Niina, 34, yllättyi, kun suosikki­sovellus vaati välittömästi kuvaa passista – 50 euron saatavat jäädytettiin - Taloussanomat - Ilta-Sanomat

Niina, 34, yllättyi, kun suosikki­sovellus vaati välittömästi kuvaa passista – 50 euron saatavat jäädytettiin

Suomalaisen käytettyjen vaatteiden kirpputorisovelluksen Zadaan asiakkaat ihmettelevät, miksi sovellus vaatii lataamaan kuvan passista, ajokortista tai henkilökortista.

Suosittu nettikirppissovellus ohjeisti käyttäjää lataamaan sovellukseen kuvan joko passista, ajokortista tai henkilökortista.­

28.10. 18:15

Pääkaupunkiseudulla asuva Niina, 34, ostaa ja myy säännöllisesti käytettyjä vaatteita. Kaupanteon alustana hän käyttää suomalaista Zadaa-palvelua, jonka sovellus hänellä on puhelimessaan. Niina ei halua esiintyä jutussa koko nimellään.

Niina huomasi maanantaina sovelluksessa pyynnön, jota hän kummasteli. Sovellus ilmoitti, että Niinan tulee välittömästi vahvistaa henkilöllisyytensä. Sovellus ohjeisti lataamaan alustallaan kuvan joko passista, ajokortista tai henkilökortista.

– Pyyntö sai heti hälytyskellot soimaan. Itselleni on opetettu jo lapsena, ettei ikinä saa laittaa kuvaa henkkareista minnekään. Varsinkin, kun nyt pinnalla on tämä Vastaamon tietomurto, niin totta kai huolestuttaa, että minne passini tai ajokorttini tiedot päätyisivät.

Palvelu toimii siten, että myyjä saa rahat, kun ostaja on ensin hakenut lähetetyn paketin ja arvostellut ostamansa tuotteet. Niinalla on nyt saatavia 50 euroa, mutta niistä ei ole kuulunut. Niina on kieltäytynyt toimittamasta kuvaa passistaan, minkä hän arvelee syyksi saamattomille rahoilleen.

– Olen ollut Zadaan asiakaspalveluun yhteydessä, mutta en ole saanut vastausta siihen, mitä he tiedoillani tekevät. Mitä tapahtuu, jos en laita heille kuvaa passistani? Jäävätkö myyntirahat heille?

Zadaa vetoaa EU:n sääntelyyn, joka vaatii maksuoperaattoreita tunnistamaan asiakkaansa.­

Tätä kysyvät parhaillaan useat muutkin Zadaan asiakkaat. Kuvallisen henkilötodistuksen vaatiminen sovelluksen kautta on käynnistänyt laajalti keskustelua sosiaalisessa mediassa viime päivinä. Osa asiakkaista on saanut vastaavanlaisen ilmoituksen sovellukseensa jo viime torstaina. Osa ei ole saanut ilmoitusta lainkaan. Yhteistä esimerkiksi Jodelissa käydyille keskusteluille on se, että rahoja ei ole kuulunut, jos kuvaa henkilötodistuksesta ei ole sovellukselle antanut.

Mistä on kyse?

Zadaan toimitusjohtaja Iiro Kormi sanoo, että kyse on EU:n regulaatiosta, jossa pankki voi vaatia tunnistamaan asiakkaansa. Kormi sanoo, että Zadaan rahaliikenteen hoitaa Irlannista käsin Euroopassa toimiva Stripe-niminen maksuoperaattori. Kormin mukaan Stripe on myös tunnistautumispyyntöjen takana.

– Ihan samalla tavalla kuin esimerkiksi Nordealla tai Osuuspankilla on oikeus tunnistaa asiakkaansa, myös Stripella on oikeus siihen. Mikäli pankki pyytää tunnistautumaan, pankki ei saa siirtää varoja ennen kuin tunnistaminen on tehty.

Onko asiakkaille kerrottu sovelluksen latauksen yhteydessä, että heiltä saatetaan edellyttää tunnistautumista siten, että he lähettävät kuvan henkilötodistuksestaan?

– Kyllä. Jokainen asiakas hyväksyy palvelun ehdot ja säännöt koskien myös maksuoperaattorin ehtoja ja sääntöjä. Tässä on kyseessä sama standarditoimenpide aivan kuten missä tahansa muussakin palvelussa, on se sitten sijoitustoimintaa, pankkitoimintaa, Instagram tai Zadaa. Tämä asia kuitenkin liittyy EU:n asettamaan lainsäädäntöön koskien pankkialalla toimivia yhtiöitä ja heidän asiakkaidensa tunnistamista.

Suomessa ei ole kovin yleistä pyytää kuvaa henkilötodistuksesta tunnistautumisen yhteydessä. Eikö teidän mielestänne olisi hyvä, että asiakkaille annettaisiin muita tapoja tunnistautua?

