A Noreg Kft. információbiztonsági cég szerint biztonsági szempontból újabb lehetőség adódik visszaélésre az APEH által 2008. január elején indított elektronikus árverésen. Mivel az árverésen való részvétel és licitálás feltétele az Ügyfélkapun keresztül történő azonosítás – amely a jelenlegi folyamattal nem garantálhatja a felek megfelelő azonosítását –, bárkivel előfordulhat, hogy személyes azonosítóit megszerezve licitálnak a nevében.

„Az Ügyfélkapu használatához szükséges regisztrációhoz ugyan személyesen be kell fáradni egy okmányirodába személyazonosságunk teljes körű azonosítása érdekében, de az ott papíron megkapott azonosítót, valamint a felhasználó által választott jelszót számtalan egyszerű módszerrel szerezhetik meg az erre szakosodott bűnözők, akik ezután könnyedén visszaélhetnek a felhasználók személyazonosságával. Az internetes árverés ebből a szempontból különösen kritikus, mert ez az első olyan alkalmazás, amelynek működéséből közvetlen anyagi kár is érheti az áldozatokat az Ügyfélkapu korszerűtlen azonosító rendszere miatt” – mondta dr. Kőrös Zsolt, a cég ügyvezető igazgatója.

Bármely, az Ügyfélkapun regisztrált állampolgárral előfordulhat az a kellemetlen meglepetés, hogy értesítést kap az APEH-től, miszerint részt vett egy árverésen és annak nyerteseként kötelezik a licitre bocsátott ingóság vételárának 8 napon belül történő megfizetésére. A megtett ajánlat nem vonható vissza, akár maga az érintett állampolgár, akár csak az azonosítóit megszerző illetéktelen személy licitált a nevében. Ha a nyertes bármilyen okból visszalép, az utána következő legmagasabb érvényes ajánlattétel nyer, de a két vételár közti különbözet a fizetést elmulasztó első nyertest terheli, és az adóhatóság határozattal kötelezheti az összeg kifizetésére. Ez az a pont, ahol az áldozatokat kár érheti, hiszen itt már senkinek sincs esélye arra, hogy bebizonyítsa: nem ő licitált az adott ingóságra.

„Az Ügyfélkapunál alkalmazott azonosító módszernek egyetlen előnye van, nevezetesen az, hogy ez a legolcsóbb. Nem véletlen ugyanakkor, hogy egyetlen internetes ügyintézési lehetőséget nyújtó banknak sem jutna az eszébe megengedni az ilyen egyszerű felhasználónév/jelszó azonosítást. Ehelyett mindenhol olyan tényleges biztonságot nyújtó technológiákat alkalmaznak, mint pl. az sms-en keresztüli azonosítás, az egyszer használható jelszó, vagy az elektronikus aláírás használata, amelynek alkalmazásával a licitálásra jelentkező felhasználók személyazonossága száz százalékos biztonsággal ellenőrizhető, és amely megfelelően szigorú azonosítási folyamatot hozhatna létre az Ügyfélkapun is. Az elektronikus aláírás létrehozásához és ellenőrzéséhez egy nyilvános-magán kulcspár szükséges, amelynek a (többnyire smart kártyán tárolt) privát részéhez csak a felhasználó férhet hozzá, elvesztése esetén pedig egy órán belül letiltható a használata, ugyanúgy, mint a bankkártyák esetében” – tette hozzá dr. Kőrös Zsolt.