Hlavní navigace

Chraňte si svou platební kartu sami!

Jiří Peterka

Vykrádání bankovních účtů skrze okopírované platební karty a okoukané PINy se minulý týden dostalo do popředí zájmu médií a je určitou paralelou nebezpečí, které hrozí platebním kartám v prostředí Internetu. Právě internetové platby však dávají vzniknout zajímavým řešením, prostřednictvím kterých se mohou majitelé karet chránit.

Minulý týden se do popředí zájmu médií dostal případ vykrádání cizích bankovních účtů, prostřednictvím duplikátů platebních karet, které se někomu podařilo zhotovit a s využitím ochranného PINu, který někdo zřejmě odkoukal od oprávněného majitele při výběru hotovosti. Nechci zde popisovat podrobněji princip tohoto podvodu – místo toho si dovolím ocitovat z jednoho článku na serveru Peníze.cz (s názvem Kde jsou moje peníze?), který se celý zabývá právě nebezpečím zneužití platebních karet. Jedna z variant, které článek popisuje, je následující:

6. Ani otvírače dveří nejsou bezpečné
Na některých bankách je namontováno čtecí zařízení určené pro vstup, můžete ho najít například v České Spořitelně na Václavském náměstí, v IPB na Senovážném náměstí, v Komerční bance na Národní třídě a na mnoho dalších místech. V některých případech se takováto zařízení objevila i u jiných bank. Klient přišel ke dveřím, projel kartu čtecím zařízením a vstoupil. Vybral peníze a spokojen odcházel. Ale ouha, zanedlouho mu někdo vybral účet. Jak? Dlouho trvalo, než byl tento podvod odhalen. Čtecí zařízení bylo nepravé a nad bankomatem byla umístěna videokamera, která nahrála volení PINu.

Pikantní na tomto článku je, že byl publikován dávno před událostmi minulého týdne, konkrétně 3.7.2001, a již v červenci se kolem něj rozvinula zajímavá diskuse. Nechci se zde zabývat tím, zda zmíněný článek mohl posloužit někomu jako návod a zda se takovéto články mají či nemají psát (podle mého názoru určitě mají, a to jako varování pro potenciální oběti – zloději se nejspíše inspirují někde úplně jinde). Rád bych se ale zastavil u toho, co považuji v souvislosti s celým problémem za klíčové: kdo je primárním nositelem rizik, plynoucích z takovýchto zneužití?

Kdo nese riziko?

V zemích, kde je používání platebních karet nejvíce rozšířeno, jde převážně o kreditní karty a riziko jejich zneužití nese primárně banka. Ta příslušnou částku za svého klienta okamžitě zaplatí, ale nestrhává si ji ihned z jeho účtu. Místo toho čeká až na příští pravidelné vyúčtování (např. na konci kalendářního měsíce), až jí klient toto vyúčtování odsouhlasí. Během této doby tak svého klienta v zásadě úvěruje (poskytuje mu bezúročný úvěr, resp. kredit, proto také „kreditní karta“).

Pokud ale klient při pravidelném vyúčtování rozporuje nějakou konkrétní platbu, neměla by banka z jeho účtu tuto platbu strhávat a místo toho by právě ona měla řešit celý problém (mj. zjišťovat a prokazovat, co a jak se stalo) a nést náklady a škody s tím spojené. Aby to nebylo snadno zneužitelné, například samotnými klienty, mají i oni určitou spoluúčast na škodě, která eventuelně vznikne – ale jen v omezené výši, například do maxima 50 dolarů. V USA je tato maximální výše spoluúčasti dokonce uzákoněna (skrze zákon Fair Credit Billing Act z roku 1975).

U nás je situace dosti odlišná – drtivá většina používaných platebních karet je debetního charakteru. To znamená, že banka příslušnou částku zaplatí a při nejbližší možné příležitosti (z hlediska technické realizace) si tuto částku strhne z účtu svého klienta, aniž se jej ptá na oprávněnost či neoprávněnost celé transakce. Pokud se jedná o zneužití, musí se ozvat sám klient a začít konat – on musí prokazovat, že platba byla neoprávněná, že šlo o zneužití a přesvědčit o tom banku. Další je pak závislé na konkrétních podmínkách konkrétní banky, i na jejím celkovém přístupu. Většinou ale veškeré riziko, škody a případné následky nese klient, nikoli banka.

