Klarnan omituinen suhde ihmisten henkilötietojen julkisuuteen

Ylen kesällä tekemä selvitys nostaa esiin maksuvälittäjä Klarnan toiminnallisuutta, joka mahdollistaa verkko-ostosten tilaamisen muiden ihmisten nimissä. Kuvio on ollut olemassa jo vuosia, ja tunnetaan kyllä alalla hyvin, mutta syystä tai toisesta Klarna ei ole halunnut tätä väärinkäytön mahdollisuutta tukkia. Ilmeisesti erittäin helppo tilaaminen ilman vahvaa tunnistautumista, tai edes salasanan syöttämistä, on Klarnan asiakkaille liian hyödyllinen ominaisuus, jotta ominaisuuden tietoturvaongelmiin olisi toden teolla tartuttu.

Äärimmäisen helppo tilaaminen ja maksun hoitaminen vasta myöhemmin, tavaroiden jo saavuttua, on kuitenkin ollut aivan keskeinen Klarnan myyntivaltti jo vuosia.

>> Yle: Maksufirma Klarnan kautta pystyy tilaamaan tavaraa toisen nimiin – MOT:n testi osoittaa, kuinka pahasti ruotsalaisyhtiön tietoturva vuotaa (13.7.2021)

Ylen artikkeliin kannattaa tutustua etenkin, jos käyttää omassa verkkokaupassa Klarnaa tai harkitsee sen käyttöönottoa.

Myös Effi ry reagoi tuoreeltaan Ylen uutiseen muistuttamalla, että Klarna on ollut aiemminkin keskellä tietoturvakohuja.

Klarna on yksi merkittävimpiä alan pelureita Euroopassa

Muutamista tietoturvakohuista huolimatta ruotsalainen Klarna on yksi kirkkaimpia kasvuraketteja Euroopassa digitaalisten palveluiden alueella.

Verrattuna esimerkiksi Suomessa suosittuun Paytrailiin, on Klarna paljon muutakin kuin maksujen välittäjä. Klarnan erikoisuus on tarjota kuluttajille mahdollisuus maksaa verkko-ostokset erissä myöhemmin. Tästä Klarna perii maksuja myyjiltä. Näin Klarna kilpailee myös luottokortteja tarjoavien pankkien kanssa.

Helsingin Sanomien viime vuotisessa jutussa Klarnan tarjoamaa osamaksua onkin verrattu juuri luottokortteihin ja muihin osamaksupalveluihin.

Tämän keväisessä jutussa Helsingin Sanomat raportoi Klarnasta yhtenä osatekijänä monen ylivelkaantuneen velkahistoriassa. Klarna kun mahdollistaa helpon ostamisen lisäksi myös helpon tavan ostaa enemmän kuin mihin olisi varaa.

Esimerkiksi vaatekaupassa tällainen mahdollisuus maksaa vasta myöhemmin, on hyvin suosittua. Klarna onkin kasvanut erityisesti isojen kuluttajaverkkokauppojen markkinassa.

Nykyisin Tukholmassa päämajaansa pitävä yhtiö työllistää jo yli 4000 työntekijää.

Klarnan tuore valuaatio tältä kesältä on jo todella huima 37 miljardia euroa, joten ainakin sijoittajat uskovat vahvasti tähän verkkomaksamista nopeuttavaan firmaan. Helsingin Sanomat vertaa jutussa valuaatiota Suomen arvokkaimman yhtiön, Nesteen, reiluun 42 miljardiin, joten kyse on todella korkeasta arvostustasosta.

Huimien arvostusten taustalla lienee ajatus siitä, että tulevaisuudessa verkko-ostoksissa tämäntyyppinen viivästetty maksaminen olisi paljon nykyistä suositumpaa. Esimerkiksi Square osti kesällä Klarnan kaltaisen Afterpayn 29 miljardin dollarin osakevaihdolla, ja tässä yhteydessä esimerkiksi Wall Street Journal arvioi tämäntyyppisen maksutavan olevan etenkin nuorison suosiossa. Merkittävä osa näiden palveluiden käyttäjistä ei omista luottokortteja, joten Klarna ja Afterpay ja muut mahdollistavat heille luottokorttien kaltaisen viivästetyn maksamisen.

