Hlavní navigace

Jsou platby na Internetu bezpečné?

22. 3. 2002
Doba čtení: 7 minut

Sdílet

Jeden z našich čtenářů zaplatil internetovou kartou eBanky. Z jeho účtu však zmizelo mnohem víc peněz, než skutečně utratil. Chcete vědět, jak je to možné? Chcete vědět, jak dopadla jeho reklamace? A jestli se to nemůže stát i vám? Měšec to zjišťoval za vás a věřte, že je to všechno hodně zajímavé...

Od srpna 2001 nabízí eBanka svým klientům velice moderní službu – Internetovou kartu EC/MC. Ta je určena k platbám na síti a říká se jí „virtuální“, protože neexistuje ve hmotné podobě. Jde o soubor čísel, která zná jen majitel karty a pomocí nichž dochází k autorizaci plateb. Autorizační pojistky placení na internetu jsou celkem tři – samotné číslo karty, doba platnosti karty a bezpečnostní kód CVV2.

Kromě eBanky podobnou službu zavedla ještě Komerční banka a GE Capital Bank. Všechny tři svorně lákají potenciální klienty na totéž – na větší bezpečnost prováděných transakcí. Případ jednoho z našich čtenářů (říkejme mu pan Novotný, protože si nepřál zveřejnit své jméno), však ukázal, že ani „bezpečnější“ způsob placení nemusí být bez chyb.

Pan Novotný, který na Internetu není žádným nováčkem, používal svou kartu dva měsíce. Během té doby jejím prostřednictvím provedl tři platby, podle jeho slov „u společnosti, která je jako jediná uznávaná, co se týče bezpečnosti a ochrany dat před zneužitím“.

U eBanky zaúčtování každé transakce probíhá následujícím způsobem: klient zaplatí a na jeho účtu se automaticky zablokuje příslušná částka, aby s ní nemohl disponovat a nedostal se tak do mínusu. Tato částka je nadále úročena a na účtu „čeká“ do doby, než z karetní asociace přijde autorizační pokyn, že transakce byla zadána v pořádku. Pak dojde ke zúčtování a skutečnému převodu peněz.

Na účtu pana Novotného probíhalo vše v pořádku až do chvíle, kdy se na něm znenadání zablokovaly tři platby, které pan Novotný neuskutečnil. Měly odejít ve prospěch účtu obchodníka, o němž nikdy neslyšel. Pan Novotný je pohotový člověk, zavolal do banky a na nesrovnalost upozornil s tím, že platby nemohou v žádném případě obsahovat bezpečnostní kód CVV2, protože ten zná jedině on. V bance mu vyšli vstříc s tím, že všechny tři částky odblokují, aby s nimi mohl disponovat. A pokud nepřijde autorizovaný pokyn od kartového centra (tedy takový, který by obsahoval číslo karty, její platnost a kód CVV2), bude všechno v pořádku. Pan Novotný si byl jist, že takový pokyn nepřijde.

K jeho velkému překvapení byly po několika dnech všechny tři částky postupně z účtu odečteny. On mezitím z účtu vybral jinou částku, takže se dostal bez vlastního zavinění do mínusu. Okamžitě podal písemnou reklamaci na klientském centru a také napsal k nám do redakce. Bylo 2. ledna. eBanka si na vyřízení reklamací ve všeobecných obchodních podmínkách vyhrazuje dobu až 90 dnů, v některých případech i déle. Tato byla vyřízena už 18. ledna.

eBanka tedy celý případ vyřešila mimořádně rychle a velmi profesionálně. Panu Novotnému se omluvila, peníze mu připsala zpět na účet a zrušila i sankční úrok z mínusového zůstatku, do kterého se díky neoprávněným platbám dostal. Klient mohl být spokojen.

To nejzajímavější však teprve následovalo. eBanka nám totiž prostřednictvím své tiskové mluvčí Lenky Petroncové poskytla vysvětlení celého případu:

„V rámci procesu zúčtování plateb byla na straně karetní asociace objevena dílčí nedokonalost kontrolního systému. Autorizační požadavky byly kladně vyhodnoceny kontrolním systémem autorizačního střediska jako typ transakce, která CVC2 kód obsahuje, i když ve Vašem případě chyběl. Na odstranění výše uvedeného nedostatku se již pracuje. Bezpečnost Internetové platební karty EC/MC nebyla obecně tímto nedostatkem zásadně snížena, neboť zmíněný nedostatek se vztahoval pouze na určitý typ transakcí.“

Což ve svém důsledku znamenalo, že chyba měla být na straně karetní asociace, tedy společnosti Muzo, jejíž systém nepožadoval pro tyto platby CVV2 kód, a proto platby prohlásil za autorizované. eBanka za to prý nenese zodpovědnost, protože ona sama nezkoumá, zda platby obsahují všechny náležitosti. Dostala od asociace informaci, že platby autorizované jsou, a musela je uskutečnit.

Když jsme však požádali o vyjádření společnost Muzo, dostalo se nám trochu jiné odpovědi. Tiskový mluvčí Jiří Tráva nám řekl, že „požadavek, který dostane Muzo na e-commerce transakci, může obsahovat CVV2 kód, ale také nemusí. V současné době ve většině těchto transakcí kód obsažen není. Pokud Muzo obdrží žádost o e-commerce transakci s kódem CVV2, provede jeho kontrolu. Pokud kód CVV2 neobdržíme, nemáme co kontrolovat a transakce pokračuje dále bez kontroly CVV2.“

V rozhovoru nám pak Jiří Tráva sdělil, že ve smlouvě s eBankou není požadavek na to, aby všechny transakce kód CVV2 obsahovaly. Specialisté z Muzo prý tvrdí, že kód přitom obsahuje přibližně jen 20 % transakcí na Internetu, zbylých 80 % probíhá bez něj. A pokud by chtěla eBanka povinnou přítomnost kódu u všech transakcí, mohla by celý projekt s kartou zrušit, protože by se jí kvůli nízkému počtu transakcí nevyplatil.

Jiří Tráva dále zdůraznil, že společnost Muzo je připravena kontrolovat prakticky všechno, co banka požaduje. V současné době však na ni zodpovědnost a vina nepadá, protože povinnost vyžadovat kód CVV2 společnost nemá.

Hezky se to vyvíjí, co říkáte? Podle eBanky pochybilo Muzo, které ale tvrdí, že jen poskytuje služby, jež po něm chce eBanka. Muzo navíc nepotvrdilo, že se „na odstranění nedostatku pracuje“. Z jeho odpovědi také vyplynulo, že se zmíněný „nedostatek“ nevztahuje jen na „určitý typ transakcí“, jak tvrdí eBanka, ale na celých 80 %!

Obrátili jsme se proto opět na eBanku. Mimo jiné i s dotazem, zda je možné uskutečnit transakci bez kódu CVV2 a pak ji úspěšně reklamovat s tím, že kód neobsahuje. Tentokrát jsme obdrželi odpověď, která přenáší zodpovědnost na obchodníky a jejich banky a která také neodpovídá stanovisku společnosti Muzo:

„Pokud autorizační dotaz u obchodníků "e-commerce“ neobsahuje kód CVC2, má eBanka právo v případě reklamace klienta tuto transakci vůči acquirerské bance (tj. bance obchodníka – pozn. red.) reklamovat (a vždy takovou reklamaci vyhraje). Absence kódu CVC2 neznamená podle výše uvedeného snížení bezpečnosti pro klienty. Pokud klient reklamuje možné zneužití internetové karty jinou osobou, vydavatelská banka reklamuje transakci u příslušné acquirerské banky a jejího obchodníka (v případě absence kódu CVC2 vydavatelská banka takovou reklamaci vždy vyhraje)." 

Na konkrétní otázku týkající se výroku Muzo, že 80 % plateb CVV2 kód nemá, eBanka odpověděla, že „kód je povinnou součástí platby internetovou kartou. Pokud jej obchodníci či acquierské banky nevyžadují, je zodpovědnost na jejich straně.“

Na tomto místě se už dostáváme za hranici možností naší redakce. Konkrétní smluvní dojednání mezi jednotlivými institucemi je tímto způsobem nezjistitelné, každá z nich se pochopitelně snaží ze sebe sejmout zodpovědnost, jak se dá.

Nicméně alespoň s faktem, že většina transakcí na Internetu není kryta kontrolním kódem, se dá docela pracovat. Navíc, celá věc se netýká jen internetových karet, ale v podstatě také všech embosovaných karet, které jsou při platbách na Internetu využívány mnohem častěji.

Já sám Internet k nákupům nevyužívám, ale mí zkušenější kolegové mi potvrdili, že na Internetu nikdy žádný kód nezadávali, protože ho po nich žádný obchodník nepožadoval. Teoreticky by tedy mohli všechny své platby reklamovat, protože neobsahovaly, podle eBanky povinný, bezpečnostní prvek.

Co z toho všeho vyplývá? Bankovní instituce (eBanka není sama, společnost Muzo poskytuje Komerční bance a GE Capital Bank v rámci autorizace plateb prostřednictvím Internetu shodné služby jako eBance) operují s bezpečnostním prvkem, který podle jejich klientů i podle autorizačního centra není ve velké většině využíván. Autorizační centrum prý kontroluje jen to, o co ho kdo požádá. Obchodníci zase přijímají zodpovědnost za platby, které jsou podle eBanky reklamovatelné, protože neobsahují „povinný“ kontrolní kód. Docela zamotaná situace.

Příznačné je, že se v ní úplně nevyzná ani samotná eBanka, protože nejdříve mluví o chybě autorizačního centra, a když se proti ní centrum ohradí, přenese zodpovědnost na obchodníky. Její klienti však zřejmě mohou být klidní – každou neoprávněnou transakci provedenou u „e-commerce“ obchodníků mohou s úspěchem reklamovat.

Především však musí pozorně sledovat všechny pohyby na svém účtu. Pokud selhává systém u obchodníka, teoreticky lze zadat (třeba jen náhodně zvolené) číslo karty, a bez požadavku na bezpečnostní kód, účet nabourat.

skoleni_15_4

Nicméně, zdá se, že zatím všechno funguje k téměř všeobecné spokojenosti – od zavedení karty do provozu prý v eBance „řešili pouze několik reklamací v řádu jednotek.“ Nelze si přát nic jiného, než aby u toho i zůstalo.

A co vy? Jaké máte zkušenosti s placením na internetu? Chtějí po vás obchodníci bezpečnostní kód? Setkali jste se už vůbec s tímto kódem? Myslíte, že je placení na internetu bezpečné? Co byste poradili méně zkušeným čtenářům?

Platíte přes Internet?

Byl pro vás článek přínosný?

Autor článku

Autor je výkonným ředitelem společnosti Internet Info, s.r.o. Je absolventem FF UK Praha. Profesně se věnuje marketingu, internetovému prostředí a financím.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).