Stáhněte si smart klíč, aplikace banky je bezpečnější než potvrzovací SMS

Na mobil zaslaný a pak přepsaný SMS kód už od počátku roku 2021 nemusí k potvrzení platby kartou při nákupu v e‑shopu pokaždé stačit. Záleží na konkrétní bance, která platební kartu vydala. Pak nezbude, než zaplatit převodem z účtu či třeba dobírkou. Abyste se mohli ke své oblíbené platební metodě vrátit, měli byste vyslyšet doporučení bankovních domů i dalších emitentů karet a stáhnout si do smartphonu jejich autentizační aplikaci. A tu začít používat. Většinou se o ní mluví jako o mobilním či smart klíči. Ten může fungovat jako samostatná aplikace nebo být integrován v mobilním bankovnictví. V appce pak potvrzujete svou identitu oprávněného majitele účtu i dotyčné karty jen vám známým heslem. Nebo – pokud vlastníte vyspělejší chytrý mobil – můžete i biometricky: otiskem prstu, případně skenem obličeje. Komunikujete tak přímo s bankou.

Skalní přívrženci tlačítkových telefonů, kam aplikace nejdou nainstalovat, budou nuceni nebo už dokonce musejí vedle standardního SMS kódu či rovnou místo něj (opět dle klientovy banky) zasílat svůj unikátní epin (e-commerce PIN). Ten si vygenerují, sami zvolí, nebo ho získají v internetovém bankovnictví, případně zajistí na pobočce. Slouží pouze pro platby kartou na netu, neplést tedy se známějším PINem ke kartě vyžadovaným terminály a bankomaty.

Nových autorizačních metod při online shoppingu ale funguje nyní víc. Identitu nakupujícího a rizikovost transakce může verifikovat, respektive analyzovat na základě platebního chování – podmínkou je ale dostatečný počet plateb kartou – a s využitím umělé inteligence třeba bankovní robot. Pokud klienta-plátce „pozná“ a „sezná“, že jeho aktivita nevybočuje z normy či platební historie, tak hesla, epiny či biometriku si vynucovat nemusí. Další výjimku ze zákonem požadovaného ověření jedinečným heslem/kódem či biometrikou mohou mít například i transakce opakované, s nízkou hodnotou nebo s důvěryhodnými a tudíž vlastně již v praxi prověřenými příjemci.

Výše uvedené novinky vyplývají z evropské směrnice PSD2 (Payment Service Directive 2) a z její transpozice do novelizovaného českého zákona o platebním styku (370/2017 Sb.). Unijní legislativa, řečeno ve zkratce, liberalizovala trh platebních služeb, což ale zároveň vyvážila zpřísněním kritérií pro ochranu online plateb. Uvedené normy proto výslovně stanovují, že uživatelé přistupující ke svému bankovnímu účtu prostřednictvím internetu, zejména při zvýšeném riziku podvodu či zneužití, musejí být, jak již bylo několikrát zmíněno, silně – rozuměj důkladněji – ověřeni (viz § 223 zmíněného zákona). Silné ověření se tudíž netýká pouze plateb kartou – ty jsou ale nejtypičtější platební metodou pro e‑shopy.

Tento takzvaný režim SCA (z anglického strong customer authentication) je založen na použití alespoň 2 z následujících 3 na sobě nezávislých kategorií prvků: Na něčem, co uživatel má/drží (tokeny: mobil, tablet…), co zná (heslo, podepisovací gesto, odpověď na otázku…) a co fyzicky je (biometrika/inherence: otisk prstu, selfie, scan oka, rýha v nehtu, hlas, DNA, vůně…). Prolomení jednoho faktoru nesmí ovlivnit spolehlivost ostatních.