Klarnan saama huomio on kasvanut monesta syystä

Ylen esiin nostama ongelma ei tosin ole mitenkään uusi asia, mutta ehkä se nyt on entistäkin ajankohtaisempi, kun esimerkiksi luottokorttien kohdalla vaaditaan aina vahva tunnistautuminen. Esimerkiksi Klarnan kilpailijana usein mainittava PayPal edellyttää nykyisin vahvaa tunnistautumista sen kautta luottokorteilla maksettaessa.

Näin Klarnan käyttämä malli poikkeaa joukosta selkeästi tietoturvaltaan heikompana. Klarnan malli on myös voinut saada lisää suosiota tänä vuonna juuri samasta syystä, kun muiden maksutapojen kohdalla vaaditaan aina vahvaa tunnistautumista. Klarnan malli ei edellytä vahvaa tunnistautumista, vaikka osalta käyttäjistä ja joidenkin tilausten yhteydessä pyydetään henkilötietojen lisäksi henkilötunnusta vahvennukseksi. Henkilötunnuksen käyttämistä ihmisen tunnistamiseen on kuitenkin usein kritisoitu, etenkin kun monien ihmisten henkilötunnukset ovat tietovuotojen seurauksena levinneet rikollisten käsiin. Joissain tapauksissa Klarna voi pyytää myös vahvaa tunnistautumista, mutta tämä on poikkeusmalli, ei oletusvaihtoehto.

Huijausten toteutusta Suomessa ehkä helpottanee myös pakettiautomaattiverkostojen ja kauppojen omien noutopisteiden kasvu, joka helpottaa pakettien vastaanottamista ilman tarkkojen tai oikeiden yhteystietojen antamista. Tosin yleensä pakettiautomaattien koodit toimitetaan sähköpostitse tai tekstiviestillä, joten onnistunut huijaus edellyttäisi myös näiden tietojen muuttamista. Ylehän ei selvityksessään kerro täsmällisesti miten huijauksessa onnistuttiin, mutta ilmeisesti jotenkin on onnistuttu muuttamaan osoitetietoja tilauksen jälkeen tai noudettu paketit valtakirjalla.

Tietoturvaongelma joka on itse asiassa ominaisuus

Kohun keskellä oleva tietojen esitäyttäminen pelkällä sähköpostilla ja postinumerolla on aivan keskeinen Klarnan ominaisuus. Siksi yhtiö ei varmasti ole tekemässä muutoksia ennenkuin julkinen paine käy sietämättömäksi.

Ominaisuus on myös erittäin kätevä käytännössä, joten moni kuluttaja varmasti käyttää mielellään niitä kauppoja joissa on Klarna käytössä.

Ominaisuudella on kuitenkin useita varjopuolia. Se oudoin asia on ehkä se, että henkilön tietojen esitäyttäminen verkkokaupoissa on päällä oletuksena, eikä edellytä edes Klarnan tilin aktivointia. Täten suurin osa ihmisistä ei edes tiedä, että heillä on Klarnan tili, jonka sisältämillä tiedoilla voi kuka tahansa tehdä tilauksia – tai ainakin yrittää tehdä (lähes varma onnistuminen edellyttää myös henkilötunnuksen tietämisen).

Klarna-tilihän syntyy automaattisesti silloin kun vain jossain verkkokaupassa on Klarna hoitamassa maksujen välitystä – ja Suomessakin on valtavasti verkkokauppoja, jotka käyttävät Klarnaa. Moni suomalainen myös tilaa paljon ruotsalaisista verkkokaupoista, joissa Klarna on erittäin yleinen kumppani maksujen välityksessä.

Helsingin Sanomien jutussa arvioidaan, että jopa 65 prosenttia suomalaisista olisi käyttänyt Klarnaa, joten Klarna-tili löytyy valtavalta määrältä suomalaisia.

Klarnahan ei missään vaiheessa kysy tavalliselta verkko-ostajalta, että haluaako ostaja luoda Klarna-tilin tai haluaako tietojen esitäytön päälle. Nämä asiat vain tapahtuvat taustalla, kun ostaa jotain ensimmäisen kerran Klarnan avustuksella. Yleensähän kaikki palvelut erikseen kysyvät, että haluaako käyttäjä luoda tilin tai tallentaa tiedot myöhempää käyttöä varten. Klarna toimii tässä käänteisesti, olettaen käyttäjän haluavan ilman muuta tietojensa tallentuvan.

Klarnan käyttöehdoissa nämä asiat toki mainitaan, ja Klarnan mukaan tässä ei tietysti ole mitään ongelmaa, koska kaiken voisi lukea sieltä käyttöehdoista. Voinee kuitenkin kysyä, että kuka meistä lukee verkkomaksamisen yhteydessä jonkun maksupalveluvälittäjän käyttöehtoja? Onko realistista olettaa, että kuluttaja ymmärtää, että tällaisia lupia tilin luomiseen ja osoitetietojen esitäyttöön pyydetään tavallisen verkkomaksun yhteydessä?

Tietojen esitäyttö -ominaisuutta ei ole myöskään aivan triviaalia saada pois päältä. Jotta kyseenalaisen ominaisuuden saa pois, on mentävä Klarnan sivuille ja kirjauduttava omalle tilille ja erikseen säädettävä tuo ominaisuus pois päältä.

Jos tuo ominaisuus ei olisi automaattisesti päällä, ei Klarna tietysti olisi yhtä helppo ja kätevä kuluttajan kannalta, mutta samalla tuo ominaisuus avaa arvokkaan tietojen urkintakanavan.

Esimerkiksi kiusanteko on mahdollista, kun voi tilata toisen nimissä tavaraa ja aiheuttaa vastaanottajalle ylimääräistä vaivaa. Ylen selvityksen mukaan ominaisuus myös helpottaa huijauksia, koska tilausvaihe on helppo tehdä jonkun toisen puolesta. Haasteeksi jää vain tavaran saaminen itselle.

Kiusanteon lisäksi ominaisuus mahdollistaa henkilötietojen urkkimisen, koska vaikka Klarna ei näytä kaikkia tietoja, näyttää se varsin paljon. Aukot voi olla sitten mahdollista täyttää muita lähteitä hyödyntämällä.

Allekirjoittaneen tapauksessa nuo tiedot ovat julkisesti saatavilla myös muista lähteistä, koska yritysten avainhenkilöiden tiedot ovat Suomessa varsin julkisia tietoja. Sama tilanne ei ole kuitenkaan kovin monella henkilöllä, joten Klarna ehdottomasti auttaa tällä ominaisuudellaan henkilötietojen urkkimisessa.

Edes osittaisten henkilötietojen urkkimisen lähes kenestä tahansa ei todellakaan pitäisi olla näin helppoa.

Erityisen outoa asiassa on se, että kyseenalainen toimija on yksi Euroopan teknologia-alan kirkkaimmista tähdistä.

PS. Tilaa Vierityspalkin kerran kuukaudessa ilmestyvä uutiskirje, joka koostaa artikkelit, linkkivinkit, työpaikat ja julkaisut (uutiskirjeellä on yli 800 tilaajaa).

Aiemmin verkkokauppa-aiheesta kirjoitettua:

• Kokeneimmat WooCommerce-toimistot Suomessa 2021
• Wolt on paholaisen asianajaja ravintoloille (2021)
• Evästelupakysely asiallisesti – esimerkkejä verkkokaupoista (2021)
• Budbee tuo läpinäkyvyyttä verkkokauppojen kotiinkuljetuksiin (2021)
• Ravintoloiden verkkokauppa pyörii Woltin ja Foodoran avulla (2021)
• Yli 40 % verkkokauppojen tuotearvosteluista väärennettyjä (2020)
• VR teki ruoka-annoksien verkkokaupan alle kahdessa viikossa (2020)
• Ruoan verkkokaupan erityispiirteet ja haasteet (2020)
• Sopivan verkkokauppajärjestelmän valinta – lyhyt oppimäärä (2020)
• Kokeneimmat WooCommerce-digitoimistot Suomessa vuonna 2020
• A-lehdet jatkaa integroitumistaan verkkokauppojen kanssa (2020)
• Verkossa ei ole ostoskeskuksia – joten kannattaa liittoutua (2020)
• Verkkokauppajärjestelmät Suomessa 2019
• Isot verkkokaupat ja internet-jättiläiset hyötyvät koronakriisistä (2020)
• Pizza-online muuttui Foodoraksi ja matka kohti monopolia etenee (2020)
• Case Pizza-online – miksi omaan webbikanavaan kannattaa panostaa (2019)