Kuinka paljon Garante sakotti pankkisovellusten tarjoajia?

Garante määräsi yhteensä 12,5 miljoonan euron sakot kahdelle pankkisovellusten tarjoajalle, joiden todettiin upottaneen invasiivisia laitteiden valvontatyökaluja sovelluksiinsa.

Miksi tiedonkeruu katsottiin GDPR:n rikkomukseksi?

Sovellukset tekivät invasiivisesta laitteen tason seurannasta pakollisen ehdon palvelun käyttämiselle, mikä tarkoitti, että käyttäjillä ei ollut käytännössä muuta vaihtoehtoa kuin hyväksyä valvonta. Tämä ei täytä GDPR:n 7 artiklan vaatimusta siitä, että suostumuksen on oltava vapaaehtoinen.

Miten pankit perustelivat tiedonkeruukäytäntöjään?

Pankit perustelivat invasiivisia valvontatoimenpiteitä petostentorjuntatyökaluina, vaikka Garante totesi, että tämä ei oikeuta pakottavaa tapaa, jolla suostumus hankittiin.

Mitä tämä päätös tarkoittaa muille Euroopassa toimiville rahoituslaitoksille?

Päätös toimii suorana varoituksena Euroopassa toimiville rahoituslaitoksille ja luo vahvan kannustimen tarkistaa mobiilituotteidensa suostumusvirtoja GDPR:n noudattamisen varmistamiseksi.

Italian Garante sakottaa pankkisovelluksia 12,5 miljoonalla eurolla pakollisesta laitteiden valvonnasta

Q: Millaiseen laitevalvontaan nämä pankkisovellukset kykenivät?

Valvonta saattoi sisältää asennettujen sovellusten skannaamisen, laitetunnisteiden lukemisen, käyttäytymismallien seurannan ja laitteistotason signaalien keräämisen.

Italian Garante sakottaa pankkisovelluksia 12,5 miljoonalla eurolla pakollisesta laitteiden valvonnasta

Italian tietosuojaviranomainen Garante on määrännyt yhteensä 12,5 miljoonan euron sakot kahdelle pankkisovellusten tarjoajalle, joiden on todettu upottaneen invasiivisia laitteiden valvontatyökaluja sovelluksiinsa. Rikkomuksen ydin ei ollut pelkästään se, mitä nämä sovellukset keräsivät, vaan se, miten ne sen tekivät: käyttäjät pakotettiin käytännössä hyväksymään valvonta ehtona omien pankkitiliensä käyttämiselle. Tämä pankkisovellusten laitevalvontaan liittyvä tietosuojatapaus lähettää selkeän viestin rahoitusalalle siitä, että pakottamalla saatu suostumus ei EU:n tietosuojalainsäädännön mukaan ole lainkaan suostumus.

Miten pankkisovellukset valvoivat käyttäjien laitteita ilman aitoa suostumusta

Kaksi yritystä upotti valvontaominaisuudet suoraan pankkisovellustensa arkkitehtuuriin. Sen sijaan että sovellukset olisivat tarjonneet valinnaisen ja selkeästi selitetyn tiedonkeruun, ne tekivät invasiivisesta laitteen tason seurannasta edellytyksen palvelun käyttämiselle. Tämä tarkoittaa, että käyttäjällä, joka halusi tarkistaa tilisaldonsa, siirtää varoja tai hallita tiliään, ei ollut käytännössä muuta vaihtoehtoa kuin sallia sovelluksen valvoa laitettaan.

Tällainen valvonta voi sisältää asennettujen sovellusten skannaamisen, laitetunnisteiden lukemisen, käyttäytymismallien seurannan ja laitteistotason signaalien keräämisen. Vaikka pankit perustelevat näitä toimenpiteitä usein petostentorjuntatyökaluina, menetelmällä on valtava merkitys yleisen tietosuoja-asetuksen (GDPR) näkökulmasta. Suostumusta, joka on saatu olosuhteissa, joissa kieltäytyminen merkitsee pääsyn menettämistä olennaiseen palveluun, ei pidetä vapaaehtoisesti annettuna. Garante totesi yritysten ylittäneen tämän rajan, ja 12,5 miljoonan euron sakko kuvastaa sitä, kuinka vakavana viranomaiset pitävät tällaista käytäntöä.

Mitä 12,5 miljoonan euron sakko paljastaa pakottavasta suostumuksesta ja GDPR:n rajoista

GDPR:n 7 artikla edellyttää, että suostumus on vapaaehtoinen, erityinen, tietoinen ja yksiselitteinen. Kun pankkisovellus sitoo tiedonkeruun palvelun käyttöön, se epäonnistuu heti "vapaaehtoisuuden" testissä. Euroopan viranomaiset ovat olleet tässä asiassa yhä johdonmukaisempia: nippusuostumus, jossa käyttäjien on joko hyväksyttävä kaikki tietojenkäsittely tai saatava ei mitään, on lainvastainen.

Garanten päätös lisää Italian kasvavaan luetteloon EU-lainkäyttöalueista, jotka aktiivisesti soveltavat tätä tulkintaa. Rahoituspalveluala on perinteisesti toiminut sen olettamuksen pohjalta, että petostentorjunta oikeuttaa laajan tiedonkeruun. Tämä päätös kyseenalaistaa kyseisen olettamuksen. Se erottaa toisistaan turvatoimenpiteet, jotka ovat ehdottoman välttämättömiä palvelun tarjoamiseksi, ja toimenpiteet, jotka menevät pidemmälle keräämällä tietoja tarkoituksiin, joihin käyttäjät eivät ole merkityksellisellä tavalla suostuneet.

Euroopassa toimiville rahoituslaitoksille tämä tapaus on suora varoitus. 12,5 miljoonan euron sanktion ja mainehaitan yhdistelmä luo todellisen kannustimen tarkistaa mobiilituotteiden suostumusvirtoja. Käyttäjille se on muistutus siitä, että pankkisovelluksen käyttöoikeusruutu ansaitsee huomattavasti enemmän huomiota kuin useimmat ihmiset sille antavat.

Mitä tietoja kerättiin ja kuka on vaarassa

Invasiivisten pankkisovellusten valvontatyökalujen keräämät tietopisteet ulottuvat tyypillisesti paljon pidemmälle kuin mikä on tarpeen henkilöllisyyden varmentamiseksi tai petoksen havaitsemiseksi. Laitetunnistus voi esimerkiksi paljastaa puhelimeen asennettujen sovellusten koko luettelon, käyttötiheyden, yksilölliset laitteistotunnisteet, verkkoympäristön ja sijaintisignaalit. Nämä ajan mittaan kertyvät tiedot muodostavat yksityiskohtaisen käyttäytymisprofiilin, jolla on arvoa paljon yksittäistä kirjautumistapahtumaa pidemmälle.

Suurimmassa vaarassa eivät ole ainoastaan kahden sakotetun yrityksen asiakkaat. Jokaisen käyttäjän, jonka pankkisovellus pyytää käyttöoikeuksia perustoimintojen ulkopuolelle, tulisi harkita asiaan liittyviä seurauksia. Tämä koskee erityisesti henkilöitä, jotka käyttävät rahoituspalveluita matkustaessaan, jolloin he saattavat olla yhteydessä tuntemattomiin verkkoihin ja heillä on vähemmän hallintaa ympäristönsä suhteen. Garanten päätös koskee Italiaa, mutta kyseisissä sovelluksissa saattoi olla käyttäjiä laajemmalla alueella, mukaan lukien naapurimikrovaltiot kuten San Marino, joka sijaitsee Italian sääntelypiirissä siitä huolimatta, ettei se ole EU:n jäsen. Jos kuljet säännöllisesti alueen rajojen yli tai käytät italialaisia pankkipalveluita, altistumisesi ymmärtäminen on tärkeää. Paras VPN San Marinoon -oppaastamme löydät hyödyllisen lähtökohdan suojauksesta tällä Euroopan alueella.

Miten VPN:t ja tietosuojatyökalut voivat vähentää altistumista invasiivisille pankkisovelluksille

Mikään yksittäinen työkalu ei poista riskiä, jonka muodostaa sovellus, jolle on jo myönnetty laitteen tason käyttöoikeudet. Jos olet asentanut pankkisovelluksen ja hyväksynyt sen ehdot, sen suorittama valvonta tapahtuu itse sovelluksen sisällä, ei verkkokerroksessa. Tietosuojatyökaluilla on silti merkityksellinen tukirooli.

VPN salaa laitteen ja internetin välisen liikenteen, estäen internet-palveluntarjoajaa, verkko-operaattoreita ja mahdollisia sieppaajia näkemästä pankkitoimintaasi siirron aikana. Tämä on erityisen tärkeää julkisessa Wi-Fi-verkossa hotelleissa, kahviloissa tai lentoasemilla, joissa liikenteen sieppauksen riski on suurempi. VPN ei estä sovellusta lukemasta laitteesi asennettujen sovellusten luetteloa, mutta se suojaa laitteeltasi verkon kautta lähtevää dataa.

VPN:n lisäksi käyttäjät voivat vähentää altistumistaan tarkistamalla sovelluksen käyttöoikeudet ennen asentamista, kieltämällä käyttöoikeudet, jotka vaikuttavat tarjottuun palveluun nähden suhteettomilta, sekä käyttämällä mahdollisuuksien mukaan erillisiä laitteita tai hiekkalaatikkoympäristöjä arkaluonteisille rahoitussovelluksille. Joissakin mobiilikäyttöjärjestelmissä on nykyään käyttöoikeuspaneelit, jotka näyttävät kuinka usein sovellus käyttää tiettyjä tietotyyppejä — tämä on hyödyllinen tarkastustyökalu.

Niille, jotka matkustavat Italian tai ympäröivän alueen kautta ja luottavat ulkomailla ollessaan pankkisovelluksiin, luotettavan VPN:n yhdistäminen huolelliseen käyttöoikeuksien hallintaan on käytännöllinen lähtötaso. Garanten täytäntöönpanotoimet osoittavat, että viranomaiset kiinnittävät asiaan huomiota, mutta sääntelysakot tulevat vasta vahingon jälkeen. Henkilökohtainen valppaaus on edelleen ensimmäinen puolustuslinja.

Mitä tämä tarkoittaa sinulle

Näille kahdelle pankkisovelluksen tarjoajalle määrätty 12,5 miljoonan euron sakko ei ole pelkkä vaatimustenmukaisuustarina. Se on konkreettinen esimerkki siitä, miten rahoitussovellukset voivat hiljaisesti ylittää käyttäjien todella hyväksymien toimintojen rajat, ja siitä, miten viranomaiset ovat yhä valmiimpia toimimaan. Tässä ovat tärkeimmät johtopäätökset:

Tarkista sovelluksen käyttöoikeudet säännöllisesti. Kun asennat tai päivität pankkisovelluksen, tarkista mitä se pyytää käyttämään. Kyseenalaista käyttöoikeudet, jotka vaikuttavat liittymättömiltä pankkitoimintoihin.
Suhtaudu "hyväksy kaikki" -kehotuksiin epäileväisesti. Jos palvelu tekee laajasta tiedonkeruusta pääsyn ehdon, se on punainen lippu, joka kannattaa tutkia ennen kuin napautat hyväksy.
Käytä VPN:ää julkisissa tai tuntemattomissa verkoissa. Liikenteen salaaminen lisää suojakerroksen, joka täydentää muita tietosuojatottumuksia erityisesti matkustettaessa.
Pysy ajan tasalla viranomaistoimista. Tällaiset täytäntöönpanopäätökset nimeävät usein sanktoitavat käytäntötyypit, mikä auttaa sinua tunnistamaan vastaavat mallit muissa käyttämissäsi sovelluksissa.

Garanten päätös on askel kohti vastuullisuutta rahoitussovellusten ekosysteemissä. Tapahtuneen ja sen syiden ymmärtäminen antaa sinulle tietoa tehdä parempia valintoja sovelluksista, joille luotat arkaluonteisimmat taloudelliset tietosi.

Italian Garante sakottaa pankkisovelluksia 12,5 miljoonalla eurolla pakollisesta laitteiden valvonnasta

Miten pankkisovellukset valvoivat käyttäjien laitteita ilman aitoa suostumusta

Mitä 12,5 miljoonan euron sakko paljastaa pakottavasta suostumuksesta ja GDPR:n rajoista

Mitä tietoja kerättiin ja kuka on vaarassa

Miten VPN:t ja tietosuojatyökalut voivat vähentää altistumista invasiivisille pankkisovelluksille

Mitä tämä tarkoittaa sinulle

// UKK

// Aiheeseen liittyvät