Italija: Garante kaznio bankarske aplikacije s €12,5 milijuna zbog prisilnog nadzora uređaja

Italija: Garante kaznio bankarske aplikacije s €12,5 milijuna zbog prisilnog nadzora uređaja

Talijansko tijelo za zaštitu podataka, Garante, izreklo je novčane kazne u ukupnom iznosu od €12,5 milijuna protiv dva pružatelja bankarskih aplikacija za koje je utvrđeno da su ugradili invazivne alate za nadzor uređaja unutar svojih aplikacija. Bit povrede nije bila samo u tome što su ove aplikacije prikupljale, već u tome kako su to činile: korisnici su u praksi bili prisiljeni prihvatiti nadzor kao uvjet za pristup vlastitim bankovnim računima. Ovaj slučaj zaštite privatnosti u pogledu nadzora uređaja putem bankarskih aplikacija šalje jasnu poruku financijskom sektoru da iznuđeni pristanak uopće nije pristanak prema pravu EU-a o zaštiti podataka.

Kako su bankarske aplikacije nadzirale korisničke uređaje bez istinskog pristanka

Dvije su tvrtke ugradile mogućnosti nadzora izravno u arhitekturu svojih bankarskih aplikacija. Umjesto da nude opcionalno, jasno objašnjeno prikupljanje podataka, aplikacije su učinile invazivno praćenje na razini uređaja preduvjetom za korištenje usluge. To znači da nijedan korisnik koji je želio provjeriti stanje računa, izvršiti prijenos sredstava ili upravljati svojim računom u praksi nije imao izbor osim dopustiti aplikaciji nadzor nad svojim uređajem.

Ova vrsta nadzora može uključivati skeniranje instaliranih aplikacija, čitanje identifikatora uređaja, praćenje obrazaca ponašanja i prikupljanje signala na razini hardvera. Premda banke često opravdavaju ove mjere alatima za sprječavanje prijevara, način provedbe iznimno je važan prema Općoj uredbi o zaštiti podataka (GDPR). Pristanak dobiven u uvjetima u kojima odbijanje znači gubitak pristupa ključnoj usluzi ne smatra se slobodno danim. Garante je utvrdio da su tvrtke prekršile tu granicu, a kazna od €12,5 milijuna odražava koliko ozbiljno regulatori gledaju na tu praksu.

Što kazna od €12,5 milijuna otkriva o prisilnom pristanku i granicama GDPR-a

Članak 7. GDPR-a zahtijeva da pristanak bude slobodno dan, specifičan, informiran i nedvosmislen. Kada bankarska aplikacija veže prikupljanje podataka uz pristup usluzi, odmah ne prolazi test „slobodno danog" pristanka. Regulatori diljem Europe sve su dosljedniji u ovom stavu: skupni pristanak, pri kojem korisnici moraju prihvatiti cjelokupnu obradu podataka ili ne dobiti ništa, nezakonit je.

Odluka Garante-a dodaje Italiju rastućem popisu jurisdikcija EU-a koje aktivno provode ovo tumačenje. Sektor financijskih usluga tradicionalno je poslovao pod pretpostavkom da sprječavanje prijevara opravdava široko prikupljanje podataka. Ova presuda dovodi u pitanje tu pretpostavku. Razlikuje sigurnosne mjere koje su strogo neophodne za pružanje usluge od onih koje idu dalje, prikupljajući podatke u svrhe na koje korisnici nisu smisleno pristali.

Za financijske institucije koje posluju diljem Europe, ovaj slučaj izravno je upozorenje. Kombinacija kazne od €12,5 milijuna i reputacijske štete stvara pravi poticaj za reviziju tijeka pristanka unutar mobilnih proizvoda. Za korisnike, to je podsjetnik da zaslon s dopuštenjima u bankarskoj aplikaciji zaslužuje daleko više pažnje nego što mu većina ljudi posvećuje.

Koji su podaci prikupljani i tko je izložen riziku

Specifične vrste podataka koje prikupljaju invazivni alati za nadzor bankarskih aplikacija tipično znatno premašuju ono što je potrebno za provjeru identiteta ili otkrivanje prijevare. Otisak prsta uređaja, primjerice, može otkriti potpuni popis aplikacija instaliranih na telefonu, učestalost korištenja, jedinstvene identifikatore hardvera, mrežno okruženje i lokacijske signale. Ove informacije, akumulirane kroz vrijeme, stvaraju detaljan profil ponašanja čija vrijednost daleko nadmašuje bilo koji pojedinačni događaj prijave.

Osobe koje su najviše izložene riziku nisu samo korisnici dviju kažnjenih tvrtki. Svaki korisnik bankarske aplikacije koja traži dopuštenja koja premašuju osnovnu funkcionalnost trebao bi razmotriti implikacije. To je posebno relevantno za ljude koji pristupaju financijskim uslugama dok putuju, gdje se mogu povezivati putem nepoznatih mreža i imati manje kontrole nad svojim okruženjem. Odluka Garante-a primjenjuje se na Italiju, ali predmetne aplikacije mogle su imati korisnike u široj regiji, uključujući susjedne mikrodržave poput San Marina, koji se nalazi unutar talijanskog regulatornog dosega unatoč tome što nije članica EU-a. Ako redovito prelazite granice u regiji ili koristite talijanske bankarske usluge, razumijevanje vlastite izloženosti je važno. Naš vodič best VPN for San Marino korisno je polazište za razmišljanje o zaštiti u ovom dijelu Europe.

Kako VPN-ovi i alati za privatnost mogu smanjiti izloženost invazivnim bankarskim aplikacijama

Nijedan pojedinačni alat ne eliminira rizik koji predstavlja aplikacija kojoj su već dodijeljena dopuštenja na razini uređaja. Ako ste instalirali bankarsku aplikaciju i prihvatili njezine uvjete, nadzor koji provodi odvija se unutar same aplikacije, a ne na mrežnoj razini. Ipak, alati za privatnost i dalje imaju smislenu pomoćnu ulogu.

VPN šifrira promet između vašeg uređaja i interneta, sprječavajući vašeg pružatelja internetskih usluga, mrežne operatere i potencijalne presretače da vide vašu bankarsku aktivnost u prijenosu. To je posebno važno pri korištenju javnog Wi-Fi-ja u hotelima, kafićima ili zračnim lukama, gdje je rizik od presretanja prometa veći. VPN ne sprječava aplikaciju od čitanja popisa instaliranih aplikacija na vašem uređaju, ali štiti podatke koji napuštaju vaš uređaj putem mreže.

Osim VPN-ova, korisnici mogu smanjiti izloženost pregledavanjem dopuštenja aplikacija prije instalacije, odbijanjem dopuštenja koja se čine nesrazmjerna ponuđenoj usluzi te, gdje je moguće, korištenjem zasebnih uređaja ili sandbox okruženja za osjetljive financijske aplikacije. Neki mobilni operativni sustavi sada nude nadzorne ploče dopuštenja koje pokazuju koliko često aplikacija pristupa određenim vrstama podataka, što je koristan alat za reviziju.

Za sve koji putuju kroz Italiju ili okolnu regiju i oslanjaju se na bankarske aplikacije u inozemstvu, kombiniranje pouzdanog VPN-a s pažljivim upravljanjem dopuštenjima praktičan je minimum. Provedbena mjera Garante-a pokazuje da regulatori obraćaju pažnju, ali regulatorne kazne dolaze nakon što je šteta već učinjena. Osobna budnost ostaje prva linija obrane.

Što to znači za vas

Kazna od €12,5 milijuna izrečena ovim dvama pružateljima bankarskih aplikacija nije samo priča o usklađenosti. To je konkretna ilustracija kako financijske aplikacije mogu tiho prekoračiti granice onoga na što korisnici zapravo pristaju, te kako su regulatori sve spremniji djelovati. Evo ključnih zaključaka:

• Redovito pregledavajte dopuštenja aplikacija. Kada instalirate ili ažurirate bankarsku aplikaciju, provjerite čemu traži pristup. Dovedite u pitanje dopuštenja koja se čine nepovezanima s bankarskim funkcijama.
• Prema upitima „prihvati sve" pristupite sa skepticizmom. Ako usluga čini široko prikupljanje podataka uvjetom pristupa, to je crvena zastava vrijedna istraživanja prije nego što pritisnete prihvati.
• Koristite VPN na javnim ili nepoznatim mrežama. Šifriranje vašeg prometa dodaje sloj zaštite koji nadopunjuje ostale navike vezane uz privatnost, posebno pri putovanju.
• Budite informirani o regulatornim mjerama. Provedbene odluke poput ove često imenuju vrste prakse koje se kažnjavaju, što vam pomaže prepoznati slične obrasce u drugim aplikacijama koje koristite.

Odluka Garante-a korak je prema odgovornosti u ekosustavu financijskih aplikacija. Razumijevanje što se dogodilo i zašto daje vam znanje za donošenje boljih odluka o aplikacijama kojima povjeravate svoje najosjetljivije financijske podatke.