A Noreg Kft., - az információbiztonsági technológiák és szolgáltatások egyik hazai szakértője szerint - biztonsági szempontból újabb lehetőség adódik visszaélésre az APEH által 2008. január elején indított elektronikus árverésen. Mivel az árverésen való részvétel és licitálás feltétele az Ügyfélkapun keresztül történő azonosítás – amely a jelenleg megvalósított folyamat keretében nem garantálhatja a felek megfelelő azonosítását –, bárkivel előfordulhat, hogy személyes azonosítóit megszerezve licitálnak a nevében.

„Nagyon jó kezdeményezésnek tartjuk azt a törekvést, miszerint egyre több ügyintézésre teremtenek lehetőséget az Ügyfélkapun keresztül. Ilyen például az APEH részéről az általuk lefoglalt ingóságok és gépkocsik nyilvános, interneten történő árverése is. Látnunk kell ugyanakkor, hogy ennek a biztonságos lebonyolítására az Ügyfélkapun keresztül történő azonosítási folyamat ma még nem biztosít kellő védelmet a felhasználók számára. Az Ügyfélkapu használatához szükséges regisztrációhoz ugyan személyesen be kell fáradni egy okmányirodába személyazonosságunk teljes körű azonosítása érdekében, de az ott papíron megkapott azonosítót, valamint a felhasználó által választott jelszót számtalan egyszerű módszerrel szerezhetik meg az erre szakosodott bűnözők, akik ezután könnyedén visszaélhetnek a felhasználók személyazonosságával. Az internetes árverés ebből a szempontból különösen kritikus, mert ez az első olyan alkalmazás, amelynek működéséből közvetlen anyagi kár is érheti az áldozatokat az Ügyfélkapu korszerűtlen azonosító rendszere miatt” – mondta Dr. Kőrös Zsolt, a Noreg Kft. ügyvezető igazgatója.

Bármely, az Ügyfélkapun regisztrált állampolgárral előfordulhat az a kellemetlen meglepetés, hogy értesítést kap az APEH-től, miszerint részt vett egy árverésen és annak nyerteseként kötelezik a licitre bocsátott ingóság vételárának 8 napon belül történő megfizetésére. A megtett ajánlat nem vonható vissza, akár maga az érintett állampolgár, akár csak az azonosítóit megszerző illetéktelen személy licitált a nevében. Ha a nyertes bármilyen okból visszalép, az utána következő legmagasabb érvényes ajánlattétel nyer, de a két vételár közti különbözet a fizetést elmulasztó első nyertest terheli, és az adóhatóság határozattal kötelezheti annak kifizetésére. Ez az a pont, ahol az áldozatokat kár érheti, hiszen itt már senkinek sincs esélye arra, hogy bebizonyítsa: nem ő licitált az adott ingóságra.
„Az Ügyfélkapunál alkalmazott azonosító módszernek egyetlen előnye van, nevezetesen az, hogy ez a legolcsóbb. Nem véletlen ugyanakkor, hogy egyetlen internetes ügyintézési lehetőséget nyújtó banknak sem jutna az eszébe megengedni az ilyen egyszerű felhasználónév/jelszó azonosítást. Ehelyett mindenhol olyan tényleges biztonságot nyújtó technológiákat alkalmaznak, mint pl. az sms-en keresztüli azonosítás, az egyszer használható jelszó, vagy az elektronikus aláírás használata, amelynek alkalmazásával a licitálásra jelentkező felhasználók személyazonossága száz százalékos biztonsággal ellenőrizhető, és amely egy biztonsági szempontból megfelelően szigorú azonosítási folyamatot hozhatna létre az Ügyfélkapun is. Az elektronikus aláírás létrehozásához és ellenőrzéséhez egy nyilvános-magán kulcspár szükséges, amelynek a privát részéhez (többnyire smart kártyán tárolt) csak a felhasználó férhet hozzá, elvesztése esetén pedig egy órán belül letiltható a használata, ugyanúgy mint a bankkártyák esetében” – tette hozzá Dr. Kőrös Zsolt.