viernes, 5 de enero de 2007

El Corte Inglés almacena la firma electrónica de sus clientes que pagan con tarjeta


Si en El Corte Inglés más cercano pagas a la cajera del Hipercor con cualquier tarjeta de curso legal, podrías darte por jodido. Con una amable sonrisa, esa señorita de verde te pedirá que le eches una firma mientras te señala con un gesto una maquinita diabólica. Todos los clientes, extrañados al principio, preguntan lo mismo: ¿Aquí? ¿Tengo que firmar aquí? El lugar que provoca tanta extrañeza es la ventanilla de un aparato electrónico denominado ePad-ink que sirve para digitalizar la firma del cliente. La misma empresa reconoce que acaba de almacenar la firma digitalizada de su cliente (y la de todos y cada uno de ellos) mediante una placa diminuta pegada en todas las cajas, a la vista del interesado no miope que quiera leerla, y en la que El Corte Inglés remite para cualquier información añadida a sus oficinas centrales de la calle Hermosilla 112 de Madrid. Además, en el propio prospecto de comercialización del aparato, de nombre real Dispositivo capturador de firma electrónica, puede leerse:(De este modo, la transacción, junto con el recibo y firma digitales, se almacenan para que en caso necesario se recuperen fácilmente).

Posteriormente, la misma cajera de verde facilitará al cliente una detalladísima factura impresa de su compra en la que figuran docenas de datos (fecha, hora, nombre de la cajera, clave y trazabilidad del género comprado…), pero, sobre todo, al pie de la cual se encuentran datos de la tarjeta con la que se ha pagado la compra y su titularidad, junto a una reproducción de la firma que el cliente acaba de trazar en la diabólica maquinita antes mencionada.

En nuevas tecnologías, hay verdades que son absolutas. Les cuento algunas: todo lo que se digitaliza, se puede copiar. Todo lo que se trasmite, se puede copiar. Todo lo que se almacena, se puede copiar…, y así hasta el infinito.

¿Ha solicitado El Corte Inglés permiso a cada cliente para hacerse con un ORIGINAL DIGITALIZADO de su firma y almacenarlo? ¿Le ofrece alguna forma alternativa de pago con tarjeta si el cliente no desea asumir lo que le puede suponer un enorme riesgo? ¿Ha presentado a sus clientes alguna garantía contra el posible o hipotético mal uso fraudulento que la misma empresa, sus empleados, los de las empresas de mantenimiento de su red de datos, algún pirata que aborde su intranet (o cualquier otro medio o canal de transmisión y/o acumulación de estos datos)…, podrían hacer de la letal combinación entre la lectura digital de la banda magnética de una tarjeta y la firma digitalizada que autoriza su uso, y que obra en su poder?

En mi banco me dicen que si tengo la lectura de la banda y la firma puedo comprar o pagar lo que quiera en cualquier comercio electrónico del mundo.

Si no calculo mal, El Corte Inglés debe disponer ya, a estas alturas, de un gigantesco fichero, posiblemente de cientos de miles de datos agrupados lectura-firma de las tarjetas bancarias de sus clientes, con los que se podría pagar el Producto Interior Bruto de Checoslovaquia, por poner un ejemplo. ¿Quién ha autorizado semejante práctica? ¿Cómo y con qué responde El Corte Inglés de los riesgos que supone intrínsecamente esta arbitraria medida, que no dudo en calificar de abuso?

Por decirlo de otra manera: si me llega de repente al correo un comprobante de pago con mi tarjeta de una compra hecha electrónicamente, (prefiero no imaginar el importe) que yo no he realizado, pero que lleva los datos de mi tarjeta y mi firma, y que mi banco ha pagado sin rechistar…, ¿A QUIÉN SE LO RECLAMO? ¿Qué podría alegar para exigir su devolución?

Por cierto: ¿No tiene nada que decir sobre estas prácticas la Agencia Española de Protección de Datos?

Como soy un iluso, exijo que El Corte Inglés destruya inmediatamente estos datos bajo supervisión de las autoridades competentes y la inmediata retirada de las máquinas digitalizadoras de firma de todos los muebles cobradores de su entidad. He dicho.

16 comentarios:

Anónimo dijo...

Magnífico.

bewog dijo...

Ninguna novedad, sobre el papel tambien se queda guardada la firma. No se que es peor.

Anónimo dijo...

Yo también lo vi hace varios meses en un Opencor, concretamente en el de Príncipe Pío, y me quedé bastante alucinado. Es para denunciarlo.

Anónimo dijo...

En Mercadona también tienen unas maquinitas infernales que deben ser parecidas (si no el mismo modelo).
Afortunadamente no te imprimen tantos datos en el ticket.

inegro dijo...

Se puede hacer lo que hice en su momento:
1. Negarse a firmar digitalmente.
2. Como los paquetes ya los tengo en la mano y la tarjeta ya está pasada, el problema lo tendrá hipercor con la compañía financiera de turno al tener un cargo sin autorización firmada (los programas, afortunadamente, son muy quisquillosos con los campos obligatorios vacíos).
3. Cuando venga el cargo de la visa (en el caso de que la dependiente aturullada nos haya dejado ir con los paquetes y el cargo en la tarjeta) lo único que tenemos que hacer (si tenemos jeta para ello) es renegar de ese pago y exigir que nos enseñen nuestro comprobante firmado. ¡Compra gratis!

Rankia dijo...

Citado en http://www.rankia.com/noticias/noticia.aspx?id_noticia=2212

Antonio Piera. dijo...

Me encantan las manifestaciones de desobediencia civil, ya sea en el Ministerio del Corte como en el del RealMadrid. Desde aquí las apoyamos, aunque la cosa iba de denuncia.

nuaniu dijo...

Muy interesante. Gracias por el 'post'.

Anónimo dijo...

Querido Antonio: A modo de carta, aunque no es lo propio del blog, pero sea así por ser la primera. La primera, pero al tercer intento. Que mu bien todo. Que le felicito a vosté y la su pluma, al cálamus cerebral, no a la otra, que puede resultar, más que de vuelo, de paja. Que adelante, que vivimos dos días, y el placer de escribir y leer es algo tan personal y trasferible, que hasta es posible gozar con el otro y con lo del otro, lo que el otro engendra, crea, produce, disemina, cual tu blog, que no bloque, que no bloquea ni boquea, sino abre y hasta descerraja, si al caso fuere necesario. Que sigas, que sigamos.
Un abrazo. Santiago Trancón

Antonio Piera. dijo...

Gracias a todos, gracias Santiago. Bien traído el concepto transferible aplicado a la lectura. Seguiremos a la caña, con lo que araña.

BISEX - Y dijo...

NO solo lo almacena, sino que por una extraña razon, si tecleas a mano el codigo de la tarjeta del cliente (tarjeta que no sea del corte ingles) te dice la letra del dni automaticamente y tu la tienes que confirmar.

El ECI es una de las peores sectas que existen, y debe tener una BBDD mejor que la del CSI...

Anónimo dijo...

Creo, aunque no estoy seguro, que en España el responsable de la tarjeta que utilizas es la entidad que la emitió.
Por tanto, si alguien comete un fraude con tu tarjeta el responsable es al empresa emisora y no tu.
Por lo cual no importa que tengan tu firma, si te hacen un cargo a tu tarjeta el banco esta obligado a reintegrarte el importe menos, aproximadamente 150€, que te lo devolverán cuando se demuestre que tu no hicistes esa compra.
Los plazos no los conozco y te pueden ayudar en AUSBANC (ASOCIACIÓN DE USUARIOS DE BANCA).
No hay que crear alarmas donde no las hay.
Saludos.

Anónimo dijo...

Me encanta lo pronto que habla la gente para alimentar protestas sin informarse primero... ¿Sabíais que si el cliente no quiere, no tiene por qué firmar en la tableta digital? Se hace una reimpresión del ticket para que firme sobre papel y FIN.
La misma firma de toda la vida, que además de no agilizar el proceso de compra es menos ecológica y ahorrativa, ya que se gasta el doble de papel...
Y ahora, volvamos a los 60, ¿os parece mejor?
Si está claro... España no es un país para avanzar... No estamos preparados.

Anónimo dijo...

ME PARECE MUY ASTUTO EL COMENTARIO. PERO HE DE DECIR QUE AUNQUE ES CIERTO QUE ES PELIGROSO EL ALMACENAMIENTO DE ESOS DATOS NO DEBEMOS LLEVARNOS LAS MANOS A LA CABEZA. EN LO QUE SI ESTOY DE ACUERDO ES QUE NO SE INFORMA LO SUFICIENTE A LOS CLIENTES (SOLO UNA CARTELITO DE 10 CM), PERO SI ES CIERTO QUE SI QUE HAY OTRAS ALTERNATIVAS, SI TU NO QUIERES FIRMAR EN LA TABLETA, TE IMPRIMEN UN PAPELITO Y FIRMAS EN EL (COMO ANTES). LO QUE DUDO ES QUE AUNQUE TENGAN MI NUMERO DE TARJETA, EL NUMERO NO SALE COMPLETO, POR MEDIDAS DE SEGURIDAD, SOLO LOS 4 ULTIMOS DIGITOS.

Anónimo dijo...

Bisex, por favor... pensaba q a estas alturas de siglo la gente estaba mas informada... La letra no es aleatoria, se consigue con una formula y depende de los números del DNI, es digamos, como un digito de control. Cualquier sistema que requiera de una identificación fiable tiene memorizada la formula para garantizar que ese DNI no es un numero inventado. El sistema no sabe tu letra del DNI simplemente la calcula.

Anónimo dijo...

un compañero del corte ingles de la calle princesa de madrid, pide 10 años de prision para otro compañero por se homosexual.