Přísnější pravidla při ověřování plateb zvyšují ochranu klientů

Filip Zeman

29. listopadu 2019

5 minut

Filip Zeman, šéf denního bankovnictví v České spořitelně, v rozhovoru pro Hospodářské noviny popsal, jaké změny čekají banky, e-shopy a samotné klienty s novým způsobem ověřování plateb kartou v obchodech i na internetu.

Většina Čechů je zvyklá na to, že pokud v obchodě platí nákup do 500 korun bezkontaktně, nemusí na terminálu zadávat PIN. Už od září ovšem platí, že v některých případech se člověk ani při bezkontaktním placení zadání čtyřmístného kódu ke kartě nevyhne. Přísnější kontrola digitálních plateb vychází z nových unijních pravidel. Ta se týkají i placení kartou na internetu nebo přihlašování do internetového a mobilního bankovnictví.

Pro větší bezpečnost je třeba takzvaného dvoufaktorového ověření identity. „V příštích měsících se budeme muset dohodnout třeba na tom, jaké ověřovací faktory vybrat, aby to platilo pro celý bankovní trh a klienty to zasáhlo co nejméně,“ říká Filip Zeman, ředitel denního bankovnictví v České spořitelně. Mimo jiné říká i to, na jaké změny se Češi musí připravit.

Jak se nová unijní směrnice dotkne bankovních klientů?

Pokud se budeme bavit o přihlašování do internetového bankovnictví, bylo dosud běžné, že klientům stačilo jméno a heslo. Teď je třeba využít další faktor. Jak my, tak ostatní banky na to využívají hlavně potvrzovací SMS kód anebo takzvaný klíč. V našem případě jde o mobilní aplikaci George klíč, kterou vstup do internetového bankovnictví na počítači snadno ověříte. Pokud následně v internetovém bankovnictví autorizujete platbu, tak vám dosud typicky stačil jednorázový SMS kód. To je ale opět jenom jeden faktor, který musíme podle směrnice doplnit o další. Ve většině případů, včetně toho našeho, jde o heslo, které do internetového bankovnictví máte.

Proměňuje se i placení kartou v kamenných obchodech. Jaká má nově pravidla?

Při platbách kartou do 500 korun můžete stále platit bezkontaktně bez zadávání PIN. Změna spočívá v tom, že je při každé šesté bezkontaktní transakci nutné PIN zadat. Tato povinnost platí i tehdy, když předešlé bezkontaktní transakce úhrnem přesáhnou přibližně 150 eur, tedy asi 3800 korun. Bezkontaktně lze platit také mobilem. U něj ale dostačuje biometrický údaj – otisk prstu či sken tváře. Z tohoto pohledu je bezkontaktní placení telefonem pohodlnější a nová směrnice se ho tak zásadně nedotkne. Placení bezkontaktní kartou v obchodech se klientům obecně příliš neztížilo. Složitější to ale bude s kartovými transakcemi na internetu.

Na zavedení nového způsobu ověřování kartových plateb na internetu dostaly banky od ČNB odklad do konce roku 2020, protože pro ně půjde o poměrně složitý proces. Jak by takové platby mohly vypadat?

Dnes je běžné, že při internetové kartové platbě zadáte údaje z karty, ve většině případů pak následuje ještě takzvané 3D Secure ověření. Zjednodušeně to znamená, že vám přijde do mobilu SMS kód, který přepíšete do formuláře na platební bráně. My teď jako banky musíme takové ověření doplnit dalším faktorem a zvažujeme, jakou možnost zvolit. Může se jednat o PIN. Je ale velkou otázkou, zda by to měl být stejný číselný kód, který máte ke kartě. Takže to může být další PIN nebo heslo.

Co hodláte zvolit vy v České spořitelně?

Námi preferované řešení je George klíč. Jak už jsem řekl, to je mobilní aplikace, kterou využíváme při přihlašování a ověřování transakcí v internetovém a mobilním bankovnictví. Stejný klíč chceme využít pro autorizaci internetových kartových plateb. Jde o jednoduchý a velmi bezpečný postup. Ne všichni klienti ale používají chytré telefony, do kterých se dá taková aplikace instalovat. Pamatuje na to i evropská směrnice a dává nám za povinnost přijít s odlišným druhým faktorem právě pro takovou skupinu zákazníků.

George klíč

Klienti na mobilní aplikaci George klíč oceňují, že nemusí při platbách na internetu složitě přepisovat potvrzovací SMS zprávy a jednoduše pomocí biometrických údajů dokončí svůj nákup.

Přestože přechod na George klíč je dobrovolný, počet klientů, kteří se na něj od letošního září rozhodli přejít, vzrostl dvojnásobně na současných 400 tisíc klientů.

Klienti, kteří mají aplikaci nainstalovanou na svém telefonu, nemusí navíc v mobilním bankovnictví potvrzovat platby do částky 12 500 korun.

A jak k ověřování klientů bez smartphonů přistoupíte?

Na půdě České bankovní asociace nyní probíhá velká diskuse o tom, jak zařídit, aby každá banka neměla odlišné řešení a na trhu nebyl zmatek. Zatím jsme se nedohodli, ale s největší pravděpodobností se budou klienti bez chytrých telefonů ověřovat dalším PIN kódem či heslem.

Zmínil jste, že George klíč České spořitelny slouží i k přihlášení do internetového bankovnictví na počítači. Jak si ale poradí člověk, který nemá chytrý telefon s klíčem?

V tuto chvíli pro přihlášení do internetového bankovnictví nadále podporujeme i ověření za pomoci jednorázových SMS kódů. Takže je na volbě klienta, jaké faktory ověření zvolí. Při povinnosti dvoufaktorového ověření bude muset klient, který pro přihlášení využívá pouze SMS, přidat další faktor v podobě hesla.

Jak si vysvětlujete, že někteří zákazníci se stále brání tomu, aby si svůj účet spravovali právě přes chytrý telefon?

Klient vnímá mobilní telefon jako zařízení, které má v kapse. To z jeho pohledu znamená, že mu přijde méně chráněný než počítač, který má doma na stole. To je ale mylná představa. Zabezpečení mobilu je koncipované tak, že pokud útočník ukradne mobil a nemá třeba otisk vašeho prstu, tak se dál nedostane. Obecně je zcizení mobilu pro útočníky relativně složité a zdlouhavé. Oni myslí jinak: chtějí v krátkém čase ukrást co nejvíce peněz. Proto raději hromadně útočí na tisíce uživatelů takzvanými phishingovými útoky.

Jak bezpečný je George klíč, který má klient v mobilu?

Klíč je zabezpečený biometricky. Dostanete se do něj tedy buď přes otisk prstu, nebo tváře. Pokud váš mobil takovéto ověření nepodporuje, tak je George klíč zabezpečený šestimístným kódem. Už to je samo o sobě dostatečně bezpečné zajištění. Klíč k bankovnictví je v mobilu navíc chráněn i proti vzdáleným útokům. V rámci aplikace s klíčem fungují takzvané sondy. Ty představují jakýsi antivir, který hlídá, že na telefonu nejsou viry a nejsou na něm instalované nebezpečné programy, které by třeba odposlouchávaly zadání hesla.

Mluvili jsme také o ověřování kartových plateb za pomoci jednorázových SMS v rámci systému 3D Secure. Jak se změny v praxi dotknou uživatelů?

V rámci nové verze tohoto standardu bude možné v určitých případech zachovat zjednodušené ověřování plateb. To budou moci zavádět nejen banky, ale také provozovatelé platebních bran. Bude možné v případě, kdy si banka či provozovatel brány vyhodnotí riziko kybernetických útoků jako nízké. Tím ovšem přejímají i rizika s tím spojená. Pokud by ke kybernetickému útoku skutečně došlo v případě nižšího stupně ověřování, tak to budou oni, kteří budou muset reklamaci ze strany klienta uspokojit.

Bude moci být zachována třeba možnost platby na jeden klik, kterou nyní nabízejí některé e-shopy?

Naším zájmem jako banky je platbu na jeden klik zachovat. Zároveň ale musíme splnit to, co nám ukládají nová pravidla i zdravý rozum. Směrnice vyžaduje velmi přísné podmínky pro zjednodušené ověření. Ukládá nutnost sledovat podíly kybernetických útoků z celkového počtu provedených transakcí. To je stanoveno poměrně přísně. Útoky se pohybují v tisícinách procenta. Pokud se jakékoliv firmě v celém platebním řetězci nebude dařit limity plnit, musíme zjednodušené metody vypnout a vyžádat si silné ověření. Pokud za zjednodušené ověření budou chtít zodpovídat e-shopy, myslím si, že to pro ně bude velká technologická výzva. Proto se domnívám, že se do toho bude chtít pustit jen minimum z větších internetových obchodů.

Určitě nejde o populární změny. Jaké reakce od klientů očekáváte?

Každé zpřísnění bezpečnostních opatření je pro naše klienty citlivé a vyvolává u nich spoustu otázek. Už nyní nám volá mnoho lidí na klientské centrum. Musíme je uklidňovat a vysvětlovat jim, že podobné změny je třeba provést, abychom naplnili pravidla nové směrnice. Nejvíce se klienti ptají na ověřování v internetovém bankovnictví, kde pro ty, kteří si dosud vystačili s SMS kódem, nově přibyla nutnost zadávat heslo. Zákazníkům říkáme, že takové změny slouží k jejich vyšší bezpečnosti.

Budou bezpečnostní opatření při ověřování plateb v příštích letech ještě zpřísňovat?

Jestli je něco jistota, tak to, že jednoho dne skutečně nějaké další zpřísnění přijde, i když pro to žádné signály zatím nejsou. Já myslím, že nyní zaváděná pravidla představují pro klienty už tak zásadní změnu, že by nám měla ještě chvíli vydržet.

Pokračujte dále