Hlavní navigace

Dejte mi vaše hesla, zaplatím to za vás. Hazard s penězi, který ještě pár let neskončí

Autor: Shutterstock

Platíte v tomto e-shopu často? Dejte nám své údaje, zaplatíme to za vás, budete to mít pohodlnější. Třetí strany nabízejí služby, jejichž využíváním porušujete smlouvu s bankou. Kdykoli navíc můžete přijít o všechny peníze.

Chystá se implementace směrnice o platebních službách – PSD2, neboli direktiva Evropské komise týkající se bankovních služeb. Má být implementována do 13. ledna 2018. Účelem je zvýšení společných rysů poskytování určitých služeb v jednotlivých evropských zemích, ale i posílení ochrany spotřebitele a regulace nových digitálních služeb, které jsou sice současně poskytovány, ale nikoli regulovány.

Tito hráči už se na poli poskytování finančních služeb pohybují, ale nemají licenci od ČNB. To je v pořádku a je to zcela legální. Po zavedení směrnice však budou muset požádat o licenci u ČNB a na základě této licence pak své služby nadále poskytovat.

PSD2 je evropská směrnice, kterou musejí členské státy implementovat do svého právního řádu. Má za cíl nastavit jednotné podmínky v oblasti platebního styku v evropských zemích a posílit ochranu spotřebitele.

V platnost vešla 13. ledna 2016, její účinnost nastane 13. ledna 2018. S nástupem účinnosti nahradí stávající směrnici PSD.

Jedná se tedy o definici pravidel pro poskytování bankovních a finančních služeb pro banky, ale i nebankovní společnosti a FINtech společnosti.

V duchu implementace vypracovalo Ministerstvo financí návrh zákona o platebním styku, který byl ale poměrně nepřehledný a bylo tedy nutné jej předělat. Jeden příklad za všechny – v rámci novely se například vyskytují paragrafy, kterým již došla písmenka, kterými jsou jednotlivé body označovány. Nalezneme tam tedy např. paragraf XY, písm. aa), ab) apod. U této novely již proběhlo připomínkové řízení a v současné době je před 2. čtením v poslanecké sněmovně. Tyto informace vyplynuly z diskuze s Tomášem Hládkem, odborníkem České bankovní asociace na bezpečnost v online prostředí.

Co se mění

Na základě implementace směrnice PSD2 se zásadním způsobem mění poskytování informací a údajů o klientech banky třetím stranám. Banky budou mít nově povinnost sdělit oprávněným institucím, jestli eviduje účet na jméno osoby, kterou daná instituce poptává.

V praxi bude existovat seznam oprávněných institucí, které se budou skrze datové schránky ptát u ČNB na existenci těchto účtů. Vše ale bude probíhat na základě automatického procesu, v ČNB nebude sedět oprávněná osoba, která bude vše ověřovat. Předpokládá se určité technologické řešení formou API. O tomto tématu informoval před časem i server Lupa.cz v článku Fintech revoluce pokračuje. Ve jménu PSD2 budou muset banky otevřít svá API.

Pokud zažádá oprávněná instituce, automaticky dostane systémem vygenerovanou odpověď. Jestli ale osoba, která přes datovou schránku požadavek vznesla, patří mezi osoby, které mají oprávnění takové kroky učinit, to už ČNB nemá šanci zjistit a je na každé instituci, aby si to ohlídala. Když se to nepodaří, mohou se vaše údaje dostat do rukou cizím osobám. Vy jako majitel účtu se o ničem z toho nedozvíte. Vy pouze na začátku vyjádříte souhlas s tím, jestli tato či tamta instituce má právo žádat o vás tyto informace. Pokud souhlas neudělíte, třetí strana o vás informace nezjistí.

Dejte mi údaje, zaplatím to za vás

Některé společnosti již souhlas od klientů získaly a k jejich datům se dostávají již nyní. Klienti, kteří ale tento souhlas udělili, vlastně porušili smlouvu, kterou mají uzavřenou s bankou. A provádějí navíc poměrně nebezpečnou hazardní hru.

Představte si následující situaci: Chystáte se s rodinou na dovolenou a vše si zařizujete sami. Kupujete letenky přes internet a letecká společnost vás nasměruje na možnosti platby. Vedle těch klasických jako převodem z účtu na účet či online platební bránou se zde ale objeví i nové tlačítko – nová možnost platby. Tuto novou možnost platby poskytuje právě ona třetí strana – společnost, která poskytuje takovéto bankovní služby, ale bez licence ČNB. To je v pořádku, na tyto služby licenci ze zákona nepotřebuje. Ani tak se ale nemusí jednat o bezpečnou cestu platby.

Vy jste ale zvědaví, rádi prozkoumáváte nové možnosti, tak na nové tlačítko kliknete. Poskytovatel vám zobrazí informaci, že pokud létáte často a nebaví vás pořád vypisovat údaje z karty a následně autentizační kód z mobilu, můžete využít této nové vymoženosti, aplikace, tlačítka. A ona ta aplikace vše udělá za vás. Zabere vám to méně času. Jen kliknete a automaticky proběhne platba. Karta zůstane pěkně v peněžence a mobil na stolečku.

Háček se skrývá v tom, že tato aplikace po vás chce přístupová hesla a přístupové údaje do vašeho internetového bankovnictví. Výpočetní systém této aplikace se připojí k vašemu internetovému bankovnictví vaším jménem a heslem, jelikož jste jim dali souhlas, a chová se tam jako vy coby klient. Je to ale stroj, a tak prostě a jednoduše přečte strojově to, co je na obrazovce (tzv. screen scraping). Podle nastaveného mustru pak vyplní do potřebných kolonek platební údaje a odešle platbu. Celá akce zabere pár vteřin. A ano, najdou se lidé, kteří tyto informace poskytnou a podobných služeb využívají.

Porušení smlouvy s bankou

Vlastně tím ale porušujete smlouvu s bankou. Ta v obchodních podmínkách jasně uvádí, že nesmíte tyto údaje poskytovat třetí straně. Poskytnutím přístupových práv třetí osobě tak smluvní vztah s bankou porušujete. Banka by tak mohla od smlouvy odstoupit. To je ale ten menší problém. Mnohem závažnější je, že jste dali přístup ke svým penězům, úsporám, výplatě někomu úplně cizímu.

Tato společnost se pak navíc dostane ke všem údajům, které o vás banka vede. Nejen platební údaje, na které by podle nové směrnice PSD2 měly tyto společnosti nárok, ale i k dalším údajům. Jestli máte u banky úvěr, hypotéku, dlužíte něco bance a jste po splatnosti. Tedy to, co je pouze mezi vámi a bankou a s platebním stykem a placením letenek to nemá nic společného. Jak poskytovatel aplikace tyto data využije, to se těžko dozvíte.

Podobných služeb, které žádají vaše údaje a na oplátku za vás platí, co je třeba, je v České republice několik. Výměnou nabízí i různé benefity, bonusy, výhody a další lákadla. Jak snadné je případné zneužití, je evidentní. Zatím k němu nedošlo, případy hlášeny nejsou. Ale dojít by k němu mohlo. A to poměrně jednoduše. Právě tomu by měla zabránit nová směrnice. Ta je ale v nedohlednu.

Toto se v budoucnu změní

Ačkoli v současné době je to tak, že poskytnutím údajů porušujete smlouvu s bankou, právě směrnice PSD2 toto upravuje. Nově budete mít vy jednu smlouvu s bankou a druhou smlouvu se třetí stranou – provozovatelem aplikace. Na základě toho on požádá banku, aby o vás vydala příslušné informace, protože vy jste to dovolili a banka musí tato data zpřístupnit oprávněným institucím. Vaším souhlasem se tak třetí strana stala oprávněnou institucí. Rozsah pravomocí pak bude dán tím, s čím vyjádříte souhlas.

V současné době se tedy tyto aplikace a poskytovatelé služeb dostanou k vašemu internetového bankovnictví a vidí tam vše. Ke zneužití zatím nedošlo, žádný účet vykraden nebyl, ale mohlo by, a to velice jednoduše. V budoucnu, po zavedení PSD2, budou tito poskytovatelé získávat informace pouze skrze banku, a to na základě oné směrnice, která jim umožňuje si některé informace vyžádat.

Nyní, pokud vám někdo vykrade účet, je to vaše chyba a vina padá na vás. Pokud se to stane v budoucnu po zavedení směrnice, jde škoda za bankou. Ačkoli ona s třetí stranou žádnou smlouvu nemá a informace poskytnout musí.

Máte problém? Může za to banka

Problém, který se řeší na poli evropském, ale dotýká se i České republiky a českých spotřebitelů, se týká právě oné směrnice, která upravuje technické regulatorní standardy. Ta sice existuje, je sepsaná, ale chybí jí takzvané regulatorní technické standardy. Ty určují, jakým způsobem má probíhat bezpečná komunikace mezi bankou a jakousi třetí stranou – poskytovatelem bankovních služeb.

Návrh těchto standardů existuje, ale nebyl schválen, jelikož Evropská komise k němu má určité připomínky a EBA jej musí přepracovat. Po správném vypracování musí tuto směrnici schválit také Evropský parlament. K tomu by sice mělo dojít v říjnu či listopadu 2017, ale po schválení má navíc směrnice 18měsíční čekací dobu. Účinnosti nabývá až po uplynutí této lhůty. Nejdříve na jaře roku 2019 tedy budou existovat pravidla pro autentizaci a bezpečnou komunikaci.

Pokud v tomto časovém vakuu dojde k úniku dat, odpovídá za to banka. Ta vás musí odškodnit a následně hledat viníka. Ten ale nemusí být pouze z České republiky, kde by se viník dal dopátrat snadněji. Vzhledem k tomu, že mají být stejné standardy pro celou EU, může být například z Malty či jiného členského státu. A tam se budou banky dopátrávat poměrně hůře, natož aby po viníkovi vymáhaly úspěšně škodu.

Našli jste v článku chybu?