Platební karty nás v České republice provázejí od počátku devadesátých let a v současné době se najde jen minimum ekonomicky aktivních lidí, kteří nemají platební kartu. Mnoho klientů bank má dokonce platebních karet hned několik. Platební karty nám usnadňují život a umožňují nám pohodlně disponovat svými(debetní karty) nebo vypůjčenými penězi (kreditní karty). Když ztratíte peněženku, máte zpravidla smůlu a s jejím obsahem se můžete rozloučit. Při ztrátě platební karty je riziko menší, a jestli nepatříte mezi ty, co mají PIN napsaný vedle platební karty nebo dokonce na ní, nemusíte se tolik obávat. Ale přesto zde riziko je. Hlavní problém je v době mezi krádeží/ztrátou platební karty a její blokací. V tomto mezičase může její nálezce/zloděj kartu zneužít. Pravděpodobnost je sice malá, ale tyto případy se denně stávají.
Krádež v přímém přenosu
Nedávno jsem byl svědkem situace, kdy starší spolucestující ve vlaku byl okraden o osobní doklady včetně platební karty. Starší pán si vlivem stresu nebyl schopen vzpomenout, o jakou kartu šlo, jen věděl, že je ke sporožiru a nahlas všem říkal, že „to je ta karta 8712“ a má to na ní napsané. Všichni cestující ve vagónu v ten moment věděli PIN k jeho platební kartě. Příběh dopadl dobře, kartu jsme včas zablokovali, doklady se později našly na WC bez karty a peněz, ale k věci.
Tento skutečný příběh ukazuje na nejčastější způsob zneužití platební karty. Je málo pravděpodobné, že po krádeži karty například ve vlaku ve vedlejším voze již sedí jiný zloděj, je přihlášený k internetové síti a hned kartu „vysaje“ nákupy na internetu. Spíše si „nálezce“ karty kartu ponechá a prostě s ní zkusí zaplatit, zpravidla menší částku. Když transakce projde, zkusí větší a tak pořád dokola.
Bystrý čtenář namítne, že v době čipových karet se běžně zadává při platbě PIN. Má pravdu, ale záleží na tom, zda je terminál obchodníka na čipy již přípraven, což je u nás naprostá většina a hlavně na tom, zda je předkládaná karta skutečně čipová. Pro banky platí (zjednodušeně napsáno) pravidlo, že v případě zneužití platební karty nese náklady strana, která nebyla vybavena čipem. To znamená, že dojde-li na čipovém terminálu ke zneužití nečipové platební karty, odpovědnost leží na vydavateli karty a opačně.
I v dnešní době je stále mnoho vydavatelů karet, kteří čip z různých důvodů na své platební karty nedávají. Mezi takové patří například Cetelem, Citibank, GE Money Bank, mBank nebo společnosti Diners Club a American Express. Čip chybí i na kreditních kartách Visa od Raiffeisenbank či MasterCard od ČSOB. Vydání čipové karty je mírně nákladnější, než vydání karty nečipové, ale zároveň vydavatel této karty musí projít přísnými certifikačními a bezpečnostními procesy. Proto mnoho vydavatelů karet zatím změna na čip neláká nebo ji teprve plánují, neboť nepatří nebo nepatřila k jejich obchodním prioritám.
Bezpečnost až na prvním místě
Snaha vytvořit nejbezpečnější platební kartu existuje již od doby vzniku čipu na kartě, ale možnost výhradně čipových karet nás v nejbližších letech stále nepotká. Odpověď proč je jednoduchá. Nebyl by problém vytvořit (a podpořit například nařízením Evropské komise) bezpečnou čipovou platební kartu bez magnetického proužku. Na teritoriu Evropské unie by při placení zásadní komplikace nenastaly, zvláště pokud by banky musely povinně své terminály do stanoveného data převést na terminály čipové. Vycházíme-li z faktu, že všechny dnešní vydávané platební karty jsou s mezinárodní platnosti, pak existence pouze čipu by byla právě tím hlavním omezením, které by znemožnilo jejich použití v jiném státě. Mohlo by se pak stát, že k účtu byste měli platební karty dvě. Jednu čipovou a jednu s magnetickým proužkem, až pojedete mimo hranice Evropy.
Podobně jako v internetovém bankovnictví je otázkou, zda je lepší maximální bezpečnost nebo uživatelský komfort, je to s platebními kartami podobné. Pravda je někde uprostřed. Současné nároky na bezpečnost vyžadují existenci čipu na platební kartě, ovšem pro efektivní využití hlavní funkce platební karty – platit – je nutná i existence magnetického proužku. Mluvíme pak o tzv. hybridních kartách.
V České republice je v současné době naprostá většina terminálů obchodníků plně čipových. A v rámci interních pravidel české banky stanovily požadavek, že dojde-li k transakci čipovou kartou na čipovém terminálu obchodníka, nelze transakci provést jinak, než čipem. Pokud by obsluha zkusila použít magnetický proužek, transakce bude zamítnuta, přestože by karta byla plně krytá. To je velmi rozumná a spolehlivá cesta, jak lze omezit případní zneužití platební karty před jejím zablokováním.
Domácí vylepšovák
Svůj tip, jak ještě více vylepšit bezpečnost platební karty nám napsal čtenář Martin:
"
Pokud je vaší prioritou bezpečnost, tak si z bohaté nabídky platebních karet nevyberete. Přitom jde o jednoduchý požadavek na funkci karty: chci vybírat hotovost z několika málo bankomatů své banky a platit kartou velké nákupy v hypermarketech, o kterých vím, že mají platební terminály na čipové karty. V obou případech chci mít jistotu, že bude požadován PIN. A hlavně požaduji, aby karta neumožňovala nic jiného.
V současné době jsou však k dispozici v nejlepším případě pouze hybridní čipové karty, které kromě prakticky nezkopírovatelného čipu, mají i klasický magnetický proužek. A stále existují obchodníci, kteří mají platební terminály jen na magnetické proužky a navíc tak nastavené, že nevyžadují zadání PIN, ale vystačí s podpisem.
Pokud tedy někdo najde moji ztracenou kartu, nebo mi ji ukradne, nebo mi jen okopíruje magnetický proužek, tak mu karta umožní na zfalšovaný podpis utratit na vhodně vybraném místě velké částky z mého účtu.
Napadlo mě jednoduché řešení tohoto problému, které jsem se sice neodhodlal vyzkoušet na vlastní hybridní kartě, ale stálo by za redakční test: Zničit magnetický proužek na hybridní kartě! Přijdu tak sice o možnost platit u obchodníků, kteří nemají moderní terminály, ale to mi nevadí. Bankomaty jsou vesměs už na čipy.
Možná to však tak jednoduché není a proto by to bylo zapotřebí prakticky otestovat. Kdybych naopak zkusil zničit čip a ponechal proužek, dostal bych se asi u většiny moderních terminálů do problémů – z dat na magnetickém proužku zjistí, že karta je čipová a s proužkem se nespokojí.
Já však zamýšlím opak – deaktivovat proužek a ponechat čip. To moderním terminálům nemůže vadit, už proto, že se do nich karty zasunují jen tak mělce, že nemají šanci proužek přečíst. A navíc je běžné, že je proužek nečitelný, a kvůli tomu přece nebude odmítána karta s funkčním čipem.
Jde jen o to, poškodit proužek takovým způsobem, aby to nevzbudilo podezření u obchodníka. To by asi nastalo po seškrábání proužku ostrým předmětem. Lepší by bylo úplné smytí vhodným rozpouštědlem. Ještě čistší bude zničení dat velmi silným magnetickým polem – jak ale otestovat, že jsou data skutečně zničena a nějaký terminál je nepřečte?
Pak je také potřeba otestovat, zda kartu bez proužku budou i nadále přijímat bankomaty a čipové platební terminály. Pokud ano, máme jak jedni z prvních bezpečnou platební kartu.
"Jednoduchý návod umožní údajnou výrobu nejbezpečnější platební karty. Shrňme si to. Máte čipovou elektronickou kartu a demagnetizujete nebo jinak poškodíte magnetický proužek na kartě, takže z něj nebude možné přečíst informace elektronickým čtecím zařízením. Bude tato karta fungovat? Ano bude. Jenže je zde několik ale:
- Takto zničenou (nejde o úpravu, ale o úmyslné poškození) kartou provedete transakci pouze na čipových terminálech a bankomatech. Když chodíte do stále stejných obchodů, problém nepoznáte. Jenže mnoho obchodníků nejdříve projede kartu proužkem, a teprve když terminál napíše „vložte čip“, tak ho vloží. Když se proužek smaže magnetem, nebude na něj terminál reagovat nebo napíše chybové hlášení. Myslíte si, že by se vám podařilo poté přesvědčit obchodníka či obsluhu pokladny, ať si chybového hlášení nevšímá a použije čip?
- Že touto kartou prakticky nezaplatíte v zahraničí je více než jasné.
- Závažnější je, pokud si uvědomíme, komu platební karta patří. Pokud je vaše, můžete si na ni nakreslit obrázek, vyřezat ji do podoby květinky nebo se snažit odkódovat čip. Jenže platební karty vydávané v České republice jsou vždy majetkem vydavatele karty. Pokud úmyslně poškodíte vlastní platební kartu, poškozujete tak majetek banky.
Poškozovat platební kartu není dobrý nápad
Každému je jasné, že extrémní řešení v podobě trestního oznámení nikdy nenastane, ale je dobré si uvědomit, kdo je skutečným vlastníkem karty. To ostatně potvrzuje i Karel Kadlčák, předseda bezpečnostního výboru Sdružení pro bankovní karty: „Platební karta je vždy majetkem vydavatelské banky a klient ji má pouze v držení“, potvrzuje redakci Měšce problematiku s „návodem“ na bezpečnou kartu. „Je potřeba si uvědomit, že poškozenou kartu má navíc obchodník právo odmítnout. A nemusí dojít k fyzickému zničení magnetického proužku, stačí jen chybové hlášení terminálu“, varuje před „úpravou“ platební karty Karel Kadlčák.
Před lidskou hloupostí a vynalézavostí varuje i karetní odborník Ondřej Moravec, víceprezident karetních produktů Citibank: „Celý popisovaný proces je naprosto zbytečný, protože čipová karta je dostatečně bezpečná i s proužkem. Kdyby nebyla, nemělo by nákladné zavedení čipů žádný smysl a nikdo by do něj neinvestoval. Pokud někdo udělá podvodnou transakci s magnetickým proužkem a karta má čip, stojí reklamační pravidla zcela jednoznačně na straně držitele, a ten dostane své peníze velmi rychle zpátky. Hybridní čipová karta je dostatečně silnou zbraní proti krádežím, ztrátám i kopírování magnetického proužku. Samozřejmě nesmí držitel karty prozradit svůj PIN, protože pak mu nepomůže ani vysoce zabezpečený čip.“
Na zajímavý problém upozorňuje Mario Drosc z eBanky: „Upravovat jakkoli platební kartu nejen že není dobrý nápad, ale hlavně držitel karty podstupuje rizika, o kterých nemá ani tušení. Nehledě na to, že úmyslně poškozená karta může mít vliv i na výluky z případných pojistných smluv.“
Svět není dokonalý a nikdy nedocílíme absolutního bezpečí. Ani u platebních karet nelze z povahy věci zajistit jejich absolutní ochranu proti zneužití, protože právě tato ochrana by se mohla stát paradoxně ochranou i proti legitimnímu použití platební karty.
Co je Liability Shift
Liability shift je pravidlo, které při výrazném zobecnění říká, že při podvodné transakci platební kartou nese odpovědnost ta strana transakce, která neumožnila čipovou platbu. Jinými slovy pokud je zneužita čipová karta na terminálu, který čipovou technologii nepodporuje, platí způsobenou škodu banka, která provozuje terminál. V případě zneužití nečipové karty na čipovém terminálu jde škoda na vrub vydavatele karty. Toto je ovšem velmi obecný výklad základního principu, nikoli však skutečného fungování, ve kterém je zahrnuta spousta dalších podmínek a okolností.
Klíčové však je, že toto pravidlo je čistě mezibankovní záležitostí a rozhoduje při řešení sporů mezi bankami. Liability shift nemá žádný vliv na klienty – držitele platebních karet a nijak neomezuje nebo neovlivňuje jejich odpovědnost za kartu a realizované transakce. Práva a povinnosti držitele karty se řídí obchodními podmínkami, které klient stvrzuje při podpisu smlouvy o používání platební karty.
Řešeny byly už i reklamace, kdy držitelé odmítali odpovědnost za transakce ztracenou a nestoplistovanou magnetickou kartou s tím, že podle Liability shiftu nese odpovědnost banka a není jejich chybou, že neměli čipovou kartu. Každá taková argumentace je mylná a zcela nesmyslná, platí výhradně obchodní podmínky, které jsou součástí smlouvy.
ČLÁNKY DO MAILU