MyVault
← Back to Blog

Biztonságos-e bankkivonatokat feltölteni AI alkalmazásokba? Őszinte válasz

Mi történik valójában az adataiddal, amikor feltöltesz egy bankkivonatot egy AI személyi pénzügyi alkalmazásba, mit érdemes keresni adatvédelmi szabályzatban, és hogyan értékeld a valós kockázatot az alternatívákhoz képest.

9 min readTimur Shagiakhmetovprivacy · security · ai

Minden AI-alapú személyi pénzügyi alkalmazás előbb-utóbb szembesül ugyanazzal a kérdéssel, amit egy körültekintő felhasználó feltesz: ez biztonságos? Ez a kategória egyik legnagyobb kifogása, és jogos is — a bankkivonatok elég információt tartalmaznak ahhoz, hogy valaki a hozzájuk tartozó személyt megszemélyesítse, profilozza, vagy akár társadalmi manipulációval (social engineering) próbálkozzon. Az őszinte válasz: „attól függ, és pontosan ezt kell keresni”.

Mi a MyVaultot készítjük: egy AI-alkalmazást, amely feldolgozza a feltöltött bankkivonatokat. Itt a válasz, amit azoknak a barátoknak és családtagoknak adunk, akik megkérdezik — olyan egyszerűen fogalmazva, ahogy csak tudjuk.

Mi van valójában a bankkivonatban

Egy tipikus kivonat tartalmaz:

  • A neved és a postázási címed.
  • Egy bankszámlaszámot, gyakran részben kitakarva (az utolsó négy vagy hat számjegy).
  • A bank útvonalszámát (routing number), amelyet általában teljes egészében kinyomtatnak.
  • Tranzakciók soronkénti listáját dátumokkal, kereskedői leírókkal (merchant descriptors) és összegekkel.
  • Nyitó és záró egyenleget.
  • Lehet, hogy ellenőrizned kell képeket is, ha azokat beszkennelve feltöltöd, és a PDF részei.

Szenzitivitás szempontjából ez közepesen érzékeny — több, mint a vásárlási előzményeid, kevesebb, mint egy útlevél-vonat vagy „passport scan”. A kitakart bankszámlaszám önmagában általában nem használható a fiókod elérésére, de személyes adatokkal kombinálva más forrásokból, támogatást adhat a társadalmi manipulációs kísérletekhez. Kezeld a kivonatokat ugyanazzal az óvatossággal, mint egy adóbevallást.

Mit csinál egy AI pénzügyi alkalmazás a fájllal

Technikai szinten a bankkivonat feldolgozása négy lépésből áll:

  1. Feltöltés — a fájl a böngészőből átkerül az alkalmazás szerverére, ideálisan HTTPS-en, TLS 1.2 vagy magasabb verzióval. Ez ugyanaz az titkosítás, amit a bankod az online bankolásnál használ.
  2. Szövegfelismerés / feldolgozás (Parsing) — a szerver kinyeri a szöveget a PDF-ből. Ez a lépés használhat helyi PDF-könyvtárat, harmadik fél OCR-szolgáltatását vagy LLM-et. A választás számít adatvédelmi szempontból: a helyi könyvtárnál az adatok az alkalmazás szerverén maradnak; egy harmadik fél OCR-szolgáltatója elküldi a fájlt egy másik szolgáltatónak.
  3. Kategorizálás — a kinyert tranzakciós sorok egy AI-modellhez mennek, amely kategória címkéket ad vissza. Néhány alkalmazás a saját infrastruktúráján futtatja a modellt; a legtöbb az OpenAI-t, az Anthropicot vagy a Google-t használja. A pontos adatáramlás számít: egyes alkalmazások csak a kereskedői leíró szövegét küldik (alacsony kockázat); van, amelyik elküldi az egész tranzakciót az összegekkel (közepes kockázat); és van, amelyik az egész kivonat fájlt elküldi (magasabb kockázat).
  4. Tárolás — a feldolgozott (parsed) tranzakciók az alkalmazás adatbázisában kerülnek tárolásra. Az eredeti PDF vagy törlésre kerül, egy ideig megmarad, vagy az alkalmazás szabályzata szerint határozatlan ideig fennmarad.

Mit nézz, mielőtt feltöltenéd

1. HTTPS érvényes tanúsítvánnyal

A böngésző címsorában érvényes tanúsítványt kell látnod. Ha feltöltés közben bármilyen figyelmeztetést látsz, állj meg. Ez a minimális.

2. Egyértelmű és jól olvasható adatvédelmi irányelvek

Keress egyértelmű válaszokat ezekre a kérdésekre:

  • Hol tárolják az adataimat, és mely joghatóság alatt?
  • Megőrzik a feltöltött kivonatot, és meddig?
  • Tranzakciók vagy bármilyen dokumentumtartalom megy harmadik fél AI szolgáltatókhoz?
  • Az adataimat valaha felhasználják AI-modellek betanítására?
  • Mi történik az adataimmal, ha törlöm a fiókomat?

Ha ezek közül bármelyikre a válasz homályos, az piros zászló. Az az adatvédelmi nyilatkozat, amely azt írja, hogy „adatokat megoszthatunk partnerekkel bármilyen célból”, az egyértelmű nem.

3. Titkosítás tárolás közben (encryption at rest)

Az alkalmazás adatbázisának titkosítania kell az adataidat „nyugalmi állapotban”. A legtöbb kezelt adatbázis (AWS RDS, Google Cloud SQL, vagy hasonló) alapból ezt tudja; a kérdés, hogy az alkalmazás ezt ténylegesen használja-e.

