O platebních systémech: Apple, Google, Garmin, Fitbit, Xiaomi
Česká spořitelna je jednou ze tří bank, které podporují všechny moderní platební systémy typu Google Pay, Apple Pay, Garmin, Fitbit. Ale chybějí další: Xiaomi, Samsung Huawei Pay atd. Jak náročné je implementovat různé typy platebních technologií? Běžný čtenář si řekne: „Proč to nespustíte?“, ale co vlastně znamená ten pojem „spustit“ z pohledu banky – náklady, procesy, bezpečnost?
Každá nová mobilní peněženka pro banku znamená novou implementaci. Složitost takové implementace se různí a díky tomu, že Spořitelna již podporuje služby Apple Pay i Google Pay, jsou tu i velké synergie a možnosti části implementace využít. Vždy to ale znamená potřebu spolupráce a koordinace třetích stran, tedy výrobce hardwaru, karetních asociací a samozřejmě nás.
V těch nejjednodušších případech se jedná „jen“ o konfiguraci systémů, ale i tato změna obnáší pečlivé testování spolehlivosti a bezpečnosti celého řešení, úpravy procesů, aby každý jeden článek organizace měl všechny potřebné znalosti k nově připravované službě.
Což ale při množství zákazníků má větší dopady na banku, že?
I jen malé rozšíření je velmi senzitivní věc. V případě České spořitelny měníte nastavení služeb, které může mít nežádoucí dopad na více než 3 000 000 vydaných platebních karet. Takže i tomuto odpovídá pečlivost, kterou je tomu nutné věnovat, a to samozřejmě znamená, že si to vyžádá i čas nejen na naší straně, ale i karetních asociací, které jsou u těchto služeb nezbytnou součástí a naším partnerem.
A to stojí peníze.
Ano, není to věc, kterou zvládnete za jeden den, a od toho se odvíjí i náklady na zapojené týmy, ať již v bance, nebo u karetních asociací, případně za nové verze bankovních systémů, pokud je to třeba.
Takže potřebujete, aby to pak lidé skutečně používali, aby se to zaplatilo.
Když má banka povolit nějaký nový typ zařízení, ze kterého se bude platit, musíme mít samozřejmě jistotu, že to je to v první řadě bezpečné, funkční a že bude služba pro zákazníky snadno použitelná s rozumným rozšířením mezi zákazníky. Bylo by hezké dělat služby pro dva, tři zákazníky, ale to by bylo nákladově neobhajitelné. Proto jsme šli cestou podpory nejrozšířenějších platebních řešení – Apple Pay, Google Pay a také Garmin a Fitbit Pay.
Fitbit je ale spíše taková okrajovka, byť sám jej používám.
V době, kdy jsme Fitbit aktivovali, měl z podporovaných zařízení nejmenší počet zákazníků, přesto jsme na něj vsadili a nabídli ho zákazníkům.
A ostatní platformy?
Stejně jsme se bavili o Huawei Pay a dalších. Trh se ale rychle mění a často sám některé věci vyřeší za vás. Samsung třeba přemýšlel, že bude mít vlastní variantu pro mobilní platby, aby byl nezávislý na Googlu, zkoušeli to, neuspěli a teď s novou verzí jejich Wear OS začínají používat systém Googlu. Takže se tím vyřeší i problém zákazníků Spořitelny, kteří mají novější modely Samsungu, protože jim začne fungovat naše standardní služba Google Pay.
Ale nebráníte se dalším platformám.
Všechno má svůj čas. Je možné, že postupně nějakým způsobem přidáme i nové náramky, ale musí to být o tom, že musí být dostupné na českém trhu, musí být v rozumné míře rozšířeny mezi zákazníky, aby se to vůbec vyplatilo.
Hlavně si ale myslíme, že mobilní platby Apple Pay a Google Pay jsou tak rozšířené, že nemusíme mít úplně všechny produkty pro mobilní platby, které se na trhu objeví. Zákazník se pak ve službách ztrácí a není ani jednoduché vše podporovat, aby byl zákazník spokojený. Je lepší mít funkční portfolio a to podporovat a mít jistotu, že to opravdu funguje dokonale.
O Apple Pay a Google Pay. A jejich zákaznících
Je rozdíl mezi zákazníky, kteří používají Apple a kteří používají Android? Je rozdíl mezi zákazníky, kteří mají Garmin a Fitbit? A podobně?
Zákazníci Applu trochu vyčnívají. Obecně platí, a je to trend nejen u České spořitelny, ale celosvětově, že jde o zákazníky, kteří tyto služby využívají ve větší míře. Mají v průměru vyšší útraty i celkový počet transakcí, které pomocí hodinek/telefonů udělají. Pro banky je dobré i to, že tito zákazníci často aktualizují systém i aplikace a jejich zařízení nejsou většinou starší než dva roky.
A to se vám jako bance líbí, tomu rozumím.
Ano, díky tomu, že mají aktuálnější operační systémy a třeba i novější zařízení, je i z pohledu banky větší jistota, že služba je opravdu bezpečná, že tam nejsou žádné bezpečnostní hrozby.
A Android?
U Androidu jsou to v průměru levnější zařízení, kde je to analogicky horší i s podporou ze strany výrobců hardwaru. Samozřejmě i u Androidů jsou také high-end zařízení s velmi dobrou podporou aktualizací od výrobce, ale většinově jde o levnější telefony několik let staré, pro které už výrobce téměř neaktualizuje operační systém, a to může potenciálně přinést zranitelnost. Nicméně i tady ale využívání mobilních plateb roste na popularitě a zákazníci používají Google Pay stále častěji.
Jak probíhalo připojení do systémů Apple a Google?
Co nás hodně překvapilo a byli jsme rádi, že jsme do toho investovali, byl způsob, jak se tyto peněženky aktivují. Původně jsme počítali s tím, že jak u Apple, tak u Google budeme používat jenom nativní část, tak jak ji obě společnosti představili. Tedy máte nějakou aplikaci peněženky přímo od Apple nebo Google, která je ve všech zařízeních, a do ní si zákazník přidá svoji platební kartu a může začít platit.
Což funguje. Ale přes George kartu lze taky aktivovat. Jaký je v tom ale rozdíl?
Chtěli jsme mít bezpečnější a mnohdy pro zákazníka i jednodušší cestu. Proto jsme zvolili způsob, kdy Apple Pay a Google Pay jde aktivovat z našeho mobilního bankovnictví George. Toto je zákaznicky jednodušší cesta, mobilní bankovnictví zákazník běžně používá, přihlásí se a vidí seznam svých platebních karet. Pak jenom klikne na produkt a potvrdí, že na této kartě chce aktivovat Apple Pay nebo Google Pay.
Kterou cestu aktivace používají více?
V případě Google služeb více než 60 % uživatelů používá aktivaci přes naše mobilní bankovnictví George, protože došli k tomu, že Google je sice systém zadarmo, ale snaží se vydělávat peníze tím, že má všude nějaké reklamy a člověk na každé druhé obrazovce potvrzuje souhlas s nějakým dalším ujednáním. To se nevyhnulo ani aktivaci Google Pay v telefonu, kde reálně je třeba o tři nebo čtyři obrazovky navíc a tím, že to zákazník aktivuje z bankovnictví George, je to pro něj intuitivnější a rychlejší.
Takže mobilní karty v Androidu si lidé aktivují primárně přes vaši aplikaci George?
Přesně tak. U Androidu jdou cestou bankovnictví, u Applu jdou cestou nativní aplikace. U Apple si to vysvětlujeme dvěma způsoby.
Zaprvé, ač to neradi přiznáváme, tak samozřejmě kvalita nativní Apple aplikace, která je velmi zaměřená na jednu jedinou funkci, bude vždycky o trošku lepší než to, co je schopna nabídnout banka.
Zadruhé, většina tokenizací byla v době, kdy jsme ještě možnost jít přes bankovnictví neměli, což bylo dva roky zpátky. Když jsme v ČR Apple Pay spustili, tak stejně jako u ostatních bank to byl šílený fičák, kde to rostlo každý den o tisíce nových aktivací. Když jsme představili aktivaci přes aplikaci George o rok později, tak už nebylo příslovečně kde brát, většina báze klientů už byla onboardována. Navíc tomu pomáhá i fakt, že když dostanete nový telefon nebo jej obnovujete, tak Apple je věrný svým postupům. Snaží se zákazníka maximálně udržet a udělat mu všechno jednoduché. Proto jeden z prvních kroků aktivace zařízení je: „Nechcete si aktivovat Apple Pay?“ To zákazníka navede udělat aktivaci Apple Pay dříve, než si vůbec nainstaluje aplikaci, a následně si přidat kartu tam.
Jan Dachovský
Jan Dachovský, specialista na bezpečnost platebních systémů, Česká spořitelna (11/2021)
- Absolvent ČVUT v Praze.
- V průběhu 90. let mu učarovaly počítače a rané fáze zavádění internetu pro první komerční subjekty.
- Později se věnoval inovačním produktům v mobilním operátorovi Eurotel (dnes O2).
