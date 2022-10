Potvrzovací SMSky začínají být out. Aspoň některé banky si to myslí a snaží se přimět své klienty k používání mobilních aplikací. Některé to dělají trochu natvrdo.

I banky, které ke zrušení potvrzovacích SMS nepřistoupily, se ale snaží klienty nasměrovat na jiné způsoby ověřování. Hlavně na mobilní autorizační aplikace. Ty mohou představovat jakýsi kompromis i pro klienty, kteří nechtějí mít v telefonu mobilní bankovnictví. Přes tuto aplikaci (často má v názvu slovo „klíč“) se totiž do účtu nedostanete, slouží jen k tomu, abyste se do účtu dostali na jiném zařízení nebo v ní jen potvrdili platbu či změnu nastavení v internetovém bankovnictví.

Odděleně používá autentizační mobilní aplikaci a mobilní bankovnictví například ČSOB, Komerční banka nebo Raiffeisenbank. Například u Air Bank, Creditas, Fio banky nebo mBank je naopak autorizační aplikace součástí mobilního bankovnictví. V některých případech je ale možné funkce mobilního bankovnictví zamknout a ponechat si aplikaci pouze na ověřování.

Nejde o novinku, dvě banky omezily SMS už dřív

Letos ohlásila omezení potvrzování přes SMS ČSOB a také MONETA Money Bank. O podrobnostech se rozepíšeme později. Na úvod je třeba ještě poznamenat, že to není nic, co by zde už trh neviděl, ačkoli poprvé jde o omezování v takovém rozsahu.

Začátkem minulého roku totiž SMS ověření při platbě kartou na internetu omezily už Hello Bank! a UniCredit Bank. Klienti musí v tomto případě platbu potvrdit v mobilní aplikaci. Jen s tím rozdílem, že Hello Bank! má ve věci militantnější přístup než UniCredit Bank, která výjimečně potvrzovací SMS ještě toleruje.

Hello Bank! mobilní aplikaci vyžaduje pro platbu kartou u obchodníků z EU, kteří používají technologii 3D Secure.

Omezit potvrzování plateb přes SMSky plánovala i Air Bank, která ale nakonec couvla a možnost klientům ponechala. Stejně jako ostatní banky, které pro platby kartou na internetu v důsledku unijní směrnice PSD2 většinou k potvrzovacím zprávám zavedly tzv. ePIN.

ČSOB omezí autorizaci v mobilním bankovnictví

Omezování potvrzovacích SMSek oznámila letos ČSOB. Od ledna 2023 bude jako jediná autorizační metoda pro online platby v ČSOB Smart fungovat aplikace ČSOB Smart klíč, uvedl mluvčí Patrik Madle.

Aplikací ČSOB Smart klíč, která pro potvrzení používá otisk prstu, rozpoznávání obličeje nebo PIN (i pro infolinku), nebude nutné potvrzovat všechny online platby.





Banka bez nutnosti potvrzování ponechá:

posílání částek do 500 Kč,

převody mezi vlastními účty,

platby příjemcům, které klienti v minulosti označili jako důvěryhodné.

Na bezpečnost jsou stále vyšší nároky a Smart klíč je nejen naplňuje, ale i převyšuje. Není třeba nic opisovat, minimalizuje se chybovost, autorizace je tím mnohem rychlejší i pohodlnější, a navíc jsou veškerá data pro ověření zašifrovaná, uvedl Madle k důvodům, proč se ČSOB rozhodla SMSky omezovat.

Potvrzování ČSOB umí i v případě výpadku signálu nebo nedostatku dat v mobilu: Na přihlašovací stránce do internetového bankovnictví zadá klient své údaje a z internetového bankovnictví načte Smart klíčem QR kód. Smart klíčem vytvořený bezpečnostní kód pak zadá zpět do internetového bankovnictví. Přes QR kód také potvrdí platby a další transakce, popsal nám Madle záložní způsob potvrzování. Upozornil však, že funkci offline potvrzování nelze použít pro potvrzování online plateb kartou.

Klienti bez aplikace ČSOB Smart klíč se od nového roku sice do aplikace ČSOB Smart přihlásí, ale jak Madle upozornil, nebudou ji moci využívat plnohodnotně. V případně potřeby jakéhokoliv úkonu, který vyžaduje autorizaci, mu bude požadavek zamítnut, upozornil Madle.

Pro přihlášení a potvrzování plateb v internetovém bankovnictví se naopak nic nezmění. SMS autorizace zůstane zachována, ale s nutností zadávat heslo z ČSOB Identity. To bude pro klienty bez chytrého telefonu tedy jediná možnost, jak účet ovládat online. Smart klíč je možné samozřejmě využít i pro potvrzování v internetovém bankovnictví nebo nákupy kartou.

Chytrý telefon může být pastí, stejně jako SMS Poznámka šéfredaktora Autorizační aplikace v chytrých mobilech jsou skutečně velmi kvalitním a bezpečným nástrojem pro bezpečné potvrzení transakcí. Ale jen tak bezpečným, nakolik je uživatel mobilu finančně gramotný. V zásadě je totiž jedno, zda klient banky přepíše z „hloupého“ mobilu autorizační SMS to podvodného formuláře, anebo podvodnou transakci potvrdí přímo v autorizační aplikaci. Současná vlna phishingových a vishingových podvodů počítá i s aplikacemi pro autorizaci plateb a dalších transakcí. Podvodník klientovi zavolá a řekne mu, že mu právě posílá kód, ať to jen ve svém mobilu potvrdí. Jeden vyťukaný PIN, dotyk prstu či sken obličeje a transakce je potvrzena. Že jsou někteří lidé bez ohledu na vzdělání skutečně finančně negramotní a nepomůže jim ani bezpečná aplikace pro potvrzení transakcí, dokazují každodenní příběhy (nejen) z inzertních serverů, kde podvodníci své oběti loví. Anebo obětem volají přes náhodná čísla. Nemálo podvedených (a bohužel hloupých) lidí tyto transakce potvrdilo právě přes autorizační aplikace. Tlak na povinné autorizační aplikace tak je výhodný primárně pro banku, protože za SMS se platí, kdežto push zpráva jde přes internet. Naopak kombinace „hloupého“ mobilu, na který přijde autorizační SMS a musí se přepsat (např. do chytrého mobilu, počítače apod.), zabezpečení nesnižuje, protože jde o oddělený autorizační kanál. Případný softwarově napadený mobil tak opět vyžaduje aktivní reakci uživatele. Chytré mobilní zařízení si samo autorizační SMS nepřečte, protože ta přichází na jiné zařízení. Lidská blbost je však odolná i proti moderním zabezpečením. Přísloví, že nejslabším článkem zabezpečení je jeho uživatel, je stále platné.

MONETA omezí autorizaci i v internetovém bankovnictví

MMB přistupuje k omezování potvrzovacích SMS ještě razantněji. Od začátku příštího roku budou klienti potřebovat pro využití internetového bankovnictví mobilní aplikaci Smart Banka, která umožňuje přihlášení pomocí otisku prstu, rozpoznávání obličeje (Face ID) nebo PINu Smart Banky. Mobilní aplikaci budou potřebovat pro přihlašování i potvrzování transakcí. SMS přihlášení do internetového bankovnictví už tedy fungovat nebude.

Důvodem je stoupající množství kybernetických útoků. Právě phishingové a vishingové útoky totiž prokázaly, že ověření přihlášení do internetového bankovnictví a ověřování online platebních transakcí přes aplikaci mobilního bankovnictví je mnohem bezpečnější a odolnější než to, které probíhá prostřednictvím SMS, vysvětlila nám mluvčí Zuzana Filipová, podle které hlavní riziko přihlašování do internetového bankovnictví z mobilu spočívá v tom, že probíhá v rámci jednoho zařízení a k přihlášení potřebujete pouze přihlašovací jméno, heslo a potvrzovací SMS. To jsou údaje, ke kterém se šikovný internetový útočník dokáže poměrně snadno dostat.

I v případě Monety bude mít rušení potvrzovacích SMS výjimku, i když jen velmi malou. Podle Filipové se nedotkne jen tzv. pasivního internetového bankovnictví u dětských účtů, ze kterého není možné odesílat platby.

Banka nepřipouští ani „pardon“ pro majitele tlačítkových telefonů. Jsme si vědomi toho, že i když jsou dnes nejlevnější smartphony levnější než ty tlačítkové, pro některé klienty může být pořízení takového telefonu výdaj navíc. Bude se však jednat o investici do větší bezpečnosti a nesrovnatelně nižší výdaj oproti případnému podvodu, kterých přibývá, vysvětluje Moneta na svém webu.

Smart Banka dokáže rozpoznat škodlivý software v telefonu a dokáže se před ním skrýt. Podle Monety obsahuje integrovanou ochranu, přes kterou útočník nemůže na dálku potvrzovat operace za vás. Umí jedním klikem také ověřit klienta pro Zákaznické centrum v případě telefonického kontaktu. Aplikace je přizpůsobena nevidomým. Protože banka shledává v umístění aplikace do AppGallery bezpečnostní riziko, nemohou ji využít majitelé telefonů značky Huawei.

Směrování klientů skrz poplatky

Pravdou je, že i když ostatní banky klienty netlačí do mobilních potvrzovacích aplikací takto napřímo, některé se o to snaží jemněji pomocí poplatků. Trend zvýhodňovat transakce online je v cenících zřejmý už dávno. Banky ale začínají zpoplatňovat právě i autorizační SMSky.

Letos koncem července k tomu přistoupila Česká spořitelna, která zpoplatnila přihlášení a potvrzování přes SMS v aplikaci George a zrušila paušální platbu ve výši 25 Kč měsíčně, v rámci které si mohli klienti předplatit 25 SMS (banka je nyní účtuje jednotlivě a stojí 2,5 Kč). Výjimka platí jen pro klienty od 70 let, kteří mají i nadále SMS bez poplatku.

Klienty UniCredit Bank tyto SMSky stojí 1,5 Kč za zprávu, plus 200 Kč za nastavení služby autorizace pomocí SMS zpráv. Poplatky banka neúčtuje pouze u dětských kont.





Raiffeisenbank do konce letošního září účtovala 19 Kč měsíčně klientům, kteří používají SMS zprávy pro přihlášení nebo potvrzování v internetovém bankovnictví. Od října tento poplatek banka zrušila.

Většinou budete potřebovat internet

Máte-li chytrý telefon, může vám autorizační mobilních aplikace nabídnout rychlé, pohodlné a bezpečné ověření. Úskalím pro někoho může být, že některé aplikace potřebují fungovat online, tedy s připojením na internet (např. ta od mBank).

Například Mobilní aplikace od Fio banky (mobilní bankovnictví s autorizační aplikací v jednom) ale umí offline autorizovat pokyny, které zadáte v internetovém bankovnictvím, a to pomocí vygenerovaného QR kódu.

Bez připojení k internetu umí autorizaci například i aplikace ČSOB Smart klíč a KB klíč.