С октября действует новое правило: при любом переводе банк должен проверять данные получателя. Однако в процессе этой проверки конфиденциальная информация миллионов клиентов оказалась под угрозой.
Нарушение приватности при банковских переводах в Германии. Фото: freepik.com

Нарушение приватности при банковских переводах в Германии: новое правило с 9 октября обязывает банки проверять, совпадает ли имя получателя с номером счёта, чтобы обезопасить переводы.

Но оказалось, что в процессе этой проверки раскрываются лишние данные клиентов, нарушая приватность.

Читайте также: Лимиты на банковские переводы в Германии в 2025 году.

Нарушение приватности при банковских переводах в Германии

Чтобы понять суть проблемы, разберёмся, как работает проверка. Когда вы отправляете перевод, ваш банк пересылает введённые вами имя и номер счёта (IBAN) получателя в банк получателя.

Банк получателя сверяет эти данные со своей базой и даёт один из трёх ответов: либо всё совпало, и перевод продолжается; либо он обнаружит небольшие расхождения и попросит вас перепроверить данные; либо система не найдёт совпадений, что послужит серьёзным предупреждением о возможной ошибке или мошенничестве.

Здесь ключевую роль играет вопрос ответственности. Если банк провёл проверку, предупредил вас о несовпадении, а вы всё равно подтвердили платёж, то вы берёте на себя всю ответственность за ошибочный перевод. Банк понесёт ответственность только в одном случае: если он не провёл обязательную проверку, и именно из-за этого деньги ушли не туда.

Читайте также: Новая функция Sparkasse и Payback: одна карта вместо двух.

Сверка IBAN и имени раскрывает полные имена: затронуты миллионы клиентов

Новая система проверки призвана лишь подтверждать, что перевод идёт по назначению. Однако, как выяснило издание Netzpolitok.org, на практике она часто нарушает приватность.

Многие банки при ответе «почти точное совпадение» раскрывают полное официальное имя владельца счёта — даже если отправитель ввёл лишь часть данных.

Как это происходит на практике:

В одном из крупнейших банков Германии для этого достаточно ввести лишь IBAN и фамилию. В ответ система покажет полное имя, включая все данные, например: ввод «Mustermann» → результат «Robin Lu Mustermann».

Кстати, в других банках система строже, но всё равно часто раскрывает полное имя, если введена хотя бы первая буква или часть имени.

Реальные угрозы, особенно в следующих ситуациях:

  • В деловой сфере: партнёры, зная ваш IBAN (например, из счетов), могут узнать ваше полное имя.
  • На работе: работодатели при перечислении зарплаты могут увидеть все имена сотрудников, включая те, которыми те не пользуются.
  • Для трансгендерных людей: может быть раскрыто «дэднейм» — имя при рождении, которое человек больше не использует, что ставит под угрозу его приватность и безопасность.
  • Полная скрытность: пострадавший никогда не узнает, что кто-то запрашивал и получил его полные данные через эту систему.

Что говорят правила и кто их соблюдает?

Европейский платёжный совет (объединение банков ЕС) прямо рекомендует банкам минимизировать данные. В сценарии «почти точного совпадения» советуют показывать только ту часть имени, которая была в запросе.

Несмотря на это, большинство банков или их IT-подрядчиков, по данным издания, раскрывают больше информации, чем нужно. Яркое исключение — ING-Diba.

Этот банк строго придерживается принципа минимизации: если у клиента несколько имён, в ответе отображаются только те, которые были частично введены при переводе.

Читайте также: Крупные денежные изменения в ЕС: смена дизайна банкнот.

Нарушение приватности при банковских переводах в Германии: сверка IBAN и имени помогает мошенникам

Принцип «почти точного совпадения» (Close Match) разработал Давид-Ян Янсе из нидерландской компании SurePay. В Нидерландах такая проверка работает уже 8 лет по принципу «Конфиденциальность по умолчанию».

В чём ключевое отличие?

Там система не раскрывает новых данных. Если введённого имени недостаточно для точной идентификации, плательщику просто предлагают ввести больше информации (например: «Имя слишком короткое. Уточните, пожалуйста»). Полное имя владельца счёта при этом остаётся скрытым.

Критика немецкого подхода и его риски

Янсе критикует немецкую реализацию. По его мнению, то, как это сделано в некоторых немецких банках, больше похоже не на проверку счёта, а на проверку личности.

«Раскрытие имени имеет недостаток, — говорит Янсе. — В конечном счете это помогает мошенникам. И поэтому не является идеальной реализацией».

Таким образом, функция, призванная бороться с мошенничеством, сама может стать для него инструментом, предоставляя злоумышленникам недостающую личную информацию.

Секретность вместо защиты: как банки оправдывают уязвимость

На вопрос о защите от злоупотреблений некоторые банки и Федеральный союз центров защиты прав потребителей указывают, что главным механизмом является секретность их внутренних алгоритмов проверки.

  • Ненадёжность: защита, основанная только на незнании алгоритма, считается слабой в цифровой безопасности.
  • Неравные риски: уровень угрозы разный в каждом банке и зависит от того, насколько «гибко» его система трактует совпадение имени.
  • Масштаб и безнаказанность: проблема затрагивает миллионы клиентов, которые не могут узнать, кто и когда запрашивал их полное имя через эту систему, что делает злоупотребления практически необнаружимыми.

Вместо безопасной нидерландской модели, которая защищает данные, в Германии широко применяется рискованная модель, которая эти данные раскрывает, полагаясь на секретность как на главную защиту.

Читайте также: Как не потерять доступ к онлайн-банку при поломке телефона.

Сегодня в 10:02
Теги: , , ,
Обложка: freepik.com
Алеся Кольцова