zasady.

      Mam owszem interes żeby zarabiać więcej i nie chodzi tu o kilka złotych, ale przy tej skali o dziesiatki tysięcy -tylko w moim przypadku- to robi różnicę, ale pochylam się również nad bezpieczeństwem i w tym przypadku nie odnajdują wystarczających argumentów na poparcie tezy , że tradycyjny pay-by-link miałby być bezpieczniejszy.
      Jak ludzie będą mieć takie zasady jak Ty, to nie wróżę dobrze polskiemu e-commerce. Polskie firmy nie będa konkurencyjne w stosunku do tych w innych krajach, a i tak mamy wydajność gorszą od Niemców. Ktoś rozpowszechnia fobie, a tracą wszyscy Polacy.

      Poza tym. “Przesyłanie danych konsumenta przez oprogramowanie firm trzecich nie jest zjawiskiem nowym. Za każdym razem gdy konsument loguje się oraz korzysta ze swojego banku internetowego, jednocześnie transmituje swoje kody logowania przez szereg programów firm trzecich, takich jak np. system operacyjny czy przeglądarka internetowa. Trustly jest kolejną warstwą oprogramowania, z którego konsument może skorzystać, aby zainicjować płatność. Jeśli konsument nie mógłby przesłać swoich kodów logowania przez oprogramowanie dostarczone przez firmy zewnętrzne wobec banku (takie jak przeglądarka, czy też interfejs Trustly) nie mógłby on zalogować się do bankowości internetowej w ogóle.

      Dziś banki blokują screen scraping, ale sytuacja ta w przyszłości ulegnie zmianie. Europejska Dyrektywa w sprawie Usług Płatniczych (PSD 2), która weszła w życie 12 stycznia 2016 r., ma być wdrożona do polskiego prawa do stycznia 2018 r. Dokument ten dopuszcza stosowanie screen scrapingu w usługach inicjujących płatności. Co więcej, zakłada że działający już dostawcy usług inicjowania płatności mają prawo do kontynuowania swojej działalności w okresie przejściowym, do czasu transpozycji dyrektywy do prawa lokalnego, a banki nie mogą utrudniać świadczenia takich usług.

      – Jakiekolwiek działanie blokujące usługę inicjowania płatności świadczoną przez Trustly jest zatem niezgodne z intencją regulatora wyrażoną w Dyrektywie a także blokuje polskim konsumentom możliwość korzystania z metody płatności, z której korzystają miliony konsumentow w całej Europie”

    • „Ale to tak samo ktoś Ci może podmienić interfejs innych pay-by-linków czy tez banków.”

      Może. I dlatego należy minimalizować liczbę punktów, w których może dojść do włamania, tzn. _nie używać_ Trustly, ani podobnych.

      „tu chodziło o to, że przelewy bezpośrednie idą dokładnie tam gdzie je przesyłasz – do sprzedawcy.”

      Otóż nie. Nie wiadomo gdzie idą, aż do post-factum.

      „Tobie mogę poradzić jedno. Miej 2 konta. 1 do kupowania w internecie gdzie masz ograniczone środki, a na drugim trzymaj sobie oszczędności życia i po kłopocie.”

      Ale ta rada jest bezużyteczna. :D Nie mam potrzeby kombinowania z dwoma kontami – przecież nie używam Trustly. :D

      Szkoda, że nie odnajdujesz argumentów za większym bezpieczeństwem pay-by-linków, skoro zostały one już wielokrotnie tutaj powtórzone.
      Co więcej – w przypadku pay-by-linków wcale nie ma konieczności używania przelewy24 czy jakiegokolwiek pośrednika – sklep może (i niektóre tak robią) udostępniać płatność całkowicie u siebie.
      Serwisy agregujące są prostsze i tańsze i faktycznie gorsze pod względem bezpieczeństwa niż bezpośrednie generowanie pay-by-linków do banku.
      Bezpośrednie linki są najbezpieczniejsze, potem są serwisy agregujące różne banki, potem długo-dłuuuugo nic, i na szarym końcu serwisy typu Trustly.

      Oprogramowanie o którym piszesz dalej ma się nijak do Trustly. Oprogramowanie kontrolujesz i bez Twojej zgody się ono nie zmienia.
      Trustly jest jak system operacyjny z Koziej Wólki, którego nikt nie używa i nic o nim nie wiadomo. I tak jak pisałem wcześniej – jest po prostu
      kolejnym miejscem, gdzie dane mogą wycieknąć, a liczbę takich miejsc trzeba minimalizować. :-)

    • Piotr 2016.05.21 15:53 | # |
      „Ale to tak samo ktoś Ci może podmienić interfejs innych pay-by-linków czy tez banków.”

      Może. I dlatego należy minimalizować liczbę punktów, w których może dojść do włamania, tzn. _nie używać_ Trustly, ani podobnych.
      ——
      No to skoro włamać się i zgarnąć kasę może każdy(wszystkie pay-by-linki, pośrednicy, sklepy) to jak minimalizować? Przestać w ogóle płacić i nosić gotówkę?
      Bez sensu. Trustly pod tym wzgledem niczym sie nie różni.

      „tu chodziło o to, że przelewy bezpośrednie idą dokładnie tam gdzie je przesyłasz – do sprzedawcy.”

      Otóż nie. Nie wiadomo gdzie idą, aż do post-factum.
      ———-
      Skoro tak, to tym bardziej nie wiadomo gdzie idą przy tradycyjnych pośrednikach. Nie znam ich osobiście i nie robiłem im audytu heh….

      „Tobie mogę poradzić jedno. Miej 2 konta. 1 do kupowania w internecie gdzie masz ograniczone środki, a na drugim trzymaj sobie oszczędności życia i po kłopocie.”

      Ale ta rada jest bezużyteczna. :D Nie mam potrzeby kombinowania z dwoma kontami – przecież nie używam Trustly. :D
      ————
      Rozumiem, że PayPala w ogóle nie uzywasz i nie podajesz danych karty w internecie.

      Szkoda, że nie odnajdujesz argumentów za większym bezpieczeństwem pay-by-linków, skoro zostały one już wielokrotnie tutaj powtórzone.
      ——
      bo nie ma większego bezpieczeństwa co wykazałem porównując możliwości “skoku na kasę w przypadku zarówno Przelewy itp jak i innych.

      Co więcej – w przypadku pay-by-linków wcale nie ma konieczności używania przelewy24 czy jakiegokolwiek pośrednika – sklep może (i niektóre tak robią) udostępniać płatność całkowicie u siebie.
      —–
      to niewygodne i nikt tak nie chce kupowac

      Serwisy agregujące są prostsze i tańsze i faktycznie gorsze pod względem bezpieczeństwa niż bezpośrednie generowanie pay-by-linków do banku.
      Bezpośrednie linki są najbezpieczniejsze, potem są serwisy agregujące różne banki, potem długo-dłuuuugo nic, i na szarym końcu serwisy typu Trustly.
      ——–
      jakie bezpośrednie linki? Nie rozumiem. Trustly w niczym nie ustepuje pod względem bezpieczeństwa innym systemom pośredniczącym.

      Oprogramowanie o którym piszesz dalej ma się nijak do Trustly. Oprogramowanie kontrolujesz i bez Twojej zgody się ono nie zmienia.
      ————–
      A skąd wiesz? Robiłeś audyt?

      Trustly jest jak system operacyjny z Koziej Wólki, którego nikt nie używa i nic o nim nie wiadomo. I tak jak pisałem wcześniej – jest po prostu
      kolejnym miejscem, gdzie dane mogą wycieknąć, a liczbę takich miejsc trzeba minimalizować. :-)
      ————-
      miliony ludzi uzywaja trustly na swiecie codziennie, podobnie jak sofort.
      Nie masz kolego podstawowej wiedzy.

    • Marek>>> miliony ludzi uzywaja trustly na swiecie codziennie, podobnie jak sofort.
      Nie masz kolego podstawowej wiedzy.

      Miliony ludzi używają Linkedin, Twitter, Yahoo i innych wielkich serwisów webowych. I tym milionom wyciekły dane i hasła, bo ktoś się włamał. Twitter po 4 latach się dowiedział, że było włamanie. :D To raczej ty kolego nie masz podstawowej wiedzy. ^.^ Powodzenia w używaniu Trustly. Powodzenia.

  26. W Alior Sync jest haslo dynamiczne (podaj 1,3,6,7, etc. litere hasla). Z Tym sobie ten system nie poradzi.

    • poradzi sobie

    • Radzi sobie. W Pekao jest dokłądnie taki sam system i po wybraniu tego banku oraz wprowadzeniu losowych cyfr jako numeru klienta – wyskoczyło mi 16 pól na hasło, z czego około 6 było niezablokowanych – dokłądnie tak samo jak na oficjalnej stronie Pekao.

    • Dostałem dziś informację z Pekao, że ruch od nich będzie w miarę możliwości wycinany, a osoby, które przekazały dane dostępowe mogą dostać wypowiedzenia umów z bankiem. Sprawa robi się ciekawa…

    • informatycy w banku są niedouczeni. Narażają bank na odpowiedzialność odszkodowawczą wobec podmiotów którym nie wolno utrudniać działania
      Powinni ich wysłać na jakąś konferencję o PSDII.
      PSD II
      Artykuł 115

      Transpozycja

      6. Państwa członkowskie zapewniają, by dopóki poszczególni dostawcy usług płatniczych prowadzący rachunek nie spełnią regulacyjnych standardów technicznych, o których mowa w ust. 4, dostawcy ci nie nadużywali braku zgodności z tymi standardami w celu blokowania lub utrudniania korzystania z usług inicjowania płatności i usług dostępu do informacji o rachunku w odniesieniu do rachunków, które ci dostawcy prowadzą.

  27. W UK do Paypala mam podpieta karte debetowa (nie kredytowa) i konto w HSBC. Jak za cos place Paypalem, to nic nie musze podawac, oprocz samego hasla do Paypala, a ten pobiera pieniadze z konta. Nie musze wiec nic doladowywac, nawet gdybym chcial, to tez pobierze mi w ten sam sposob. Osobna kwestia jest maksymalna dozwolona dlugosc hasla w PayPalu, co zakrawa na kpine.

    • Mala poprawka, do PayPala podpieta mam tylko karte debetowa i to z niej moge zrobic ewentualne doladowanie.

  28. Jest lepszy motyw: w odpowiedzi na mojego maila protestujaćego przeciwko takim idiotyzmom dostałem automatyczn.ą odpowiedź. W sekcji „Doładowanie konta czytamy”.
    B. Mam problem z błyskawicznym doładowaniem konta.

    Aby otrzymać dokładne informacje w sprawie problemów z błyskawicznym doładowaniem, skontaktuj się z firmą Blue Media, która obsługuje tę opcję w naszym imieniu.

    Adres e-mail: paypal@bluemedia.pl

    Numery telefonu:

    • 801 800 855 (koszt połączenia to 0,20 PLN za każdą rozpoczętą minutę)
    • (+48) 58 760 48 55 (z telefonu komórkowego – koszt połączenia zgodnie z taryfą operatora).

    Godziny otwarcia: pon.-pt. 7:00 do 22:00, sob. 8:00 do 16:00. W czasie rozmowy potrzebny Ci będzie tytuł transakcji, przesłany przez serwis Blue Media po wykonaniu przelewu.

    Czyli tak się spieszyli, że nie zdążyli jeszcze zmienić odpowiedzi w auto-reply.

