Informace o bezkontaktní platební kartě, jejím držiteli nebo provedených transakcích mohou zloději jednoduše získat a následně zneužít k provedení neoprávněných plateb například přes internet.

Tvrdí to občanské sdružení Iuridicum Remedium (IuRe). Podle vydavatelů platebních karet je podíl podvodných transakcí minimální, navíc klienti by v těchto případech dostali peníze zpět.

Jak jednoduše lze získat přístup k takovým údajům, dokazuje video, které sdružení natočilo.

"Rádi bychom na riziko spojené s užíváním bezkontaktních platebních karet upozornili širokou veřejnost. K přečtení karet jsme použili NFC čtečku, jež je běžně dostupná za několik set korun, a software, který lze zdarma stáhnout z internetu.

Samotné čtení karty, uložené třeba v peněžence v kapse, lze provést zcela nepozorovaně ve zlomku sekundy. Do karty není třeba se vlamovat, protože údaje nejsou nijak šifrovány, ani jinak zabezpečeny," uvedl ředitel IuRe Jan Vobořil.

Z karty lze získat i informace, které je možné zneužít například u internetových plateb.

"Existují internetové obchody, u nichž lze kartou platit, pokud plátce zná jméno jejího držitele, dále její číslo, typ a datum expirace. Nevyžadují kód CVV/CVC ze zadní strany karty, který jsme během našeho testu mezi získanými údaji nenašli," dodal Vobořil. Pokud by ale útočník na okamžik viděl tento obvykle třímístný kód, který není těžké si zapamatovat, otevírají se mu prý dveře do všech internetových obchodů.

Podvodů nepřibývá, brání se vydavatelé karet

Podíl podvodných transakcí evidovaných vydavatelem karet Visa zůstává na stejné úrovni jako před zavedením bezkontaktní technologie, řekl regionální manažer Visa Europe pro ČR a Slovensko Marcel Gajdoš. Podíl podvodných transakcí je podle něj v Česku dlouhodobě jeden z nejnižších v Evropě, a to na úrovni 0,04 procenta z obratu na kartách. V případě zneužití karty cizí osobou je držitel karty Visa chráněný, dodal.

Na bezkontaktních kartách je řada šifrovacích mechanismů a také technologická omezení, díky kterým lze karty přečíst jen z relativně malé vzdálenosti, doplnil ředitel pro rozvoj mobilních plateb a inovací MasterCard Europe pro ČR a Slovensko Richard Walitza.

Před platbou musí být navíc karta nejprve aktivována platebním terminálem. Podle standardů MasterCard a Maestro nejde z karty přečíst ani jméno, ani CVC kód. Pokud by přesto držitel karty na svém účtu objevil podezřelé transakce, vrátí mu banka peníze z podvodných transakcí zpět, podotkl.

Lidé by podle Vobořila měli zvážit, zda kartu určenou pro bezkontaktní platby opravdu chtějí. Pokud se pro ni rozhodnou, mohou v nastavení svého internetového bankovnictví zablokovat on-line platby. Lze také využít speciální pouzdro na kartu, která zabrání jejímu neoprávněnému přečtení.

Bezkontaktní platební karty jsou stále oblíbenějším nástrojem, jak platit za nákup. Na rozdíl od klasického bezhotovostního placení kartou takové platby obvykle nevyžadují použití PIN. Bezkontaktní platby jsou pak z důvodu nižšího zabezpečení limitovány do 500 Kč. Toto omezení ovšem nijak nelimituje platby uskutečňované přes internet.