4. Kétlépcsős azonosítás

Bármelyik fiók, amely tranzakcióelőzményeidet kezeli, támogassa a 2FA-t — ideális esetben hitelesítő alkalmazással (authenticator app), ne SMS-sel. Kapcsold be.

5. Olyan fióktörlés, ami tényleg töröl

Az a törlési opció, ami elrejti az adataidat anélkül, hogy eltávolítaná őket, nem „törlés”. Az adatvédelmi nyilatkozatnak konkrétan ki kell mondania, hogy a fiók törlése eltávolítja a feltöltött fájlokat és az adatbázis sorait, nem csak a fiók rekordját.

Hogyan viszonyulnak az AI alkalmazások a többi megoldáshoz

Csábító úgy értékelni: „biztonságos-e” abszolút értelemben, de a helyes összehasonlítás az alternatívákhoz képest van — mert a semmittevés is egy választás, ami kockázattal jár.

Plaid-alapú aggregátorok

Az olyan alkalmazások, mint a Mint (történetileg), a Monarch, a Copilot, és az YNAB Plaidet vagy egy hasonló aggregátort használnak bankadataid beolvasásához. Ehhez megadod a Plaidnek a banki belépésedet. A Plaid eltárolja ezeket a hitelesítő adatokat, és rendszeresen használja őket a fiókjaid elérésére. Az aggregátoroknak erős a biztonsági múltja, de a kockázati modell más: egy Plaid-szivárgás a banki hitelesítő adataidat teszi ki; egy bankkivonat-feltöltős app szivárgása a kivonatadatokat teszi ki a hitelesítők nélkül.

Táblázatok és e-mail

Sokan a banki kivonat PDF-eket e-mailben tárolják határozatlan ideig, vagy tranzakcióadatokat bemásolnak a Google Sheetsbe, majd megfeledkeznek róluk. Ezek nem biztonságosabbak egy jól működő AI alkalmazásnál — esetleg kevésbé biztonságosak, tekintve, hogy az e-mail és a fogyasztói felhőtárhely adatvesztése (breach) meglehetősen gyakori.

„Semmit sem csinálni”

A leggyakoribb alternatíva, hogy egyáltalán nem használsz pénzügyi alkalmazást. Ennek is megvan a „költsége”: elmaradó csalásgyanús terhelések, elfelejtett előfizetések, és nem figyelt költekezés. Néhány év alatt a pénzügyi költség sokszor gyakran meghaladja egy hiteles (reputable) követő használatának legrosszabb adatvédelmi kockázatát.

Mit csinál a MyVault konkrétan

Leírjuk, mit csinálunk, hogy össze tudd hasonlítani más alkalmazásokkal, amiket értékelsz:

  • Soha nem kérjük el a banki hitelesítőadataidat. Nálunk nincs Plaid a folyamatban. A feltöltött fájl ugyanaz a fájl, amit te letöltenél adóelőkészítéshez.
  • A feltöltött kivonatokat egyszer feldolgozzuk a tranzakciók kinyeréséhez. Megőrizzük a feldolgozott (parsed) tranzakciókat; az eredeti fájlt a feldolgozás után töröljük, kivéve, ha külön beállítod, hogy meg szeretnéd tartani (néhány felhasználó kereshető archívumként szeretné tárolni a kivonatokat).
  • A tranzakciók leíró szövege és az összegek egy nagyméretű nyelvi modellhez kerülnek kategorizálás céljából. Soha nem küldjük el a nevedet, címedet vagy bankszámlaszámodat a modellnek. A modell szolgáltatója nem őrzi meg a bemeneteket betanításhoz.
  • A fióktörlés eltávolítja a feltöltött fájlokat, a feldolgozott tranzakciókat és a fiók rekordját a rendszerünkből (rövid jogi megőrzési ablakok figyelembevételével).
  • Támogatjuk a 2FA-t. Erősen javasoljuk, hogy kapcsold be.

Gyakorlati tanácsok

Ha még mindig a „talán” állapotban vagy:

  • Kezdd egyetlen friss kivonat feltöltésével, ne az összes előzménnyel. Nézd meg, hogyan működik, mielőtt elköteleződnél.
  • Használj egyedi és erős jelszót, és kapcsold be a 2FA-t, amint létrehozod a fiókot.
  • Olvasd el ténylegesen az adatvédelmi szabályzatot. Általában rövid.
  • Ha bármiben furcsát érzel — homályos szabályzat, nincs fióktörlés, nincs 2FA, gyanús tárhely — válassz egy másik alkalmazást.

Ha átgondoltan csinálod, akkor egy megbízható AI pénzügyi alkalmazásba bankkivonatot feltölteni kezelhető kockázat, ami valódi átláthatóságot ad a költekezésedről. A rossz kérdés ez: „biztonságos 100%-ban?” (semmi az). A jó kérdés: „kisebb-e a kockázat, mint az érték, és kisebb-e a többi alternatívához képest?”

A feltöltés előtt olvasd el a MyVault adatvédelmi szabályzatát. Ha valami nem világos, kérdezz meg minket közvetlenül — válaszolunk. MyVault’s privacy policy. A feltöltés előtt olvasd el a MyVault adatvédelmi szabályzatát. Ha valami nem világos, kérdezz meg minket közvetlenül — válaszolunk. ask us directly — we answer.