Tag Archives: банки

Няколко електронни препоръки към банките

Post Syndicated from Bozho original https://blog.bozho.net/blog/3582

Когато говорим за електронно управление, си представяме основно държавната администрация. Само че има още два вида участници (които са записани и в Закона за електронното управление) – лица, осъществяващи публични функции и доставчици на обществени услуги.

Пример за първото са нотариуси, частни съдебни изпълнители и като цяло – лица, на които държавата чрез закон е възложила някакви функции. Обществените услуги са малко по-разтегливи, но законът изрежда следните: „образователни, здравни, водоснабдителни, канализационни, топлоснабдителни, електроснабдителни, газоснабдителни, телекомуникационни, пощенски, банкови, финансови и удостоверителни“. Банковите и удостоверителните бяха добавени изрично с измененията в закона през 2016г, но логически винаги са попадали там. Най-вече, защото банките в много случаи участват или в процеса по предоставяне на административни услуги, или изискват (понякога по силата на закон) данни и обстоятелства, които са резултат от административни услуги (удостоверения, например).

И докато критиката ни за липса на автоматизация и удобство за гражданите е основно насочена към администрацията, то банките също имат доста неща, които да подобрят. С тази публикация ще направя няколко предложения към банките, с които да подобрят и тяхната работа, и удобството за гражданите, а и законовото им съответствие.

  • Автоматично извличане на данни от първични администратори – банките понякога искат предоставяне на данни от страна на гражданите за ползване на някоя услуга, като например удостоверение за семейно положение, удостоверение за наследници, декларация по ЗМИП, дори до преди известно време и актуално състояние. Банките могат, а и е редно, да извличат тези данни от първичните администратори, дали през публичен интерфейс, както е с Търговския регистър, дали през системата за междурегистров обмен RegiX. Банките имат право на това, като доставчик на обществени услуги, и би било много добре да спрат да искат неща. Няколко пъти съм обяснявал на банкови служители, че не могат да искат от мен да предоставям или декларирам данни, които са вписани в Търговския регистър, и че дори подлежат на глоба. Когато се извличат такива данни, задължително трябва да е ясно кой е служителят и системата и за какво се ползват, за да се избегнат злоупотреби. RegiX пази одитна следа на всички такива действия именно с тази цел. Автоматичното извличане на такива данни може да стане и през електронното банкиране (или други онлайн услуги), след като гражданите успешно се идентифицират през националната схема за електронна идентификация (която все още я няма) или през системата за е-автентикация. Същият подход може да се ползва и при KYC (know your customer) процедури – няма нужда клиентът да си описва всичките данни, при положение, че по номер на лична карта могат да се извлекат от регистъра на МВР.
  • Приемане на електронни документи – интеграцията с първични регистри е дълго усилие и отнема време. Но приемането на електронни документи, издадени от администрацията, е законово задължение. За съжаление има много оплаквания, че някоя банка не е приела електронно-подписано удостоверение и е накарала човека да отиде да си го вземе от администрацията с „мокър печат“. Банката е длъжна да приеме електронния документ, тъй като той е валидно обективиран индивидуален административен акт. Администрацията с триста зора е електронизирала дадена услуга, предоставила е електронен документ на гражданина, обаче се оказва, че той не му върши работа, защото някакви вътрешни правила някъде искат мокър печат – това не е приемливо, не е и законно, и намалява интереса и ползването на и без това рядко използваните електронни административни услуги
  • Автоматично обновяване на фирмени профили – фирмите си откриват сметки, след това се случват промени (сменен управител, сменена форма на дружеството и др.) Банките могат (и трябва) да се абонират за промените в Търговския регистър (към момента става с получаване на един XML файл с всички промени за деня) и да обновяват вътрешните си бази данни, вместо да искат от клиентите да го правят. Това от една страна спестява усилия на клиентите, а от друга – спестява главоболия при смяна на управител. Старият управител все още има достъп до електронното банкиране и може да нарежда преводи, а новият може и да не се сети веднага да отиде и да обнови данните в банката (или в банките, защото често фирмите имат сметки в повече от една банка).
  • Използване на електронен печат в е-банкирането – документите, удостоверяващи извършено плащане, са нужни на много места – понякога неправомерно (администрацията знае, че е получила пари, няма нужда, а и право, да иска „бележка“), понякога правомерно – например, при увеличаване на капитал на дружество се изисква доказване, че капиталът е внесен. Електронните банкирания е добре да могат да поставят електронен печат (по смисъла на Регламент (ЕС) 910/2014) върху платежните, така че те да могат да бъдат ползвани в електронен вид. В момента трябва да отидеш до банката и там да ти сложат печат. В някои случаи трябва сам да си носиш разпечатаното платежно, защото те нямат достъп. Електронният печат би решил този проблем, удостоверявайки от името на титуляра на печата – банката – че това платежно е истинско и непроменено.
  • Избягване на еднократни пароли за подписване на преводи – това е сложна и дълга тема, но в общия случай 6-цифрени кодове не дават т.нар. non-repudiation, т.е. свойството на електронните подписи, според което авторът не може да се отрече от извършеното действие. Тъй като те обикновено разчитат на споделен криптографски ключ, а в случай на sms дори цялата информация е при банката, то служител на банката, имащ достъп до ключа, може да нареди превод от името на клиента. На теория, но това е достатъчно за оспорване на транзакции (да, със „з“). Да, на база на други фактори, като IP адреси в логове, сметка на получателя и др. може да се подкрепи едно или друго твърдение, но злонамерен клиент може да маскира следите си достатъчно добре и да твърди, че банката, имайки достъп до споделения криптографски ключ, е наредила превода вместо него. Как да стане по-сигурно – приложенията, които банките ползват, могат да ползват асиметрична криптография, така че подписването да става с ключ, с който банката не разполага. Детайлите тук са много важни и сложни, така че няма да се спиран на тях, но е нещо, за което е добре да се помисли и да се отчетат рисковете.
  • Автоматизиране на процесите по ЗМИП – Законът за мерките срещу изпиране на пари (който е следствие от европейска директива), предвижда възможност за електронна комуникация между банките и ДАНС. Наскоро се появи казус, свързан с тегленето на пари от Васил Божков, тъй като ДАНС отричаше да е получавал уведомление. Няма да навлизам в спецификите на ЗМИП, но тъй като електронната комуникация е само възможност, но не и задължение, практиките са различни и понякога дори включват ръчни процеси. Автоматизирането на процесите по докладване на транзакции по ЗМИП няма общо с електронното управление или удобството за гражданите, но би спестило ситуации, като споменатата преди малко. Тук, разбира се, зависи и от ДАНС какво точно ще приемат.

Винаги има какво да се подобри в процесите на една организация, а банките са големи и всяка промяна на процес е по-трудна, отколкото изглежда отстрани. Но все пак, с оглед и на законовите възможности, би ми се искало да видя горните предложения реализирани все по-често. Те имат техническия капацитет и нерядко визията за дигитализация, така че би трябвало препоръки като горните да са в графата „технически детайли“.

Философията на електронното управление, от която винаги съм се водил, включва интегриране на всички участници в процесите, а не само на администрацията. В Естония, например, банките са били от водещите в процеса на изграждане на тяхното електронно управление. В горните предложения не съм добавил унифициране на средствата за електронна идентификация на клиенти, защото национална схема за електронна идентификация все още няма, но когато тя се появи би било най-логично всички банки да я припознаят (както в Естония), като така подпомогнат и нейното навлизане и за други нужди.