Banka je obavila zamjenu svojih bankovnih kartica za sve svoje korisnike radi uvođenja beskontaktnog plaćanja i pri tom su korisnici morali zamijeniti kartice. Nije bilo izbora.
 
U kartice je implementiran čip koji je pohranjivao informacije o posljednjih 10 transakcija pojedinog korisnika, konkretno, datum transakcije, iznos i valutu.
 
Međutim, otkriveno je da je zbog sigurnosnih propusta u sustavi beskontaktnog plaćanja bio omogućen neovlašteni pristup podacima o transakcijama putem čitača kartica, čak i pametnog telefona s prikladnim softwareom i njegovim prislanjanjem kartici.
 
Mastercard, kao dobavljač kartica je potvrdio da za beskontaktna plaćanja uopće nije bilo potrebno na čipu pohranjivati podatke o transakcijama i da se toga dosjetila sama banka.
 
Kako to obično biva, korisnici kartica nisu imali pojma da se njihove transakcije bilježe u čipu kartice i da su izloženi.
 
S obzirom na sve to, nadzorno je tijelo jasno utvrdilo, s obzirom da pohrana transakcija u čipu nema nikakve veze s beskontaktnim plaćanjem, da se takvi podaci smiju pohranjivati u čip kartice samo ako je korisnik o tome obaviješten i ako je pristao na to.
 
Banka je tada morala svim svojim korisnicima poslati obavijest da se jave ukoliko ne žele pohranu transakcija u čipu svoje kartice i deaktivirati pohranu ili izdati novu karticu, a za sve nove korisnike je smjela aktivirati pohranu samo ako korisnik pristane.
 
No, nakon dugog ostavljenog vremena banci da sve to popravi, nadzorno tijelo ih je zatražilo informacije o statusu ispravljanja pogrešaka.
 
Banka je tada izjavila da im je preskupo sada obavještavati sve svoje korisnike i da bi takvim obavijestima korisnici postali zbunjeni i sumnjičavi u sigurnost kartičnih transakcija, kao i da ne mogu odjednom zamijeniti sve kartice.
 
Nadzorno tijelo je jasno reklo - neovisno o troškovima korisnike se moralo obavijestiti o pohrani transakcija na bankovnim karticama i bez obzira je li ta obrada osobnih podataka s nekim visokim ili niskim rizikom za pojedinca.
 
Nadzorno tijelo je utvrdilo jedan od zanimljivih rizika - da član obitelji prislanjanjem svog pametnog telefona kartici može saznati koje je transakcije obavljao netko iz njegove obitelji, u kojem iznosu i kada.
 
Ovakav slučaj bio je prisutan u 4 najveće grčke banke i sve su bile oštro kažnjene.
 
Više o slučaju iz Grčke:
 
https://gdprhub.eu/index.php?title=HDPA_(Greece)_-_53/2022&mtc=today
 
Image by Ahmad Ardity from Pixabay
 
#gdprcroatia