Bezpečnost nade vše

Nemám osobní zkušenosti s jinými českými bankami, ale u České spořitelny (ČS) jsem měl problém už před lety, kdy jsem si kartu pořizoval. Platit s ní online nešlo, protože k tomu bylo potřeba sepsat dodatek ke smlouvě, o jehož existenci většina zaměstnanců ČS nevěděla, a museli jste jim citovat výňatky z interních předpisů. Když pak platnost karty skončila a já chtěl mít stejný dodatek i u nové, byl jsem ujišťován, že platí automaticky, ale stejně jsem musel do pobočky znovu a podepsat tentýž dodatek k nové kartě. Nepochybuji však o tom, že podobné problémy měly tehdy i jiné banky. To byly časy…

Na staré časy jsem si zavzpomínal minulou sobotu, kdy jsem chtěl svou kartou Visa Classic zaplatit mrzkých 20 liber za vyhranou aukci na eBay (což jde pouze prostřednictvím PayPalu) a objevilo se mi již dlouho nespatřené chybové hlášení „Vaše platba byla zamítnuta, kontaktujte svou banku.“ Protože v tu dobu probíhala plánovaná odstávka online bankovnictví ČS, zůstal jsem v klidu a čekal. Pak ale bankovnictví ČS začalo fungovat, ovšem platba na PayPal stále nebyla úspěšná. Zavolal jsem tedy na infolinku ČS, kde mi bylo vysvětleno, že nejde o žádný problém, ale o opatření v zájmu bezpečnosti mého účtu.

To začalo být zajímavé, byť to znělo neuvěřitelně, a já začal hledat podrobnější informace (aukci jsem mezitím bez problémů zaplatil kartou Visa své přítelkyně, která má účet u ČSOB). A informaci jsem našel na webu ČS, v aktualitě z 16. září (odkaz neuvádím – viz dále). K úspěšné platbě je prý nutné zadat i CVV2, což je ten trojmístný kód, který je na zadní straně karty a který někteří online obchodníci používají. Klíčové slovo zde je „někteří“. Například největší online obchod Amazon.com ho vůbec nepoužívá a PayPal evidentně také ne. Skutečnost je taková, že tímto krokem „v zájmu vyššího zabezpečení“ ČS znemožnila svým klientům platit na většině světových e-shopů.

To mi připadalo opravdu absurdní, takže jsem kontaktoval ombudsmana ČS a pak znovu infolinku ČS a opravdu pečlivě jsem se znovu vyptával, abych měl potvrzeno to, co tvrdili dříve. A skutečně: kartami Visa lze od 2. září platit pouze pokud obchodník autorizuje pomocí CVV2. Je to z důvodu větší bezpečnosti mých peněz. Je to prý na doporučení společnosti Visa. A jako řešení situace mi bylo navrženo, abych si u ČS založil kartu Mastercard (držitelé karet Mastercard zřejmě nepotřebují mít své peníze v bezpečí), ale nemohou mi zaručit, že u ní nedojde ke stejnému opatření. Také mi doporučili, abych PayPal přemluvil k tomu, aby začal používat CVV2 kód. Jen tak z legrace jsem o tom PayPalu napsal a dostalo se mi odpovědi, kterou by si ČS nikde nevyvěsila a také doporučení změnit peněžní ústav.

Díky pomoci Lupy se mi podařilo získat kontakt na pana Ivo Mareše z PR firmy, která u nás zastupuje společnost Visa, a položil jsem mu několik dotazů, především zda toto celé je skutečně nápad společnosti Visa, tj. jestli společnost Visa chce, aby její klienti nemohli tuto kartu používat na většině online shopů.

Pan Mareš mi napsal, že mi na to oficiálně odpovědět nemůže, ale zaslal mi nové vyjádření ČS, ve kterém se objevily některé čerstvé informace. Především tam bylo napsáno, že celé toto opatření je reakcí na onen neslavně proslulý „superhack“, kdy byly z americké karetní databáze odcizeny informace o 40 miliónech kreditních karet. A že muselo být rychle přikročeno k akci a nebyl čas informovat o tom klienty. Tato tvrzení poněkud skřípou: především – k tomu hacku došlo už loni a informace o něm byly zveřejněny ve všech světových médiích letos v polovině června, takže Česká spořitelna se o tom musela dozvědět nejpozději k tomuto datu, a trvalo jí tudíž nejméně dva a půl měsíce, než toto bezpečnostní opatření „rychle implementovala“. Za druhé: proč jsou takto „chráněny“ peníze držitelů karet Visa České spořitelny a ne peníze držitelů jiných karet a jiných bank? (Fakt, že moje současná karta byla vydána až letos v květnu, je jen takovou humornou třešničkou na dortu.)

Skutečnost je taková, že tento krok není „ochranou klienta“. Pokud někdo ukradl klientova karetní data (navíc bez zavinění klienta) a s jejich pomocí něco někde koupí, klient o žádné peníze nepřijde, transakce se stornuje a musí to řešit banka s prodejcem. České spořitelně se to zřejmě s prodejci řešit nechtělo, takže přistoupila k tomuto kroku, který nadělá klientům problémy a ubere práci České spořitelně.

Celý tento sled událostí ve mně vzbudil dojem, že Česká spořitelna považuje online nákupy pořád za něco exotického, co používají jen pedofilové k nákupu dětského porna. Pochybuji, že by si ČS dovolila zakázat výběr ve většině bankomatů v republice proto, že někdo začal bankomaty vykrádat, nebo zavřela své pobočky proto, že se v nich začalo objevovat více lupičů.

A tečka na závěr: V pátek 23. září začaly platby kartou Visa ČS opět fungovat na všech světových serverech tak jako dřív. Zřejmě někdo v ČS došel k názoru, že tři týdny ochrany devět měsíců po hacknutí databáze mým penězům stačily. Ve stejný den byla z webu ČS odstraněna aktualita o zvýšeném zabezpečení karet Visa.

P.S: Technické podpoře a ombudsmanovi jsem si také stěžoval, že na servis24.cz už několik měsíců nefunguje potvrzování transakcí e-mailem. Nefunguje pořád a na stížnost mi nikdo neodpověděl.