    Gratulacje

  29. Dałem się jak dziecko. Coś mi śmierdziało i nie pasowało, ale mówię na “szybko” … PAYPAL – PIER**** SIĘ ! Żonie nie podałem hasło i powiedziałem, że do końca życia go nie pozna …

  30. W DE rowniez opcja szybkiego doladowania PayPal’a tutaj obslugiwany przez Giropay. Taki sam “badziew”? Ktos cos?

  31. Ale wiecie, że usługi jak Sofort czy Trustly są w pełni legalne w UE, i na nic narzekania polskiego KNF? Dyrektywa PSD2, która wejdzie w życie na początku 2018 r., wręcz wymusza na bankach by się otworzyły na takie rozwiązania. Więcej możecie przeczytać na blogu bluemedia własnie – http://www.bluemedia.pl/pressroom/blog-fintech/wszystko-co-chcialabys-wiedziec-o-psd2

    • Rzeczywiście, jest to tam dość jasno opisane jako Payment Initiation Service wykonywane przez Third Party Provider, czyli usługa inicjowania płatności wykonywana przez osobę trzecią na zlecenie właściciela rachunku. Ale jeśli dobrze rozumiem sens tego dokumentu, to ma on na celu tylko uregulowanie, jasne zdefiniowanie tego typu procedur, a nie wymuszenie na bankach jego akceptacji — znaczy się, banki będą wiedziały z czym mają do czynienia (ktoś zapewne będzie nadawał tytuł TPP firmom takim jak Sofort czy Trustly), aby mogły ewentualnie pozwolić na korzystanie z tych usług swoim klientom.

      Być może będzie to oznaczało dla banków konieczność wprowadzenia nowych rozwiązań, procedur i nawiązania jawnej (w przeciwieństwie do obecnych “podchodów”) współpracy z takimi podmiotami jak Sofort czy Trustly, dokładnie tak jak zrobiły to w przypadku pośredników typu Przelewy24 czy PayU.

    • Ale takie coś już jest. Byle płatność przez PayU jest właśnie tym, o czym mówi ta dyrektywa. Tylko że ta płatność jest zrobiona bezpiecznie. I nie ma tu potrzeby podawania loginów podmiotom trzecim. Po prostu zapytanie podmiotu trzeciego użytkownik potwierdza już na stronie banku, a nie na wiarę, że jakieś Trustly czy Paypal same to zrobią, bo napisali, że są bezpieczni.

    • “Legalne” nie jest synonimem słowa “bezpieczne”

    • Właśnie że dla mnie jako sprzedawcy internetowego nie jest PayU itp. bezpieczniejsze, bo przelew najpierw idzie na ich konta. W Trustly idzie bezpośrednio do mnie. Myślę, że dla kupujących też jest ważne dokąd najpierw wysyłają swoje środki….

  32. Wczoraj pisałem komentarze na temat Sofort i Trustly, bo temat mnie zaciekawił, ale nie wiem, czy to w ogóle to redaktora dociera?… Jeśli nie, to szkoda, bo jest sens Sofortu i Trustly, o którym warto napisać, o którym pisali też inni komentujący.

    Dla Polaka to “szok”, że jakiś zewnętrzny system przejmuje od nas operowanie naszym kontem bankowym przez internet. Sofort jest coraz bardziej popularny na Zachodzie, bo pozwala robić zakupy przez internet za przysłowiowym “jednym kliknięciem”, czyli w sposób bardziej zbliżony do tego, co Amerykanie znają u siebie jako płatność kartą kredytową. Dla Polaka to nie do pojęcia (dla mnie w zasadzie też), ale ten pomysł zapewne podyktowany był właśnie próbą “zaadaptowania” mechanizmów Europejskich (płacę za zakupy zlecając przelew internetowy) do nawyków Amerykańskich (płacę jednym kliknięciem, bo dane karty już wcześniej podawałem i nie muszę tego robić). W efekcie popularność zyskuje też w Europie, bo wiadomo – ludzie chcą łatwiej i szybciej.

    Rzeczywiście, w Polskich warunkach jest to niebezpieczne, bo właściwie możemy sobie gwarantować, że jeśli coś pójdzie nie tak, to:
    1) polski bank każe nam spadać na bambus z reklamacją jakiejkolwiek operacji, którą wykonał Sofort/Trustly
    2) dojście do swoich praw u Sofort/Trustly pomimo ich obietnic może być utrudnione z uwagi na to, że to zagraniczne firmy

    Na Zachodzie powyższe problemy zapewne nie są uważane za znaczące, ludzie bardziej nastawieni na ufność klientom, kontrahentom, a dochodzenie reklamacji, roszczeń i pomoc ze strony prawa o wiele łatwiejsza w przypadku oszustw – stąd o wiele większa akceptacja tego typu praktyk i w ogóle możliwość ich rozwijania się.

    Mnie jeszcze ciekawi, czy te systemy są zautomatyzowane (poruszają się po systemach banków za pomocą jakichś API?) czy tam naprawdę siedzą “człowieki”, które wszystko ręcznie wklepują…

    Co do opcji “zakupów za darmo” – gorzej, jeśli to Sofort/Trustly przejmie kontrolę nad naszym kontem, bo ma dostęp do danych, hasła, i może nas wmanipulować w podanie jednorazowego kodu dostępowego. :-)

    • Cofam fragment o “docieraniu” komentarzy do redakcji! To ja nie doczytałem pierwszego akapitu artykułu, w którym jest wzmianka o komentarzu czytelnika. Mam tylko nadzieję, że napiszecie o tym DLACZEGO Sofort/Trustly w ogóle zaistniały i dlaczego (na razie) rosną w siłę. To przecież istotne zrozumieć fenomen, który się hejtuje. ;-)

    • tak, na pewno przyklepują miliony transakcji ręcznie, a obok w pudle schowana jest babcia i jeszcze obiera kartofle. Jasne że są to automaty wykorzystujące screen scraping. System nie zapisuje haseł u siebie. No chyba, że zrobisz to lokalnie, w przeglądarce.

    • Pytanie co rozumiesz pod pojęciem “na Zachodzie”, bo przewija się w tym kontekście nazwa naszego zachodniego sąsiada. Problem w tym, że jeszcze niedawno w kontekście płatności był zapóźniony nawet porównując z Polską. Najlepiej obrazuje to takie porównanie: w 2000 roku w Polsce, chyba na każdej, nawet najmniejszej stacji benzynowej mogłeś zapłacić za paliwo kartą. W tym samym czasie w Niemczech płacenie kartą na stacjach (ale i w sklepach) było czymś nienormalnym. Tylko gotówka albo … czek. I to nawet na sieciowych stacjach benzynowych, w dużych miastach. I nie, nie mam na myśli nawet niemieckich stacji (które w Polsce w latach 90tych były jedynymi sieciowymi, które nie akceptowały płatności kartą, jak Aral).

      W tym kontekście podawanie Niemiec (Sofort to system niemiecki) jako kraju, do którego powinniśmy równać i od którego powinniśmy się uczyć, jak to się robi “na Zachodzie” jest – delikatnie rzecz ujmując – niepoważne.

    • Tak mi się jeszcze skojarzyło tytułem uzupełnienia.
      Jeżeli poszperać po internecie, to we wpisach sprzed kilku zaledwie lat można znaleźć opisy problemów z płaceniem kartami VISA/MC, które po prostu nie były w Niemczech akceptowane. A skoro tak, to i ilość wydanych kart była zapewne (a może i nadal jest) niewielka. Jak więc płacić w internecie za zakupy, nie mając kart płatniczych VISA czy MC?
      Może bezpośrednio z konta, co zapewnił powstały w 2005 roku Sofort?

      Tylko że znów pytanie: w takim kontekście to przełom i nowoczesność, czy jedynie sposób na zatkanie technologicznej dziury?

    • @GS Podawanie przykładu płacenia kartą na stacji w 2000r? Terminale to inna sprawa i fakt, że Polska bardzo szybko rozwinęła sięć akceptacji płatności kartami.
      A co do płatności internetowych. Dzięki Sofort od 2005r Niemiec kupuje w internecie o 1 do 1,5% taniej od Polaka korzystającego z pay-by-linków typu PayU, Tpay czy Przelewy24. A wiesz ile te 1 do 1,5 waży dla konkurencyjności całej gospodarki jak policzysz setki milionów obrotu e-commerce? Tak jest, jak każdy sprzedawca przerzuca koszty transakcyjne na klienta. I jest to wina pobierania opłat za API przez banki. To kto był mądrzejszy i bardziej innowacyjny?

    • 2000 rok podałem, bo po doświadczeniach z Polski i nie tylko byłem po prostu zaskoczony tym, co spotkałem wówczas w Niemczech. Ale w internecie można znaleźć znacznie późniejsze opisy pokazujące, że nic się nie zmieniło – np. z 2010 roku.
      I nie, to nie jest tak, że terminale to “inna sprawa”. Owszem, jako płacenie – tak. Ale napiszę trochę inaczej raz jeszcze to, co w uzupełnieniu z 17:24. Skoro w Niemczech nie ma gdzie płacić VISA i MC, to po co je mieć? A jak Niemiec ich nie ma, to jak ma płacić w internecie? Może … przelewem z konta?

      W Twoich tezach (jak to super, jak to taniej) jest jednak sporo luk, które wychodzą dopiero jak się dokładniej zastanowić nad całą procedurą. Twierdzisz na przykład, że Sofort jedynie “inicjuje” przelew i nie przetrzymuje pieniędzy. Ok. Kupuję w firmie z USA, płacę przez Sofort. Na jakie konto zostanie “zainicjowany” przelew? Czyżby firmy chcące współpracować z Sofort były zobligowane do zakładania kont w bankach na całym świecie, czy może przelew z mojego konta będzie na konto w banku amerykańskim? A jeżeli to drugie, to kto za niego zapłaci? No chyba nie Sofort tylko ja, jak za przelew zagraniczny. A czy przed udostępnieniem danych do konta jako użytkownik będę ostrzeżony, że to nie będzie przelew lokalny, ale właśnie taki drogi przelew zagraniczny?

      Co do 1-1,5%: 10 lat temu było sporo osób, które wyśmiewały się z “chcących płacić więcej”. Wyśmiewały się, że ktoś chce płacić za kredyt 5-6% jak można 3-4%. Przecież dzięki temu że płacą mniej tyle oszczędzają.
      Minęło 10 lat i chcieliby cofnąć czas. Bo nie wiedzieli i nie rozumieli.

      Oczywiście prowadząc własny biznes masz prawo próbować zmusić swoich klientów do płacenia wyłącznie za pomocą – Twoim zdaniem – Jedynie Słusznego I Super Bezpiecznego Antybankowego Systemu Płatności. Ja widząc taką opcję popukałbym się w czoło i poszedł do konkurencji.

    • @Marek: Są sklepy, które płatność przez pośredników przerzucają na klienta i nie mają tych dodatkowych procent wyższych cen.

  33. Janusze.

  34. Link4 do dzisiaj nie zmieniło sposobu opłacenia polisy przez kartę (podanie konsultantce numeru karty,daty ważności i kodu cvv,), a tutaj to jest małe piwo. Płacisz i zmieniasz hasło do konta po chwili. Karty już tak łatwo się nie zmieni :P Pyszne.pl też korzysta (korzystało?) z soforta i dawali za to zniżki, a jak się płaciło czymś innym to zniżek brak

  35. Pytanie zasadnicze, dotarłem do momentu wybrania numeru konta, wpisałem login i hasło, nie ukończyłem tranzakcji poprzez podanie kodu sms. Czy sesja zostala zapisana? Jeżeli tak, to muszę zmienić haslo, logiun już zmieniłem. Tyle razy mówiłem, uważaj…

    • mysle, ze od razu powinieneś tez zmienic nazwisko, tożsamość, obywatelstwo:)

  36. 15 minut po tym jak napisałem do banku PKO BP miałem telefon z infolinii , z pytaniem czy tego użyłem i ostrzeżeniem, żebym tego absolutnie nie robił. Pani powiedziała, że wiedzą już o problemie z PayPal. Bank zareagował w sumie natychmiast, wiec sprawa jest poważna lub może raczej niepoważna ze strony PayPal.

