NLB nehote razkrila podatke o računih mnogih uporabnikov, incident poskuša pomesti pod preprogo

7. avgusta smo prejeli poročilo uporabnika, ki so se mu poleg lastnih finančnih računov pri NLB, uvozili tudi podatki finančnih računov druge osebe. Podatke je prek povezave posredovala Nova Ljubljanska banka, na naši strani nismo odkrili nepravilnosti. 

O napaki smo nemudoma obvestili tehnično pomoč pri NLB, kjer so napako naslednji dan odpravili. Žal problem ni bil izoliran na posameznega uporabnika. Pri banki so v tem času na napačne povezave neupravičeno posredovali podatke o finančnih računih, stanjih premoženja na njih in nedavnih transakcijah v zadnjih mesecih že vsaj nekaj sto naključnih strank banke. Točne številke nimamo, saj je banka ni posredovala in je potencialnih odjemalcev (aplikacij) na tovrstnih bančnih povezavah več. Banka tovrstne povezave nudi in vzdržuje v okviru zahtev PSD2 (oz. ZPlaSSIED) zakonodaje. Povezava ni na voljo zgolj v Toshl aplikacijah temveč v mnogo različnih odjemalcih. Kolikor lahko razberemo iz narave napake, verjetno ni šlo le za uporabnike teh povezav, temveč je možno, da so bili posredovani podatki katerekoli stranke NLB.

Naši partnerji za bančno povezovanje so kasneje na našo in zahtevo banke neupravičeno posredovane podatke tudi odstranili. Ta izbris je v nekaterih primerih zahteval tudi ponovno vzpostavitev povezave. Ob tem se lahko zgodi, da se finančni računi ponovno uvozijo in tako ustvarijo tudi podvojeni (sicer legitimno posredovani) podatki uporabnika. Če se na vašem Toshl uporabniškem računu srečujete s tovrstnim problemom, nas prosim kontaktirajte na support@toshl.com in opišite situacijo, da problem lahko pomagamo razrešiti. 

NLB že od začetka pozivamo naj o napaki in neželenem razkritju obvesti prizadete uporabnike. Banka trdi, da tega ni dolžna storiti, saj na posredovanih računih ni bilo prikazano ime imetnika računa. Tega podatka v Toshl aplikacijiah res ne prikazujemo, vendar so bili skupaj z računi posredovani opisi transakcij iz katerih je velikokrat mogoče razbrati ime delodajalca, imena oseb s katerimi so potekale transakcije in na tak ali soroden način podatke tudi pripisati specifičnim osebam. Navkljub mnogim pozivom, NLB še vedno ni obvestila prizadetih uporabnikov. Od incidenta mineva že več kot 50 dni. 

Menimo, da je tak pristop povsem nesprejemljiv s stališča varovanja zasebnosti uporabnikov, informacijske varnosti posameznikov in nenazadnje osnovnih etičnih standardov. Ne razumemo kako lahko banka pristaja na tovrstno interpretacijo veljavne zakonodje, kot tudi svojega kodeksa ravnanja.

Sprašujemo se tudi, kaj na to porečejo pristojni regulatorji. Banko Slovenije smo spričo mnogih nepravilnosti tudi drugih bank večkrat pozvali k samostojenmu nadzoru spoštovanja zakonodaje, vendar tovrstne pobude vnaprej zavrača.

Ker NLB vse do sedaj ni obveščala uporabnikov o incidentu, vas obveščamo mi. Ker se nam opisano zdi najmanj nespodobno in ker smo naveličani, da se naši storitvi pogosto pripisuje krivda za napake, ki jih zagrešijo banke.

S seznamom prizadetih strank NLB žal ne razpolagamo. Predlagamo, da o tem povprašate NLB.

Objavljeno 28. septembra, 2023