Firma płatnicza odcina fundację open source po sporze o KYC

W świecie technologii finansowych, gdzie procedury KYC (Know Your Customer) są fundamentem bezpieczeństwa, doszło do zderzenia cywilizacji. Z jednej strony mamy Nexi Group, europejskiego giganta płatności elektronicznych, z drugiej Free Software Foundation Europe (FSFE), organizację non-profit stojącą na straży wolności oprogramowania i prywatności danych. Efekt? Nagłe wypowiedzenie umowy, odcięcie od funduszy od 450 stałych darczyńców i wzajemne oskarżenia o niezrozumienie podstawowych zasad bezpieczeństwa cyfrowego.

Konflikt, który doprowadził do zakończenia 15-letniej współpracy, zaczął się od prozaicznej prośby o weryfikację. Według FSFE, Nexi domagało się dostępu do prywatnych danych, które organizacja zinterpretowała jako loginy i hasła swoich darczyńców. W świecie open source, gdzie prywatność użytkownika jest traktowana niemal jak sacrum, taka prośba wywołała natychmiastowy opór. Z kolei Nexi twierdzi, że doszło do fatalnego nieporozumienia, a ich celem było jedynie uzyskanie danych testowych, by sprawdzić, czy proces rezygnacji z subskrypcji działa poprawnie i nie stanowi pułapki dla konsumentów.

Biurokratyczny impas i znikające darowizny

Dla Free Software Foundation Europe skutki tej decyzji są natychmiastowe i bolesne. Organizacja straciła możliwość automatycznego odnawiania wpłat od niemal 450 darczyńców, którzy wspierali ją regularnie za pomocą kart kredytowych i debetowych. Co gorsza, proces migracji do nowego dostawcy płatności nie pozwala na automatyczne przeniesienie danych płatniczych. Oznacza to, że każda z tych osób musi ręcznie skonfigurować swoje wsparcie od nowa, co w świecie fundacji non-profit zazwyczaj wiąże się z nieodwracalną utratą części przychodów.

Najbardziej uderzający w tej sprawie jest sposób, w jaki zakończono współpracę. FSFE twierdzi, że o rozwiązaniu umowy dowiedziało się 10 marca, podczas gdy faktyczne wypowiedzenie miało nastąpić już trzy dni wcześniej. Organizacja argumentuje, że nigdy nie wyznaczono im konkretnego terminu na dostarczenie żądanych danych, a ich prośby o wyjaśnienie podstaw prawnych i technicznych zapytania były zbywane ogólnikami o „analizie ryzyka”. To klasyczny przykład sytuacji, w której sztywne procedury korporacyjne uderzają w podmiot, dla którego transparentność i ochrona danych nie są tylko sloganami marketingowymi, ale fundamentem istnienia.

• 450 darczyńców odciętych od automatycznych wpłat
• 15 lat nieprzerwanej współpracy zakończone w kilka dni
• Brak możliwości automatycznej migracji kont wspierających
• Konflikt interpretacyjny dotyczący zakresu żądanych danych uwierzytelniających

Regulacje BaFin kontra etyka open source

Nexi Group broni swojej pozycji, powołując się na surowe wymogi BaFin (niemieckiego federalnego organu nadzoru finansowego). W dobie walki z oszustwami finansowymi i praniem brudnych pieniędzy, instytucje płatnicze są zmuszone do przeprowadzania coraz głębszej weryfikacji swoich klientów. Według rzecznika Nexi, prośba o „testowe dane logowania” miała służyć weryfikacji portalu darczyńców pod kątem tzw. subscription traps. Chodzi o upewnienie się, że użytkownik może w każdej chwili łatwo zrezygnować z płatności, co jest jednym z wymogów europejskiego prawa konsumenckiego.

Z perspektywy redakcyjnej trudno nie odnieść wrażenia, że obie strony mówią zupełnie innymi językami. Dla banku „konto testowe” to standardowa procedura audytowa. Dla organizacji takiej jak FSFE, która od lat walczy z inwigilacją i nadmiarowym gromadzeniem danych, prośba o jakiekolwiek dane dostępowe do systemów przechowujących informacje o darczyńcach brzmi jak próba włamania. Nexi twierdzi, że nigdy nie prosiłoby o prawdziwe hasła użytkowników, jednak brak precyzyjnej komunikacji doprowadził do paraliżu, którego ofiarą padła płynność finansowa fundacji.

„Podejście Nexi to podręcznikowy przykład tego, jak brak zrozumienia specyfiki sektora non-profit i obsesja na punkcie procedur KYC mogą prowadzić do niszczenia zaufania budowanego przez dekady.”

Konsekwencje dla ekosystemu płatności cyfrowych

Incydent ten rzuca światło na szerszy problem: rosnącą przepaść między dostawcami usług finansowych a organizacjami technologicznymi dbającymi o prywatność. W miarę jak KYC i AML (Anti-Money Laundering) stają się coraz bardziej restrykcyjne, podmioty promujące wolne oprogramowanie i zdecentralizowane technologie będą coraz częściej trafiać na „czarne listy” systemów automatycznej oceny ryzyka. Jeśli gigant płatniczy nie potrafi porozumieć się z renomowaną organizacją taką jak FSFE, to mniejsze projekty open source mogą wkrótce zostać całkowicie wypchnięte z tradycyjnego obiegu finansowego.

Warto zauważyć, że Free Software Foundation Europe nie jest bezpośrednio powiązana z amerykańską FSF Richarda Stallmana (od której zdystansowała się w 2021 roku), co czyni ją podmiotem działającym w pełni w ramach jurysdykcji europejskiej. To sprawia, że konflikt z Nexi jest jeszcze bardziej znamienny — obie organizacje operują w tym samym systemie prawnym, a mimo to nie były w stanie wypracować kompromisu, który nie kończyłby się odcięciem finansowania.

Sytuacja ta wymusza na organizacjach technologicznych zmianę strategii. Poleganie na jednym dostawcy płatności, zwłaszcza takim, który stosuje nieprzejrzyste algorytmy oceny ryzyka, staje się zbyt ryzykowne. FSFE już ogłosiło przejście do innego dostawcy, ale koszt operacyjny i wizerunkowy tej zmiany jest ogromny. To lekcja dla całej branży: w świecie cyfrowych finansów suwerenność technologiczna musi iść w parze z dywersyfikacją kanałów finansowania.

W najbliższych latach będziemy świadkami eskalacji takich konfliktów. Instytucje finansowe, pod presją regulatorów takich jak BaFin czy ESMA, będą dążyć do pełnej przejrzystości operacji swoich klientów. Z kolei ruchy pro-prywatnościowe będą stawiać coraz twardszy opór przed udostępnianiem danych, które uznają za wrażliwe. Jeśli nie powstanie standard komunikacji między „światem procedur” a „światem prywatności”, sektor non-profit będzie musiał szukać alternatyw poza tradycyjnym systemem bankowym, co może przyspieszyć adopcję krypto-płatności w sferze organizacji pożytku publicznego.