    • Szybka reakcja PKO BP? O Sofort wiadomo od kilku lat. Raczej banki się ociągają (PKO BP zareagował najszybciej, ale nie ma się czym chwalić).

    • qwerty, PKO sofort już dawno zablokowało. To samo teraz zrobili z paypalem (a raczej z Trustly). Ich “proxy” nie ma dostępu do strony logowania.

  37. Przecież w Skrillu Trustly jest od dawna i nikt afery nie robił :)

  38. “skorzystają na tym także Ci”
    Poniosło Was z dużą literą tutaj.

    “Jak informują nas osoby blisie”
    Bliskie?

  39. skorzystalem z tej funkcji niestety zanim zobaczylem ten artykul (wczoraj) – co robic, jak zyc? cos mi grozi? zmieniac hasla?

  40. Banki trzęsą portkami przed ew. odszkodowaniami, gdyż nie ma prawa, które zabrania podawania wiarygodnym pośrednikom danych w celu przeprowadzenia transakcji (patrz bookowanie hoteli przez tel).

    • Jestem wiarygodnym pośrednikiem, więc podaj mi swoje dane do banku. Jak chcesz, to nawet regulamin Ci wyślę. No, nie daj się prosić…

    • No nie ma prawa zabraniającego. I co z tego? Jak Ci bank udowodni, że to zrobiłeś to i tak przegrasz w sądzie, jak Ci kasa zniknie nie wiadomo gdzie i kiedy. I dalej nie będzie prawa zabraniającego. Bo nie jest potrzebne.

  41. Co za głupota.
    Ja mam sprzężoną z paypalem kartę kredytową. Mam nadzieje że jest bezpieczna

  42. W ogóle dało się płacić kartą PKO przez PayPala? Za każdym razem jak moja mama próbowała wykonywać płatność przez internet ich kartą wyrzucało błąd, wtedy zazwyczaj używałem szybkiego przelewu PayPal (jeszcze za czasów BlueMedia) bo PP jest praktycznie wszędzie.

    • Tak, da się. Ja to robię już od lat. Swoją drogą paypal jako jeden z niewielu akceptuje moją kartę (amazon np jej nie lubi) może dlatego, że mają zaimplementowane 3D secure, które mam na karcie włączone, a te serwisy, które moją kartę odrzuciły, 3Dsecure nie miały.

  43. wysłałem to również do naszego niebezpiecznika ale tu też wstawię :) jest to odpowiedz firmy paypal na wiadomość która do nich wysłałem(również zamieszczam).
    moja wiadomość “Witam. Chciał bym poinformować o bardzo niebezpiecznym procederze prowadzonym przez Państwa partnera tj. firmę Trustly. Gdy wybierzemy opcję doładuj konto błyskawicznie po wpisaniu kwoty zamiast połączyć się przez API ze swoim bankiem firma ta wymaga podania loginu i hasła do mojego konta bankowego wraz z podaniem kodu sms(!). Jest to proceder bardzo niebezpieczny ponieważ narusza on umowy zawarte pomiędzy bankiem a użytkownikami. Proszę o odpowiedź i ustosunkowanie się do moich obaw.”
    odpowiedz firmy PayPal
    ”Panie Rafale, zapewniamy, iż nasz pośrednik zobowiązny jest do przestrzegania wszystkich przepisów finansowych, które obowiązują firmę PayPal.

    Korzystanie z błyskawicznego doładowania jest oczywiście Pana wyborem; jeżeli nie zamierza korzystać Pan z tej formy, może Pan w dalszym ciągu używać standardowego przelewu “dodaj środki” lub karty do płatności internetowych.”
    tak więc jak można zauważyć PayPal niewiele sobie z tego robi.

  44. O tym, że nie można zabronić dostępu z wykorzystaniem credentials użytkownika mówi między innymi Motyw (recital) 30, 69 PSD2. Motywy służą do interpetacji dyrektyw i również stanowią prawo. API nie będą jedyna słuszną drogą dostepu TPPs do banków. Ale bardzo dobrze że te szczegółowe regulacje powstały bo są też ograniczenia w dostępie. Obowiązek jednoznacznego uwierzytelnienia się TPP względem banku (nie będą już udawać klientów), wymogi w zakresie zabezpieczenia credentials również w transmisji. Jak w zacytownych art. 66-69 PSD2. Poza tym dane dostępne dla PIS i AIS będą ściśle ograniczone do niezbędnych do świadczenia ich usług. Więc mądry bank odczyta certyfikat TPP, sprawdzi w rejestrze KNF i EBA że to PIS i udowtepni ku tylko saldo rachunku podstawowego i możliwość wysłania przelewu. Inne podejrzane akcje może blokować na dotychczasowych zasadach. Polecam kontakt z KNF które ma w tym zakresie bardzo dobrych fachowców (moja kancelaria często z nimi współpracuje) oraz zainteresowanie się pracami nad tzw. RTS. EBA “pisze” je w otwartym procesie z wykorzystaniem konsultacji społecznych. Np. Google EBA discussion paper on strong customer authentication and secure and open communication.

    • Jeśli API nie muszą być jedynie słuszną drogą dostępu dla PIS, to czy w myśl zapisu 30tego “dostawcy usług płatniczych prowadzący rachunek powinni umożliwiać dostawcom świadczącym usługę inicjowania płatności – bez względu na stosowany przez nich model biznesowy” banki będą miały prawo blokować dostęp systemom używającym screen scrapingu?
      Czy wymagania co do konieczności Uwierzytelniania się TPP wobec banku powoduje konieczność dostępu jedynie poprzez API?

  45. A jaki jest sens doladowywania swojego konta w PayPal? Troche nie rozumiem. Przeciez Paypal sobie sciaga z konta bankowego (direct debit)/karty tyle pieniedzy ile trzeba, zeby pokryc dana platnosc. Na koncie PP moze byc zero w momencie placenia w sklepie.

    //Hmmm… tak jest w UK, moze w Polsce jest troche inaczej?

    • Też tak jest, ale chyba duża część Polaków nadal woli robić przelewy.

    • Musiałem tak kilka razy kupować bilety na samolot bo nie chciało mi zaakceptować płatności kartą…

    • Nie każdy ma kartę kredytową/debetową. I nie każdy chce ją mieć. Ja na przykład nie chcę.
      Kiedyś ING miało karty do płatności internetowych i “kredytowych”, które się doładowywało przelewem z rachunku na rachunek w obrębie konta, a potem można było używać i z PayPal, i z terminalem płatniczym. ING by ograniczyć koszty zamienił to na karty wirtualne, które działały tak samo, ale bez fizycznej reprezentacji, lecz mi nigdy nie działały z PayPal. Dlatego doładowywanie konta z BlueMedia, z użyciem bankowego, bezpiecznego API mi odpowiadało.

    • Cóż, nie każdy ma ochotę podawać na stałe takiemu serwisowi jak paypal danych swojej karty, kwestia wyboru.

  46. Błyskawicznie przerzuciłem się na kupowane online paysafecardy, czekam na zmianę systemu, a na razie żegnaj paypal.

  47. W ich regulaminie przeczytać można, że nie przechowują danych logowania ale przechowują dane osobowe a konkretnie nazwisko,ip,pesel,nr dowodu(!),adres,mail,telefon
    Jakim prawem? Czy nie mam prawa żądać usunięcia tych danych?
    Jeszcze rozumiem przetrzymywanie normalnych danych, ktore są widoczne gdy zlecam przelew normalnie (np nazwisko) ale nr dowodu?

  48. Cóż za miła niespodzianka od PKO, oby inne banki też tak zrobiły a paypal wycofał się z tej idiotycznej decyzji

  49. Jest jeszcze zabawniej. Wysłałem do PayPala maila z zapytaniem o całą tą sytuację. Nie to, żebym oczekiwał jakiś poważnych wyjaśnień, tylko tak z ciekawości. Dostałem odpowiedź z autoresponsera, która oczywiście nijak nie miała się do mojego zapytania. Jednak znalazłem tam odniesienia do tego co należy zrobić w przypadku trudności z natychmiastowym doładowaniem. I jakież było moje zdziwienie, gdy przeczytałem, że należy w tej sprawie kontaktować się z firmą… Bluemedia. No to są już kpiny…

  50. Bardzo proszę oszczędzić mi słów krytyki, bo sama sobie dzisiaj tak wygarnęłam, że wystarczy. Wczoraj doładowałam konto PayPal ” błyskawicznie”, bo taka była potrzeba. Niestety zabrakło mi zdrowego rozsądku, cóż zdarza się najlepszym. Dzisiaj, gdy przeczytałam to wszystko, co tu napisaliście, natychmiast ruszyłam, by zalogować się do swojego banku i zmienić hasło. Niestety, a właściwie stety Bank PKO BP SA zablokował mi dostęp do konta. Mogłabym go odblokować przez serwis telefoniczny, który też został zablokowany. Swoją powiedzmy wprost głupotę, bezmyślność i nie wiem, co jeszcze przypłacę jutro wizytą w najbliższym oddziale banku, bo dzisiaj już bym nie zdążyła dotrzeć. Tylko w ten sposób mogę odblokować dostęp do konta internetowego. Z tego miejsca mogę podziękować bankowi za blokadę, będę miała nauczkę i na pewno wyciągnę z niej wnioski. Cytując Marylę Rodowicz “…głupia ty, głupia ty…”

  51. “PayPal jak i firma Trustly czuwają nad bezpieczeństwem danych naszych klientów. Firma Trustly działa w ramach dyrektywy o dostawcach usług finansowych, nie przechowuje Pańskich danych do logowania się do banku i stosuje zabezpieczenia komputerowe, takie jak zapory i szyfrowanie danych.
    Proszę mieć na uwadze, że może Pan zawsze skorzystać z opcji tradycyjnego przelewu na koncie Paypal, który trwa do 2 dni roboczych.”

    Jakżem teraz spokojny xD

  52. W art. 66 PSD II stoi jak wół, że Soforty i inne takie nie mogą pobierać danych poza niezbędnymi do realizacji płatności. Do czego w takim razie im moja np. historia konta?
    W cytowanym regulaminie usługi stoi jak wół, że sobie mogą pobrać z banku co tylko chcą.
    W najlepszym wypadku jest to nieprecyzyjne sformułowanie regulaminu usługi, w dodatku niezgodne z prawem. W najgorszym, wał na dużą skalę. W przypadki nie wierzę, tak samo jak w to, że pisał to jakiś durnowaty prawnik bez umu i pojęcia. Ta konstrukcja jest celowa.

    • Do realizacji płatności muszą Cię uwierzytelnić i zautoryzować, a nie jest powiedziane że mogą to zrobić tylko na podstawie danych logowania. A to znaczy, że “teoretycznie” wmówią Ci że historii Twojego konta używają jako dodatkowego zabezpieczenia.

  53. A ja napisałem do Paypal bezpośrednio odnośnie swoich obaw o szybkie przelewy i otrzymałęm taką informację:
    Dziękujemy za skontaktowanie się z firmą PayPal odnośnie zasilenia konta.

    “Panie Rafale, zapewniamy, iż nasz pośrednik zobowiązny jest do przestrzegania wszystkich przepisów finansowych, które obowiązują firmę PayPal.