No, a jelikož SMS kód není považován za znalostní kritérium (dle rozhodnutí Evropského orgánu pro bankovnictví), nýbrž stejně jako mobilní telefon za prvek z kategorie držení (navíc se oba faktory „potkávají“ v jednom zařízení), je potřeba jej při autentizaci nahradit či doplnit něčím, co pouhopouze jen uživatel ví nebo je. Mimochodem, ani údaje z karty nelze dle některých expertů charakterizovat jako unikátní vědomost. Nejsou totiž známy toliko držiteli kreditky.
Nadto – SMS notifikace je z hlediska zabezpečení už trošku překonaná ověřovací metoda. S pomocí škodlivého malware, který si lidé spolu s různými appkami instalují do svých telefonů často nevědomky, už dneska není pro zloděje dat nepřekonatelným problémem nechat si esemesky vyhlédnuté oběti přeposílat na vlastní mobil. Jestliže jí předtím rovněž ukradl i čísla karty, která ke vší smůle nemá nastaveny nízké limity, může mít slušně vyděláno. Mobilní klíče jsou prostě proti malware a phishing útokům a tím i proti zneužití určitě odolnější než SMS. Jsou technologicky dál.

Definitivní konečný termín pro zavedení silné a nezávislé 2faktorové autentizace byl i kvůli koronaviru několikrát odložen a ještě nyní jaksi dobíhá přechodné benevolentnější období. Nicméně, v podstatě všechny tuzemské banky už pár měsíců – některé i přes rok – autentizační mobilní aplikace v portfoliu nabízených služeb mají. Aktuálně hledají řešení pro ty klienty, kteří chytrý telefon z nějakého důvodu nechtějí.

Přestože časem při platbách kartou zřejmě úplně zmizí otravné opisovaní esemesek, tak se určitě najdou jedinci, kterým výše popsané novoty nevoní. A chystají se více využívat dobírky a její úhrady hotovostí. Ke změně názoru by je ale možná mohl přimět ne zcela všeobecně známý fakt: Dodání poškozeného či dokonce nedodání zboží již zaplaceného kartou jistí takzvaný chargeback. Pokud zákazník neuspěl s reklamací u internetového obchodníka, může mu jeho banka – pakliže stížnost uzná – vrátit platbu a sama částku po e‑shopu vymáhat. V případě placení převodem z účtu už ale chargeback nárokovat nelze, u dobírky a platby cash logicky ani náhodou ne. Jde totiž o dodatečnou službu a benefit kartových asociací Visa a Mastercard.

Ještě víc sichr je platba kartou kreditní. Ta totiž oproti debetce není přímo spojena s účtem. A transakci de facto hradí banka, jde tedy v momentě placení o její peníze. Dá se tedy předpokládat, že se při chargebacku bude o to vehementněji snažit dostat je zpět.

Vyzkoušejte naše služby

Na portálu kolikmam.cz jsou dostupné informace o fyzických osobách a fyzických osobách podnikajících. Registrovaní uživatelé zde získají přístup k výpisům z registrů a dalším nabízeným službám.

Výpisy z registrů

100 Kč / výpis
  • Bankovní registr klientských informací (BRKI)
  • Nebankovní registr klientských informací (NRKI)
  • společný výpis z BRKI/NRKI
  • kompletní úvěrová zpráva 

MůjKredit

100 Kč / výpis
  • data z veřejných zdrojů (ARES, databáze neplatných dokladů MVČR, ISIR)
  • údaje z registrů BRKI, NRKI a REPI
  • osobní hodnocení
  • seznam exekucí

Výpis z REPI

100 Kč / výpis
  • kontaktní údaje včetně historických
  • kontrakty na produktech: spotřebitelský úvěr, společnosti z oblasti energetiky
  • detaily smluv a platebních záznamů

#Kolikmam365

499 Kč / rok
  • osobní hodnocení
  • 4× ročně společný výpis z registrů
  • hlídání dat v registrech
  • aktuální přehled závazků

Exekuce

40 CZK / dotaz
  • exekuce fyzických i právnických osob
  • nejdříve se dotazem ověří, zda je hledaná osoba v databázi
  • následně zjistíte detail případné exekuce

NetAgent

365 Kč / rok
  • služba chránící osobní data na internetu
  • monitoruje webové stránky a diskusní fóra
  • snižuje riziko krádeže identity v prostředí internetu

Sledujte nás

×

Odběrem novinek souhlasíte se zásadami ochrany osobních údajů.