Spočítejte si...

Zavřít

Mobilní bankovní SIM Toolkit je odsouzen k zániku, je staromódní

Chytré telefony pomalu vytlačily starou, ale stále bezpečnou alternativu mobilního bankovnictví. Šifrované SMS přes SIM Toolkit. Lidé chtějí moderní aplikace, jenže často ani o SIM Toolkit nevědí.

Když se řekne SIM Application Toolkit, ve zkratce také STK, málokdo ze čtenářů ještě bude tušit, co znamená. Nejprve si proto udělejme krátkou exkurzi do historie.

STK bylo definováno jako standard v mobilních sítích GSM již v roce 1995. Velmi zjednodušeně napsáno šlo o aplikaci přímo na kartě SIM, která pomocí menu v telefonu (to se zobrazilo automaticky) umožňovala zadávat předdefinované požadavky pomocí SMS zpráv. Ty mohly být buď nešifrované, nebo šifrované. Zatímco ty první se používaly např. pro objednání zpráv o počasí, kurzů měn a akcií, chatů přes SMS apod., šifrované zprávy sloužily po komunikaci s finančními institucemi, tedy zpravidla s bankami.

Pro využívání služeb STK jste potřebovali pouze mobil, který toto podporoval. V 90. letech minulého století byl oblíbený například Siemens S10, který kromě STK měl i barevný displej (na tu dobu nevídaný pokrok), mezi oblíbené přístroje patřily samozřejmě Nokie (6110), Motoroly (Accompli 008) a Sagemy, do středních řad se hodně šířil Siemens C25. Naopak STK nepodporoval Philips Fizz, Nokia 5110 a 9110.

Do České republiky přišla služba STK s tehdejší Expandia Bankou (dnes Raiffeisenbank) a mobilním operátorem RadioMobil (dnes T-Mobile). Psal se rok 2001, kdy byla spuštěna první služba mobilního bankovnictví v Česku, a ta používala právě STK. Tehdy platilo pravidlo, že jedna SIM = aplikace jedné banky. O dva roky později bylo Česko první zemí na světě, kde bylo možné na jedné SIM aplikace STK deseti různých bank. 

Mobilní bankovnictví pomocí STK tak začaly poskytovat Expandia Banka, ČSOB, Investiční a poštovní banka, Česká spořitelna, GE Capital Bank, Raiffeisenbank, Union Banka a Živnostenská banka. Naopak STK stále odolávala Komerční banka a v tomto vzdoru vydržela dodnes. Kdo chce zamáčknout slzu nostalgie, může si přečíst můj článek na webu FinExpert.E15.cz nebo od Patricka Zandla na iDNES.cz.

Jednoduché a velmi bezpečné

Komunikace mezi bankou a jejím klientem probíhá prostřednictvím kódovaných a šifrovaných SMS zpráv. Uživatel mobilního telefonu podporujícího bankovní služby obdrží v bance při aktivaci služby nebo spolu se SIM kartou speciální číselný kód – BPUK. Na základě tohoto kódu si zvolíte osobní přístupový kód BPIN. Správným zadáním kódu BPIN je podmíněno provedení všech bankovních operací.

Přenos dat je zabezpečen šifrováním: každá bankovní SIM karta má svůj šifrovací klíč, prostřednictvím kterého se provádí zabezpečení komunikace s bankou. Tento klíč je uložen v chráněné oblasti SIM karty a je dostupný pouze po zadání správného kódu BPIN. Zpráva odeslaná z mobilního telefonu je bankou přijata pouze tehdy, pokud je zašifrována správným šifrovacím klíčem.

Mobilní bankovnictví pomocí STK (jinak nazývané též GSM bankovnictví) je velmi jednoduchou službou a hlavně velmi bezpečné. Ostatně to je důvodem, proč třeba Česká spořitelna nebo Raiffeisenbank nemají žádný limit transakcí zadaných přes STK. Zkuste svoji banku přesvědčit, ať vám dá v mobilní aplikaci neomezené limity. Ví, proč to neudělá. Rajfka budiž výjimkou.

Na rozdíl od klasických mobilních aplikací pro telefony s operačním systémem, kde potřebujete připojení k internetu, u STK potřebujete alespoň mizerný signál, který umožní odeslat SMS. A tu odešlete i s velmi špatným pokrytím. I proto je STK velmi oblíbenou službou při cestování do ciziny, protože nemusíte používat data nebo nezabezpečené Wi-Fi, prostě komunikujete s bankou přes zabezpečené SMS.

Ukázka bankovni aplikace SIM Toolkit na SIM Vodafone. Mobil s iOS.
Autor: Dalibor Z. Chvátal

Ukázka bankovní aplikace SIM Toolkit na SIM Vodafone. Mobil s iOS.

Ukázka bankovni aplikace SIM Toolkit na SIM Vodafone. Mobil s iOS.
Autor: Dalibor Z. Chvátal

Ukázka bankovní aplikace SIM Toolkit na SIM Vodafone. Mobil s iOS.

Ukázka bankovni aplikace SIM Toolkit na SIM Vodafone. Mobil s iOS.
Autor: Dalibor Z. Chvátal

Ukázka bankovní aplikace SIM Toolkit na SIM Vodafone. Mobil s iOS.

Ukázka bankovni aplikace SIM Toolkit na SIM Vodafone. Mobil s iOS.
Autor: Dalibor Z. Chvátal

Ukázka bankovní aplikace SIM Toolkit na SIM Vodafone. Mobil s iOS.

Ukázka bankovni aplikace SIM Toolkit na SIM Vodafone. Mobil s iOS.
Autor: Dalibor Z. Chvátal

Ukázka bankovní aplikace SIM Toolkit na SIM Vodafone. Mobil s iOS.

Staré a omezené

Jenže STK má své nevýhody. Počet služeb přes STK je omezený a zahrnuje hlavně možnost zadat jednorázový příkaz k úhradě, trvalou platbu, povolení k inkasu nebo zjistit historii posledních deseti transakcí. Každá banka má navíc odlišnou nabídku.

STK není nic komfortního. Přestože si pamatuje poslední zadané číslo účtu, při častých platbách je potřeba údaje zadávat opakovaně, chybí i závěrečná kontrola před odesláním příkazu – stačí udělat překlep v čísle účtu či v částce a průšvih je na světě. Kdo STK kdy používal, může to potvrdit. Ani ztráta SIM nebyla bez následků, znamenala nezbytnou návštěvu banky pro opětovné nahrání aplikace. Služba je zapovězena i klientům virtuálních operátorů. Rovněž některé chytré mobily už s STK nepočítají a službu nepodporují.

Přesto opět: je velmi bezpečné a ani nemusíte při každé změně mobilu měnit nastavení v bance. Jen přehodíte SIM do druhého a jede se dál.

Přežije max. 3 roky

Ke dni publikace článku STK poskytují jen 3 banky: Česká spořitelna, GE Money Bank a Raiffeisenbank. Ostatní službu zařízly, naposledy ČSOB k 21. 3. 2015. Důvod? Podle bank jde o pozůstatek, starou technologii, která je překonaná. A mají pro to vážný argument: lidé službu nechtějí, což dokládají čísly nízkých aktivací a postupným rušením STK, jak lidé třeba přecházejí na virtuální operátory (ti na svých SIM STK nemají).

Jenže problematika STK má i druhou stranu. Jak se lidé mají o STK dozvědět, když jim to samy banky neřeknou? Ne, že by tuto službu vysloveně tajili, ale pokud klient asertivně netrvá na její aktivaci, banky automaticky nabízejí alternativní kanály přímého bankovnictví. To se to pak reportuje, že službu zrušíme pro nezájem o ni.

STK je odsouzeno k zániku. Ano, je to velmi bezpečná služba, ale lidé chtějí pohodlnější přístup do banky. Myslím, že ještě nějakou dobu zůstane u nás, protože máme hodně eBankových klientů, a snad ještě u GE Money Bank, která do něj také masově šla. STK přežije jen místy, dávám službě maximálně tři roky, vysvětloval ve své prezentaci na konferenci Trendy v mobilním placení Vratislav Kříž z Raiffeisenbank.

Mimochodem, maximální bezpečí po vzoru STK vedlo vývojáře k výrobě mobilní aplikace pro Raiffeisenbank, tedy aplikace, která by byla rovněž bezpečná a klienti by se s ní nebáli provádět transakce. Když jsme aplikaci připravovali, poučili jsme se z chyb druhých bank a mohli jsme se tak více soustředit na její kvalitu. Chtěli jsme službu, která vyřeší potřeby zákazníka i banky, přináší něco navíc a zároveň bude Rajfka v očích lidí stále jako inovativní banka. A výsledky ukazují, že se nám to podařilo, pokračoval Kříž. Ale zpět k STK.

Napsal jsem do našich bank a zeptal se jich na pár otázek. Odpovědi dávají jasný signál, že dříve či později STK zanikne. (Reakce GE Money Bank chybí, rádi ji doplníme, až ji pošle.)

Kdy vaše banka začala nabízet mobilní bankovnictví přes SIM Toolkit?

Česká spořitelna: Službu GSM banking/SIM Toolkit nabízí Česká spořitelna od roku 2001.

ČSOB: Službu jsme začali nabízet na přelomu let 2002 a 2003 dle jednotlivých operátorů (první byl tehdy T-Mobile, druhý Eurotel, poslední Oskar).

Raiffeisenbank: SIM Toolkit začala tehdejší Expandia banka používat v roce 2001, v Raiffeisenbank bylo GSM bankovnictví pod názvem Mobilkonto dostupné od listopadu stejného roku.

UniCredit Bank: Službu šifrovaných SMS přes SIM Toolkit jsme poskytovali jako jedni z prvních v rámci střední a východní Evropy od roku 2002.

Kolik nyní máte zákazníků využívajících tuto technologii?

Česká spořitelna: Momentálně má službu cca 60 000 uživatelů, ale pouze 30 procent ji aktivně používá. Za rok 2014 evidujeme pokles v počtu transakcí realizovaných přes GSM banking o cca 20 procent.

ČSOB: V lednu 2015 byl počet uživatelů této služby v řádu jednotek tisíc a stále se významným tempem snižoval (meziročně přibližně o čtvrtinu uživatelské základny); počet nových požadavků na aktivaci služby se dlouhodobě pohyboval pouze v řádu jednotek žádostí měsíčně.

Raiffeisenbank: Jako jediná banka na trhu používáme SIM Toolkit i pro zasílání šifrovaných autentizačních a certifikačních zpráv. Tuto funkčnost stále používá přibližně 40 000 klientů a plánujeme ji i do budoucna zachovat. GSM bankovnictví (tedy odesílání příkazů k úhradě, dotazů na zůstatek apod.) používá mnohem menší část klientů (okolo 3000), kteří realizují zhruba 6000 plateb měsíčně (tedy několik desetin procenta z celkového počtu plateb).

 Chystáte tuto službu zrušit? Pokud ano, kdy a proč?

Česká spořitelna: Službu GSM banking se chystáme zrušit v průběhu roku 2016. Klientům již 3 roky nabízíme modernější a lepší služby prostřednictvím aplikace SERVIS24 – Mobilní banka (k dispozici pro platformy iOS, Androind a Windows). 

ČSOB: Ke zrušení služby Mobil 24 jsme přistoupili k 21. 3. 2015 po důkladném zvážení. S masovým rozšířením a rostoucí popularitou chytrých telefonů začali klienti ve velké míře využívat služby ČSOB a Era Smartbanking, která nabízí širší paletu funkcí než GSM banking a je komfortnější. Kromě samotných klientů již technologii GSM banking (resp. SIM toolkit) opouštějí i někteří výrobci mobilních telefonů a není vyloučeno, že během několika následujících let tato technologie pravděpodobně zcela skončí. Uvědomujeme si, že někteří klienti mohou mít v souvislosti s přechodem na smartbanking nebo internetbanking obavy z bezpečnosti. Chtěli bychom je však ujistit, že při dodržování základních bezpečnostních pravidel jsou tyto technologie velmi dobře chráněny a jejich využívání je nejen bezpečné, ale navíc i jednoduché a pohodlné.

Raiffeisenbank: Do budoucna budeme dále rozšiřovat a vylepšovat především Mobilní eKonto a internetové bankovnictví, GSM bankovnictví nebudeme více rozvíjet. Nicméně, v nejbližší době bude tato služba nadále funkční, zatím jsme o žádném konkrétním termínu ukončení nerozhodli.

UniCredit Bank: Se zavedením Smart Bankingu od roku 2011 byla daná služba zrušena. Důvodem zrušení byl vývoj trhu s mobilními aplikacemi a požadavek klientů na uživatelsky přívětivější přístup a možnosti mobilního bankovnictví

Užívejte si bezpečí STK, nebude

Autor má neoficiální informace, že STK chystá ukončit nejpozději v roce 2016 i GE Money Bank a Raiffeisenbank. Česká spořitelna konec STK už potvrdila.

Doba mobilní vyžaduje klasické mobilní aplikace, přičemž drtivou masou je Android následovaný iOS. Při zemi se drží Windows Phone. Mobilní aplikace pro přístup do banky mají jedno bezpečnostní riziko – uživatele. Pokud se uživatel ke svému mobilu nebude chovat jako k počítači, ve kterém jsou jeho citlivá data, jen pár znaků hesla či kódu dělí potenciálního zloděje od peněz uživatele. Občas proto budeme číst příběhy, kdy někdo prostřednictvím napadeného mobilu přijde o peníze.

SIM Toolkit je už dávno z módy z důvodů, které je zbytečné opakovat, a pro těch pár nadšenců to nemá cenu udržovat. Pokud jde o SMS autorizaci, kvůli chytrým mobilům je SMS autorizace jako ochrana před krádeží identity vlastně úplně k ničemu. Takže jedině zase zpátky ke kalkulačkám s jednorázovými hesly generovanými na samostatném zařízení, nebo k certifikátům na čipové kartě s povinně zadávaným PINem pro každou transakci na samostatné klávesnici, píše svůj pohled v e-mailové konferenci o GSM technologiích přispěvatel Michal.

Lidé i banky si vybrali lepší uživatelskou přívětivost, snadné a pohodlné ovládání. Daní bude menší bezpečnost nebo přenesení odpovědnosti na uživatele mobilu, aby si jej dobře zabezpečil.

15 názorů Vstoupit do diskuse
poslední názor přidán 9. 12. 2015 7:43