Tartu Ülikooli küberkaitse teaduri Arnis Paršovsi hinnangul ei ole Smart-ID pettuste taga mitte ohver, nagu seni on kõlama jäänud, vaid ebaturvaline tehnoloogia ja pankade tegevusetus. Eelmise aasta juunis tõi Smart-ID loonud ettevõte kasutusele turvafunktsiooni Smart-ID+, mis nõuab kasutajalt toimingu algatamist QR-koodi skaneerimise teel.

Paršovs kirjutab muudatusest nii: "See muudab telefonikõnedele tuginevad õngitsusrünnakud oluliselt keerulisemaks. Veelgi enam, kui Smart-ID+ autentimine algatatakse samast mobiilseadmest, kus töötab Smart-ID rakendus, muutub autentimisprotsess täielikult õngitsuskindlaks. Hoolimata sellest ei näita pangad Smart-ID+ kasutuselevõtul mingit pakilist huvi."

Pangad pole aga veel otsustanud, kas lahendust kasutusele võtta. Suurematest Eestis tegutsevatest pankadest kasutab vaid LHV Smart-ID turvameedet, mis nõuab kasutajalt maksetehingut sooritades õige kontrollkoodi valimist mitme variandi seast. Samuti teavitab LHV oma kliente, kui nende kontole logitakse sisse uuest seadmest.

SEB pettuste ennetuse osakonna vanemspetsialist Kätlin Kukk ütles, et lähenemine ongi pankadel erinev.

"Lähenemine on erinev pangati. See vajab päris suurt arenduslikku ressurssi, igasuguseid regulatsioonide järgivaatamisi, sätitamisi. Arenduse pool on üks põhiküsimus," lausus Kukk.

Pealegi töötlevad petturid ohvrit tihtipeale nii tugevalt, et teda ei peatagi enam miski.

"See annab kindlasti mingi efekti ja muudab mingil määral juhtumite arvu, aga see ei võta kolossaalselt allapoole. Ja miks? Sest ka juba praegu Smart-ID-l on väga selgelt välja toodud: sisened sinna, teed seda, teed kolmandat asja, kinnitad PIN2 ülekannet summas sellele saajale. Väga detailne informatsioon on seal olemas, ja juba näeme – inimesed ei loe seda," lausus Kukk.

Küll aga on pangad ette valmistamas muudatust, mis annaks kliendile maksete tegemisel võimaluse ajaliseks puhvriks, kuid selline variant saab praeguse seaduse järgi olla vaid vabatahtlik.

"Meil on ka pankades listis need teemad, et kas peaks hakkama mõtlema selle peale, et tuua lisamomente tehingute tegemisse. Näitena, sul on võimalik valida see, et su maksed ei lähe mitte kümne sekundi jooksul, nagu meil regulatsioon ette näeb, vaid sul on võimalus valida see, et see läheb näiteks kahe päeva pärast," ütles Kukk.

Smart-ID looja, SK ID Solutionsi juht Kalev Pihl ütles, et kontrollküsimuse, kas sa ikka tahad seda tehingut teha, lisamisel poleks samuti mõtet.

"Need (küsimused) muutuvad tapeediks kuu ajaga, kui need on olemas. Ehk väike ajaline viivitus kuskile sisse, enne kui saaks hakata PIN-koodi sisestama, tähendab seda, et inimene õpib nädala ajaga ära, et ta ootab, enne kui ta selle telefoni üldse kätte võtab," lausus Pihl.

Lähikuudel plaanib Smart-ID välja tulla muudatustega, mis teevad konto loomise turvalisemaks. Kes juba pettuse ohvriks on langenud ja oma Smart-ID andmeid jaganud, sellel pole pankade vastu paraku midagi võimalik ette võtta.

"Kui me vaatame seadust, siis see räägib sellest, et panga silmis on tehing tehtud siis, kui inimene on sisestanud oma PIN1 ja PIN2, ja sellega see lugu tegelikult lõppebki. Aga kui vaadata Euroopa Liidu poole, siis kokkuleppele on jõutud makseteenuste määruse osas, mis seab võimaluse inimestele pöörduda pankade poole kahjunõudega, juhul kui petturid on esinenud konkreetse pangatöötajana ja kasutanud selleks panga suhtlusvahendeid," rääkis Triniti advokaat Kristena Kutti.

Muudatust on oodata kõige varem aasta pärast.