> Po pierwsze ktoś musi wykraść login + hasło, a później pierwsza
> transakcja z autoryzacją spowoduje alarm użytkownika. W sumie nie
jest
> tak tragicznie. Jak dotąd nie wymyślono 100% zabezpieczeń. Może
wliczono
> w koszta np. bardziej elastyczną politykę reklamacji i dodatkowo
system
> dba żeby niezależnie od warunków duże kwoty zawsze były
autoryzowane.
>
Tylko jedno ale. Przelew może być wykonany z komputera właściciela
konta.
Przy autoryzacji będą podane wszystkie wymagane regulaminem przez bank
dane do poprawnej
autoryzacji (login i hasło) i to klient będzie musiał udowadniać, że
przelewu nie zlecił.
Więc bank nie uzna takiej reklamacji.
A, że bank obniżył poziom bezpieczeństwa nie wymagając autoryzacji
przy niektórych transakcjach
to nie będzie się liczyło.

I wszystko byłoby ok. gdyby dotyczyło to tylko nowych użytkowników.
Oni podpisując umowę zgadzają się
na sposób autoryzacji przelewów. Ale tak istotna zmiana w stosunku do
starych użytkowników powinna
być wykonana za ich zgodą.

Weźmy inny przykład z działki bankowej. Zakładamy konto do którego
mają dostęp 4 osoby.
Składamy dyspozycję, że wypłaty z konta mogą być wykonywane tylko i
wyłącznie jeżeli
na zleceniu wypłaty widnieją podpisy 2 z 4 osób uprawnionych (czyli
login,hasło + podpis elektroniczny)
No i pewnego dnia bank radośnie informuje użytkowników, że dla ich
wygody wprowadza zasadę iż
zlecenie wypłaty może podpisać tylko 1 z 4 uprawionych osób (czyli
login + hasło)
Przy okazji zmienia regulamin w którym zapisuje, że teraz do wypłaty
pieniędzy wymagany jest jeden i tylko jeden podpis.
Byłoby to jawne złamanie umowy jaka była zawarta przy zakładaniu
konta.
W przypadku zmiany sposobu autoryzacji przelewów elektronicznych jest
dokładnie tak samo.
Umawialiśmy się z bankiem na jeżdżenie czerwonym samochodem z trąbką.
A bank po jakimś czasie mówi nam,
że czerwony jest niemodny a trąbka hałasuje i daje nam zielony
samochód bez trąbki.

Oczywiście możemy zagłosować nogami ale nie o to chodzi.