Před necelými 9 lety jsme provedli první, unikátní test bezpečnosti bezkontaktních fyzických karet. Mezitím mnoho vydavatelů karet zaniklo, resp. zfúzovali do jiných bank a během této doby se zároveň zásadně proměnil způsob placení platebními kartami. Místo fyzických karet používáme platební karty v nositelných zařízeních a fyzické karty pro některé držitele karet začínají být spíše záložním doplňkem. Ale stále tu s námi jsou se všemi (ne)výhodami. A právě test serveru Měšec.cz měl zjistit, zda a jak se během této doby změnily jejich bezpečnostní limity.
Platby mobilem a nositelnými zařízeními: to nejbezpečnější, co může být
Ještě než se pustíme do samotného testu, netestovali jsme platby přes mobil a další nositelná zařízení (hodinky, náramky, prsteny apod.) Důvod je prostý: Každý výrobce má jinak nastavený limit pro ověření samotným zařízením. Ověření probíhá buď zadáním PINu na displeji mobilu/hodinek, nebo pomocí biometrických dat. U některých prstenů pak klasicky přes PIN na klávesnici terminálu.
Zásadní však je, že limity zneužití platebních karet v zařízeních jsou právě z výše popsaných důvodůznačně omezené. Ztraceným mobilem pachatel pravděpodobně nezaplatí buď vůbec, nebo jen jednu, dvě transakce do 500 Kč. Poté jej zařízení vyzve k zadání kódu pro odblokování zařízení. U hodinek je to ještě jednodušší: po sejmutí z ruky se automaticky blokují a bez znalostí PINu s nimi nezaplatí nikdo.
Platby mobilními zařízeními tak patří mezi nejbezpečnější metody placení platebními kartami.
Fyzické karty: Univerzální použití s přirozenými riziky
A pak tu máme staré dobré fyzické platební karty. Jejich výhodou je, že nepotřebují baterii, použijete je vždy a všude. Ale když fyzickou kartu ztratíte, než ji zablokujete, existuje časové okno, kdy ji zneužít lze. A právě na to se náš test zaměřil.
Dobrou zprávou je, že platná legislativa (Zákon o platebním styku č. 370/2017, §182, odst. 1a) chrání držitele karet s odpovědností do maximální výše 50 € (1231,77 Kč v době publikace článku). To je částka, kterou musíte zaplatit v případě zneužití bezkontaktní karty po její ztrátě či odcizení. Vše nad to jde za vydavatelem karty s jednou výjimkou: pokud byl zadaný PIN, jdou všechny zneužité transakce za vámi.
Tip: Pokud nechcete platit ani tuto zákonnou spoluúčast, lze se pojistit proti zneužití karty. Umí to většina vydavatelů karet. Pojištění vás ale může v součtu vyjít dráž, než zákonný limit spoluúčasti.
My jsme se vžili do role darebáka, který našel ztracenou kartu a okamžitě s ní šel někam nakupovat.
Jak jsme testovali
Každá čipová bezkontaktní karta má své bezpečnostní limity a „počítadla“, která se obnovují/nulují zadáním PINu. Proto jsme u všech karet nejprve provedli transakci ve výši 1 Kč se zadáním PINu a bezprostředně poté jsme prováděli transakce vždy po 500 Kč až do doby, než terminál obchodníka vyzval k zadání PINu. Poté jsme test dané karty ukončili.
Test bezpečnosti platebních karet jsme prováděli 30. 6. 2025. Pro test jsme po vzájemné dohodě zvolili obchodníka, kterému ve stejný den končila smlouva s poskytovatelem platebního terminálu, takže „neměl co ztratit“. V klasickém kamenném obchodě by tento test byl značně limitující pro ostatní zákazníky stojící za pokladnou a ve výsledku by zůstalo poměrně značné množství nakoupeného zboží. Navíc, tento test trvá hodiny, nikoli minuty.
Všechny transakce byly online autorizovány, nešlo o offline transakce.
V testu z roku 2009 mělo bezpečnostní problém 8 testovaných vydavatelů karet. V podstatě bez omezení se nám tehdy podařilo zaplatit platebními kartami těchto vydavatelů:
- Equa bank
- Expobank
- Home Credit
- mBank
- MONETA Bank
- N26
- Záložna CREDITAS
- ZUNO BANK
Co jste měli na účtu, to by nálezce karty získal až do výše transakčního limitu karty.
Výsledky testu v roce 2025
Dobrou zprávou je, že v testu v roce 2025 problém neomezených podvodných bezkontaktních transakcí nastal jen u jediné karty, a to u debetní karty ČSOB. Nevíme, zda šlo o souhru vlivem starého typu platební karty a platebního terminálu, který rovněž patřil ČSOB. Tak či onak nepoctivý nálezce karty by z ní dostal vše až do týdenního limitu karty, který byl 150 000 Kč. Ano, utracené peníze by bez pochyb úspěšně reklamoval, ale v daný moment by o ně přišel a pár dnů by trvalo, než by je získal po písemné reklamaci a jejím následném šetření. V tomto testu to dělalo 25 000 Kč a peníze by šly bezkontaktně těžit dál.
Kolik tedy může z vaší fyzické bezkontaktní karty pachatel trestného činu v roce 2025 utratit vašich peněz, než dojde k její blokaci? Tady jsou výsledky testu.
V tabulce níže vidíte, že drtivá většina vydavatelů karet se drží více méně hranice okolo 3000 Kč a nemusíte se bát o peníze na vaší platební kartě. Maximem je 7 transakcí po 500 Kč, tj. 3500 Kč. Tedy v zásadě jde téměř 3násobek limitu odpovědnosti držitele karty, poté platební terminál vyzve k zadání PIN.
Revolut už po 5. transakci poslal držiteli karty zprávu, že se blíží k limitu pro bezkontaktní transakce a bude nutné zadat PIN. Revolut má limit nastavený na 150 € a 8. transakce tak už vyžadovala PIN (150 € bylo původním zákonným limitem spoluúčasti).
Někteří vydavatelé však mají limity výrazně nižší. Maximálně 2000 Kč jsme obdrželi od Banky CREDITAS a mBank. V průměru se výše potenciálně zneužité částky pohybovala okolo 3000 Kč.
Vydavatelé karet s limitem 2000 Kč
- Banka CREDITAS
- mBank
Vydavatelé karet s limitem 2500 Kč
- Fio banka
- MONETA Bank
- Oberbank
- T212
- UniCredit Bank
- Wise
Vydavatelé karet s limitem 3000 Kč
- Air Bank
- Raiffeisenbank
Vydavatelé karet s limitem 3500 Kč
- Česká spořitelna
- Komerční banka
- Partners Banka
- Revolut
Vydavatelé karet s limitem bez omezení
- ČSOB (domníváme se a věříme, že šlo o chybu/anomálii)
| Vydavatel karty | Typ karty | Počet transakcí bez PINu |
Utracená částka bez PINu |
|---|---|---|---|
| Air Bank | Mastercard Standard | 6 | 3000 Kč |
| Banka CREDITAS | Mastercard Standard | 4 | 2000 Kč |
| Česká spořitelna | Visa Classic | 7 | 3500 Kč |
| Visa Classic kreditní | 7 | 3500 Kč | |
| ČSOB | Mastercard Standard | 50+ a šlo to dál | 25 000 Kč |
| Fio banka | Mastercard Standard | 5 | 2500 Kč |
| Komerční banka | Visa Platinum | 7 | 3500 Kč |
| Mastercard World Elite | 7 | 3500 Kč | |
| mBank | Mastercard Gold | 4 | 2000 Kč |
| MONETA Bank | Visa Classic | 5 | 2500 Kč |
| Oberbank | Mastercard Standard | 5 | 2500 Kč |
| Partners Banka | Visa Classic | 7 | 3500 Kč |
| Revolut | Mastercard World Elite | 7 | 3500 Kč (limit je 150 €) |
| Revolut | Mastercard Business | 7 | 3500 Kč (limit je 150 €) |
| Raiffeisenbank | Visa Classic | 6 | 3000 Kč |
| Mastercard World kreditní | 6 | 3000 Kč | |
| T212 | Mastercard Standard | 5 | 2500 Kč |
| UniCredit Bank | Mastercard Standard | 5 | 2500 Kč |
| Wise | Visa Infinite | 5 | 2500 Kč |
| ZEN | Test se nezdařil. Chybové hlášení u terminálu. | – | – |
Zabezpečení se zlepšilo
Test serveru Měšec.cz tak potvrdil, že vydavatelé bezkontaktních fyzických karet výrazně vylepšili zabezpečení těchto karet a až na jednu výjimku s nimi nelze zaplatit 3500 Kč, přičemž zákonný limit spoluúčasti je jen 50 €. A to v zásadě jen za předpokladu, že poslední transakce byla provedena se zadáním PIN, tím se vynuloval bezpečnostní limit pro bezkontaktní platby a až poté došlo k jejímu zneužití.
V praxi nepoctivý nálezce či zloděj karty utratí spíše méně peněz, protože jej karta pravděpodobně vyzve k zadání PINu dříve, než do výše zákonného limitu.
Aktualizováno: Opraven zákonný limit spoluúčasti u neautorizované transakce.
ČLÁNKY DO MAILU