Varoitus: Laskun maksaminen Postin sivuilla antaa luvan pankkitilisi kaikkiin tietoihin viimeisen vuoden ajalta

Posti on varsin tehokkaasti saanut siirrettyä paperisia laskuja omaan OmaPosti-palveluunsa. Tavoite on hyvä, paperisaastan vähentäminen, vaikka kuluttaja ei olisi suoraveloitusta muistanutkaan tehdä. Valitettavasti uusin uudistus OmaPostin laskujen maksamisessa on vähintäänkin kyseenalainen.

Kuluttaja voi siis halutessaan maksaa OmaPostiin saapuneet laskut myös suoraan OmaPostin sivuilla. Posti on siirtynyt käyttämään maksujen välityksessä norjalaista Neonomics AS -maksunvälittäjää.

Sinänsä maksunvälittäjän käyttäminen ei ole lainkaan harvinaista, vaan se on äärimmäisen yleistä - ja varsin fiksua. Harvan yhtiön päätoimialaan kuuluu oman maksujärjestelmän rakentaminen, joten maksuvälityksen ulkoistaminen on vain looginen askel. Tämän vuoksihan käytännössä kaikki kotimaiset verkkokaupat käyttävät jotain ulkopuolista maksunvälittäjää, kuten vaikkapa Klarnaa tai Paytrailia.

Neonomicsin toimintatapa on vain erittäin kyseenalainen.

Siirryttäessä maksamaan OmaPostista löytyvää laskua oman verkkopankin kautta, ohjataan asiakas ensin tunnistautumaan omaan verkkopankkiinsa. Tämän jälkeen Neonomics pyytää PSD2-direktiivin mukaisesti asiakkaalta luvan tarvitsemiinsa oikeuksiin.

Ja kas, yksinkertaisempi henkilö voisi kuvitella, että laskujen maksamiseen täytyy maksunvälittäjän saada vain lupa luoda maksuja asiakkaan pankkitililtä.

Sen sijaan Neonomics vaatii luvat seuraaviin asioihin:

• Pankkitilisi tilinumero ja sen käyttämä valuutta
• Tilisi saldo
• Pankkitilin nimi, pankkitilin tyyppi, status sekä tieto siitä, milloin viimeisin tapahtuma on tapahtunut pankkitililläsi
• Koko pankkitilisi tapahtumien täydellinen historia viimeksi kuluneen 12 kuukauden ajalta
• ...ja lopulta myös se lupa maksuihin

Lisäksi kyseiset luvat pyydetään 90 vuorokauden ajaksi, ei siis ainoastaan siksi ajaksi, että asiakas maksaa laskun OmaPostin palvelussa.

Asian huomasi Twitterissä mm. tietokirjailija Petteri Järvinen, joka kyseli tämän erittäinkin hämmentävän oikeuksien kyselyn oikeudellista pohjaa sekä Postilta että Neonomicsilta.

Neonomicsin tietosuojaselosteen (PDF) mukaan Neonomics todellakin kerää kyseiset tiedot itselleen.

#OmaPosti alkanut käyttää norjalaista Neomics-maksupalvelua, joka vaatii 90 pv:n pääsyn kaikkiin tilitietoihin, myös vuoden tilihistoriaan. Ei kuulosta #GDPR mukaiselta tietojen minimoinnilta? Miksi tällainen, @Postigroup? Olen saanut huolestuneilta kysymyksiä, varmaan tekin. pic.twitter.com/T6ztKVbMti

-- Petteri Järvinen 💻 (@petterij) August 9, 2022

Postin asiakaspalvelukaan ei järkevää syytä tietojen keräämiselle osannut antaa, vaan neuvoi käyttämään vaihtoehtoisia maksutapoja:

Hei Hanna! Ei suinkaan! Tämä liittyy siis vain OmaPostiin saapuneen laskun maksamiseen ja siihenkin vain, jos asiakas valitsee itse maksavansa laskun verkkopankkimaksuna. Muut OmaPostin toiminnot, kuten esimerkiksi paketin lähettäminen, eivät tätä edellytä lainkaan. 1/2

-- Posti (@Postigroup) August 10, 2022

Kerätyt tiedot eivät siis välity edes Postille, vaan ainoastaan norjalaiselle maksunvälittäjälle. Joka sitten tekee tiedoilla, mitä haluaakaan.

Kokeilimme itse asiaa käytännössä ja jutun pääkuvassa onkin ruutukaappaus maksutapahtuman keskeltä, OmaPostin kautta, jossa Neonomics pyytää lupaa Nordean tilille. Kieltäytymällä luvista, maksutapahtuma keskeytyy ja laskua ei yksinkertaisesti OmaPostin kautta voi verkkopankista maksaa.

Päivitys 11.8.2022: Posti keskeyttää tililtä maksamisen palvelun lisäselvitysten ajaksi.

• yksityisyys
• PSD2
• Posti