    Korzystanie z błyskawicznego doładowania jest oczywiście Pana wyborem; jeżeli nie zamierza korzystać Pan z tej formy, może Pan w dalszym ciągu używać standardowego przelewu “dodaj środki” lub karty do płatności internetowych.

    Wyrażam nadzieję, iż rozwiązuje to omawianą sprawę.
    W przypadku jakichkolwiek dalszych pytań pozostajemy do dyspozycji.”

    śmiechu warte :)

    • Wygląda na to że wszystkim wysyłają tą samą formułkę:
      “Panie Marcinie, zapewniamy, iż nasz pośrednik zobowiązany jest do przestrzegania wszystkich przepisów finansowych, które obowiązują firmę PayPal.

      Korzystanie z błyskawicznego doładowania jest oczywiście Pana wyborem; jeżeli nie zamierza korzystać Pan z tej formy, może Pan w dalszym ciągu używać standardowego przelewu “dodaj środki” lub karty do płatności internetowych.

      Wyrażam nadzieję, iż rozwiązuje to omawianą sprawę.

      W przypadku jakichkolwiek dalszych pytań pozostajemy do dyspozycji.”

  54. Acha, więc to był ten atak na polskie banki!

  55. Żeby było ciekawiej to PKO BP zablokował w ogóle dostęp do iPKO wszystkim użytkownikom, którzy korzystali z doładowań Pay Pal.

    • I prawidlowo, klienci sie doedukuja.

    • Pekao wysłało internal-maila z podziękowaniem za zgłoszenie sprawy i… przypomnieniem, że każdy, kto skorzystał z tej shit-usługi, może liczyć się co najmniej z blokadą serwisów do wyjaśnienia, a czasem nawet z wypowiedzeniem umowy rachunku.

      Jestem jak najbardziej za. Regulacje bankowości w poszczególnych krajach powinny być ich wewnętrzną kompetencją i stąd konieczna jest jak najszybsza zmiana konstytucji, by umowy i traktaty międzynarodowe miały niższy priorytet niż państwowe akty normatywne.

    • informatycy w banku są niedouczeni. Narażają bank na odpowiedzialność odszkodowawczą wobec podmiotów, którym nie wolno utrudniać działania.
      Powinni ich wysłać na jakąś konferencję o PSDII.
      PSD II
      Artykuł 115

      Transpozycja

      6. Państwa członkowskie zapewniają, by dopóki poszczególni dostawcy usług płatniczych prowadzący rachunek nie spełnią regulacyjnych standardów technicznych, o których mowa w ust. 4, dostawcy ci nie nadużywali braku zgodności z tymi standardami w celu blokowania lub utrudniania korzystania z usług inicjowania płatności i usług dostępu do informacji o rachunku w odniesieniu do rachunków, które ci dostawcy prowadzą.

    • Nie spamuj Waść, wstydu oszczędź.

  56. Co zrobić jak już doładowałem konto przez ich stronę. Już zmieniłem hasło do banku i co jeszcze wypadało by wykonać? Bank PEKAO

    • Sprawdź jeszcze czy nie widać na rachunku/rachunkach jakiś przelewów z odroczoną datą płatności.

  57. Podchodząc do phishingu haseł przez trustly trochę szerzej, czy ten “system płatności” ma dostęp do danych logowania paypal? Przykładowo jeśli skorzystamy z szybkiego przelewu za pomocą trustly w ramach paypal to czy trustly przejmuje “tylko” dane logowania do banku czy także uzyskuje dostęp do danych logowania do paypal?

    • To już by był jakiś cyrk. Trustly czy Sofort mają tylko wykonać za nas przelew z naszego konta bankowego i zarazem zaraportować to u PayPal, tak aby PayPal miał podstawę “błyskawicznie” przyznać nam środki na koncie. Tak samo działa płatność w sklepach – Sofort/Trustly wykonują przelew za nas i raportują to u sprzedawcy, tak aby ten miał podstawę wysyłać od razu towar.

  58. I tak lepiej niż gdyby byli “Trust-ish”…

  59. Jeśli ktoś szukałby warunków, to są w tej chwili dostępne pod adresem:
    https://trustly.com/_/legal/?Locale=pl_PL&identifier=deposit.bank.poland.brex
    a aktualna zawartość jest w języku angielskim:
    GENERAL TERMS AND CONDITIONS TRUSTLY

    APPLICABLE END USER GENERAL TERMS AND CONDITIONS V. 6.0; JANUARY 2016
    1. GENERAL INTRODUCTION OF THE SERVICE
    Trustly (the “Service”) is a bank-independent payment solution supporting the execution of transactions in relation to bank accounts in a number of banks in a selection of countries. The service constitutes a tool which you (the “User”) may use to execute payments through your online banking service in a simplified manner to an online supplier (the “Supplier”) providing you a product or service. The service merely consists of an additional interface between the User and the interface of the online banking service of your choosing designed specifically for the purposes of simplifying your completion of a specific transaction. The User will personally carry through and complete all necessary steps for proceeding with a transaction such as logging in to the online banking service, selecting account from which to pay, and signing the transaction. The User will, consequently, have full control over all phases of the completion of a transaction.The Service allows the User to execute a swift and secure bank transfer in a user-friendly interface without the need for any additional software or registration arrangements. The Service may also be used by the User for the purpose of authenticating oneself towards a Supplier, in order to receive a payment. The Service is not offered by or affiliated with your bank. The Service is provided to you by Trustly Group AB (556754-8655), Sweden, (“Trustly”), through the Supplier that you want to transfer funds to or receive a payment from. Please read the Terms and Conditions carefully. In case you do not accept the Terms and Conditions, do not proceed with the transaction. By using the Service, you agree to the Terms and Conditions as set forth in this Agreement at the time of the transaction. The Terms and Conditions may be revised from time to time without prior notice and the User must therefore ensure that the terms are reviewed in each case before proceeding with a transaction. In the event of a change of the terms, the revised version will be labeled with a new version number.

    2. LOGIN INFORMATION ETC. PROVIDED BY THE USER
    Any transaction executed with the use of personalised security credentials (codes/passwords etc.) shall be deemed to be carried out by the authorized owner of the account. The login information provided by you during the transaction process will be collected and processed by Trustly. Trustly will forward the information, through the Service interface, to the corresponding interface of your online bank over an established secured connection. All communication transferred when using the Service is encrypted and the secret login information of the User will never be stored but forwarded to the corresponding input-field with the selected bank. Trustly may, however, store and process any and all information provided by you. Trustly’s processing of such information takes place in accordance with clause 7 (Privacy policy and processing of personal data) below.

    3. AUTHORIZATION/PERMISSION TO FORWARD INFORMATION PROVIDED BY THE USER
    By using the Service, the User approves that information provided on the User in the online banking service (including name, address, telephone number, e-mail address, sending bank account number, personal identity number and, where applicable, passport number/identity card number) is used by Trustly for the purpose of verifying the identity of the User and/or for the purpose of executing your transaction. Your information is furthermore forwarded by Trustly to the Supplier for the purpose of the Supplier verifying the transaction and the User’s identity, in order to prevent fraud or other criminal act as well as to meet potential legal requirements.

    4. GENERAL REQUIREMENTS FOR ELIGIBILITY TO USE THE SERVICE
    The User must be of at least eighteen (18) years of age, or of such age as required by the Supplier, with capacity to enter into legally binding contracts and have the right to dispose of the assets available in the online bank by using the Service and does hereby guarantee that the said requirements are met. Moreover, the User guarantees that it shall not use the Service for any purpose that is in violation of its agreements with third parties or applicable law. The User is personally responsible for any and all such violations and acknowledges, by using the Service, that the use of the same does not result in any such violation.

    5. LIABILITY AND COMPENSATION
    Trustly is liable to the User for transactions executed through the Service to the extent set out in the Swedish Payment Services Act (2010:751). Trustly shall in no case be liable to the User, Supplier or any third party for any direct or indirect loss or damages incurred due to the use of the Service as a consequence to any error, crash or interruption caused by the User or a third party.

    6. POTENTIAL CHARGES AND FEES APPLIED BY THE BANK OF THE USER
    When executing a transaction through the Service, domestic or international payments may occur from time to time in which case a fee chargeable to the User’s bank account may apply according to the terms of the agreement between the User and its bank. By using the Service, the User acknowledges that he or she is solely responsible for any and all fees applied by his or her bank when executing domestic or international payments/transactions.

    7. PRIVACY POLICY AND PROCESSING OF PERSONAL DATA
    Trustly will store and process information provided by the User in accordance with applicable data privacy legislation. Such information includes the IP-address of the User, information regarding the identity of the User including e.g. name, address, telephone number, e-mail address, sending bank account number, account balance, personal identity number and, where applicable, passport number/identity card number.

    Trustly collects and processes the information for the purposes of managing your transaction, registering your transaction with your bank and carrying out a secure transaction as well as to meet legal requirements within the field of data storage requirements, anti-money laundering measures and other relevant legal obligations of Trustly, including but not limited to for the purpose of preventing fraud and other criminal acts.

    Trustly is the controller of the collected data and is responsible for ensuring that it will be treated in accordance with applicable privacy regulations and will be used only for the purposes and in the manner, and only be provided to third parties, as set forth herein.

    It follows from clause 3 (Authorization/permission to forward information provided by the user) above that the User consents to information being forwarded by Trustly to the online banking interface and to the Supplier as further detailed in said clause. Trustly may further forward information on the User to police authorities and other relevant authorities in connection with investigations of payment transactions for the purposes of preventing, investigating and disclosing breaches against anti-money laundering legislation, fraud and other criminal acts. Trustly will undertake necessary measures to protect the provided data from otherwise being passed on to third parties and undertakes not to pass on any such data for commercial, advertising or similar purposes.

    All personal data collected will be treated with confidentiality as far possible and will, in all cases, be transmitted and handled by applying SSL (Secure socket layer) and secure encryption procedures. Trustly will not process personal data for a longer period than what is necessary for fulfilling the purpose of such processing as set out above.

    The User, through its consent to these Terms and Conditions before use of the Service, consents to the processing of personal data as set forth above. The consent also applies to transfer of data via Internet including transfer of such data to a third country outside EU.

    If you have any inquiries or requests relating to your personal data or your rights under applicable privacy regulations, including requests for information and rectification, please contact Trustly at support@trustly.com.

    In certain cases, special Terms and Conditions may supplement these General Terms and Conditions, such as for use of Trustly’s special service for direct payments (Swe. “Direktbetalning”) or “Tap & Pay”. In case of contradiction between these General Terms and Conditions and such special Terms and Conditions, the regulations set forth in said special Terms and Conditions shall prevail.

    8. NOTIFICATIONS OF DELAYS, INTERRUPTIONS, MALFUNCTION ETC.
    If the User takes notice of any indication of malfunction, Trustly shall be notified promptly in which case it will commence its best efforts to remedy any malfunction without delay.

    9. FORCE MAJEURE
    Trustly shall in no case be liable for any economic loss, delay or failure in performance to the extent such loss, delay or failure is caused by fire, flood, explosion, war, strike, embargo, governmental requirements, civil and military authority, data trespass, unlawful action of the User or any other cause beyond Trustly’s reasonable control.

    10. MATTERS OF SUSPECTED CRIMINAL ACTIVITY ETC.
    Trustly unilaterally reserves the right to take appropriate measures, keep records of and suspend a transaction of the User in the event of suspected criminal or illicit activity, imminent civil actions by third parties due to the providing of the Service or any other act or omission such as severe malfunction or misuse of the Service that might expose the User or Trustly to damage regardless of the nature of such potential damage.

    11. KNOW YOUR CUSTOMER (KYC)-REGULATIONS AND USER OBLIGATIONS TO PROVIDE INFORMATION
    The transactions executed by the User are subject to monitoring for the purposes of complying with applicable regulations regarding anti-money laundering and financing of terrorism. The policies and practices applied are constantly reviewed and may vary from time to time and depending of conditions pertaining to the User such as transaction patterns, geographical position etc. For the purposes of complying with applicable regulations, records may be kept and additional information may be requested from the User in order to establish matters such as identity, purpose of the transaction and origin of funds. By executing a transaction through the Service, the User commits to provide any and all such information as may be deemed necessary for these purposes and recognize that non-compliance with such request may result in refusal to complete the transaction of the User or other consequences as called for.

    12. SEVERANCE
    If any provision of this Agreement is found by any court or administrative body of competent jurisdiction to be invalid or unenforceable, such invalidity or unenforceability shall not affect the other provisions of this Agreement which shall remain in full force and effect. If any provision of this Agreement is so found to be invalid or unenforceable but would cease to be invalid or unenforceable if some part of the provision were deleted, the provision in question shall apply with such modification as may be necessary to make it valid and enforceable.

    13. GOVERNING LAW
    These General Terms and Conditions and the agreement it constitutes shall be governed by the laws of Sweden. Disputes shall primarily be resolved by negotiations in good spirit between the parties following a claim being filed by the User after which Trustly shall consider the claim within thirty (30) days. If the parties are not able to reach an amicable agreement regarding the claim, the dispute shall be resolved in accordance with the rules of civil procedure.

    • Proszę zwrócić szczególną uwagę na punkt 2 i zdanie:
      “Trustly may, however, store and process any and all information provided by you.”
      Warto zastanowić się nad słowem “provided”, bo podanie loginu i hasła daje dostęp do wszelkich informacji na naszym koncie.

  60. Droga redakcjo,

    1. zapytajcie proszę KNF o to, co zamierzają względem dyrektywy PSD? Czy będą ubiegać o wyjątek dla Polski – np. by banki były zobowiązane jedynie do pay-by-link lub ewentualnie API. Czy zamierzają rozpętywać piekło w PE / KE by zmodyfikować dyrektywę?

    2. zapytajcie proszę Związek Banków Polskich, jakie są ich zamierzenia względem PSD oraz względem stron trzecich typu Trustly/Sofort. Czy będą lobbować przecie dyrektywie? Czy wydadzą rekomendację np by zamiast nakładki na login banki wystawiały API z innym hasłem niż normalne do systemu transakcyjnego (hasło do API) i bez umożliwienia przez API wglądu tam, gdzie nie powinni widzić?

    3. zapytajcie o to samo GIODO

    4. Jesli ktoś jednak chce Paypala, to chyba płatności kartą przez Paypala nie uległy zmianie, tzm udaje się to bez korzystania z Trustly?

    • Dyrektywa jest już ostatecznie przyjęta i przekazana do stosowania. Nic już nie można zrobić, żadne lobbowanie nie pomoże. Co więcej na mocy Dyrektywy , w okresie karencji i dostosowania praw lokalnych nie wolno w żaden sposód utrudniać ani dyskryminować stron trzecich takich jak Sofort i Trustly. Jesteś pracownikiem banku, że Ci zależy na interesach banksterów?Wyjątek będzie gdy polska wyjdzie z UE. Biorąc pod uwagę obecną politykę..hmm…wcale niewykluczone:)

    • @Marek
      Jesteś pracownikiem Trustly lub Sofortu, że tak obficie postujesz pod tym artykułem? Polskie banki udostępniają PayU i podobne API, które są obiektywnym, niedyskryminującym i proporcjonalnym sposobem dostępu do usług płatniczych danego banku, i w ten sposób spełniają wymogi dyrektywy. Która notabene nie jest źródłem prawa, dopiero musi zostać przetransponowana.

    • Zaspokajając Twoją ciekawość jestem właścicielem kilku sklepów internetowych wykorzystujących od wielu lat z powodzeniem niektóre z wymienionych tutaj systemów płatności.

    • Wystarczy, że traktaty będą niższe rangą niż ustawy sejmowe. I już. Dość gospodarki centralnie sterowanej.

  61. Na Steamie można płacić przez paysafe, a paysafe działa jak doładowanie telefonu na kartę: kupuje się w kiosku albo w bankomacie, nawet można nie zakładać konta, nawet nie jest to powiązane z nazwiskiem, jak się nie ma konta. Chyba że Niebezpiecznik ma jakieś zastrzeżenia do paysafe?

  62. “Prosi o internautę”

    Kto o kogo prosi? Bo nie zrozumiałem.

  63. Wirtualna karta kredytowa – w zasadzie załatwia wszystkie problemy ww. wymienione. Nie korzystam z szybkich przelewów.

  64. Ustawa PSD2 nie podaje, że należy podawać swój login i hasło dla takich firm jak Trustly. Równie dobrze bank może udostępnić pay-by-link tak jak robi teraz i będzie to zgodne z PSD2. Nie wprowadzajcie w błąd!

    • W ogóle nie podaje, że cokolwiek “należy”, to ma być dokument regulujący rynek, czyli określający formalnie m.in. usługi takie, jak te oferowane teraz przez Soforty czy Trustly.

  65. Jak dla mnie, to GIODO ciekawe czy UOKiK lub UKE,będą zainteresowane. W zasadzie jest to jawne naruszanie prawa do prywatności przez korporację.

    Trzeba tylko ładnie napisać zapytanie.

    • Giodo ciekawe będzie. Czy UOKiK już nie wiem lub UKE.

  66. Po przeczytaniu dzisiejszej aktualizacji -> Mówiąc wprost, mają wyjebane na nasze zdanie w tym temacie i będzie trzeba zagłosować np. zaprzestaniem korzystania z PayPal.

    • “Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, WULGARYZMY.”

      Redakcjo, ktoś wam regexy popsuł!

  67. Za kilka dni usłyszymy o stratach PayPajaca na tej decyzji, albo oszukanych klientach.
    Pewnie wraz z oświadczeniem, że wszystko jest OK.

  68. W przyszłym roku pójdziemy o krok dalej:
    “Dziękujemy za zakup kompletu szafek kuchennych. Jeżeli zależy ci na szybkiej dostawie, daj nam kopie kluczy do mieszkania i kod do alarmu”

    • Ludzie za granicą tak zamawiają, widziałem w jakimś sklepie chyba angielskim taka uslugę

  69. PSD II
    Artykuł 115

    Transpozycja

    6. Państwa członkowskie zapewniają, by dopóki poszczególni dostawcy usług płatniczych prowadzący rachunek nie spełnią regulacyjnych standardów technicznych, o których mowa w ust. 4, dostawcy ci nie nadużywali braku zgodności z tymi standardami w celu blokowania lub utrudniania korzystania z usług inicjowania płatności i usług dostępu do informacji o rachunku w odniesieniu do rachunków, które ci dostawcy prowadzą.

  70. 5. Państwa członkowskie nie mogą zakazać osobom prawnym, które przed dniem 12 stycznia 2016 r. prowadziły na ich terytorium działalność dostawców świadczących usługę inicjowania płatności i dostawców świadczących usługę dostępu do informacji o rachunku w rozumieniu niniejszej dyrektywy, na kontynuowanie tej samej działalności na ich terytorium w okresie przejściowym, o którym mowa w ust. 2 i 4, zgodnie z aktualnie mającymi zastosowanie ramami regulacyjnymi.

  71. Prawdopodobnie w myśl obowiązującego już okresu przejściowego, na mocy Artykułu 115 o Transpozycji, PKO BP może już zostać pozwany przez Trustly/Paypal do odpowiedzialności odszkodowawczej za blokowanie dostępu i utrudnianie? Ciekawe czy tak się stanie.

    • kazdy moze pozwac ale szansy na wygrana nie maja.

    • Ja na ich miejscu bym się nie wahał. Podstawy prawne są, choć Komisja Wenecka w tej sprawie raczej nie przyjedzie;)

  72. https://trustly.com/_/legal/trustly_en.html – Angielska wersja regulaminu, jakimś cudem trzeba użyć google by się do niej dokopać. WTF?!

    • Przed podaniem swoich danych do konta w “tym czymś” masz na dole napisane:
      “Usługę dostarcza Trustly Group AB, nie bank klienta. Dane logowania zostaną przesłane przez platformę płatniczą Trustly, zapewniającą bezpieczne oraz szyfrowane połączenie z bankiem internetowym klienta. W ten sposób przelew bankowy zostanie zrealizowany z konta bankowego klienta w jego imieniu i za potwierdzeniem jego tożsamości. Korzystając z tej usługi, zgadzasz się na Warunki korzystania z usług. W celu uzyskania dalszych informacji odwiedź trustly.com.”
      Kliknięcie w “warunki korzystania z usług” przenosi cię właśnie do tych punków o których pisałem wcześniej. Najbardziej niepokojący jest drugi punkt i zdanie mówiące o tym, że “możemy przechowywać dane które nam dostarczysz”.

  73. Grasujący tu Marek to dokładnie ten gość z Zarządu który ciągle przyłazi i mówi “jeej, musimy być konkurencyjni, musi być taaanio, olej to zabezpieczenie”, wszyscy takich gości znamy.

  74. @ Marek

    Potrafię zrozumieć Twoje zainteresowanie możliwością obniżenia kosztów usługi płatnościowej dostępnej ze strony Twojego sklepu / Twoich sklepów, skoro poruszasz się w marży o poziomie 3%. Jest to na pewno jeden z możliwych punktów widzenia na tę sprawę. Dochodzi ergonomia rozwiązania – może widzisz w analyticsach, jaka część Twoich klientów porzuca transakcję na etapie płatności – całkiem możliwe, że tych kilka kliknięć więcej powoduje zniechęcenie mniej sprawnych komputerowo osób, a kilka kliknięć mniej spowodowałoby wzrost ilości zakończonych pozytywnie transakcji. Czyli tak, wdrożenie tego typu systemów płatności mogłoby mieć pozytywny wpływ na Twój biznes.

    Istnieje jednak druga strona tego zagadnienia i jest nią bezpieczeństwo. Jeśli dobrze rozumiem Twoje wypowiedzi, bronisz tezy, że dostawca usług płatnościowych ma większe zyski ze sprawnej i bezpiecznej obsługi klientów, niż miałby z ewentualnych nadużyć. Oraz, że ewentualne nadużycia dostawcy lub podmiotów zewnętrznych zostaną szybko wykryte, a rekompensata strat wyegzekwowana na gruncie prawnym. Nie jest to jedyny możliwy punkt widzenia, na przykład ja co do oceny interesów dostawcy mogę się zgodzić z Tobą w 90%, co do wykrywalności w 50%, a do egzekwowalności poniżej 20% (głównie ze względu na aktualną sprawność instytucji sądowniczych w tym zakresie).

    Z moich dotychczasowych życiowo-adminowych doświadczeń wynika, że jeśli jakieś nadużycie jest możliwe technicznie, ktoś prędzej czy później wprowadzi je w życie, z chęci zysku, chęci zemsty, lub nieświadomie z wygodnictwa – i żadne prawa czy procedury temu nie zapobiegną. Dlatego jestem zwolennikiem wdrażania rozwiązań technicznych, które jak najmocniej utrudniają wykorzystanie systemu niezgodnie z jego przeznaczeniem. System, wymagający podania przez użytkownika swoich danych do systemu bankowego na stronie innej niż dostarczanej przez bank, wprowadza dodatkowe miejsce, gdzie dane mogą być zagrożone = dodatkowe miejsce, które należy zabezpieczać, czyli miejsce gdzie może być błąd w zabezpieczeniach, które można atakować, itd. Oczywiście masz rację, że przeglądarki też mogą mieć błędy w zabezpieczeniach, nie mówiąc o wirusach, malware’owych wtyczkach, itd. (dlatego przeglądarek też nie należy używać bezmyślnie). Ale dodatkowy system między klientem a bankiem też tego bezpieczeństwa nie zwiększa. Konkretnie, każdy dodatkowy system to bezpieczeństwo zmniejsza, dodając nowe punkty ataku.

    Reasumując, ze swojego punktu widzenia masz rację, ale ludzie od bezpieczeństwa ze swojego punktu widzenia też mają rację. Próbujmy się zrozumieć, a nie zwalczać. Pozdrawiam.

    • Ciekawy punkt widzenia. Odcinając się od biznesu i ekonomii, a koncentrując na stronie bezpieczeństwa myślę, że każdy system ma wady. Jak dla mnie pod tym względem systemy scrapingowe niespecjalnie tracą w stosunku do typowych pay-by-link czy też Paypal(zawężonego na potrzeby tego porównania do obsługi kart).
      Właścicielem tego wspomnianego Sofort jest Klarna, która wyrosła na sprzedaży z odroczoną o 14 dni płatnością. Obiecują sprzedawcy zapłatę. Sprzedawca wysyła towar, a dopiero po 14 dniach proszą klienta o zapłatę. Czy to bezpieczne? Działa znakomicie i rośnie. Jeszcze nie weszli do Polski, bo pewnie wtedy się egzekucyjnie zawali;) To oczywiście żart. Myślę, że to nie jest dziki kraj i jesteśmy wystarczająco dojrzali by z takiego systemu też korzystać.
      Niemniej ryzyka pojedynczego oszustwa nigdy się nie da wykluczyć. Dostawcy systemów płatności biorą je na siebie, bo to śladowy margines.
      Czemu nikt nie podnosi tego, że np. Przelewy24, albo Tpay są niebezpieczne, bo nie robią płatności bezpośrednio do sprzedawcy, ale wchodzą w posiadanie środków i mogą je potencjalnie zatrzymać?
      Czemu nikt się nie czepia Paypal, że potencjalnie mogą wyprowadzić środki z milionów deponowanych kart kredytowych?
      Mi osobiście nie podoba się, że ktoś atakuje legalne podmioty, a inne są cacy. To nie jest fair.

    • @ Marek

      Może jestem trochę zacofany w tym wszystkim, ale osobiście uważam, że jedynymi słusznymi sposobami płatności są płatności przelewem, kartą pre-paidową lub gotówką.

      I żadne dyrektywy UE, czy nawet prawo lokalne mnie do tego nie przekona.

    • Ale o czym my dyskutujemy? Podstawowa zasada bezpiecznej bankowości elektronicznej polega na NIE PODAWANIU nikomu swoich danych do logowania do konta bankowego (tylko na stronie banku – weryfikowanej dodatkowo “kłodeczką”). Nawet większość regulaminów takich banków o tym wyraźnie pisze i jest to powszechnie znana zasada – i dlatego nie należy tego “łamać”!

    • @Pablo_Wawa
      Prezentujesz zacofany pogląd polskiej Komisji Nadzoru Finansowego. która jest uważana za najbardziej konserwatywną i restrykcyjną w całej europie.
      Problem jest w inym miejscu. Należy edukować społeczeństwo jak odróżnić zaufany, certyfikowany, audytowany system płatności od stron phishingowych.
      Wrzucanie do jednego wora uczciwych metod używających credentials i zagrożenia phishingowego to pójście na skróty i nabijanie kasy bankom, bo im bardzo jest nie na rękę, że nie mają ani grosza z transakcji i jak widać po aktywności w Polsce jest największa pazerność tego sektora.

  75. Sam się na to natknąłem dwa dni temu, robię zakupy przez paypala regularnie i jak zobaczyłem ekran logowania trustly to nie mogłem uwierzyć własnym oczom, od razu wyłączyłem i napisałem do paypala maila.

    Pytanie ilu ludzi zdążyło zrobić przelew ta metodą…

  76. Na steam można płacić w BTC nawet :)

  77. Czy Pan Marek reprezentujacy ‘jedynie sluszny inowacyjne europejski i postepowy’ system platnosci moglby dac juz spokoj? Podawanie swoich hasel bankowych ‘osobom trzecim’ jest ZLE. Na dodatek firmom ktore nie sa objete prawem lokalnym. Kto zagwarantuje ze na Seszelach albo Wyspach Hula-Gula prawo w ogole dziala i ze nie daje od razu wyroku skazujacego dla OBCYCH? Bo jak rozumiem probowales dochodzic sadowo np. w bliskich nam Niemczech odszkodowan za straty od firm niemieckich?
    Ja rozumiem ze placa za PR ale jednak proponowalbym zachowac umiar…

    • Te o których tu piszą(Trustly,Sofort) są już objęte prawem EU, a lokalnie w PL będą objęte w ciągu roku. W międzyczasie, w okresie przejściowym ich działalność jest chroniona i zabronione jest utrudnianie im działania. Musisz się z tym pogodzić. Gdyby było takie złe, to by nie przeszło jako prawo Unijne, a doświadczenia z wielu innych krajów wskazały, że nie jest ZLE.

    • @Marek
      Ta bo prawo unijne zawsze jest dobre i przemyślane -.-

      Jeśli się nie boisz o swój login i hasło do banku to podaj proszę tutaj te dane. W końcu niebezpiecznik.pl to zaufana strona przez wielu pasjonatów informatyki (i nie tylko).

    • podawanie takich informacji tutaj jest publiczne, audytowanemu pośrednikowi płatności to już zupełnie inna sprawa. Nie jest trudno zrozumieć różnicę? To , że mam w Paypal zapisaną kartę kredytową nie oznacza, że muszę publikować jej nr na forum.

  78. Chora sytuacje.

    Nieważne, jakie mądre dyrektywy, regulaminy itp. są wymyślone i zapisane, to podawanie obcym ludziom/firmom loginu i hasła do konta w banku jest złe.

    Jeśli ludzie w firmach PayPal lub Trustly proszą nas o takie dane, to świadczy to albo o ich chciwości i niecnych zamiarach, albo o ich głupocie i braku wyobraźni. Nie znajduję innego wytłumaczenia.

    A ponieważ nikt ze złodziejami lub głupcami nie ma zamiaru się zadawać, to wczoraj zrezygnowałem z zakupu koszulki w sklepie, w którym płatność miała być wykonana przez PayPal. Ta rezygnacja i bojkot PayPal sprawiła mi ogromną przyjemność. Znajdę sobie coś opłacone np. PayU lub zwykłym przelewem. I sklepom też proponuję oferować różne usługi płatności, by nie oberwały rykoszetem.

    • “wczoraj zrezygnowałem z zakupu koszulki w sklepie, w którym płatność miała być wykonana przez PayPal. Ta rezygnacja i bojkot PayPal sprawiła mi ogromną przyjemność.”
      BRAWO TY!!! ;>

  79. Ja się dziwię, że tak wielka firma jak PayPal (pod względem tradycji i wolumenu transakcji Blue Media nawet im do pięt nie dorasta) musi korzystać z podwykonawców! Jakby sami nie mogli otworzyć dla siebie rachunków bieżących w kilkunastu największych bankach, płacić tylko za ich prowadzenie a przelewy przyjmować… za darmo! Czyli przykładowo, jak klient poda że ma konto w banku X to PayPal wyświetla mu dane swojego konta też w banku X. Następnie klient ręcznie wysyła przelew – na stronie swojego banku oczywiście! Tak jak przy zasileniu standardowym, nie trzeba płacić haraczu za pay-by-link ale kasa idzie w kilka minut a nie dni. Da się?

    • W juesej tak właśnie mają to zorganizowane :)

  80. Obniżanie kosztów czyli jak zwykle przerzucanie ich na klienta.

  81. A teraz pora na wykorzystywanie poprawnej reakcji banku PKO. Dziś trafił już do mnie mail “z PKO BP” o zablokowaniu konta i… konieczności zalogowania się na jakiejś tam stronie, żeby “potwierdzić swoją tożsamość”.
    I to nie jest śmieszne, bo mail jest całkiem zgrabny i nie zawiera błędów. Obawiam się, że ktoś się złapie.

    • I dlatego tak ważne jest, żeby powszechna była świadomość wśród internautów, że dane do konta bankowego podaje się TYLKO na zweryfikowanej (między innnymi “kłódeczką” SSL i certyfikatem wystawionym dla tego podmiotu) stronie tego konkretnego banku, a na ŻADNEJ innej stronie już nie.

    • Niestety to może być za mało. Jak tam jest przekierowanie do lewej strony to faktycznie, mały problem. Gorzej jak po linkiem siedzi trojan, przekierowuje na stronę właściwą, tylko wstrzykuje potem na nią jakiegoś złośliwego JSa od podmiany numerów rachunków, albo grzebie w ustawieniach DNS itd.

      Rada jest jedna, nigdy, ale to nigdy nie klikać na linki do strony banku, nawet jak mamy pewność, że mail jest z banku, a takie to raczej rzadkość, lepiej wklepać adres z palca a linków żadnych nie tykać.

    • @Pablo_Wawa
      Prezentujesz zacofany pogląd polskiej Komisji Nadzoru Finansowego. która jest uważana za najbardziej konserwatywną i restrykcyjną w całej europie.
      Problem jest w inym miejscu. Należy edukować społeczeństwo jak odróżnić zaufany, certyfikowany, audytowany system płatności od stron phishingowych.
      Wrzucanie do jednego wora uczciwych metod używających credentials i zagrożenia phishingowego to pójście na skróty i nabijanie kasy bankom, bo im bardzo jest nie na rękę, że nie mają ani grosza z transakcji i jak widać po aktywności w Polsce jest największa pazerność tego sektora.

    • @Marek:
      Edukowanie ludzi którzy bardzo często mają 3 rzędy zainstalowanych addonów do przeglądarki i co chwila męczą się z wystakującymi okienkami natury erotycznej? To jest mały cud, że tacy ludzie wogóle są w stanie korzystać z bankowości internetowej.

      Problem z phishingiem jest taki, że sporo ludzi nie ma najmniejszego pojęcia na temat sposobu, w jaki zdolny złodziej może im ukraść dane. Jeśli w szkołach informatyka ogranicza się do dziubania excela i ewentualnie jakichś podstaw języka programowania, to czego można oczekiwać od takich dorosłych? Łatwiej jest dać wałkiem po głowie i krzyknąć “NIE!”, niż próbować się kłócić z użytkownikiem dla którego strona to strona, jest pole więc się wpisuje.

      Pozatym, jeśli ktokolwiek ma ochotę, niech sobie zobaczy regulamin Trustly, sekcja 7, w której to pięknie opisany jest sposób w jaki wasze dane bankowe mogą zostać przeskanowane i/lub zanalizowane “w celach wykluczenia nielegalnej aktywności”. Jeżeli fizyczna osoba lub nawet tylko algorytm szukający słów-kluczy ma prawo szperać mi w historii przelewów, ja dziękuję. W Europie mogą sobie robić co chcą, ale nie każdy ich pomysł jest na tyle genialny, by go od razu u nas implementować…

    • Marek – jeszcze raz, podstawowa różnica pomiędzy transakcjami autoryzowanymi login/hasło/token a numer karty/data ważności/CVV:
      Jak Allegro czy Sferis zrobią mi frauda na ~parę tysięcy, to pozwę ich, a do banku wystąpię o chargeback. Jeżeli to samo zrobi Sofort/Trustly/cokolwiek, co NIE ZOSTAWIA żadnej ewidentnej informacji o tym, że to TEN akurat serwis zlecił płatność (tytuł przelewu to NIE jest ewidentna informacja!), to pozwać będę mógł tylko samego siebie, bo transakcja wyszła moimi danymi, które zgodnie z regulaminem usług bankowych muszą pozostać w tajemnicy przed kimkolwiek poza systemem transakcyjnym banku. Dodatkowo tracę możliwość reklamacji CZEGOKOLWIEK, bo naruszyłem umowę z bankiem. To może być rzecz z przeszłości, a może być i fraud karciany za 5 lat. Bo umowa, której warunki zostały złamane, w teorii wygasa w chwili złamania jej warunków.
      Legalne serwisy korzystające z API banków maja tę sprawę rozwiązaną w odpowiedni sposób – klient loguje się do systemu transakcyjnego banku osobiście, a system przekazuje dane, które klient również osobiście musi zatwierdzić kodem z tokena. Widać różnicę, czy mam narysować na monitorze po jego drugiej stronie?

    • @Lukasz032
      S
      Marek – jeszcze raz, podstawowa różnica pomiędzy transakcjami autoryzowanymi login/hasło/token a numer karty/data ważności/CVV:
      Jak Allegro czy Sferis zrobią mi frauda na ~parę tysięcy, to pozwę ich, a do banku wystąpię o chargeback. Jeżeli to samo zrobi Sofort/Trustly/cokolwiek, co NIE ZOSTAWIA żadnej ewidentnej informacji o tym, że to TEN akurat serwis zlecił płatność (tytuł przelewu to NIE jest ewidentna informacja!),
      ——————-
      -Jak trustly,sofort czy iDEAL zrobią jak to piszesz frauda, to tak samo możesz ich pozwać. Zresztą nawet nie musisz, bo takie przestępstwa są ścigane z urzędu.
      Piszemy tutaj o możliwościach technicznych teoretycznie, ale tak naprawdę to by nie było w interesie żadnego z systemów, które już zarabiają miliony na legalnych operacjach.
      Tylko nie pisz o zwariowanych informatykach sabotażystach, bo to się równie dobrze może zdarzyć w Przelewy24, PayU, Dotpay, Tpay itp.
      Informacje co się dzieje z przelewem są naturalnie do odtworzenia i nie chodzi o tytuł tylko o numery rachunków biorące udział w transakcji.

      to pozwać będę mógł tylko samego siebie, bo transakcja wyszła moimi danymi, które zgodnie z regulaminem usług bankowych muszą pozostać w tajemnicy przed kimkolwiek poza systemem transakcyjnym banku. Dodatkowo tracę możliwość reklamacji CZEGOKOLWIEK, bo naruszyłem umowę z bankiem. To może być rzecz z przeszłości, a może być i fraud karciany za 5 lat. Bo umowa, której warunki zostały złamane, w teorii wygasa w chwili złamania jej warunków.

      ——————-
      Te zapisy w regulaminach banków od przyszłego roku muszą się zmienić, podobnie jak nastawienie KNFu. Dlaczego? Bo obowiązuje nas dyrektywa PSD która reguluje działalność podmiotów opisanych, zabrania praktyk monopolistycznych banków oraz utrudniania, blokowania dostępu dla PIS i AIS.

      Legalne serwisy korzystające z API banków maja tę sprawę rozwiązaną w odpowiedni sposób – klient loguje się do systemu transakcyjnego banku osobiście, a system przekazuje dane, które klient również osobiście musi zatwierdzić kodem z tokena. Widać różnicę, czy mam narysować na monitorze po jego drugiej stronie?

      ——————
      Serwisy scrapingowe są jak najbardziej legalne, więc się mylisz z tym różnicowaniem.
      PSD II nie nadaje im legalności tylko reguluje, opisuje zasady działania.
      Procedura autoryzacji którą opisujesz jest taka sama w przypadku Trustly i Sofort. Też się logujesz osobiście, a że po drodze jest soft automatyzujący, szyfrowany niczego nie zmienia.
      Panujesz nad transakcją tak samo. Co ciekawe klient nie jest przerzucany z okna do okna, ze strony do strony tylko cały przebieg ma na jednej.
      Weź lepeij sobie najpierw skorzystaj zamiast pisać w ciemno, bo głupio wychodzi. A jak sie boisz regulaminów banków to poczekaj na początek roku jak banki i KNF dostosuje się do PSDII – bo czy chcą czy nie chcą to muszą.

    • Prędzej przeniosą siedzibę na Seszele czy gdziekolwiek, gdzie to chore socjalistyczne głupie “prawo” nie obowiązuje.

  82. Właśnie napisałem do PayPal, że rezygnuje z ich usług w związku z tą zmianą. Chyba oszaleli.

    • The room full of people who care. :>

    • Weź to odkręć bo Daniel Schulman się zalał łzami jak przeczytał tego maila.

  83. Temat ciekawy ale wątpie by komuś się chciało przeczytać to wszystko razem z komentarzami bo ładny essej się z tego zrobił…

  84. PayPayl robi co chce. Moja ulubiona historia to jak zablokowali środki Hacker Paradise z powodu “podejrzanej aktywności” i zaoferowali im pożyczkę (google Casey Rosengren Paypal froze our funds).

    Nie wspominając o narzekaniach i klientów, i sprzedawców na PayPala, chociaż z internetów wynikałoby, że ten częściej rozstrzyga reklamacje na korzyść tych drugich.

    Także ja mam dosyć tego cudownego tworu i płacą zawsze Visą. I nie czuję żebym przepłacał za płatności w EUR, USD, GBP.

  85. http://forumprawne.org/dyskusja-ogolna/500456-paypal-fikcyjny-dlug-sprawa-u-windykatora.html trochę z innej beczki o PayPalu.Także ciekawe

  86. A ja nieco konserwatywnie stwierdzę, że bawią mnie poniektóre komentarze narzekaczy na odpowiedź z biura obsługi. Jeśli napisaliście do PayPala, że nie lubicie tej opcji wpłaty i nie chcecie z niej korzystać, to dostaliście odpowiedź, że TO TYLKO OPCJA WPŁATY i macie inne formy wpłaty. Nie wiem, o co się tak mocno spinacie, tym bardziej, że to opcja WPŁATY jest.

    Nie umniejszam treści przytoczonej przez Niebezpiecznika, ale biuro daje wybór:
    Chcecie szybko i tanio bez karty, to macie metodę ryzykowną typu podawanie login/pass.
    Chcecie bardziej bezpiecznie, to możecie wysłać przelew, czy użyć też ryzykownej metody podania danych karty.

    Dostaliście wybór i wolną wolę, ale wam najwidoczniej jest bardzo źle.
    Widzę takie haxiory, że już nawet od biura PR wiadomość się nie podoba… :D

    Ten system to może być pewna walka o kasę m.in. dla posiadacza systemu i PayPal vs banki z posiadaczem ich API. To oni zapewne będą się zwalczać lub współpracować.
    Myślicie, że jeden e-mail randomowego usera płaczącego, że nie używa jakiejś opcji coś zmieni? Może jeszcze napiszecie do Facebooka, żeby stary layout przywrócili? :D

    • “A ja nieco konserwatywnie stwierdzę, że bawią mnie poniektóre komentarze narzekaczy”

      Fajnie, że się cieszysz. To miłe sprawiać komuś przyjemność.

      My, ludzie o złych charakterach, lubimy wypinać się na firmy i osoby, które mają nierówno pod sufitem. Oni promują podawanie im loginu i hasła do konta w banku – my omijamy ich szerokim łukiem.

      I tu wkracza statystyka.
      Trafi się ktoś, kto poda hasło. Ktoś inny wybierze zasilenie konta PayPal przelewem.
      A inni, jeśli będzie taka możliwość, całkiem pominą PayPal przy płaceniu. Lub nawet zrezygnują z zakupów w danym sklepie i pójdą gdzie indziej.
      Dla zasady. Bo nie lubimy takich numerów. Bo wypięliśmy się na PayPala. Bo mamy wybór. Bo mamy paskudne charaktery…

      Może się okazać, że tych innych będzie na tyle dużo, że PayPal zastanowi się nad swoimi decyzjami. Tym bardziej, że złe decyzje pamięta się bardzo długo. I nazwy takie jak PayPal, Trustly czy Sofort.

      Nie należy lekceważyć narzekaczy.

    • “My, ludzie o złych charakterach, lubimy wypinać się na firmy i osoby, które mają nierówno pod sufitem.”
      Jeśli te 3 ostatnie słowa określają firmy bardzo szukające zysku kosztem (mniej lub bardziej) klienta, to macie chyba cały zestaw firm do wypinania się, od branży spożywczej po informatyczną…

      “I tu wkracza statystyka.”
      No właśnie mnie ciekawi, jaki realny procent stanowicie i czy jest on istotny. Pomijam ataki konkurencji.

      “Nie należy lekceważyć narzekaczy.”
      Zależy. Ja już napisałem, że nie umniejszam merytorycznemu ostrzeżeniu.
      Natomiast jak widzę jako argumentację focha odpowiedź z BOKu typu: “według nas usługa jest bezpieczna, ale nie musisz jej używać, bo oferujemy jeszcze 2 inne, możesz wybrać” i wielki płacz usera że ma wybór no to cóż…

      Taka trochę polaczkowatość się tutaj odezwała. PayPal zepsuł jakąś rzecz, to widzę według wielu trzeba go hejcić po całości i tyle… Nie ważne jaki powód i czy hejcenie akurat tego ma sens, ważne by hejcić… :D

    • “Fajnie, że się cieszysz. To miłe sprawiać komuś przyjemność.”
      :>

    • @Adam 2016.05.03 08:24 | # |

      “My, ludzie o złych charakterach, lubimy wypinać się na firmy i osoby, które mają nierówno pod sufitem.”
      “Jeśli te 3 ostatnie słowa określają firmy bardzo szukające zysku kosztem (mniej lub bardziej) klienta, to macie chyba cały zestaw firm do wypinania się, od branży spożywczej po informatyczną…”

      I wypinamy się.
      Na producentów “inteligentnego proszku” czy innych głupio reklamowanych produktów, homeopatów, niektóre rosyjskie firmy, polskich producentów odzieży zatrudniających dzieci w Indiach, itp. itd. Wszystkich, o których nie zapominamy.
      I teraz na PayPala także.

      Co Cię w tym boli? Bo możemy? Bo nie lubimy głupich pomysłów? Bo jesteśmy pamiętliwi i przypadkiem stanowimy jakiś procent?
      Głosowanie portfelem to najlepszy sposób na podnoszenie standardów.

  87. Pytasz sie jak to działa? A no tak ze podajesz swoje PEŁNE hasło na ICH stronie. Czyli losowe literki nic nie dadzą bo oni i tak maja pełne.

  88. ING także wita użytkowników (wszystkich) komunikatem z ostrzeżeniem, aby nie podawać nigdzie hasła pod groźbą złamania regulaminu

  89. I just can’t get in enough – jak to mówił twórca Linkusa

  90. Jak macie podpiętą kartę kredytową lub debetową to nic się dla was nie zmienia i cały ten problem was nie dotyczy.

    • Inny problem Cię dotyczy. Paypal albo cracker za chwilę wyczyści Ci cały dostępny limit na karcie kredytowej ;O

    • @Marek Może krakers a nie kraker? Bo jeśli chodzi Ci o nieuprawniony dostęp do konta PP to nie trzeba być nawet hax0rem. A problemy dotyczą codziennie miliony ludzi, np. problem dziurawej jezdni albo niedopompowanej opony w rowerze.

      Ja chciałbym się dowiedzieć, jak zabezpieczony przed fraudem jest tutaj sprzedawca. Bo z doświadczenia wiem, że posiadanie certyfikacji PCI DSS nie chroni przed masowymi transakcjami za pomocą skradzionych kart, skradzionych danych do logowania. Jest jakoś dziwnie tak, że zarówno PayPal jak i Sofort bardzo są mili i bardzoładnie wciskają kit o tym, jak bardzo im zależy na bezpieczeństwie moich klientów ale nie kiwna nawet palcem, kiedy to ja, jako właściciel sklepu tracę pieniądze, które natychmiast blokowane mam na rachunku po stwierdzeniu fraudu.

      Sad but true…

    • @Dawid
      Może być nawet “Cookies Monster”. Whateva.
      Od wielu lat używam i żadne nadużycie się nie zdarzyło u mnie ani u znajomych z branży. Co więcej np. dla turystyki jest to o wiele lepsza metoda niż płatność kartą, bo nie ma chargeback. Fraudy o których piszesz nie wynikają z odpowiedzialności żadnego operatora płatności.
      A w stosunku do klientów informują:
      zobowiązujemy się do rekompensaty ewentualnie powstałych strat wskutek nadużycia hasła i jednorazowego kodu weryfikacyjnego użytkownikom końcowym, którzy podali powyższe dane dostępowe w systemie , zobowiązuje się do wypłaty równowartości kwoty przelewu, powstałego w wyniku nadużycia, przy jednoczesnym odstąpieniu przez użytkownika końcowego od roszczeń wobec osoby trzeciej. Użytkownik zobowiązany jest jednak do udzielenia wszelkich informacji niezbędnych do przeprowadzenia sprawy i złożenia doniesienia o popełnieniu przestępstwa. Wysokość kwoty roszczenia nie jest ograniczona żadnym limitem, nie może ona jednak przekraczać wysokości kwoty nadużycia powstałego w wyniku podania hasła i jednorazowego kodu weryfikacyjnego.

  91. Ing dodał ostrzeżenie przed podawaniem danych do zalogowania na stronach pośredników wyświetlane przy logowaniu do systemu. Nie wiem czy zablokowali dostęp i nie zamierzam testować.

  92. Nie polecam korzystania z PayU. Mialem problem ze sprzedawca i pomimo zgloszenia sprawy na Allegro i na Policje, gdzie dostalem numer sprawy. To pomimo przeslania im wszelkich danych i numeru sprawy na Policji gdzie jest potwierdzenie moich danych osobowych, to chcieli jeszcze ode mnie skanu dowodu osobistego. Wybaczcie ale nie mam zaufania do PayU i nie wiem czy ktos z ich pracownikow nie wykorzysta skanu mojego dowodu osobistego w jakis niezbyt uczciwy sposob.

    • Standardowa procedura. Skan prześlij, natomiast odpowiednio zabezpieczony (znak wodny).

  93. “Trustly to licencjonowana, Szwedzka instytucja płatnicza działająca pod nadzorem Komisji Finansowej. ”

    Szwedzka – z wielkiej, co za lole….

  94. Na miejscu banków, by wykazać się dbałością o bezpieczeństwo klientów, pozwałbym Paypal albo Trustly o naruszenie bezpieczeństwa sieci teleinformatycznej i pozyskiwanie nieuprawnionych danych z pomocą metody phishingu. Ewidentnie można to potraktować jako włamanie do banku (nieuprawniony dostęp do konta).
    Czy moglibyście się skontaktować z Polskimi bankami i zaproponować im takie rozwiązanie? Zdusiło by to ten problem w zarodku.

    Równocześnie należy pogratulować PKO BP szybkiej i właściwej reakcji. Na dodatek wszystkim klientom, którzy podali hasła Paypal i Trustly do serwisu bankowego unieważniłbym hasła i wymusił ich zmianę wraz z właściwym pouczaniem.

    • KK Art. 18. § 2. Odpowiada za podżeganie, kto chcąc, aby inna osoba dokonała czynu zabronionego, nakłania ją do tego.

  95. Ja chyba dobrze rozumiem, że dyrektywa PSD2 nie zobowiązuje w tej chwili banków do niczego? Dopiero kiedy zostanie zaimplementowana w postaci zmian ustaw krajowych, na kraje mają 2 lata. Póki co banki mają prawo robić z takimi usługami, jak Trustly to, na co zasługują. Docelowo ja bym się nie obawiał, że w wyniku implementacji PSD2 banki zostaną zmuszone do legalizacji operacji podszywania się pod użytkownika. Nie jestem prawnikiem, ale dla mnie taką operacja ma moc prawną porównywalną do autoryzowania kogoś do podrabiania mojego podpisu, bo notarialne pełnomocnictwo kosztuje i jest niewygodne.

    • Zobowiązuje. PSD II zostało opublikowane. Jesteśmy w okresie przejściowym (Transpozycji)w którym nie wolno utrudniać działania systemom PIS i AIS.
      Możesz od razu autoryzować Microsoft Google i Mozille czy co tam używasz do podszywania się pod Ciebie w banku.

    • dodaj jeszcze Apple od Safari;)

  96. W ogóle obsługa PayPal w Polsce to tragedia. Przetrzymywanie pieniędzy – rzekomo dla Twego bezpieczeństwa, zero pomocy, gdy wysyłasz towar i ktoś go odbiera, może go zniszczyć, zużyć i odesłać Tobie śmieci, ale otrzyma zwrotnie swoje pieniądze, bo sobie zgłosi spór/roszczenie. Ty nie masz wtedy ani pieniędzy, ani dobrego towaru, który wysłałeś. A jeśli otrzymasz zwrot towaru to zniszczony. A PayPal w niczym Tobie nie pomoże, w przypadku zniszczenia towaru – UWAGA! – PayPal domaga się oględzin przez Policję lub podobnego dokumentu od notariusza (sic!).

    Choć z drugiej strony, gdy próbował mnie oszukać oszust z Włoch to po napisaniu do centrali PayPal otrzymałem zwrot pieniędzy 140 Euro, dla mnie to dużo, bo jestem osobą bezrobotną, ale w tym pomogła mi centrala ze Stanów, oddział w Polsce (gdzie ma siedzibę oddział w Polsce?, tego po dziś nie wiem, pewnie w innym kraju) mnie zlekceważył, nie otrzymałem żadnej pomocy.

  97. Także zaprzestałem korzystania z szybkiego doładowania. Chyba chcą ludzi zniechęcić do tego typu doładowań…
    A propos to jest wzmianka w wiki na temat Trustly i problemów z Polską.

    “Trustly faced criticism in 2013 from a competing bank when they used client information to log in to the client’s Internet banking. The bank claimed that Trustly had gained access not only to the information required for performing the payment but also to information related to, for example, the client’s mutual funds and shareholdings and therefore, banking confidentiality had been compromised.[14] The controversy has resurfaced in 2016 in Poland when PayPal switched to Trustly[15] and number of information security related websites and banks pointed out that the Trustly’s practice is inconsistent with PayPal’s own guidance to avoid revealing the credentials to third parties.[16][17]
    Trustly defended itself by saying that the company sets out a clear agreement for what information the company may access for performing payments and establishing identity, in the same way as banks. Like the banks, Trustly is under the supervision of the Swedish Financial Supervisory Authority as a licensed Payment Institute.[14]”

    • o nieźle. Znowu wstyd za polaków w Europie…Naród dotknięty wojnami, rozbiorami, nieufny:(

  98. Już od dawna wiadomo, że to powinno nazywać się scam pal! Mnie osobiście Pay Pal okradł z 5 tys złotych i prawnie niestety nie da się z tym nic zrobić. Dziwię się, że nie ma jeszcze poradników na necie jak okradać ludzi za pomocą scam pala i ich magicznych opcji zwrotu pieniędzy.

    • a tam nie ma :)

  99. Kurcze, a jednak!! Cholera. Dwa dni temu chciałąm zrobić szybki przelew, ale włąśnie natknęłam się na Trustly. Ponieważ pamietam ostrzezenia banku, najpierw zadzwoniłam do banku, aby zapytać o ten serwis. Bank nic nie wiedział. Potem zadzwoniłam do PayPal, który zapownił mnie, że jest to serwis bezpieczny, że nastapiła zamiana jedynie z poprzedniego na ten.
    No i masz!! Czemu nie trafiłam na ten artykul wcześniej… ;/

    • Zapamiętaj: ZAWSZE, niezależnie od tego, co kto mówi, logujesz się tylko i wyłącznie na stronie banku (sprawdzasz “zielony” https (MITMowcy najczęściej nie stosują certów EV) i adres w pasku adresu). Tylko tak masz stuprocentową pewność. Jak cert nie jest “zielony”, to sprawdza się DNSy/router.

  100. Stanowisko od Trustly powala. Jakie znaczenie ma to, że nie mieli wycieku (do tej pory, zauważonego)? Wystarczy, że stwarzają taką możliwość. Liczba transakcji też bez znaczenia. Do tego nakłanianie do łamania regulaminu banku… Dziękuję, nie skorzystam. Nigdy.

  101. Miałem obiekcje przed kupowaniem na Aliexpress i kupowałem na Ebay. Po tych jajach przestałem zupełnie kupować na Ebay i przerzuciłem się całkowicie na Aliekspress. Jest super – taniej, szybciej i większy wybór. Dajcie sobie spokój z Ebay.

  102. a dzisiaj dostałem maila od paypala (skrót):
    “Nowa opcja błyskawicznego doładowania zostanie wprowadzona w tygodniu rozpoczynającym się 30 maja 2016 r. i oparta jest na znanej już użytkownikom metodzie przelewu bezpośredniego (tzw. pay-by-link),
    podobnej do wcześniejszej procedury doładowania błyskawicznego.

    Nowa usługa błyskawicznego doładowania znosi konieczność podawania danych do logowania do bankowości internetowej na stronie obsługiwanej przez Trustly. Aby doładować błyskawicznie konto PayPal,
    użytkownik będzie musiał podać dane do logowania do bankowości internetowej na bezpiecznej stronie własnego banku. Od 30 maja Trustly będzie sukcesywnie dodawać do tej usługi kolejne polskie banki.
    Informacje o dostępności banków będą publikowane w witrynie firmy Trustly. ”
    Czyli jednak oprzytomnieli :)

  103. I po sprawie…

    “Jak prawdopodobnie Państwo wiedzą, pod koniec kwietnia 2016 r. firma PayPal zmieniła dostawcę błyskawicznych doładowań w Polsce na Trustly Group AB (Trustly). Biorąc pod uwagę informację zwrotną, którą otrzymaliśmy od naszych użytkowników w ciągu ostatnich tygodni, intensywnie pracowaliśmy z Trustly, aby udostępnić opcję doładowania, która uwzględni kwestie podniesione przez użytkowników.

    Nowa opcja błyskawicznego doładowania zostanie wprowadzona w tygodniu rozpoczynającym się 30 maja 2016 r. i oparta jest na znanej już użytkownikom metodzie przelewu bezpośredniego (tzw. pay-by-link), podobnej do wcześniejszej procedury doładowania błyskawicznego.

    Nowa usługa błyskawicznego doładowania znosi konieczność podawania danych do logowania do bankowości internetowej na stronie obsługiwanej przez Trustly. Aby doładować błyskawicznie konto PayPal, użytkownik będzie musiał podać dane do logowania do bankowości internetowej na bezpiecznej stronie własnego banku. Od 30 maja Trustly będzie sukcesywnie dodawać do tej usługi kolejne polskie banki. Informacje o dostępności banków będą publikowane w witrynie firmy Trustly.”

  104. wonga.com też prosi w celu weryfikacji…

Odpowiadasz na komentarz Piotr

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: