Článek
Jak uvádí ředitel sdružení Iuridicum Remedium (IuRe) Jan Vobořil, jeho cílem je upozornit širokou veřejnost na riziko spojené s užíváním bezkontaktních platebních karet. „K přečtení karet jsme použili NFC čtečku, která je běžně dostupná za několik set korun, a software, který lze zdarma stáhnout z internetu,“ upřesnil Vobořil.
Podle něho lze samotné čtení karty, uložené třeba v peněžence v kapse, provést zcela nepozorovaně ve zlomku sekundy. Do karty není třeba se vlamovat, protože údaje nejsou nijak šifrovány ani jinak zabezpečeny. Sdružení k dané problematice natočilo i instruktážní video.
Z karty lze díky čtečce získat údaje o jejím držiteli a uskutečněných platbách, ale i informace, které lze zneužít například u internetových plateb. „Existují internetové obchody, včetně velkých, u nichž lze kartou platit, pokud plátce zná jméno jejího držitele, dále její číslo, typ a datum expirace. Nevyžadují kód CVV/CVC ze zadní strany karty, který jsme během našeho testu mezi získanými údaji nenašli,“ dodal Vobořil. Pochopitelně, pokud by se zloději podařilo tento třímístný kód zahlédnout, mohl by podle Vobořila provést platbu i v e-shopech, které kód vyžadují.
Panika není na místě
I přesto, že krádež údajů z karty vypadá velmi jednoduše, jejich zneužití ve skutečnosti už tak snadné není. Podle vyjádření bank i kartové asociace MasterCard Europe, které redakci Práva jejich zástupci poskytli, není rozhodně na místě se tohoto zneužití obávat.
„Jedná se o uměle vyvolaný problém, který i nezávislí experti vyvracejí. S vyčtenými údaji nelze podniknout téměř nic, a navíc jde o údaje na kartě běžně viditelné, vyjma CVC/CVV kódů, které takto vyčíst nelze. Na internetu tedy nezaplatíte. Při platbách na terminálu je pak každá transakce zabezpečena dynamickými prvky, které se v kartě dopočítávají, a ty tedy rovněž vyčíst nelze. Bez těchto prvků jednoduše nezaplatíte,“ uvedla pro Právo Milada Franek z GE Money Bank.
Slova Milady Franek potvrzuje i vyjádření společnosti MasterCard Europe: „Podmínky pro bezkontaktní placení jsou nastaveny tak, aby byla co nejvíce zaručena jejich bezpečnost. Na bezkontaktních kartách je řada šifrovacích mechanismů a také technologická omezení, díky kterým lze karty přečíst jen z relativně malé vzdálenosti. Před platbou musí být navíc karta nejprve aktivována platebním terminálem. Podle standardů MasterCard a Maestro nejde z karty přečíst ani jméno, ani CVC kód.“
Na internetu zneužití prakticky nehrozí
Sdružení IuRe upozorňuje, že i když čtečka není schopná kód CVV/CVC přečíst, může ho i tak zloděj zahlédnout a zapamatovat si ho. Pak by již měl cestu otevřenou i k platbám v e-shopech, které kód k provedení platby vyžadují. I toto nebezpečí však hrozí jen velmi výjimečně. „Mezi další výhody bezkontaktní platební karty patří fakt, že při bezkontaktní platbě nemusí dát klient kartu z ruky a má ji stále pod dohledem. Tím se eliminuje riziko zjištění citlivých údajů z karty například personálem či obsluhou,“ uvedla pro Právo Ivana Vejvodová z mBank.
Banky (například ČSOB, Era Poštovní spořitelna, GE Money Bank či UniCredit Bank) používají a další (například Raiffeisenbank) se v nejbližší době chystají zavést tzv. 3D Secure, který umožní ověření transakce přes platební bránu pomocí SMS s jednorázovým kódem, který banka klientovi pošle na jeho mobilní telefon a on jej zadá do potvrzení platby. „I útočník, který zná číslo karty, její platnost a CVV kód, nemůže transakci dokončit, pokud nemá zároveň přístup k mobilnímu telefonu majitele karty,“ řekl Právu Petr Plocek z UniCredit Bank.
Některé banky (například ČSOB, Era či mBank) používají moderní on-line monitoring transakcí klientů. „V případě podezření, že se jedná o neoprávněnou transakci, ji zablokujeme a kontaktujeme majitele karty. Pokud danou transakci potvrdí, okamžitě ji povolíme, v opačném případě však neproběhne,“ upřesnila Ivana Vejvodová.
Air Bank vydává k účtu zdarma dvě bezkontaktní karty. „Pokud této možnosti klienti využívají a nosí v peněžence obě najednou, nejdou nikým cizím přečíst vůbec,“ upozornil Právo Vladimír Komjati z Air Bank.
Proti zneužití údajů je obrana snadná
Bránit se přečtení údajů z karty může jednoduše každý její majitel. Například stačí, aby kartu nosil v bezpečnostním pouzdře (tzv. stínicím obalu), který stažení důležitých údajů z karty zabrání.
Další možností je nastavení limitů u internetových plateb. „Klienti si mohou nastavit limit pro internetové platby na internetu na minimální úroveň a vždy je zvýšit těsně před nákupem a poté opět snížit. Změna je platná okamžitě a nastavení je zdarma, klienti jej mohou provést kdykoli přes Fio Internetbanking i Smartbanking,“ uvedla pro Právo Vendula Žaloudíková z Fio banky.
Banky klientům také umožňují platby na internetu zablokovat či si ji zamknout. Tuto službu nabízí například Raiffeisenbank. „Klient kartu odemkne před placením prostřednictvím kódu zaslaného v SMS, po provedení platby se karta opět automaticky uzamkne a nelze ji zneužít,“ uvedl pro Právo Tomáš Kofroň z Raiffeisenbank.
Pokud se i tak obáváte zneužití své bezkontaktní karty a zároveň na internetu často platíte, máte ještě možnost zřídit si speciální internetovou kartu a k platbám používat pouze ji.
S reklamací máte šanci uspět
V současné době je každá pátá platební karta bezkontaktní. Klienti o ně mají zájem, banky evidují jejich odmítnutí v řádech jednotek procent. Například v České spořitelně předpokládají, že v horizontu dvou až tří let budou všechny jejich platební karty bezkontaktní.
Banky evidují jen nepatrný počet reklamací zneužití bezkontaktních karet, ke kterým dochází v důsledku jejich ztráty či odcizení. Podle Tomáš Kofroně z Raiffeisenbank není dosud znám jediný případ, kdy by ke zneužití karty došlo kvůli přečtení údajů.
Banky jsou většinou při vyřizování reklamací ke klientům vstřícné. „Pokud by skutečně ke zneužití karty jakýmkoli způsobem došlo, nese odpovědnost banka a klientovi budou všechny peníze vráceny. Klient však nesmí zásadně porušit standardní podmínky banky pro používání platební karty,“ upozornil Kofroň.