Hlavní pointa

Ověření účtu může být bezpečné, pokud víte, co potvrzujete

Online ověření účtu a identity není automaticky riziko. Ve správně nastaveném procesu může být bezpečnější než posílání screenshotů nebo upravených PDF výpisů e-mailem. Klient se autentizuje u své banky, potvrzuje konkrétní rozsah údajů a poskytovatel získá data potřebná pro ověření totožnosti, příjmu nebo schopnosti splácet.

Riziko vzniká tehdy, když nevíte, co se děje. Když služba míchá identitu, přístup k účtu a platbu do jednoho dojmu. Když stránka nevypadá důvěryhodně. Nebo když po vás někdo chce heslo, SMS kód, instalaci programu či potvrzení něčeho, čemu nerozumíte.

Verdikt EsoPůjčka.cz: Bank iD, Kontomatik a GoCardless nejsou totéž. Bank iD typicky potvrzuje identitu. Kontomatik čte informace z účtu. GoCardless může řešit platbu nebo open banking data. Bezpečný je proces, kde jasně vidíte poskytovatele, účel, rozsah dat a souhlas potvrzujete ve své bance.

Nejdřív rozdíl: identita, účet a platba

V reklamě se často řekne „ověření účtu“ a tím se zakryjí tři různé procesy. Ověření identity odpovídá na otázku: jste opravdu osoba uvedená v žádosti? Přístup k informacím o účtu odpovídá na otázku: co ukazují příjmy, výdaje a transakce? Platební autorizace odpovídá na otázku: souhlasíte s konkrétní platbou?

Pro bezpečnost je důležité rozlišit, kterou z těchto věcí právě děláte. Když přes Bank iD potvrzujete totožnost, nemělo by to znamenat automatické sdílení transakční historie. Když přes Kontomatik nebo GoCardless schvalujete přístup k údajům o účtu, měli byste vidět rozsah dat a účel. Když potvrzujete platbu, musí být jasné komu, kolik a proč.

Služba Typické použití u půjčky Co hlídat
Bank iD Ověření totožnosti, předvyplnění údajů, přihlášení nebo podpis dokumentu. Jaké osobní údaje předáváte a komu. Bank iD není totéž jako výpis z účtu.
Kontomatik Přístup k informacím o účtu, ověření příjmu, výdajů, identity držitele účtu a scoring. Rozsah dat, období transakcí, souhlas a to, zda proces vede přes důvěryhodnou stránku.
GoCardless Open banking platby, inkaso, případně přístup k informacím o účtu podle použité služby. Jestli potvrzujete platbu, trvalejší oprávnění, nebo pouze sdílení dat.
Ověřovací platba Potvrzení, že účet existuje nebo patří žadateli. Nenahrazuje posouzení příjmů a výdajů. Sledujte částku a příjemce platby.

Bank iD: digitální občanka, ne automatický pohled do financí

Bank iD na svém oficiálním webu popisuje bankovní identitu jako způsob, jak se bezpečně přihlašovat mimo banku do portálů firem, institucí a úřadů. Klíčové je, že firmy nevidí vaše přihlašovací údaje a podle Bank iD ani informace o financích na bankovním účtu. Banka potvrzuje totožnost a vybraná osobní data.

U půjčky může Bank iD pomoci s identifikací klienta, předvyplněním údajů, ověřením věku, adresy nebo podpisem. Sama o sobě ale neříká, jaké máte příjmy a výdaje. Pokud poskytovatel potřebuje posoudit úvěruschopnost, může po identitě následovat ještě výpis, bankovní ověření nebo jiný doklad.

Kontomatik: informace o účtu a transakční data

Kontomatik popisuje přístup k informacím o účtu jako službu založenou na PSD2. Po autorizačním procesu se připojí k bankovnímu API, načte dostupná data a se souhlasem uživatele je sdílí s firmou, která službu využívá. Kontomatik uvádí, že data mohou zahrnovat zůstatek, dostupné prostředky, měnu, držitele účtu a transakce včetně popisu, data a částky.

Pro půjčky je to zásadní: nejde jen o potvrzení identity. Jde o datový pohled na finanční chování. Díky tomu může poskytovatel rychleji ověřit příjem, výdaje, existující splátky nebo rizikové vzorce. Co přesně je vidět, záleží na bance, rozsahu souhlasu a implementaci konkrétního poskytovatele.

GoCardless: open banking, platby a bankovní data

GoCardless popisuje open banking jako model, který přes API umožňuje bezpečnější platby a přístup k finančním datům. Uživatel podle GoCardless autorizuje platbu nebo sdílení dat ve své bankovní aplikaci. Služba zároveň uvádí bezpečnostní prvky, jako je ISO 27001, šifrování dat při přenosu i uložení a program ochrany dat podle GDPR standardů.

V praxi je důležité neházet všechno pod jedno slovo GoCardless. Někdy potvrzujete platbu nebo inkaso. Jindy může jít o přístup k informacím o účtu. Vždy sledujte, zda schvalujete peněžní pohyb, sdílení dat, nebo obojí.

PSD2 a služba informování o platebním účtu

ČNB mezi platební služby výslovně řadí službu informování o platebním účtu. U těchto služeb mají poskytovatelé informační povinnosti, tedy mají spotřebiteli srozumitelně zpřístupnit informace o poskytovateli, službě, komunikaci, právním rámci a možnostech stížnosti. Nejde tedy o divoké „napojení na účet“, ale o regulovaný typ služby.

To ale neznamená, že máte potvrdit cokoliv. Regulace snižuje riziko u legitimních poskytovatelů. Nechrání vás před tím, když kliknete na falešnou stránku, potvrdíte nejasný souhlas nebo někomu po telefonu nadiktujete autorizační kód.

Bezpečný proces vs. červený signál

Při ověření se řiďte podle procesu, ne podle loga.

Bezpečnější Jste přesměrováni do prostředí banky, sami potvrzujete rozsah dat a nikomu nesdělujete heslo ani kódy.
Nejasné Nevíte, zda potvrzujete identitu, data z účtu, platbu nebo budoucí inkaso.
Rizikové Někdo chce heslo, SMS kód, instalaci vzdáleného přístupu nebo potvrzení platby mimo vysvětlený účel.

Co si přečíst před potvrzením souhlasu

Nejdůležitější věta není „pokračovat“. Nejdůležitější je text souhlasu. Měl by jasně říct, kdo data získává, za jakým účelem, z jakého účtu, v jakém rozsahu a případně na jak dlouho. U půjčky by měl účel dávat smysl: ověření identity, ověření příjmu, posouzení schopnosti splácet nebo autorizace konkrétní platby.

Pokud se text souhlasu tváří jinak než situace, zastavte se. Žádost o půjčku by neměla končit nečekaným potvrzením velké platby. Ověření identity by nemělo požadovat transakční historii bez vysvětlení. A služba pro přístup k informacím o účtu by neměla chtít, abyste někomu mimo bankovní prostředí sdělili heslo.

Jaká data se mohou sdílet při ověření účtu

U služeb typu přístup k informacím o účtu se mohou podle konkrétní banky a souhlasu sdílet údaje o účtu, zůstatku, dostupných prostředcích, měně, držiteli účtu a transakční historii. Právě z těchto dat se dá vyčíst příjem, výdaje, splátky, platby inkasním společnostem, zůstatky před výplatou nebo opakující se vzorce chování.

Podrobněji jsme rozebrali praktický pohled poskytovatele v článku Co poskytovatel vidí na bankovním účtu při žádosti. Pokud chcete pochopit, jak se data promítají do vyhodnocení žádosti, navazuje Co je bonita a scoring.

Zelená zóna Známý poskytovatel, bankovní prostředí, jasný účel, omezený rozsah dat, žádné sdílení hesla.
Žlutá zóna Nejste si jistí rozsahem dat, doménou, dobou přístupu nebo tím, zda jde o data či platbu.
Červená zóna Telefonát s tlakem, požadavek na kód, heslo, vzdálený přístup, neznámá doména nebo nečekaná platba.

Je bezpečnější Bank iD, Kontomatik, nebo GoCardless?

Takto položená otázka je trochu past. Bezpečnost nezáleží jen na značce, ale na účelu a implementaci. Bank iD je vhodné pro ověření identity. Kontomatik pro analýzu informací o účtu. GoCardless pro open banking platby a podle produktu i data. Každá služba může být bezpečná, pokud je použita správně a s jasným souhlasem.

Špatné je, když se jedna služba tváří jako druhá. Když si myslíte, že jen potvrzujete věk, ale ve skutečnosti dáváte přístup k transakcím. Nebo když chcete poskytnout výpis, ale potvrzujete platbu. Dobrý poskytovatel vysvětlí, proč službu používá a co se bude dít po potvrzení.

Co by po vás nikdo neměl chtít

  1. Nedávejte nikomu heslo do internetového bankovnictví mimo prostředí banky.
  2. Neposílejte SMS kódy ani potvrzovací kódy osobě po telefonu nebo v chatu.
  3. Neinstalujte vzdálený přístup kvůli půjčce nebo ověření účtu.
  4. Nepotvrzujte platbu, pokud jste čekali jen ověření identity.
  5. Nepokračujte přes doménu, která neodpovídá bance nebo známé službě.
  6. Nenechte se tlačit časem. Seriózní ověření snese několik minut kontroly.

Rozumíte rozsahu ověření a žádost dává smysl?

Pokud víte, zda potvrzujete identitu, účetní data nebo platbu, a splátka je bezpečná, můžete pokračovat nezávazně. Pokud proces působí nejasně, nejdřív ho zastavte a ověřte.

Nezávazně ověřit možnosti

Jak poznat legitimní ověření účtu

Legitimní proces je čitelný. Vidíte název služby, název poskytovatele, účel ověření, rozsah dat, banku, kterou vybíráte, a po přesměrování jste v prostředí banky nebo v oficiální aplikaci. Po dokončení se vracíte zpět do žádosti, kde je jasné, co se stalo.

Naopak podezřelé je, když odkazy chodí z nečekaného čísla, stránka má překlepy, doména nesedí, bankovní prostředí vypadá jinak, někdo tlačí na rychlost nebo se ptá na přihlašovací údaje. U půjček je tlak na rychlost častá zneužitelná slabina. Bezpečná rychlost ano. Panika ne.

Co s ochranou osobních údajů

U ověření účtu pracujete s velmi citlivými daty. Ne proto, že by každá položka byla tajemná, ale protože dohromady vytvářejí přesný obraz vašeho života: příjem, nájem, zdravotní platby, děti, sázky, dluhy, výživné, charita i běžné návyky. Proto má smysl ptát se na účel, rozsah a dobu uchování.

ÚOOÚ připomíná základní principy ochrany osobních údajů, například účelovost a přiměřenost. V praxi u půjčky platí: data mají sloužit k posouzení žádosti, neměla by se sbírat bez jasného důvodu a vy byste měli vědět, komu a proč je zpřístupňujete.

Ověření účtu a scoring: proč to poskytovatelé chtějí

Důvod není jen pohodlí. U spotřebitelského úvěru musí poskytovatel posoudit úvěruschopnost. Bankovní data mohou rychle ukázat, zda příjem chodí pravidelně, jaké jsou výdaje, jestli odcházejí stávající splátky, zda účet padá do minusu a zda je splátka nové půjčky realistická.

To může pomoct i žadateli. Automatické ověření někdy zrychlí žádost a sníží počet ručně posílaných dokumentů. Zároveň ale platí: pokud účet ukazuje opakované problémy, ověření je nezamaskuje. V takovém případě je lepší nejdřív řešit rozpočet a až potom žádat.

Kontrolní seznam před potvrzením

Otázka Bezpečnější odpověď Varovný signál
Vím, co potvrzuji? Identitu, data z účtu nebo konkrétní platbu. Jen klikám, protože žádost mě nepustí dál.
Vidím poskytovatele? Znám název služby, firmu i účel. Doména je neznámá nebo text je podezřelý.
Jsem v prostředí banky? Přihlašuji se u své banky nebo v její aplikaci. Někdo chce heslo mimo bankovní prostředí.
Je rozsah dat přiměřený? Data odpovídají účelu půjčky a posouzení žádosti. Souhlas je příliš široký nebo nesrozumitelný.
Není tam nečekaná platba? Vím, zda potvrzuji platbu, inkaso nebo jen data. Částka nebo příjemce nesedí s tím, co čekám.

Kam pokračovat na EsoPůjčka.cz

Pokud chcete vědět, co se z bankovních dat prakticky hodnotí, pokračujte na Co poskytovatel vidí na bankovním účtu při žádosti. Pro širší kontext vyhodnocení žádosti navazuje Co je bonita a scoring. Pokud si chcete spočítat bezpečnou splátku, použijte kalkulačku bezpečné výše splátky.

Pokud je proces čitelný, žádost dává rozpočtově smysl a nepodepisujete nic, čemu nerozumíte, můžete pokračovat na nezávaznou online žádost. Pokud máte pochybnosti, ověření přerušte a nejdřív si ověřte poskytovatele i rozsah souhlasu.

Bezpečné ověření je srozumitelné

Dobrá technologie nemá spoléhat na to, že kliknete naslepo. Má vám jasně říct, kdo jste, co sdílíte, s kým a proč.

Pokračovat na žádost
Pavel Štich

Autor

Pavel Štich

Pavel Štich se dlouhodobě věnuje finančnímu copywritingu, online úvěrům a investicím do startupů. Je spoluzakladatelem EsoPůjčka.cz a v roce 2018 úspěšně složil odborné zkoušky pro poskytování a zprostředkování spotřebitelských úvěrů. Pro web EsoPůjčka.cz připravuje praktické texty, které čtenářům pomáhají porovnat cenu, rizika a podmínky půjček jednoduše a srozumitelně.

LinkedIn info@microcredit.cz