Италианският Гаранте глоби банкови приложения с €12,5 млн. за принудително наблюдение на устройства

Италианският Гаранте глоби банкови приложения с €12,5 млн. за принудително наблюдение на устройства

Италианският орган за защита на данните, Гаранте, е наложил глоби на обща стойност €12,5 млн. на двама доставчици на банкови приложения, в чиито приложения са открити вградени инвазивни инструменти за наблюдение на устройства. Същината на нарушението не се крие само в това какво са събирали тези приложения, а в начина, по който са го правели: потребителите са били принудени на практика да приемат наблюдението като условие за достъп до собствените си банкови сметки. Този случай с нарушаване на поверителността чрез наблюдение на устройства от банкови приложения изпраща ясен сигнал към финансовия сектор, че принудителното съгласие не е съгласие съгласно законодателството на ЕС за защита на данните.

Как банковите приложения наблюдаваха устройствата на потребителите без реално съгласие

Двете компании са вградили функции за наблюдение директно в архитектурата на своите банкови приложения. Вместо да предложат незадължително и ясно обяснено събиране на данни, приложенията са направили инвазивното проследяване на ниво устройство предварително условие за използване на услугата. Това означава, че всеки потребител, желаещ да провери баланса си, да извърши превод или да управлява сметката си, не е имал никакъв практически избор освен да позволи на приложението да наблюдава устройството му.

Подобно наблюдение може да включва сканиране на инсталираните приложения, четене на идентификатори на устройствата, проследяване на поведенчески модели и събиране на сигнали на хардуерно ниво. Въпреки че банките често оправдават тези мерки като инструменти за предотвратяване на измами, методът е от изключително значение съгласно Общия регламент за защита на данните (GDPR). Съгласието, получено при условия, при които отказът означава загуба на достъп до съществена услуга, не се счита за свободно дадено. Гаранте е установил, че компаниите са прекрачили тази граница, а глобата от €12,5 млн. отразява колко сериозно регулаторите приемат подобна практика.

Какво разкрива глобата от €12,5 млн. за принудителното съгласие и границите на GDPR

Член 7 от GDPR изисква съгласието да бъде свободно дадено, конкретно, информирано и недвусмислено. Когато едно банково приложение обвързва събирането на данни с достъпа до услугата, то не издържа на теста за „свободно дадено" съгласие. Регулаторите в цяла Европа все по-последователно отстояват тази позиция: пакетното съгласие, при което потребителите трябва да приемат цялата обработка на данни или да не получат нищо, е незаконно.

Решението на Гаранте добавя Италия към нарастващия списък от юрисдикции в ЕС, които активно прилагат това тълкуване. Финансовият сектор традиционно е работил с предположението, че предотвратяването на измами оправдава широкото събиране на данни. Това решение оспорва това предположение. То разграничава мерките за сигурност, строго необходими за предоставяне на услугата, от тези, които отиват по-далеч и събират данни за цели, с които потребителите не са се съгласили по смислен начин.

За финансовите институции, опериращи в цяла Европа, този случай е пряко предупреждение. Комбинацията от санкция от €12,5 млн. и репутационни щети създава реален стимул за одит на потоците за съгласие в мобилните продукти. За потребителите това е напомняне, че екранът с разрешения на банковото приложение заслужава много повече внимание, отколкото повечето хора му отделят.

Какви данни са събирани и кой е изложен на риск

Конкретните данни, събирани от инвазивните инструменти за наблюдение в банкови приложения, обикновено излизат далеч отвъд необходимото за проверка на самоличността или откриване на измами. Цифровото „пръстовото отпечатване" на устройството, например, може да разкрие пълния списък с приложения, инсталирани на телефона, честотата на употреба, уникалните хардуерни идентификатори, мрежовата среда и сигналите за местоположение. Тази информация, натрупана с течение на времето, създава детайлен поведенчески профил, чиято стойност далеч надхвърля отделното събитие при влизане в системата.