Jeden konkrétní příklad

Banka, jejíž služby využívám já, mi dovoluje podat reklamaci na již provedenou transakci, a to do 75 dnů s tím, že musím přiložit všechny dostupné doklady. Banka pak může, ale také nemusí, reklamaci uznat (má na to lhůtu 90 dnů). Pokud jde o odpovědnost banky, ta je v příslušném odstavci smluvních podmínek vymezena tak, že:

Banka neodpovídá za neposkytnutí služeb a škody, případně následky způsobené držitelům karet okolnostmi stojícími mimo kontrolu banky nebo jejích partnerů (např. přerušení dodávky energie, porucha bankomatu apod.).

To interpretuji tak, že banka obecně nenese odpovědnost za škody vzniklé zneužitím karet (ale v konkrétních případech, na základě vlastního posouzení, může škodu nést – při přijaté reklamaci). Výmluvná je v této souvislosti také pasáž týkající se postupu při ztrátě/krádeži/zne­užití platební karty:

Majitel účtu nese všechny náklady a škody vzniklé zneužitím karty do 24.00 hodin následujícího kalendářního dne od data oznámení ztráty/krádeže/zne­užití. Od tohoto okamžiku přechází odpovědnost na banku, s výjimkou transakcí, při nichž byl použit PIN.

V případě použití PINu se mnou používaná banka zcela zbavuje jakékoli odpovědnosti:

(…) banka neuzná reklamaci transakce, o níž držitel karty tvrdí, že se jedná o zneužití karty, avšak byl při ní použit PIN.

a

Banka nenese odpovědnost za případné ztráty z účtu majitele, pokud došlo k použití PIN při transakcích jakoukoliv platební kartou vydanou k tomuto účtu.

Potud tedy konkrétní podmínky banky, jejíchž služeb používám já. Snad mohu dodat, že nejde o ČSOB ani jinou z bank, které jsou zmiňovány v souvislosti s kauzou s okopírovanými platebními kartami a odkoukanými PINy. Předpokládám ale, že podmínky používání platebních karet u ostatních našich bank budou velmi podobné. Pokud obsahují obdobné ustanovení, kterým se banka zcela zbavuje jakékoli odpovědnosti v případě použití PINu (bez ohledu na způsob jeho získání), pak mi z toho vychází, že ani v takovém případě, jaký se stal minulý týden, by banka nenesla žádnou odpovědnost za škody vzniklé majitelům účtů. Pravda, ČSOB již dala najevo, že je připravena klienty odškodnit v plné výši, ale jako problém vidím to, že jde o gesto, resp. výjimku z obecného pravidla, které zní „veškeré riziko nese klient“.

Jak regulovat riziko

Každý systém, ve kterém nese veškeré riziko jen jedna strana, považuji za nevyvážený a jsem přesvědčen, že se to nutně projevuje na jeho rozvoji, resp. růstu. Zahraniční systém, ve kterém odpovědnost nese primárně banka, je alespoň zčásti vyvážený tím, že v něm svou část odpovědnosti nese i klient, byť je tato shora omezena jistou konkrétní částkou. Tuto částku přitom musí banky volit velmi pečlivě, s ohledem na své vlastní možnosti, četnost různých zneužití a další „parametry“. Stejně tak ale musí banka pečlivě vyvážit tlak, který to vyvíjí na klienty: Ti musí být motivováni k tomu, aby aktivně předcházeli případnému zneužití své karty, ale na druhé straně je to nesmí demotivovat, neboli odrazovat od jejího faktického používání.

V České republice sice byly vydány na čtyři miliony platebních karet (především EuroCard/MasterCard a VISA), ale i bez přesnějších statistik o způsobu jejich použití si troufnu tvrdit, že lidé s nimi platí podstatně méně než v zahraničí. Největší disproporce přitom zřejmě nebude u použití karet pro výběry z bankomatů a platby u obchodníků (s fyzickou přítomností karty), ale u online plateb v prostředí Internetu. Některé naše banky své klienty dokonce explicitně varují před těmito platbami.

