Hlavní navigace

Bezpečnější platební karty a internet. Přehledně, co a proč se mění

Autor: Depositphotos
Dalibor Z. Chvátal

Bude to bezpečnější, ale také uživatelsky otravnější. Digitální doba však vyžaduje nasadit modernější způsoby potvrzování transakci, protože se tím chrání hlavně vaše peníze.

Doba čtení: 12 minut

Sdílet

A kde máte své heslo napsáno vy?

Ověřování klienta v internetovém/mobilním bankovnictví jen pomocí uživatelského jména a hesla už dávno není bezpečné. Zvláště v situacích, kdy jinak bezpečné heslo si nemůžete zvolit, jaké chcete, ale jen takové, do jakých mantinelů vás napasuje vývojář webu či aplikace. Pak se stává, že si heslo lidé někam píšou, ukládají, nebo naopak volí snadno napadnutelné, ale přitom podle vývojářů vyhovující (rozumějte: systém banky jej akceptuje).

Další extrém nastává v případě, kdy musíte pravidelně hesla měnit. A pokud nemáte smluvní vztah jen s jedinou finanční společností na světě, časem budete řešit, že máte různé přihlašovací údaje, různá hesla a z těch hesel ještě některá pořád musíte měnit. A samozřejmě už nemůžete používat hesla, která jste před tím měli, protože vývojáři webu či aplikaci vám v tom úspěšně zabrání.

Kromě výše uvedeného existuji rozsáhlé databáze ukradených přihlašovacích údajů. Velmi často se stává, že lidé používají jedno heslo na všechno, tj. k e-mailu, na sociální sítě, do banky… Snadno si můžete ověřit, zda váš e-mail není ve vykradených databázích a zda by nebylo vhodné heslo k němu změnit.

Karty už nejsou tak bezpečné

Bezkontaktní karty pomohly k většímu rozmachu bezhotovostního placení, na druhé straně přibývá i podvodů s nimi. Že ani vydavatelé karet nedodržují bezpečné limity, prokázal náš test bezkontaktních karet, kdy se nám z nich před třemi lety podařilo získat pár desítek tisíc korun.

Proč dochází ke změně

Cílem je mít jistotu, že danou transakci skutečně provádíte vy, resp. že o její realizaci víte a udělili jste k ní souhlas.

A s rozmachem nákupů na internetu už nedává bezpečnostní význam ani třímístné CVC a CVV kódy vzadu na vaší platební kartě. Protože když dojde k úniku dat, anebo vám dobře nafotí či naskenují kartu, bude to včetně tohoto třímístného kódu. Před zneužitím karty na internetu vás ochrání jen blokace takových plateb, nebo jejich nízký limit. Jenže pracovat s podrobnými limity kartových transakcí mnoho vydavatelů karet stále neumí.

Po krádeži či zneužití karty nepůjde pachatel do bankomatu, pokud tedy nepatříte mezi dobrodruhy, kteří mají blízko karty napsaný PIN. Ale půjde do obchodů, kde bude peníze „rozpouštět“ po drobných bezkontaktních platbách. Půjde na internet, kde začne co nejdříve kupovat zboží a služby, které lze rychle zpeněžit.

Proč tlak na vyšší zabezpečení

V České republice máme mnoho vydavatelů karet, kteří umí pracovat s limity transakcí a umožňují držitelům karet vhodně nastavit rizika. Ale stále existuje mnoho bank a vydavatelů karet, kteří klientům umožňovali používat internetové bankovnictví i platební karty s ohledem na komfort, nikoli bezpečnost.

S vývojem digitálních technologií, a také s postupující snahou neoprávněným způsobem získávat a zneužívat osobní data lidí, a tím jejich peníze, bylo proto nutné nasadit pravidla, která napříč celou Evropskou unií sjednotí postupy a v podstatě donutí komerční firmy zvýšit bezpečnost pro jejich klienty. Touto větou se dá shrnou nové nařízení Evropské komise, o kterém v posledních dnech čteme v médiích.

Co je dvoufaktorové ověření (2FA)

Dvoufaktorová autentizace (ve zkratce používaná také jako 2FA) způsobí, že nově budete nejméně ve dvou krocích potvrzovat, že jste to vy a s vaším vědomím se transakce či přihlašování provádí. Už nestačí jen login, heslo nebo opsat třímístný bezpečnostní kód na kartě.

Dvoufaktorové ověření znamená, že k vašemu ověření musí být použita kombinace alespoň dvou bezpečnostních prvků (faktorů) z různých kategorií, které si teď vyjmenujeme.

1. Něco znám. Tj. znáte přihlašovací heslo, PIN, kombinaci gest apod.

2. Něco mám. Máte u sebe něco fyzicky. Typicky jde o čipovou kartu, bezpečnostní token/klíč, autentizační kalkulátor, mobilní telefon, počítač, tablet apod. Pozor, do stejné kategorie patří i SMS, protože přichází na váš mobil.

3. Někým jsem. Vaše biometrické prvky jsou jedinečné a až na výjimky jsou schopny vás unikátně identifikovat. Typicky jde o otisky prstů, ať už pomocí čtečky v mobilu, nebo přenosného zařízení, rozpoznávání očí a obličeje, rozpoznávání hlasu, dynamika psaní na klávesnici apod. Podle tohoto je schopná umělá inteligence spolehlivě vyhodnotit, že jde o vás.

4. Někde jsem. Místo, kde se nacházíte a odkud dochází k pokusu o přihlášení nebo transakci. Pokud nejste pilotem stíhačky, mělo by být podezřelé, že během dvou hodin provedete platbu u „kamenného“ obchodníka v Praze a Káhiře. Pro vás to bude znamenat, že pokud ověřené bankovní aplikaci povolíte polohové služby, bude mít snazší cestu ověřit, že vše potvrzujete vy. Nebojte se toho, banka vás sledovat nebude, to už dávno dělá Google.

Kromě výše uvedených prvků se nastavuje časové omezení, během kterého lze vaši autentizaci provést. To je v řádu minut, někdy jen vteřin.

Video: Jak funguje 2FA autentizace. Video je v angličtině, ale snadno jej pochopíte.

Video: Zabezpečte si pomocí 2FA vše, co jde. E-maily i sociální sítě. Video je v angličtině, ale snadno jej pochopíte.

Rizika jsou menší, ale existují

Ani při dvoufaktorové autentizaci rizika zneužití dat nezmizí, ale aspoň se zkomplikují. Stále platí, že největším rizikem je nevzdělaný uživatel. Zneužití či obejití dvoufaktorové autentizace je stále možné pomocí phishingu nebo sociálního inženýrství, problémem může být i podvodná aplikace v mobilu.

Tyto vyjmenované případy jsou jedním z důvodů, proč v současné době SMS nelze považovat za bezpečné (ostatně ani nikdy nebyly), protože existuje mnoho způsobů, jak se ke zprávám dostat. Toto platí zvláště pro chytré mobily, ovšem problémy s bezpečností se nevyhýbají ani těm „hloupým“.

Co je důvěryhodné zařízení

Každé zařízení se do sítě přihlašuje pod unikátním ID. Pokud používáte počítač, notebook, telefon či tablet denně, asi by vás nebavilo stále potvrzovat přihlašování. Proto existuje možnost označit dané zařízení jako „důvěryhodné“, tj. že jej máte plně pod kontrolou. Banka si otisk jeho ID uloží a může jí stačit pro přihlášení jen uživatelské jméno a heslo. Smazáním cookies v prohlížeči dojde i ke smazání tohoto oprávnění, nebo je můžete ručně odstranit v nastavení daného internetového bankovnictví.

Právě proto na pozadí často dochází ke kombinaci nejen dvou, ale více faktorů ověření. Přihlásíte se uživatelským jménem a heslem (1. faktor), do mobilu vám přijde informace, tu potvrdíte např. otiskem prstu (2. faktor) a mobilní aplikace si přes aktuální polohu na pozadí zjistí, kde se nacházíte (3. faktor).

Co se mění – teoreticky

Zatímco do 13. září 2019 se do svého internetového bankovnictví můžete přihlašovat (u některých bank) jen pomocí jména a hesla, od 14. září 2019 už to nepůjde. Banka vás musí ověřit ještě nějak jinak, např. tím, že vám pošle SMS nebo vám pípne v mobilu její aplikace, ve které přihlášení potvrdíte.

U transakce platební kartou to bude podobné s tím rozdílem, že vydavatel karty bude sledovat limit transakce, nebo souhrnné limity transakcí. Když si nebude jistý (podle rozpoznávání podvodných transakcí), zda kartu používáte vy, vyzve vás, abyste transakci potvrdili. Například potvrzením přes mobilní aplikaci, která vám pípne.

Nové ověřování 2FA od 14. září 2019

Služba
Co stačilo do 13. 9. 2019  Co má být od 14. 9. 2019
Internetové bankovnictví login + heslo login + heslo + něco dalšího (SMS, mobilní klíč v aplikaci, čipová karta, důvěryhodné zařízení apod.)
Mobilní bankovnictví login + heslo login + heslo + něco dalšího (PIN, biometrická data apod.)
Bezkontaktní platba kartou do 500 Kč nic, při platbě mobilem ověření přes PIN zařízení (poté bez omezení výše) do 30 € nic (cca 780 Kč), pokud však kumulativně od posledního ověření přesáhne 100 € (cca 2600 Kč), poté musí ověřit přes PIN, SMS, mobilní aplikaci apod.
Platba kartou fyzicky PIN PIN (beze změny)
Platba mobilem fyzicky PIN/biometrie zařízení nebo karty PIN/biometrie zařízení nebo karty (beze změny)
Platba kartou na internetu CVC nebo CVV kód, u 3D Secure transakcí přepsat kód z SMS první transakce se musí ověřit přes 2FA (SMS, mobilní klíč v aplikaci, čipová karta, speciální heslo apod.), poté lze provést 5 transakcí bez silného ověření (např. jen SMS), poté opět 2FA ověření
Důvěryhodní příjemci platby (např. uložená karta v e-shopu) ověření první platby ověření první platby (beze změny)
Opakované transakce, předplatné apod. se stejným příjemcem ověření první platby ověření první platby (beze změny)
Platební služby (PayPal apod.) ověření první platby ověření první platby (beze změny)
Bezkontaktní platby v MHD vždy bez PINu a bez ověření vždy bez PINu a bez ověření (beze změny)
Platby mýta na dálnicích a mostech vždy bez PINu a bez ověření vždy bez PINu a bez ověření (beze změny)

Co se změní – prakticky a v příkladech

Neznamená to však, že výše uvedené způsoby ověření se budou provádět automaticky. Vždy záleží na bance, záložně, úvěrové společnosti, vydavateli karty apod., jak vyhodnotí riziko daného přihlášení či transakce a jakou metodu k ověření zvolí. Pokud by v případě sporu finanční společnost zvolila méně bezpečnou metodu a došlo ke zneužití dat/peněz, měla by ztíženou pozici při vymáhání škody.

Směrnice doslova uvádí toto:

.. Je rovněž vhodné zavést výjimku pro poskytovatele platebních služeb, který hodlá neuplatňovat silné ověření klienta, a to přijetím účinných požadavků založených na rizicích, které zajišťují bezpečnost peněžních prostředků a osobních údajů uživatele platebních služeb. Tyto požadavky založené na rizicích by měly spojovat výsledky analýzy rizik potvrzující, že nebyly zjištěny mimořádné výdaje nebo vzorec chování plátce, přičemž se přihlíží k ostatním rizikovým faktorům, včetně informací o místě plátce a příjemce s peněžními prahovými hodnotami, které vycházejí z míry podvodů vypočítané pro platby na dálku.

Vyšší bezpečnost je vždy spojena s jistou mírou nepohodlí. Proto autor článku očekává, že české banky a vydavatelé karet budou volit několik kombinací ověřování tak, aby co nejméně zatížili svého klienta, a přitom zajistili jeho ověření.

Pro lidi i pro firmy

Povinnost silného ověření platí pro všechny, tj. pro soukromé osoby, podnikatele i firmy.

V praxi to může vypadat tak, že při běžných transakcích, které často provádíte (např. nakupování jízdenek v obvyklé výši) vám nepřijde žádná výzva o potvrzení transakce, ale při nákupu letenky již ano. Forma vašeho potvrzení může být různá vlivem vašich technických možností a toho, co banka používá (mobilní aplikace, speciální PIN nebo heslo apod.).

Stále dál platí, že i přes potvrzení transakce vám může zavolat zákaznický servis banky a preventivně ověřit již provedenou transakci.

Mám chytrý mobil

Pokud máte mobil s Androidem nebo iOS, bude pro vás vše snazší, protože se o vše postará aplikace vaší banky, pokud takovou má. To bude ale za podmínky, že máte aktivní datové služby. Bez nich totiž většina aplikací bude nefunkčních (s výjimkou aplikací, které umí generovat potvrzující mobilní autentizační klíče offline).

Máte Windows Phone? Máte smůlu, mobilní aplikace českých bank pro tento operační systém téměř skončily (posledním Mohykánem je WSPK, která aplikaci ukončuje k 15. 11. 2019).

Nemám chytrý mobil

S obyčejným mobilem budete vyšší zabezpečené potvrzovat přes příchozí SMS a přes speciální PIN nebo heslo, které vám banka pro tyto transakce přidělí. Chytrý mobil si ale kvůli tomu kupovat nemusíte. Třeba PPF banka chystá řešení v podobě e-PINu k debetním kartám.

Platím na AliExpressu a v dalších zahraničních e-shopech

Nová pravidla platí pro obchodníky a finanční společnosti registrované v EU. Zatímco AliExpress se jimi řídit nemusí, česká banka ano. V praxi by to proto mělo proběhnout tak, že jakmile zahraniční obchod provede autorizaci vaší karty, bude vás česká banka o tom informovat a vy transakci potvrdíte. A ano, speciálně na amerických e-shopech se může stát, že budete mít potíže s platbou, protože k autorizaci karty nezřídka dochází až se zpožděním. Ale to se časem srovná.

Platím ve veřejné dopravě, parkování a mýto

Povinnost 2FA se nevztahuje na bezkontaktní platby ve veřejné dopravě a při parkování. Potvrzovat platbu nemusíte ani při platbě mýta (typicky v Dánsku, Francii, Itálii, Polsku, Rakousku, Španělsku a Švédsku). Tuto problematiku připomínala polská bankovní asociace, podle které by se tím ohrozila plynulost provozu na dálnicích. Ale pozor, zda tyto výjimky budou fungovat, nastavuje vydavatel karty. Doufejme proto, že nedojde k situaci, kdy český držitel karty bude stát před mýtnicí a čekat na potvrzení transakce přes mobilní aplikaci bez dat…

(Ne)bezpečné mobily

Z pohledu finančního rizika je pro neznalého uživatele nejbezpečnější iPhone, protože mu dává velmi omezené možnosti naletět podvodníkům. Android naproti tomu dává možnost v mobilu udělat cokoli a spoléhá na edukaci majitele zařízení.

V obou případech je však tzv. root nebo jailbreak vstupenkou do problémů. Je to obdoba situace, kdy necháte dveře bytu otevřené s tím, že krást je přece protizákonné, tak to nikdo dělat nebude. Proto vám v případě „rootnutého/jailbreaknutého“ mobilu ani nepůjde instalovat bankovní aplikace, protože by nebylo možné spolehlivě zajistit jejich bezpečnost.

Česká národní banka sice varovala, že některé platební terminály nejsou na nová pravidla připravená, takže v prostředcích veřejné dopravy mohou karty odmítat a cestující si budou muset jízdné uhradit jiným způsobem, ovšem podle směrnice by k tomu dojít nemělo, protože ověření se pro tyto případy neaplikuje.

Co se stane od soboty 14. září 2019?

Nejspíše nic zásadního. Směrnice PSD2 byla zveřejněna v listopadu 2015. V platnost vstoupila 13. ledna 2018. Termín nasazení silné 2FA byl stanoven na 14. září 2019. Ale prováděcí předpis vydal Evropský orgán pro bankovnictví až 21. června 2019, tedy ani ne 3 měsíce před spuštěním.

Pokud nemáte potřebné informace, jak a co máte provádět, těžko můžete něco připravovat. Proto je téměř jisté, že banky a vydavatelé karet budou používat stávající, případně mírně vyšší prvky zabezpečení (např. vám přijde pro přihlášení SMS, zatímco stačilo jen heslo), a to po dobu několika měsíců. Mezitím budou pracovat na digitálních řešeních, např. v podobě mobilních aplikací. To potvrdila i ČSOB: Při platbách kartou na internetu ponecháváme současnou metodu ověřování SMS kódem. Zároveň pracujeme na ověřování internetových karetních plateb pomocí aplikace ČSOB Smart klíč, kterou již využíváme pro Internetové bankovnictví.

Česká spořitelna bude své klienty motivovat k přechodu na aplikaci George, která umí vše podstatné i pro autentizaci. Fio banka zabezpečení internetového bankovnictví zvýší tím, že když vyhodnotí nestandardní přihlášení, pošle vám autentizační SMS. A můžete si přidat libovolný počet důvěryhodných počítačů.

Equa bank, které stačilo pro IB přihlašovací jméno a heslo, bude nově posílat také SMS. A pro potvrzení platby bude kromě autorizačního kódu z SMS vyžadovat i heslo. Podobně bude postupovat mBank, která nově po přihlášení do IB pošle SMS, nebo jej potvrdíte v mobilní aplikaci. A častěji bude chtít PIN u bezkontaktních transakcí do 500 Kč. MONETA Money Bank bude umět od 11/2019 platby kartou u obchodníků na internetu potvrzovat pomocí mobilního telefonu otiskem prstu, face ID nebo pomocí hesla do mobilního bankovnictví.

Přibude pár ťukání do klávesnice nebo mobilu navíc, lidé budou lépe informovaní o rizicích, bezpečnost se zvýší a vše poběží dál. Klíč k bezpečí však vždy bude mít v rukou výhradně uživatel.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).