Januártól az APEH által lefoglalt értékesebb ingóságokra és a gépkocsikra már az interneten is lehet licitálni. Remények szerint a Magyar Telekom Marketline aukciós portálmotorját használó új rendszerben magasabb áron köttetnek majd az üzletek, mert az árverési cápák az online árverési rendszerrel nem tudnak majd mit kezdeni.

A hagyományos árverések szereplőinek költözése a virtuális térbe sok akkut problémát megoldhat, az internet bekapcsolásával azonban újabb nehézségekre lehet számítani. Itt van mindjárt az első: egy tegnapi hír szerint a Noreg információbiztonsági cég biztonsági szempontból visszaélési lehetőségre figyelmeztet az APEH elektronikus árverései kapcsán. Mivel a részvétel, vagyis a licitálás feltétele az Ügyfélkapun keresztül történő azonosítás – amely a jelenleg megvalósított folyamat keretében nem garantálhatja a felek megfelelő azonosítását –, bárkivel előfordulhat, hogy személyes azonosítóit megszerezve licitálnak a nevében – figyelmeztet közleményében a Noreg.

Tényleges vagy elméleti a veszély?

„Nagyon jó kezdeményezésnek tartjuk azt a törekvést, miszerint egyre több ügyintézésre teremtenek lehetőséget az Ügyfélkapun keresztül. Ilyen például az APEH részéről az általuk lefoglalt ingóságok és gépkocsik nyilvános, interneten történő árverése is. Látnunk kell ugyanakkor, hogy ennek a biztonságos lebonyolítására az Ügyfélkapun keresztül történő azonosítási folyamat ma még nem biztosít kellő védelmet a felhasználók számára. Az Ügyfélkapu használatához szükséges regisztrációhoz ugyan személyesen be kell fáradni egy okmányirodába személyazonosságunk teljes körű azonosítása érdekében, de az ott papíron megkapott azonosítót, valamint a felhasználó által választott jelszót számtalan egyszerű módszerrel szerezhetik meg az erre szakosodott bűnözők, akik ezután könnyedén visszaélhetnek a felhasználók személyazonosságával. Az internetes árverés ebből a szempontból különösen kritikus, mert ez az első olyan alkalmazás, amelynek működéséből közvetlen anyagi kár is érheti az áldozatokat az Ügyfélkapu korszerűtlen azonosító rendszere miatt” – állítja Dr. Kőrös Zsolt, a Noreg Kft. ügyvezető igazgatója.

A kritika tárgya...

Az árverési oldalra történő belépéskor azonban nemcsak az adóügyintézésnél megszokott procedúrát kell elvégezni, hanem az adóazonosító szám és még jó néhány személyes adat hibátlan megadása is szükséges. Az e-mail cím és a telefonszám ellenőrzése is szűkítheti az illegális tranzakciók lehetőségét. Mindezek ellenére a Noreg szakemberei azt állítják, hogy bármely, az Ügyfélkapun regisztrált állampolgárral előfordulhat az a kellemetlen meglepetés, hogy értesítést kap az APEH-től, miszerint részt vett egy árverésen és annak nyerteseként kötelezik a licitre bocsátott ingóság vételárának 8 napon belül történő megfizetésére. A megtett ajánlat egyébként nem vonható vissza, akár maga az érintett állampolgár, akár csak az azonosítóit megszerző illetéktelen személy licitált a nevében. Ha a nyertes bármilyen okból visszalép, az utána következő legmagasabb érvényes ajánlattétel nyer, de a két vételár közti különbözet a fizetést elmulasztó első nyertest terheli, és az adóhatóság határozattal kötelezheti annak kifizetésére. Ez az a pont, ahol az áldozatokat kár érheti, hiszen itt már senkinek sincs esélye arra, hogy bebizonyítsa: nem ő licitált az adott ingóságra.

A kritikus alkalmazásoknál indokolt lenne továbblépni!

„Az Ügyfélkapunál alkalmazott azonosító módszernek egyetlen előnye van, nevezetesen az, hogy ez a legolcsóbb. Nem véletlen ugyanakkor, hogy egyetlen internetes ügyintézési lehetőséget nyújtó banknak sem jutna az eszébe megengedni az ilyen egyszerű felhasználónév/jelszó azonosítást. Ehelyett mindenhol olyan tényleges biztonságot nyújtó technológiákat alkalmaznak, mint például az SMS-en keresztüli azonosítás, az egyszer használható jelszó vagy az elektronikus aláírás használata, amelynek alkalmazásával a licitálásra jelentkező felhasználók személyazonossága százszázalékos biztonsággal ellenőrizhető, és amely egy biztonsági szempontból megfelelően szigorú azonosítási folyamatot hozhatna létre az Ügyfélkapun is. Az elektronikus aláírás létrehozásához és ellenőrzéséhez egy nyilvános-magán kulcspár szükséges, amelynek a privát (többnyire smart kártyán tárolt) részéhez csak a felhasználó férhet hozzá, elvesztése esetén pedig egy órán belül letiltható a használata, ugyanúgy, mint a bankkártyák esetében” – tette hozzá Kőrös Zsolt.

A kétfázisú azonosítás szükségessége az Ügyfélkapunál nem most merül fel először. Igaz, amíg pénzt nem lehet a rendszer feltörésével szerezni, a bűnőzők feltehetőleg nem fogják az Ügyfélkaput babrálni. A rendszer üzemeltetői szerint a veszély nem akkora, hogy indokolt lenne a mostaninál bonyolultabb biztonsági megoldást alkalmazni, ráadásul a továbblépéshez jelentős pénzforrásokra is szükség lenne, és ez most nem áll rendelkezésre. Nehéz ezekkel az érvekkel vitázni, de talán most már érdemes lenne a kritikus alkalmazásoknál (árverések, nagyvállalati adóügyintézések) a korszerűbb megoldásokat, például az elektronikus aláírást elővenni.