Zadałem Aliorowi Wyższej Kulturze, pytanie:

"Dlaczego po zalogowaniu do systemu, dane odbiorców w szablonach
płatności można zmienić bez problemu bez potwierdzania kodem sms?
Przypuśćmy, ze złodziej poznaje nasz login i hasło. Loguje się,
podmienia numer IBAN u naszego odbiorcy w szablonie płatności. Gdy nie
jest to przelew zaufany, złodziej nie musi tej operacji potwierdzać w
żaden sposób.
Właściciel konta dokonuje przelewu według zapisanego szablonu
płatności, ale z podmienionym juz nr konta.Jest przekonany, ze nr konta
w szablonie płatności jest poprawny. Przecież sam go tam kiedyś
wpisywał. Sprawdza poprawność danych przelewu z smsem autoryzacyjnym.
Wszystko się zgadza. Nr konta wyświetlony na ekranie z cyframi z nr
konta podanymi w smsie. Tylko ,że to już numer konta podmieniony przez
złodzieja.
A przecież nikt z nas nie nie ma w głowie zapamiętanych wszystkich
26-cyfrowych nr kont naszych odbiorców.
W ten sposób właściciel konta potwierdza przelew na fałszywy nr konta,
bedąc przekonany po dokładnym sprawdzeniu z smsem, że wszystkie dane są
poprawne."

I dostałem odpowiedź:

Witam serdecznie,
dziękuję za przesłaną wiadomość.

Uprzejmie informuję, że nie należy
udostępniać numeru Klienta CIF oraz hasła do logowania osobom trzecim.

informuję, że po zalogowaniu w systemie bankowości internetowej może Pan
ustanowić
powiadomienia przesyłane poprzez e-mail i SMS, informujące o poprawnym
logowaniu, próbie
nieudanego logowania lub o blokadzie dostępu do systemu bankowości
internetowej.
Wówczas
będzie Pan miał bieżące informację w zakresie logowania do Pana
bankowości internetowej.
Powiadomienia mogą zostać ustawione w zakładce ,,Ustawienia" - ,,Profil
użytkownika".
Wyjaśniam, że powiadomienia e-mail są bezpłatne, natomiast powiadomienia
sms sa płatne 0,30
zł za każde powiadomienie. Opłata jest pobierana zbiorczo na koniec
miesiąca.