A Noreg Kft., az információbiztonsági technológiák és szolgáltatások hazai szakértője szerint biztonsági szempontból újabb lehetőség adódik visszaélésre az APEH által 2008. január elején indított elektronikus árverésen. Mivel az árverésen való részvétel és licitálás feltétele az Ügyfélkapun keresztül történő azonosítás – amely a jelenleg megvalósított folyamat keretében nem garantálhatja a felek megfelelő azonosítását –, bárkivel előfordulhat, hogy személyes azonosítóit megszerezve licitálnak a nevében.
„Nagyon jó kezdeményezésnek tartjuk azt a törekvést, miszerint egyre több ügyintézésre teremtenek lehetőséget az Ügyfélkapun keresztül. Ilyen például az APEH részéről az általuk lefoglalt ingóságok és gépkocsik nyilvános, interneten történő árverése is. Látnunk kell ugyanakkor, hogy ennek a biztonságos lebonyolítására az Ügyfélkapun keresztül történő azonosítási folyamat ma még nem biztosít kellő védelmet a felhasználók számára. Az Ügyfélkapu használatához szükséges regisztrációhoz ugyan személyesen be kell fáradni egy okmányirodába személyazonosságunk teljes körű azonosítása érdekében, de az ott papíron megkapott azonosítót, valamint a felhasználó által választott jelszót számtalan egyszerű módszerrel szerezhetik meg az erre szakosodott bűnözők, akik ezután könnyedén visszaélhetnek a felhasználók személyazonosságával. Az internetes árverés ebből a szempontból különösen kritikus, mert ez az első olyan alkalmazás, amelynek működéséből közvetlen anyagi kár is érheti az áldozatokat az Ügyfélkapu korszerűtlen azonosító rendszere miatt” – mondta Dr. Kőrös Zsolt, a Noreg Kft. ügyvezető igazgatója.
Bármely, az Ügyfélkapun regisztrált állampolgárral előfordulhat az a kellemetlen meglepetés, hogy értesítést kap az APEH-től, miszerint részt vett egy árverésen és annak nyerteseként kötelezik a licitre bocsátott ingóság vételárának 8 napon belül történő megfizetésére. A megtett ajánlat nem vonható vissza, akár maga az érintett állampolgár, akár csak az azonosítóit megszerző illetéktelen személy licitált a nevében. Ha a nyertes bármilyen okból visszalép, az utána következő legmagasabb érvényes ajánlattétel nyer, de a két vételár közti különbözet a fizetést elmulasztó első nyertest terheli, és az adóhatóság határozattal kötelezheti annak kifizetésére. Ez az a pont, ahol az áldozatokat kár érheti, hiszen itt már senkinek sincs esélye arra, hogy bebizonyítsa: nem ő licitált az adott ingóságra.
„Az Ügyfélkapunál alkalmazott azonosító módszernek egyetlen előnye van, nevezetesen az, hogy ez a legolcsóbb. Nem véletlen ugyanakkor, hogy egyetlen internetes ügyintézési lehetőséget nyújtó banknak sem jutna az eszébe megengedni az ilyen egyszerű felhasználónév/jelszó azonosítást. Ehelyett mindenhol olyan tényleges biztonságot nyújtó technológiákat alkalmaznak, mint pl. az sms-en keresztüli azonosítás, az egyszer használható jelszó, vagy az elektronikus aláírás használata, amelynek alkalmazásával a licitálásra jelentkező felhasználók személyazonossága száz százalékos biztonsággal ellenőrizhető, és amely egy biztonsági szempontból megfelelően szigorú azonosítási folyamatot hozhatna létre az Ügyfélkapun is. Az elektronikus aláírás létrehozásához és ellenőrzéséhez egy nyilvános-magán kulcspár szükséges, amelynek a privát részéhez (többnyire smart kártyán tárolt) csak a felhasználó férhet hozzá, elvesztése esetén pedig egy órán belül letiltható a használata, ugyanúgy mint a bankkártyák esetében” – tette hozzá Dr. Kőrös Zsolt.