– Totta kai olen samaa mieltä, että tarjoamalla enemmän vaihtoehtoja on aina parempi. Valitettavasti ainoat viralliset henkilöllisyystodistukset EU:ssa ovat passi tai henkilökortti. Tämä asia ei valitettavasti ole Zadaan päätettävissä oleva asia.

Seuraavassa vaiheessa sovellus pyytää valitsemaan henkilöasiakirjan, josta otettu kuva pyydetään lähettämään maksuoperaattorille.­

Kormi sanoo, ettei hän tiedä, miksi osa asiakkaista on saanut tunnistautumispyynnön ja osa ei. Hänen mukaansa tunnistautumisen vaatiminen on pankin ja palvelun käyttäjän välinen asia.

– Pankilla on omat riskinarvionsa, ja kutakin asiakasta käsitellään heidän arvioidensa pohjalta.

Kormi sanoo, että yritykselle on tullut asiasta vain vähän palautetta.

Näyttäisi siltä, että iso osa Zadaan asiakkaista on hiljattain saanut tämän tunnistautumispyynnön. Miksi juuri nyt on otettu tällainen linja?

– En osaa vastata tuohon tarkemmin, mutta tunnistautumisia on vaadittu jo pitkään. Omaan silmään näyttää siltä, että sääntelyä verkko-ostoja varten kiristetään koko ajan EU:ssa, mikä voisi selittää asiaa.

Sitten avautuu näkymä, jonka kautta asiakirjan voi ladata.­

Vastaamon tietomurron jälkeen tietojen oikeanlainen säilyttäminen on noussut keskusteluun, ja Kormikin haluaa puhua tietojen oikeanlaisesta säilyttämisestä. Hän sanoo, että passit tai muut henkilökorttien kuvat eivät tallennu mihinkään Zadaan tietokannoista.

– Zadaa välittää tiedot suoraan pankin ja asiakkaan välillä. Ja pankeilla on tietysti erittäin hyvät tietoturvaratkaisut ja -resurssit.

Viranomaisille yhteydenottoja

Johtava asiantuntija Mikko Saastamoinen Kilpailu- ja kuluttajavirastosta (KKV) sanoo, että virastoon on tullut muutamia kyselyitä Zadaan sovelluksen vaatimasta tunnistautumistavasta.

Saastamoinen toteaa, että sikäli, kun kyse on yksityishenkilöiden välisestä kaupankäynnistä, siihen ei sovelleta kuluttajansuojalakia. Saastamoinen ohjaa kysymään henkilötietojen käsittelyyn liittyvät kysymykset tietosuojavaltuutetun toimistolta.

– Ylipäätään sanoisin, että kannattaa olla varovainen tällaisten pyyntöjen kanssa ja miettiä, mihin henkilötietojaan lähettää. Sinänsä on perusteltua vaatia tunnistautumista, mutta mietin, että kyllä asiakkaan tunnistamiseen löytyy muitakin tapoja, esimerkiksi verkkopankkitunnistautuminen.

Apulaistietosuojavaltuutettu Anu Talus puolestaan sanoo, että finanssipalvelun tarjoajalla on lakisääteinen velvollisuus tunnistaa ja tuntea asiakkaansa. Tätä tarkoitusta varten esimerkiksi pankilla on peruste pyytää henkilötodistus asiakkaaltaan.

– Henkilöitä ei tule lähtökohtaisesti tunnistaa henkilötunnuksen perusteella. Tässä asiassa näyttäisi kuitenkin olevan kyse tunnistamisesta tunnistamisasiakirjan perusteella.

Finanssivalvonta: Kuvaa voi pyytää

Finanssivalvonnan Rahanpesun estäminen -toimiston päällikkö Pekka Vasara sanoo, että Stripe on irlantilaisten valvoma laillinen toimija. Vasaran mukaan passista tai muusta henkilökortista tällainen toimija voi pyytää kuvaa asiakkaan tunnistamista varten.

– Kaikki toimijat, jotka ovat EU:n rahanpesudirektiivin alaisia, on velvoitettu tunnistamaan asiakkaansa. Pyyntö on lähtökohtaisesti laillinen. Jos tällainen pyyntö tulee yllätyksenä asiakkaille, se on ikävä juttu.

Vasaran mukaan on eri asia, minkälaisen sovelluksen kautta on tietoturvallista lähettää kuvaa henkilökortistaan – se riippuu palveluntarjoajan tietoturvan tasosta. Zadaan Kormin mukaan kuvat eivät tallennu yrityksen tietokantoihin, vaan menevät suoraan maksuoperaattorille.

Kuinka yleistä on, että esimerkiksi Euroopassa maksuoperaattorit vaativat asiakkaan tunnistamiseen kuvaa henkilökortista?

– En pitäisi mahdottomana, että EU:ssa on muitakin palveluita, joissa etätunnistaminen tapahtuu tuolla tavoin. Sanoisin niin päin, että Suomessa käytössä oleva vahva tunnistautuminen esimerkiksi pankkipalveluiden avulla on aika harvinaista maailmalla, Vasara sanoo.

Osion tuoreimmat

Luitko jo nämä?