Απόφαση της ΑΠΔΠΧ για τις θύρες ασφαλείας στις τράπεζες

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έδωσε στη δημοσιότητα πριν από μερικές μέρες την απόφαση  αρ. 45/2009 σχετικά με τις αλλεπάλληλες καταγγελίες πολιτών για το νέο σύστημα θυρών ασφαλείας που έχει εγκαταστήσει η Εθνική τράπεζα. Η απόφαση αυτή, την οποία μπορείτε να βρείτε εδώ, παρουσιάζει αρκετά ενδιαφέροντα σημεία μερικά από τα οποία σχολιάζουμε παρακάτω:

“Με τη αριθμ. πρωτοκόλλου Γ/ΕΙΣ/2529/26.5.2008 καταγγελία της A. καθώς και με τηλεφωνικές καταγγελίες πολιτών περιήλθε στη γνώση της Αρχής ότι η Εθνική Τράπεζα της Ελλάδος”

H καταγγελία έχει γίνει από τις 26/5/2008, δηλάδη πριν 1 χρόνο.

“κλιμάκιο ελεγκτών πραγματοποίησε πραγματοποίησε βάσει της με αριθμ. πρωτοκόλλου Γ/ΕΞ/3997/05.8.2008 έλεγχο στο κατάστημα της τράπεζας […]. Από τον έλεγχο δεν κατέστη δυνατό να προσδιοριστούν τα τεχνικά χαρακτηριστικά του νέου συστήματος, καθώς η πρόσβαση σε αυτό απαιτούσε τη χρησιμοποίηση κωδικών (username και password), τους οποίους η Διευθύντρια του καταστήματος, κατά δήλωσή της, δεν γνώριζε”

Δηλαδή οι ελεγκτές της Αρχής δε μπορούν ή δεν έχουν το δικαίωμα να ζητήσουν επί τόπου τους κωδικούς από την εκάστοτε Διεύθυνση Πληροφορικής ή από τον Εσωτερικό Έλεγχο. Άραγε έτσι, με τη λογική του “δεν τους έχετε – δεν πειράζει”, λειτουργούν και οι υπηρεσίες εσωτερικού ελέγχου ή οι ανεξάρτητοι ελεγκτές; Αν μπει η αστυνομία με τον εισαγγελέα κάπου ψάχνοντας κάτι, έτσι απλά θα πει δεν πειράζει και θα αποχωρήσει;

“Η τράπεζα στη συνέχεια προέβη στη γνωστοποίηση της επεξεργασίας δεδομένων μέσω του νέου συστήματος με τη με αριθμ. πρωτοκόλλου ΓΝ/ΕΙΣ/871/01.10.2008”

Για το λόγο αυτό, για τη καθυστερημένη δηλαδή και μετά την έναρξη επεξεργασίας γνωστοποίηση, η Αρχή με την αποφασή της αυτή επέβαλε πρόστιμο ύψους 30000€.

Στη συνέχεια δίνεται μια αρκετά εκτενής τεχνική περιγραφή του συστήματος από την οποία μπορεί να διαπιστώσει κανείς αν μη τι άλλο τη σχολαστικότητα των ελεγκτών της Αρχής.

“Για το χειρισμό της εφαρμογής απαιτείται η εισαγωγή κωδικού πρόσβασης. Ο κωδικός αυτός είναι διαφορετικός ανά κατάστημα και βρίσκεται στη διάθεση του ο διευθυντή του καταστήματος.”

Τελικά έχει ή δεν έχει ο διευθυντής τον κωδικό;

“Στο κατάστημα της Εθνικής Τράπεζας επί της οδού Πανόρμου αριθμ. 18 ο ηλεκτρονικός υπολογιστής έχει τοποθετηθεί σε γραφείο που βρίσκεται αμέσως μετά την είσοδο, σε απόσταση λίγων μέτρων, χωρίς κάποια ιδιαίτερη κατασκευή.”

Μια χαρά. Είναι πάντα καλύτερο να έχει φυσική πρόσβαση ο κόσμος σε κρίσιμα συστήματα. Ευτυχώς το επισημαίνει και το τονίζει η Αρχή στην απόφασή της.

