Choć kupując i sprzedając kryptowaluty, możemy zachować anonimowość, to giełdy mają szczególne, niezgodne z przepisami, wymagania.
Przeanalizowaliśmy, jak funkcjonuje na giełdach i platformach obrotu kryptowalutami system weryfikacji użytkowników. Można znaleźć wśród nich takie, gdzie nie wystarczy podanie danych osobowych czy adresowych w internetowym formularzu – operatorzy chcą też od nas zdjęć dokumentów. To budzi poważne zastrzeżenia generalnego inspektora ochrony danych osobowych, który rozważa obecnie, jakie kroki prawne podjąć, by takie praktyki ograniczyć. Bowiem w wielu instytucjach finansowych były i są one nadal na porządku dziennym.
– Na kserowanie dowodu osobistego czy paszportu należy patrzeć przez pryzmat kradzieży tożsamości, która wywołuje ogromne negatywne konsekwencje – mówi DGP dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych.
Po zarejestrowaniu się w serwisach kilku giełd kryptowalut, w trzech przypadkach, zanim udało nam się przelać na rachunek bankowy podmiotu pieniądze, za które moglibyśmy później kupić kryptowaluty, zarządano od nas zdjęć dokumentów.
W przypadku BitBay weryfikacja wymaga przesłania zdjęcia obu stron dokumentu tożsamości, a klient może zdecydować, czy będzie to dowód osobisty, prawo jazdy czy paszport. Weryfikacja wymaga, aby zdjęcie, PESEL oraz numer i seria dokumentu były czytelne. Kolejny krok to wysłanie potwierdzenia adresu zamieszkania. Dlatego BitBay chce, abyśmy wysłali mu jakąś fakturę, umowę, dokument urzędowy czy wyciąg z konta, na którym znajdują się nasze dane. Dokument musi być wystawiony w ciągu ostatnich sześciu miesięcy i zawierać imię, nazwisko oraz adres. Z kolei giełda Abucoins wymaga zdjęcia obu stron dokumentu tożsamości i selfie z tym dokumentem oraz kartką, na której będzie napisana data zrobienia fotografii i słowo „Abucoins”. Podobne zasady ma również inna giełda – BitMarket.
Zdaniem GIODO takie praktyki są niewłaściwe i dziś, i w kontekście nowych przepisów o ochronie danych (RODO), które zaczną obowiązywać od 25 maja 2018 r. Serwisy w przypadku zdalnej identyfikacji i uwierzytelniania klientów powinny wykorzystywać bezpieczniejsze narzędzia, np. podpis elektroniczny.
– Nie ma konieczności, by na potrzeby zawarcia i realizacji umowy wykonywać kopie takich dokumentów – podkreśla Edyta Bielak-Jomaa i przypomina, że prawo zbierania i wykorzystywania danych zawartych np. w dowodzie osobistym nie jest równoznaczne z prawem do jego kopiowania. – Bezpieczniejszym rozwiązaniem jest stosowanie techniki gromadzenia danych, na przykład sporządzenie poświadczonego przez klienta wypisu z dowodu osobistego. W grę wchodzi nasze bezpieczeństwo. Ksero dowodu może zostać wykorzystane przez oszustów w celu zawarcia umowy kredytowej przez internet. Dostrzegamy ten problem i chcemy mu przeciwdziałać – mówi GIODO.
Najsłabszym ogniwem często nie są procedury, ale człowiek. Jeśli pracownik będzie nieuczciwy, to skopiowany dokument może sam wykorzystać do zaciągnięcia kredytu lub innych zobowiązań.
Ryzyko utraty tożsamości, które dotyczy niektórych giełd kryptowalut, nie było do tej pory podnoszone przez państwowe instytucje. Dotychczasowe przestrogi dotyczyły gwałtownych zmian kursu waluty wirtualnej czy możliwości uwikłania w proceder prania pieniędzy. Oraz ryzyka, że ktoś podszywając się pod kryptowaluty, wciągnie nas w piramidę finansową czy padniemy ofiarą cyberataku i stracimy wszystkie pieniądze.
Dwie z giełd, które stawiają przed klientami takie wymagania: BitBay i Abucoins, znalazły się właśnie pod lupą prokuratury. To pokłosie zawiadomienia, jakie złożyła Komisja Nadzoru Finansowego, której zdaniem zachodzi w ich przypadku podejrzenie popełnienia przestępstwa polegającego na złamaniu przepisów ustawy o usługach płatniczych. Grozi za to grzywna do 5 mln zł lub kara pozbawienia wolności do lat dwóch albo obie kary łącznie.