Na druhou stranu právě pro online platby vznikla či vznikají různá technická řešení, která umožňují ovlivnit míru (velikost) rizika tomu, kdo jej nese. Jejich podrobnější popis by byl na několik samostatných článků, proto jen letmé naznačení základních myšlenek a principů, bez nároků na úplnost:

  • Princip elektronické peněženky: Ten, kdo vlastní určitou částku peněz, ji ponechává na bezpečném místě (typicky na svém bankovním účtu). Pokud se chystá někde za něco platit, přečerpá nejprve určitou konkrétní částku do své elektronické peněženky, a teprve s ní se vydává „do terénu“ a někde platí. Pokud by zde došlo k nějakému zneužití, bude se jednat o zneužití této elektronické peněženky a výše škody bude shora omezena tím, co je v ní právě obsaženo – a to je na rozhodnutí majitele peněženky, který si tak může sám regulovat riziko, které podstupuje. Konkrétních příkladů takovéto „elektronické peněženky“ je celá řada – mohou to být různé „nabíjecí“ karty (např. Juice Pay, CCS), „nabíjecí“ účty apod., obecně, vše co lze „nabít“ (převést tam tolik prostředků, kolik majitel uzná za vhodné, kdykoli to uzná za vhodné) a pak využít pro placení. V roli elektronické peněženky může vystupovat i klasický bankovní účet, který jeho majitel používá tím způsobem, že na něj vždy převede jen částku odpovídající očekávané platbě, a pak z něj skutečně platí (zatímco své „hlavní“ finance si udržuje na jiném účtu).
  • Změna limitů: Banka může svému klientovi umožnit, aby si sám pružně reguloval limity pro různé transakce se svým účtem. Může jít například o limit pro online platby platební kartou, až po její úplné zablokování vůči všem online platbám. Majitel účtu, který se chystá něco platit online prostřednictvím své platební karty, pak může předem vhodně nastavit příslušný limit podle výše očekávané platby, platbu provést a pak zase limit snížit, třeba až na nulu.
  • Jednorázové platební karty: Zde banka svým klientům vystavuje takové platební karty, které jsou použitelné jen jednorázově. Má to smysl jen u demateriali­zovaných karet, tj. nejde o fyzickou kartu, ale pouze o její číslo (plus další údaje, jako expirace atd.). Takováto karta je pak použitelná pro online platby stejně jako platební karta „skutečná“ (fyzicky existující), přičemž obchodník, který platbu přijímá, nemusí ani poznat, že jde o jednorázovou kartu. Důležité je, že příslušné údaje (tvořící dematerializovanou kartu) jsou generovány dostatečně spolehlivým způsobem (přímo bankou) a jsou skutečně použitelné jen jednou (banka, resp. autorizační středisko ihned pozná jakýkoli pokus o jejich opakované použití a příslušnou transakci nepovolí).

Jak reagují banky

Výše naznačená technická řešení nejsou dokonalá v tom smyslu, že riziko zneužití neodstraňují zcela. Jejich zavedení navíc přináší bankám určité náklady a vyžaduje i „zaučení“ klientů, aby jejich podstatu a princip fungování docenili. Přesto ale jsou banky motivovány je zavádět – v případě našich bank určitě také proto, že když všechno riziko nesou jejich klienti, snaží se jim banky nabídnout alespoň možnost toto riziko ovlivnit a zmenšovat.

Všechna výše naznačená řešení jsou rozumně použitelná pouze tam, kde klient má dostatečně rychlý a pro něj pohodlný přístup ke svému bankovnímu účtu. Těžko asi bude nabíjet peněženku či měnit limity na svém účtu při každé očekávané platbě, pokud by to mělo znamenat fyzickou návštěvu banky a čekání ve zdejší frontě. Proto mají tato řešení šanci jen u různých forem přímého bankovnictví (například internet-bankingu či GSM-bankingu). Hodně ale také záleží na cenové politice banky – pokud zpoplatní příslušné operace příliš vysokou částkou, odradí tím své zákazníky od toho, aby využívali možnost regulovat si riziko sami.

V praxi přitom vše naráží na různé problémy. Například u elektronických peněženek je největším problémem jejich standardizace (různých typů peněženek je celá řada, obchodníci podporují jen některé z nich atd.). U nastavování limitů pro platby přímo z účtů jde zase o možnost, která je dostupná jen klientům dané banky.

Důležité ale je, že některé výše naznačené možnosti, vzniklé především s ohledem na online platby, je možné nasadit i u „kamenných“ plateb (výběrů z bankomatů, platby kartou u obchodníků), a dát tak lidem možnost vlastní regulace rizika, které nesou právě zde.

Co naznačila eBanka?

Příkladem může být eBanka (dříve Expandia banka), která promptně zareagovala na události minulého týdne a vydala tiskovou zprávu, ve které naznačila něco ze svých plánů do budoucna. Půjde zřejmě o výše popisovanou variantu se změnami limitů, aplikovanou i na „kamenné platby“, tj. na výběry z bankomatů a fyzické platby kartou u obchodníků.

I v současné době přitom eBanka umožňuje majitelům „fyzických“ platebních karet nastavit si podle vlastního uvážení limity pro výběr z bankomatů a platby u obchodníků (v rozmezí od nula do pevně stanovené částky určené bankou), a dále možnost zablokovat (resp. odblokovat) platební kartu pro online platby (ale bez možnosti nastavení výše limitu). Vedle toho má v nabídce také jednu dematerializovanou kartu (EC/MC Internet Card) pro online platby, u které je nastavování limitu možné. Důležité ale je, že dnes příslušné změny „účinkují“ až po poměrně dlouhé době (druhý den). Pokud je tedy klient chce využívat k ochraně svého účtu a své platební karty, musí na příslušné změny pamatovat vždy s patřičným předstihem.

Z informací eBanky však vyplývá, že příští rok by operace s nastavováním limitů měly „účinkovat“ okamžitě. Takže by měl být možný například následující scénář:

Klient má na svém účtu standardně nastavený limit pro výběr z bankomatu na nula korun (takže ani při ztrátě či okopírování karty a odkoukání PINu si zloděj z jeho účtu nic nevybere). Pokud majitel účtu náhle zjistí, že potřebuje nějakou částku vybrat, musí si příslušným způsobem zvýšit limit pro výběr. Díky okamžitému efektu tak může učinit skutečně bezprostředně před výběrem, například ze svého mobilního telefonu, na chodníku před bankomatem, který se právě chystá použít (nebo z počítače, před odchodem z kanceláře k bankomatu).

Další již bude záležet na technické realizaci – zda bude muset klient explicitně vrátit limit na nula korun další operací, nebo zda se tak stane automaticky provedením výběru. Velmi důležitá bude i otázka zpoplatnění takovýchto nastavovacích operací – pokud budou přijatelně nízké, budou klienti motivováni je využívat. Pokud budou příliš vysoké, lidé je používat nebudou. V tomto ohledu však eBanka nechtěla nic konkrétnějšího prozradit.

Našli jste v článku chybu?

15. 4. 2004 13:13

UglyTroll (neregistrovaný)
Nemáte tak docela pravdu. Obchodník má povinnost požadovat u platby PIN pouze u karet Meastro a to pouze v případě, že má terminál který umožňuje verifikaci PIN. Těmito terminály by měli být vybaveni všichni obchodníci nejpozději do roku 2005 (pokud se nepletu). Co se týká KB tak jejich informace jsopu velice často účelové, neúplné a někdy i dokonce lživé.

Jinak banka samozřejmě pozná jestli byla karta autorizovaná s PIN. (pokud má rozumný systém)

14. 11. 2001 14:09

Dan Lukes (neregistrovaný)
No, nevim, ja zadne varovani nedostal - ani na vypisu neni. Naopak, s tim prebiranim rizika to zas az tak zhave nebylo - nemam pocit, ze bych na sebe prevzal nejaka rizika, ktera na me banka nehodila uz driv.
Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá