Lo que hace ING en España es una fruta verguenza si no directamente ilegal.
La PSD2 sólo impone el criterio de la doble validación. No dice que tenga que ser mediante una app.
Lo de la app propietaria es de traca. Para empezar, te obliga a tener un smartphone operativo. La app en sí es de código cerrado, sólo lo puedes instalar en dispositivos OEM que no estén bajo el control del usuario (no rooteados y que no hayan instalado una custom ROM). Por si esto fuera poco, la app exige todo tipo de permisos ajenos a las funciones que se le suponen. Esta es la lista que está en la Play Store:
Código:
Esta aplicación puede acceder a:
Información sobre la conexión Wi‑Fi
view Wi-Fi connections
Identidad
find accounts on the device
Contactos
read your contacts
find accounts on the device
Almacenamiento
read the contents of your USB storage
modify or delete the contents of your USB storage
Cámara
take pictures and videos
Micrófono
record audio
Ubicación
precise location (GPS and network-based)
approximate location (network-based)
ID de dispositivo e información de llamada
read phone status and identity
Fotos/multimedia/archivos
read the contents of your USB storage
modify or delete the contents of your USB storage
Teléfono
read phone status and identity
Otro motivo
receive data from Internet
control vibration
send sticky broadcast
full network access
change your audio settings
expand/collapse status bar
view network connections
prevent device from sleeping
control Near Field Communication
run at startup
Al instalar actualizaciones de ING España. Banca Móvil, es posible que se añadan automáticamente funciones adicionales en cada grupo.
Al instalar actualizaciones de ING España. Banca Móvil, es posible que se añadan automáticamente funciones adicionales en cada grupo.
Esto es totalmente innecesario y debería de ser ilegal. Hay otras opciones para implementar la doble verificación sin necesidad de hacer una colonoscopia forzosa al cliente. Por ejemplo, el banco podría suministrar un token u otro dispositivo sin conexión que satisface uno de los tres requisitos de PSD2 (posesión) y que utilizan en otros países europeos sujetos a la misma norma PSD2 que España. Aquí os dejo algunos generadores TAN comerciales. En algunos de ellos tienes que introducir la tarjeta bancaria, incrementando la seguridad. Y se puede usar el mismo aparato con diferentes tarjetas en cuentas de bancos distintos. Otros escanean una imagen de putnos de colores (photoTAN) o código QR (QR-TAN) que la web del banco muestra en la pantalla del PC o móvil, y devuelve un TAN que hay que introducir mediante el teclado del dispositivo. Los que hay aquí siguen el standard, aunque también los hay propietarios de cada banco que hacen lo mismo pero no se pueden usar en otros bancos:
TAN generators - Chipkartenleser-Shop REINER SCT
Con uno de estos dispositivos, en un banco que lo soporte y en un país serio, es posible seguir con la banca online cumpliendo PSD2 y sin ningún tipo de app que no sabemos lo que hace (porque el código fuente no lo publican, claro).
Hay bancos que además del dispositivo, permiten enviar un TAN por SMS. Algunos cobran por el SMS, pero al menos te dan la opción. Todos los bancos tienen APP, pero ING España es el único banco que conozco que obliga a usar su fruta APP y no te quedan más narices.
Incluso ING en Alemania permite usar un TAN-Generator (photoTAN) y también mobileTAN (SMS) de forma voluntaria, opcional, y en vez de la app en el smartphone.
Pero en España, estos desgraciados de ING campan a sus anchas y se pasan la legislación y la privacidad de sus usuarios por el forro de los narices. En resúmen: ING España me ha perdido como cliente. Fue bonito mientras duró, pero ahora que se vayan a miccionar en la cara de su querida madre.