“Στον υπάλληλο που βρίσκεται στο γραφείο αυτό έχει ανατεθεί και η επιμέλεια του αυτόματου ανοίγματος των θυρών στις περιπτώσεις που πρέπει να παρακαμφθεί το σύστημα και να ανοίξουν οι θύρες χειροκίνητα.”

Όσοι έχουν εμπειρία σε τράπεζες θα γνωρίζουν ότι το σύστημα “παρακάμπτεται” αρκετές φορές τη μέρα, είτε γιατί “κολλάει” είτε γιατί αγανακτούν οι εγκλωβισμένοι.

Παρακάτω συνοψίζονται τα ευρήματα της Αρχής:

“Το σύστημα, κατ’ αρχήν, συλλέγει και αποθηκεύει δεδομένα εικόνας αλλά ουσιαστικά επεξεργάζεται βιομετρικά δεδομένα”

Η Αρχή έχει αποδείξει με αποφάσεις τις στο παρελθόν την ιδιαίτερη ευαισθησία της στα συστήματα που επεξεργάζονται βιομετρικά δεδομένα. Όμως στην περίπτωση αυτή διαπιστώθηκε ότι “δεν πραγματοποιείται καμία περαιτέρω χρήση των βιομετρικών δεδομένων, ούτε είναι δυνατό σε κάποιον χρήστη του συστήματος να εξάγει εκ νέου αυτά τα χαρακτηριστικά για όλες τις αποθηκευμένες φωτογραφίες.”

“Τα δεδομένα εικόνας αποθηκεύονται στο σύστημα για χρονικό διάστημα επτά (7) ημερών. Κατά τη δήλωση της τράπεζας απαραίτητη είναι η τήρηση των δεδομένων για τρεις (3) τουλάχιστον ημέρες, ώστε να υπάρχει ο απαραίτητος χρόνος αντίδρασης για συμβάντα που θα λάβουν χώρα κατά τη διάρκεια του Σαββάτου ή της Κυριακής σε καταστήματα της τράπεζας στα οποία τα μηχανήματα αυτόματης εξυπηρέτησης (ΑΤΜ) είναι εγκατεστημένα εντός των καταστημάτων.”

Καταρχάς άλλο 7 και άλλο 3. Κατά δεύτερον, ας κρατάνε για 3 (και όχι για 7) ημέρες τα απαραίτητα δεδομένα μόνο τα καταστήματα που έχουν το συγκεκριμένο πρόβλημα.

“[…] από την έναρξη της πιλοτικής εφαρμογής του νέου συστήματος ασφαλείας, τους τελευταίους μήνες του 2008, έχει μειωθεί σημαντικά ο αριθμός των ληστειών στα καταστήματά της”

Τι σημαίνει “σημαντικά”; Γιατί δε δίνει η ίδια η τράπεζα στη δημοσιότητα τέτοια στατιστικά, έτσι ώστε να αποδείξει πέραν κάθε αμφιβολίας στους πελάτες της οι οποίοι ταλαιπωρούνται και διαμαρτύρονται ότι το σύστημα αυτό όντως προσφέρει μεγαλύτερη ασφάλεια;

” Σημειώνεται επίσης, ότι στα καταστήματα που σημειώθηκαν ληστείες και υπάρχει εγκατεστημένο απλό σύστημα βιντεοσκόπησης, από τις βιντεοκασέτες που παραδίδονται στις αστυνομικές αρχές δεν είναι δυνατή η αναγνώριση των δραστών, επειδή -κατά κανόνα- αυτοί έχουν καλυμμένα τα πρόσωπά τους.”

Αφού η ίδια η τράπεζα παραδέχεται ότι τα κλειστά κυκλώματα βιντεοσκόπησης είναι πρακικά άχρηστα γιατί δεν τα καταργεί;

Φυσικά όλα αυτά συνδέονται και με το πρόσφατο νομοσχέδιο για την ασφάλεια των τραπεζών το οποίο προβλέπει την ύπαρξη παρόμοιων συστημάτων ασφαλείας χωρίς όμως να “απαιτεί υποχρεωτικά την επεξεργασία στοιχείων βιομετρίας”, όπως εύστοχα παρατηρεί η Αρχή στην απόφασή της.