Хората, изложени на най-голям риск, не са само клиентите на двете санкционирани компании. Всеки потребител на банково приложение, което изисква разрешения отвъд основната функционалност, трябва да вземе предвид последиците. Това е особено актуално за хората, които ползват финансови услуги по време на пътуване, когато може да се свързват чрез непознати мрежи и да имат по-малко контрол върху своята среда. Решението на Гаранте се прилага за Италия, но въпросните приложения може да са имали потребители в по-широкия регион, включително съседни микродържави като Сан Марино, което попада в регулаторната орбита на Италия, въпреки че не е член на ЕС. Ако редовно пресичате граници в региона или използвате италиански банкови услуги, разбирането на вашата изложеност е от значение. Нашето ръководство за най-добрия VPN за Сан Марино предлага полезна отправна точка за размисъл върху защитата в тази част на Европа.

Как VPN мрежите и инструментите за поверителност могат да намалят излагането на риск от инвазивни банкови приложения

Нито един инструмент не елиминира напълно риска, породен от приложение, на което вече са предоставени разрешения на ниво устройство. Ако сте инсталирали банково приложение и сте приели неговите условия, наблюдението, което то извършва, се случва в самото приложение, а не на мрежово ниво. Въпреки това инструментите за поверителност все още играят важна поддържаща роля.

VPN криптира трафика между вашето устройство и интернет, като не позволява на доставчика на интернет услуги, мрежовите оператори и потенциалните прехващачи да виждат банковата ви дейност по пътя. Това е особено важно при използване на обществен Wi-Fi в хотели, кафенета или летища, където рискът от прехващане на трафика е по-висок. VPN не спира дадено приложение да чете списъка с инсталирани приложения на устройството ви, но защитава данните, напускащи устройството ви по мрежата.

Освен VPN, потребителите могат да намалят излагането си на риск, като преглеждат разрешенията на приложенията преди инсталиране, отказват разрешения, изглеждащи несъразмерни с предлаганата услуга, и когато е възможно, използват отделни устройства или изолирани среди за чувствителни финансови приложения. Някои мобилни операционни системи предлагат сега табла за управление на разрешенията, показващи колко често дадено приложение осъществява достъп до конкретни типове данни, което е полезен инструмент за одит.

За всеки, който пътува из Италия или околния регион и разчита на банкови приложения в чужбина, комбинацията от надежден VPN с внимателно управление на разрешенията представлява практична основна защита. Принудителните мерки на Гаранте показват, че регулаторите следят отблизо, но регулаторните глоби идват след като щетите вече са нанесени. Личната бдителност остава първата линия на защита.

Какво означава това за вас

Глобата от €12,5 млн., наложена на тези двама доставчици на банкови приложения, не е просто история за съответствие с нормативните изисквания. Тя е конкретна илюстрация на това как финансовите приложения могат безшумно да надхвърлят границите на това, с което потребителите действително се съгласяват, и как регулаторите са все по-склонни да предприемат действия. Ето основните изводи:

• Редовно преглеждайте разрешенията на приложенията. Когато инсталирате или актуализирате банково приложение, проверявайте до какво иска достъп. Поставяйте под въпрос разрешения, изглеждащи несвързани с банковите функции.
• Отнасяйте се скептично към подканите „приеми всичко". Ако дадена услуга прави широкото събиране на данни условие за достъп, това е червен флаг, заслужаващ проучване преди да натиснете „съгласен съм".
• Използвайте VPN в обществени или непознати мрежи. Криптирането на трафика добавя слой защита, допълващ другите навици за поверителност, особено при пътуване.
• Бъдете информирани за регулаторните действия. Решенията за прилагане на санкции като това често посочват видовете практики, за които се налагат наказания, което ви помага да разпознаете подобни модели в другите приложения, които използвате.

Решението на Гаранте е стъпка към отчетност в екосистемата на финансовите приложения. Разбирането на случилото се и защо ви дава знанието да вземате по-добри решения относно приложенията, на които доверявате най-чувствителните си финансови данни.