- Posledních 12 let pracuje v bankovním sektoru, kde se primárně věnuje implementaci nových systémů pro digitální bankovnictví.
- Poslední 2 roky se v České spořitelně zaměřuje na oblast plateb, zejména jejich zabezpečení.
O rozdílech mezi Apple a Google ve vztahu k bankám
Je implementace mobilních platebních řešení pro banku reputační záležitost, nebo je to byznysová věc? Protože není tajné, že třeba Apple si nechává za používání Apple Pay platit.
V Applu je to opravdu placená služba a není mi známo, že by to v jiných bankách bylo jinak. Takže Applu jsme se zavázali platit z každé jedné transakce nějakou procentuální část.
Když jsem si u konkurenční Raiffky aktivoval Apple Pay a nic s kartou neudělal, přišla mi po několika týdnech pobídka, že když s ní zaplatím do tehdy a tehdy, dostanu bonus asi 150 Kč. Takže chápu správně, že mi jej banka nedává z lásky ke mně, ale protože musí kvůli smlouvě s Apple?
Je to tak. Zavázali jsme se k tomu, že když zákazník nedokončí aktivaci mobilní peněženky, tak se ho budeme snažit k tomu nějakým způsobem „motivovat“ dodatečnou komunikací a pobídkami, aby si službu aktivoval. Nicméně v našem případě nejsou takové aktivity nutné, zrovna uživatelé Apple Pay jsou z těch, co aktivační proces rychle dokončí a hned používají.
A jak se chová Google?
Přístup Googlu je trochu jiný, a tím neříkám, že je špatný, tam to bylo: „Tady je naše další služba, můžete ji bezplatně začít používat, my za ni nic nechceme.“ Když to přeženu, řekli nám: „My vyděláváme na reklamách, neřešíme tedy nějaký šílený šelmostroj a účtování za realizované transakce.“
Zcela odlišný byznys model.
Ano, tyto dvě firmy se rozhodně liší. A je to velmi vidět i při vlastní implementaci, kde v případě Applu jsou na banky opravdu striktní a je jasně dáno, jak má služba pro zákazníka vypadat, a nelze uhnout ani o píď. Navíc vše podléhá detailní certifikaci, což samozřejmě znamená nemalé finanční i časové náklady. Na druhou stranu Apple nabízí adekvátní support, a to nejen před spuštěním, ale i během používání služby.
V případě Googlu je můj pocit takový, že to je přehnaně taková trochu garážová firma, kde řeknou: „Tady máte online potřebnou dokumentaci, takovéto chování očekáváme, tak to dle toho implementujte. Když budete mít problém, tak zavolejte, ale my si myslíme, že to je v pohodě, takže to pusťte, kdy chcete, a ono to bude fungovat.“ Hodně to přeháním, ale takový je jejich přístup.
O bezpečnosti digitálních karet
Roste stále počet digitálních karet?
Lidé si už zvykli karty do terminálů nevkládat, ale jen přiložit, pípnout. Když je to do pětistovky, tak se nemusí ani ověřovat, když je to větší částka, tak se musí ověřit PINem. Ruku v ruce rostou mobilní peněženky, dneska člověk, když to přeženu, bez telefonu nejde skoro ani na záchod. Když jdete ven, tak s sebou máte telefon, tudíž je super tam mít i platební kartu. Obliba mobilních peněženek proto stále roste.
Jak lidé vnímají bezpečnost digitálních karet v zařízeních?
Nejsem si vědom, že by se někde nějakým způsobem zásadně diskutovalo nebo řešilo to, že by byly zranitelnými technologie Apple, Google nebo Fitbit a Garmin.
Tam, kde vznikají podvody a kde jsou problémy, s kterými banky bojují a snaží se je řešit, je to nejslabší místo, které je hned na začátku, a tím je uživatel. Když dojde k fraudům, tak je to víceméně o tom, že lidé jsou dnes strašně důvěřiví. Buď naletí přímo na nějakou phishingovou kampaň, kde sdělí své číslo karty / PIN, anebo se chytají na nové podvodné metody typu vishing a podobně, kdy vám někdo zavolá, anebo vás potká na ulici.
Byly případy, kdy to byl kurýr, který na lidech tyto údaje vymámil. Lidé vyzradí údaje své platební karty, pak dokonce ještě přepošlou ověřovací kód pro aktivaci a útočník tímto způsobem zneužije jejich platební kartu. Protože jakmile dostane údaje vaší platební karty a ověřovací kód, tak si vytvoří digitální kopii této platební karty a veškeré následující transakce jsou pro všechny důvěryhodné, jsou korektně ověřeny otiskem prstu nebo scanem obličeje.
Když si chci přidat kartu do Apple/Google Pay, tak ji jen přidám, přijde potvrzovací SMS, tu přepíšu a je vymalováno. Je to dnes stále bezpečné?
Myslím, že banky ze začátku hodně podcenily úvodní tokenizaci, ale ono to bylo poplatné době, protože ta se taky trošku vyvíjí. Nevěnovaly dostatečnou pozornost, že když si aktivuji Apple Pay, Google Pay, tak opravdu nestačí, že přepíšu údaje karty a pak jenom vložím SMSkový kód. Ale ze strany banky za tím musí být ještě poměrně sofistikovanější analýza, zda takovou operaci vůbec povolit. Musíte mít opravdu jistotu, že ten telefon není nějakým způsobem napaden třeba nějakým malwarem, který bude například odposlouchávat kódy, a hlavně že aktivaci dělá opravdu ten, komu byla karta vydána.
Jak to ověřujete?
Když mi banka vydá platební kartu, tak jeden z údajů, které u karty banka eviduje, je telefonní číslo pro případné zasílání SMS, kontaktování atd. A to samé vím u mobilního telefonu. Když se do mobilního telefonu pokouším kartu tokenizovat, měla by se tato čísla až na mimořádné případy shodovat, a stejně tak jako lokalita, kde se zrovna telefon nachází, by neměla příliš vybočovat z běžného chování uživatele.
A když obdržené údaje nesedí?
Když tyto údaje nesedí, tak by banka logicky měla předpokládat, že není něco v pořádku, a brát tento požadavek jako rizikovou transakci. Že třeba útočník získal údaje karty a snaží se do svého telefonu aktivovat cizí kartu. To samé může být, když víte, že karta je vydaná Českou spořitelnou, a někdo se pokouší kartu tokenizovat ve Francii, v Polsku apod… To je další věc, která by měla být brána se zřetelem.
V některých případech by se tokenizace měla zakázat. Což ve Spořitelně už skoro rok děláme a od té doby, co se nastavila takováto striktní omezení a dodatečné kontroly, tak jsme tyto fraudy, kdy byla zneužita peněženka, téměř eliminovali. Ale neděje se to úplně všude.
Na druhé straně si dokážu představit situaci, že já budu v Francii, ale ztratím veškeré karty, SIMky, mobil. Musím si koupit nový telefon a francouzskou SIM. Připojím se k francouzské Wi-Fi. Nechám si udělat nějakou rychlou kartu a v té Francii si ji nechám tokenizovat. Ale jsem Čech a váš klient.
Abyste udělali takové rozhodnutí, o kterém mluvím, tak do rovnice musíte dávat víc proměnných. Nepovolit tokenizaci třeba jen na základě toho, že jste zrovna ve Francii, sice jde, ale dopad, tím myslím zákazníky, kteří byli validní a vy jim službu nepovolíte, by byl veliký a nežádoucí.
Takže musíte začít zohledňovat i další věci a k tomu hodně pomáhá jak Apple, tak Google, protože samozřejmě i jim záleží na tom, aby nebyly s tímto typem služeb spojeny podvody a následně nespokojení zákazníci. Jak u Applu, tak u Googlu musíte mít telefon a na něm být přihlášený s aktivním účtem, v telefonu musí být nastaveno nějaké základní zabezpečení, jinak tady služba nejde ani aktivovat.
Nad rámec tohoto základu v rámci procesu aktivace karty v mobilním telefonu posílají dodatečné informace: „Tento uživatel si za poslední týden aktivoval pět nebo šest platebních karet, za nás je nestandardní chování.“ Nebo: „Je to nový uživatel, teď se zaregistroval a nemáme žádnou historii jeho chování, buďte taky opatrní.“
Velcí hráči Apple a Google vám posílají bezpečnostní reporty?
Posílají nějaký set informací a tato behaviorální data je potřeba vyhodnotit a z toho vám vyjde výsledné číslo, jestli této aktivaci věřit, nebo ji raději zakázat a případně kontaktovat zákazníka. Nicméně i když tím krokem projdete, je velmi žádoucí mít finální potvrzení, že vznik digitálního klonu karty chce opravdu její oprávněný držitel Franta Novák.
Předpokládám, že ten další krok potvrzování bude postupně směřovat do aplikací s podepisovacími klíči, že?
U nás to teď děláme tak, že i aktivaci mobilní peněženky budeme jako první banka v České republice povolovat v naší bezpečnostní aplikaci George klíč. Od tohoto kroku si slibujeme, že s podvody nebo zneužitím jako takovými definitivně skoncujeme.
Ale i George klíč lze zneužít.
Samozřejmě, že teoreticky může útočník zneužít i George klíč, dnes je možné téměř cokoli, je to jenom otázka peněz a úsilí, které do toho ten útočník chce dát. Ale už mu to za to nebude stát, protože by musel ukrást identitu zákazníka, aktivovat si George klíč, kde je bezpečnostních kontrol velké množství. Pro útočníka je výrazně jednodušší jít a zkusit to s jinou kartou jiné banky, když už ne v Čechách, tak v cizině.
Protože, jak opakuji, zatím ne všechny banky jsou takto pečlivé a bohužel z pohledu útočníka je zatím kde brát. Až dojdeme do stavu, kdy všechny banky budou stejně zabezpečené, což určitě ještě nějaký rok potrvá, jelikož to není snadná a triviální věc, tak útočníci pokusy zneužít mobilní peněženky úplně opustí, nutno ale dodat, že se pravděpodobně pokusí zneužít jinou službu nebo technologii.
Takže technologie bezkontaktních plateb přes tokenizaci je bezpečná, ale pořád se motáme u uživatele a jeho finanční gramotnosti, je to tak?
Upřesnil bych to tak, že problém s uživatelem je jen na začátku, když se karta aktivuje. Následné užívání si opravdu výrobci hardwaru, banky a karetní asociace hlídají tak, že už standardně neumožní používat peněženku, aniž by ten telefon nebyl dostatečně zabezpečený třeba PINem nebo otiskem prstu, i když ono je to vlastně to samé. Když uživatel bude trumpeta a někomu řekne svůj PIN, tak tomu není pomoci.
A zároveň vám k tomu sami výrobci operačního systému, tedy Apple a Google, pomáhají tím, že vám posílají data, abyste s nimi mohli dál pracovat kvůli větší bezpečnosti.
Přesně tak. Tohle by mělo být u každé banky tak, že to vstupuje do nějakého komplexního profilu. Já vím, že pro lidi může vypadat děsivě, že o nich banka ví hodně, ale na druhou stranu jsou to zákazníkovy peníze, o které se banka stará, je za ně odpovědná, a musí tak mít jistotu, že s nimi nakládá tak, jak má.
Na jednu stranu vám zákazník řekne: „Vy mě sledujete, vy o mně víte všechno, to se mi nelíbí“, ale když dojde k nějakému problému a banka je schopna zachránit jeho třeba celoživotní úspory, tak většina těch zákazníků to najednou začne vidět úplně jinak. Je to rozhodně citlivé, je potřeba najít tu správnou míru, ale zrovna v případě bank, kdy celý tento segment podléhá velmi komplexní regulaci a dohledu, si myslím, že problém zneužití nehrozí.
Z pohledu počtu transakcí převažují transakce ryze digitální, tedy mobily a chytrá zařízení, nebo stále vedou klasické plastové karty?
Plastových karet je určitě víc, mobilních peněženek je 20–30 procent, ale roste to. Přes půl milionu klientů už platí tokenem a každý čtvrtý primární klient už dnes u Spořky platí mobilem.
Jsou banky, které podpisové klíče implementují do jedné aplikace a mají jen jednu. Bude to i u Spořky? Spojí se George klíč s Georgem?
Tyto debaty určitě vedeme, validní jsou obě dvě varianty. Pro někoho bude dávat smysl mít jednu komplexní aplikaci a já osobně bych to využíval. Ale dokážu si představit i skupiny zákazníků, pro které to moc smyslu nedává, respektive bojí se do takové varianty jít.
Představte si třeba firemního klienta. Když ve dne spravuju finance firmy a večer svoje, tento typ klientů nechce mít jednu aplikaci, tudíž je pro ně jednodušší, když budou mít nějakou aplikaci, kterou budou potvrzovat korporátní transakce, a pak bokem druhou aplikaci, kde mají svoje soukromé platby. Takže i tyto debaty vedeme a je možné, že se v budoucnu dostaneme do stavu, kdy bude pouze jedna aplikace George.
Vývoj George probíhá v Česku, nebo probíhá na bázi celé Erste a pak se jen lokálně přizpůsobuje podle jednotlivých trhů a států?
Aplikace George klíč je vyvíjena lokálně, to je jenom náš lokální vývojářský tým. Funkčnosti mobilní aplikace George se naproti tomu tvoří jako univerzální pro celou skupinu Erste. Tento vývoj je v kompetenci centrálního týmu v Rakousku. Snaha je mít řešení, které řeší specifika jednotlivých zemí (a ta stále budou), ale zároveň využít maximum synergických efektů, kdy je velká část funkčnosti podobná.
Děkuji Vám za rozhovor.