Τέλος, η Αρχή επιβάλλει πρόστιμο ύψους 30000 € στην Εθνική Τράπεζα αλλά δηλώνει ότι “λόγω έλλειψης μελετών συγκριτικών της αποτελεσματικότητας των διαφόρων συστημάτων θυρών ασφαλείας δεν μπορεί να διαμορφώσει ασφαλή κρίση, εάν με βάση τις αρχές της αναγκαιότητας και της αναλογικότητας ο ίδιος σκοπός (της πρόληψης και αποτροπής εγκληματικών ενεργειών καθώς και της προστασίας του συναλλακτικού κοινού και του προσωπικού) μπορεί να επιτευχθεί με ηπιότερα μέσα.”

Δηλαδή η Αρχή με εξέχοντα μέλη και ελεγκτές, ειδικά καταρτισμένους σε τέτοια θέματα, με εμπειρία και εξειδικευμένες σπουδές δε μπορεί να αποφανθεί αν υπάρχει καλύτερη λύση, παρά μόνο αν δει κάποιες αντίστοιχες μελέτες, χωρίς ταυτόχρονα να προσδιορίζεται η φύση των μελετών αυτών. Δεν μπορεί να αποφαθεί αν οι υπόλοιπες τράπεζες που στη χειρότερη περίπτωση έχουν εγκαταστήσει απλά mantraps χωρίς συστήματα φωτογράφησης, υστερούν σε ασφάλεια σε σχέση με την Εθνική. Και αν όντως δεν μπορεί, ξαφνικά δεν υπάρχουν ειδικοί σε αυτή τη χώρα που να μπορούν; Καθυστέρησε πάνω από 1 χρόνο, για να μας πει ότι δεν μπορεί να αποφασίσει; Δεν μπορεί να ζητήσει από κάποιο δημόσιο ή ιδιωτικό φορέα, από την Ένωση Ελληνικών Τραπεζών, ή από κάποιο πανεπιστήμιο να κάνει μια τέτοια ανεξάρτητη μελέτη; Από ποιον περιμένει να δει στοιχεία που θα της επιτρέψουν να αποφανθεί;

Είναι γεγονός ότι δεν είναι αρμοδιότητα της Αρχής να υποδείξει στις τράπεζες ότι σπαταλούν άσκοπα χρήματα εγκαθιστώντας και συντηρώντας ένα σύστημα αμφιβόλου αποτελεσματικότητας και μάλιστα αναθέτωντας και πληρώνοντας μόνιμα) σε έναν υπάλληλο ανά κατάστημα την επίβλεψή του. Μπορεί όμως να τους υποδείξει ότι το σύστημα δεν προσφέρει καμία ασφάλεια όταν συχνά-πυκνά παρακάμπτεται είτε γιατί δεν λειτουργεί σωστά, είτε γιατί αγανακτεί ο κόσμος στις ουρές που σχηματίζονται απ’ έξω. Ομοίως και όταν στην πλειοψηφία των καταστημάτων υπάρχουν και εναλλακτικοί τρόποι εισόδου που συχνά παραμένουν ενεργοί για ευκολία των εργαζομένων και ακόμα και όταν δεν επιτρέπουν ταχεία είσοδο, σίγουρα επιτρέπουν ταχεία έξοδο.

Σίγουρα η δουλειά των ελεγκτών στη συγκεκριμένη απόφαση είναι εξαιρετική και πολύ αναλυτική. Δυστυχώς όμως τα μέλη της Αρχής μάλλον δίστασαν στο να επιβάλλουν πιο ριζοσπαστικά μέτρα για την προστασία των πολιτών αλλά και των ίδιων των τραπεζών.

Advertisements

1 Response to “Απόφαση της ΑΠΔΠΧ για τις θύρες ασφαλείας στις τράπεζες”


  1. 1 Nikos Kouremenos June 11, 2009 at 4:34 am

    σας ευχαριστούμε για την ποιότητα της καταχώρησης!


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s





%d bloggers like this: