Názory k článku Neautorizovaná transakce: Za zneužitou kartu si podle zákona můžete sami

Díky moc za článek! Nenažrané banky už neví, kde by se napakovaly. Ze židle mě nadzvedla reakce z banky: "Zneužití údajů se tedy bere jako vina klienta, který neochránil údaje na své kartě." To si snad dělají legraci?

Můj pohled na věc: Banky a karetní společnosti uvedly na trh platební prostředek, který je extrémně snadno zneužitelný. V každém kamenném obchodě, kde zaplatím kartou, mají k dispozici moje číslo karty a expiraci. S těmito údaji lze v pohodě zaplatit na Internetu třeba na amerických e-shopech. Profesionálně provedený skimming nebo profesionálně hacknutý platební terminál dokáže odhalit málokdo z klientů. Za to, že banky klientům neustále nutí takovýto špatně zabezpečený prostředek, by měly poskytovat adekvátní ochranu. A ne si znásilnit "Zákon o platebním styku" pro svoje vlastní potřeby a svalovat vinu na klienta.

Je možné, že stejný systém byl zamýšlen v ČR při vytváření nového Zákona o platebním styku, ale kombinace špatných zákonodárců a nenažraných bank vykonala své.

Neochota bank vracet klientům peníze je velká. Až do října 2009 platil starý zákon o platebním styku. Podle tohoto zákona stačilo, aby klient prohlásil, že internetovou platbu kartu neprovedl, a banka byla povinná vrátit peníze. Neprodleně. Autorizovaná nebo neautorizovaná transakce se neřešila, prostě stačilo jen prohlášení klienta. mBank (viz známá soudní kauza s "nufinufem", kdy mBank ani nepřišla k soudu a došlo k exekuci) přesto peníze nevrátila v nějakém rozumném čase.

bankám nezbyde nic jiného, než zavést system na způsob "eMax + karta"
ten seriozní přístup co uplatňují banky v USA nemůžou vydržet navždy...
pokud nějaký soud v česku vydá rozsudek (judikát) v neprospěch klienta - novináři si na tom smlsnou a lidi přestanou karty používat

kteří i nákup za 300 Kč platí kartou (a zadávají PIN na který se dívám v kontrolním zrcadle prodejny) nebo strpí, chvilkovou ztrátu kontroly nad kartou (typicky hotely, hospody). Od té doby co byly vynalezeny peníze nemám problém.

Nemam s tim problem, chovam se ke kartam jako by to byla hotovost. Kdo vidi muj PIN v zrcadle, nezna cislo karty a expiraci, obsluha POS zas nevidi PIN, co se tyce CVV/CVC by mela byt duveryhodna, pokud neco zdefrauduje nejspis to neudela tak ze by cislo prodala po internetu a tak se na ni prijde, staci spornou transakci reklamovat a banka penize vrati, nebude podepsany sales slip.
Uz se mi to stalo, cislo vyleakovalo z eshopu, reklamoval jsem, reklamace uznana, penize vraceny.
Uznavam ale, ze pro ty co chteji penize zpet neprodlene treba proto ze fraud byl velky jsou lhuty na reklamaci dlouhe a proto by jim vyhovovalo, ze se banka nemuze vymluvit na autorizovanost transakce.

Jenže právě ty karty s čipem jsou v jistém smyslu pro klienta nejrizikovější - někdo v obchodě vidí váš PIN, pak šikovný kapesní zloděj ukradne kartu a jste v pr..li, protože reklamaci platby, kde byl použit PIN vám nikdo neuzná. Zloděj přirozeně vybere prachy skoro okamžitě, takže zablokování karty nepomůže.
A to je ještě ta lepší varianta, druhý malér je to, co tu je zmíněno o kus dále v diskusi, tedy situace, kdy podvodný obchodník "hackne" platební terminál a pěkně si stáhne data - pak vůbec netušíte, že máte problém.
Paradoxně je "zastaralá" kreditka/debetka bez čipu lepší, protože ji sice zloděj teoreticky využije snáze, ale vy zas máte lepší pozici pro reklamaci.

"hacknout" platebni terminal zase neni tak uplne trivialni operace, jak si zrejme mnozi mysli.

S cipem nebo bez cipu, je treba hlidat karty jako by to byly penize.

Platební kartu používám dnes a denně. Pravda, nepoužívám jí k platbám na netu, neb mi to připadá tak nějak nepropracované. Ale jinak u všech obchodníků a k výběrům hotovosti, kde to jen jde a přijde mi to vhodné. A za ta léta se mi ještě nestalo, že bych měl nějakou platbu, kterou bych neuznal jako svou. Není to tak nějak divné? A to jsem začal karty využívat krátce po roce 1990, kdy začaly být bankami nabízeny. Pravda, nikdy mi karta nebyla odcizena, nikdy nenechávám u karty PIN, pokud platím v restauraci, kde nemají mobilní terminál, jdu s účtujícím číšníkem k terminálu, u bankomatů zakrývám klávesnici... A ještě dotaz pro autora článku: Je možné zjistit, kolik reklamací ohledně neoprávněných transakcí bylo podáno třeba v loňském roce, kolik jich bylo vyhodnoceno jako oprávněných či neoprávněných, jaká jsou to procenta z celkového množství transakcí...? Já myslím, že ten problém se naprosto uměle nafukuje a že na tomto nafukování se podílejí i banky, které samozřejmě mají většinou poplatkový zájem, aby byly peníze vybírány z účtů v hotovosti. A když se budou takto strašit klienti, tak se to povede.

Banky rozhodne nemaji zajem na vybirani hotovosti z bankomatu - za vyber se plati radove koruny, za ktere ovsem banky musi obstaravat bankomaty, plnit je hotovosti atd. Zato pri platbe kartou jsou z kazde transakce strzena urcita procenta (mam-li spravne informace, tak je to zhruba v rozmezi 1 - 3), ktera se deli mezi banku a karetni spolecnost (a mozna jeste poskytovatele terminalu). Jinymi slovy: vyberu-li si 1000 korun v bankomatu, banka za to dostane rekneme 5 korun, za ktere ovsem musi do toho bankomatu dovezt hotovost, navic musi za neco ten bankomat taky poridit. Zaplatim-li kartou 1000 korun ve velkem krame, tak obchodnik dostane 990 a o tech 10 korun se podeli banka s karetni spolecnosti (rekneme, ze za ni dostane taky 5 korun). Pritom vubec nemusi operovat s hotovosti a jeji naklady na tuto sluzbu jsou prakticky nulove. Banky proto maji naopak zajem, aby lide kartou platili co nejvic.
Ad procenta neopravnenych transakci. Z logiky veci je neautorizovanych transakci radove maximalne promile ze vsech transakci, a to jeste hodne nadsazuji. To ovsem nic nemeni na tom, ze pristup bank, jaky predvadeji, je naprosto otresny - u znacne casti bank neexistuje moznost zamceni karty ci online nastaveni limitu. Pritom toto by bylo velmi jednoduche a efektivni reseni v te nejproblematictejsi oblasti - pred platbou na internetu bych si proste nastavil limit dostatecny, provedl platbu a po ni bych zase limit nastavil na 0. Mimochodem toto je jedna z veci, ktera by me celkem zajimala - Co vsechno umoznuji banky klientum prostrednictvim internetoveho bankovnictvi nastavit.

Já používám pro platby v kamenných obchodech kartu, kterou mám bloknutou pro internetové platby a pro platby na netu kartu, kterou mám zavřenou doma v šuplíku a nikde jinde s ní neplatím. Tím jsem vyloučil možnost zneužití, že si někdo natočí na kameru číslo a expiraci mé karty. Navíc v Raifce mohu mít takto obě karty zdarma (např. Maestro a MasterCard).

Btw. a kontrolujete neporusenost plomb na stojku do ktereho datlujete pin? A kontrolujete jestli ten strojek je skutecne zabespeceny a provozovany spolecnosti, ktera ten pin nezneuzije? Odstranil jste jenom jedno riziko, ale vzhledem k tomu jak karty funguji ani nahodou ne vsechna.

Uvedené věci nekontroluji. Člověk nemůže v životě kontrolovat vše. Jsem si vědom toho, že jsem odstranil jen jedno riziko, ale uvedl jsem to sem proto, že v článku nebo v diskusi byla zrovna o tomhle řada zmínek. A tohle riziko je řekl bych nějvětší - pokud má někdo jednu kartu na všechno - navíc třeba embosovanou a s povolenými platbami na netu. Pro platby v obchodech mám Maestro chip, zablokované platby na netu, resp. ani nejsou možné na této kartě. Takže jediné riziko je, že kartu ztratím a někdo uhodne PIN. Po každé transakci kartou mi obratem dojde SMS, takže pokud by něco nehrálo, okamžitě můžu volat do banky a říct, že jsem transakci neprovedl.

Může někdo logicky zdůvodnit proč u embossovaných karet je CVC2/CVV2 kód na kartě natištěn, když je to vlastně PIN pro transakce bez přítomnosti karty? Takto si ho každý prodejce při normálním placení může opsat a následně zneužít. Jediná možnost je pak mít pro placení s fyzickým předložením karty jednu kartu bez povolených internetových transakcí a pro internet druhou a tu ideálně ještě zamykat.

Muzu. Smyslem CVV/CVC je prave overit to, ze vy mate ten kus plastu fyzicky v ruce a ze jste jen neopsal cislo a expiraci z cizi uctenky, proto se taky na uctenky netiskne. Apriori se predpoklada spolehliovst obsluhy POS. CVV mate chranit pred vyzrazenim tretim osobam.
Vsechno ma neco. Zamcene internetove transakce vas neochrani pred jinymi CNP transakcemi jako jsou MOTO.

Jestli se nepletu CVV/CVC není potřeba pokud se karta předkládá. Pak to stále nevysvětluje proč není CVV/CVC předáván stejně jako PIN. To by snížilo riziko při krádeži nebo když se mi někdo v kanceláři bude hrabat ve věcech.

Spravne. CVV/CVC je potreba kdyz se karta fyzicky nepredklada. Je ke snizeni (ne zamezeni) rizika kdyz nekdo odcizi cislo karty a expiraci. Pouziva se cca 10 let, jestli si dobre pamatuju a ano, je to ponekud zastarala vec.
Na druhou stranu karta je ekvivalent hotovych penez a k jako takove je potreba se k ni chovat - v kancelari nenechavate valet hotovost, nenechte valet ani kartu. Lidem neukazujete ze mate plnou penezenku, tak jim neukazujte kartu.

Pak se nabízí si CVV/CVC na kartě znečitelnit, ovšem je otázka zda by s tím někde někdo neměl problém.

Protože CVC2/CVV2 má dokázat, že ten člověk zadávající údaje má (měl) kartu fyzicky v ruce. Nic víc, nic méně.
Není to myšleno jako ultimátní detektor, že transakce je prováděna autorizovanou osobou. Jestli se tak naše banky tváří, tak je to jenom smutné.
Jediná možnost není vymýšlet nějaké pseudozabezpečení z kategorie "security by obscurity", ale takové karty takovým bankám omlátit o hlavu.
To, že si zamykáte kartu vás neochrání před tím, že si nepoctivý obchodník nestrhne x-násobek částky. Tady je prostě řešení jenom oznámit bance, že tahle transakce není správně (a dodat bance další potřebné informace) a potom dostat rychle peníze zpět (nebo dostat sebe do vězení, pokud se ukáže, že jsem lhal a podváděl).

Naprosto souhlasim. Bohuzel rychlost a uplnost toho "penize zpet" u nas taky vazne (disponibilni vs. ucetni zustatek, causa nufinuf).
Americke banky jsou proti fraudu pojistene, banky, ne klienti.

Mno to je to co by mne zajimalo. Jak dopadne takove pojisteni klienta, kdyz k fraudu dojde. Preci kdyz dojde k fraudu a ten se da prokazat pro potreby pojistovny da se stejne tak prokazat pro potreby banky a tak prokazat ze transakce nebyla autorizovana a dle zakona ma banka penize navratit. Projde mi ze tak si vlastne zakaznik porizuje pojisteni pro situaci ktera nemuze nastat.

Bohužel, CVC2/CVV2 nedokazuje, že máš kartu v ruce. Ono jen dokazuje, že ji někdo někdy v ruce měl. Jakmile jednou pošleš CVC do světa, už nemáš kontrolu nad tím, kdo si ho kdy kam z jaké databáze zkopíruje nabo kdo si ho man-in-the-middle-ováním odposleche. A jsi namiddlenej - pardon, namydlenej.

Jasně, ale tohle se dá přeci jen regulovat zodpovědnou volbou platebních bran a zneužití CVC2/CVV2 při platbě fyzicky, kdy vůbec není potřeba se dá zabránit tím znečitelněním. Není to všelék, ale riziko to omezuje.