Od Nového roku platí přísnější pravidla pro ověřování plateb v e-shopech. Opsat údaje z karty a jednorázový kód z esemesky už nemusí stačit. Evropská směrnice po bankách požaduje, aby kromě SMS kódu k ověřování plateb kartami na internetu použily i další metodu, například potvrzení pomocí biometrie ve speciálních mobilních aplikacích nebo nový ePIN či behaviorální analýzu. V České spořitelně se rozhodli využívat všechny varianty. "V předstihu jsme si připravili právě zautomatizovanou analýzu chování, aby klienti změnu při nakupování co nejméně pocítili. Všechny naše klienty se však snažíme postupně přimět, aby si stáhli buď elektronický George klíč, nebo si zařídili ePIN. Mohou totiž nastat situace, kdy platbu kartou vyhodnotíme jako rizikovou a bez nového ePIN ověření neprojde," říká Jan Hailich, manažer pro platební řešení České spořitelny.

HN: Na trhu je vidět, že většina bank se při naplňování nové regulace rozhodla podporovat biometrické ověření. Jak se ověření platby v e-shopu pomocí aplikace George klíč prosazuje mezi klienty České spořitelny?

Máme zhruba jeden milion klientů, kteří platí kartou na internetu. Aplikaci George klíč jsme pro ověřování plateb kartou na internetu spustili začátkem prosince a ještě do konce loňského roku ji pro nákup využila polovina z nich. Výhodou je zjednodušení oproti předchozímu způsobu. V aplikaci vám přijde jen upozornění na prováděnou platbu a tu potvrdíte otiskem prstu nebo skenem obličeje. Nic víc k tomu už nepotřebujete. Je to pohodlnější než postaru, žádný kód z esemesky se nemusí nikam vpisovat. Obliba George klíče proto roste. Jen první dva týdny v lednu si tuto aplikaci stáhly desítky tisíc dalších klientů. Nyní podíl transakcí kartou na internetu, které klienti potvrdili klíčem, vzrostl na více než 60 procent.

HN: Jak teď platí klienti, kteří George klíč k platbám na internetu nechtějí nebo mají starý mobil, ve kterém jim aplikace nepůjde?

Ti zatím platí většinou postaru. Při ověřování těchto klientů využíváme behaviorální analýzu. Snažíme se, aby požadované silnější ověření klienta nezhoršilo komfort placení na internetu. Přesto teď po klientech bez aplikace George klíč budeme chtít, aby si vygenerovali nový bezpečnostní ePIN. Zatím si ho v rámci pilotního období vygenerovalo okolo 60 tisíc klientů. Jsme připraveni na nával dotazů v našem klientském centru a budeme se snažit vysvětlovat, proč s touto změnou přicházíme.

Jan Hailich (37)

Od září 2020 má na starosti provoz a rozvoj plateb v České spořitelně. V bance pracuje pět let a kromě oblasti plateb v denním bankovnictví se věnoval i digitálnímu prodeji. V minulosti pracoval na manažerských pozicích v telekomunikačních společnostech Vodafone nebo Telefónica O2 Czech Republic. Vedl například oddělení péče a prodeje nebo měl na starosti rozvoj nových obchodních modelů.

HN: Proč je to nutné? Ověření behaviorální analýzou evropská regulace přece povoluje…

Věříme, že ve skutečnosti bude počet lidí, kteří budou muset použít ePIN, velmi nízký. Mohou ale nastat situace, kdy analýza nezafunguje a systém vyhodnotí platbu jako rizikovou. Bez použití nového ePIN pro ověření taková platba neprojde. Typově může jít o případ, kdy někdo bude chtít platit z jiné IP adresy či bude provádět platbu z jiného města, než ve kterém se obvykle vyskytuje. Nebo klient bude psát na počítači či na displeji mobilu jinak, než to běžně dělá, případně bude chtít zaplatit částku, která je u něho neobvyklá. Behaviorální analýza pracuje s profilem klienta, který zahrnuje i řadu dalších věcí a charakterizuje jeho chování při platbách na internetu v minulosti. Pokud se některý ze sledovaných parametrů zásadně liší od tohoto standardu, tak klienta požádáme, aby při platbě kromě kódu z esemesky zadal i ePIN. Budou ho ale hlavně potřebovat klienti, kteří předtím na internetu nenakupovali a jejichž profil si nejprve musíme vytvořit.

Ze stejného důvodu se bez něho neobejdou ani lidé, kteří si u nás otevírají účet.

HN: Podmínky ověřování plateb v bankách se liší. Některé vyžadují pro každou platbu bez elektronického klíče zadat ePIN. Jiné tvrdí, že se zaváděním dalšího speciálního PIN nepočítají a klienti bez elektronického klíče budou s pomocí umělé inteligence ověřovat platby jako doposud, tedy opsáním kódu z esemesky. Pro lidi je to složité, nemyslíte?

Bohužel se nepodařilo na trhu vytvořit jednotný standard. Připouštím také, že když klient změní banku, bude možná muset přejít na jiný postup při platbě kartou, než byl zvyklý, a nebude to pro něj zpočátku příjemné. Chápu, že každá banka má jiné technologické možnosti a mohla uplatnit jen to, co měla v danou chvíli k dispozici. Pro klienty by z pohledu pohodlí a bezpečnosti byla jistě nejvýhodnější autorizace pomocí elektronického klíče. Výhoda by to byla i pro banky, protože by nemusely udržovat další ověřovací systémy. Jenže tím by došlo k diskriminaci těch, kteří nemají chytrý mobil nebo tuto aplikaci vůbec nechtějí. Takže to nebylo průchozí a postavily se proti tomu i karetní asociace Visa a Mastercard.

HN: Říkáte, že nový ePIN bude šestimístné číslo a klient si ho pak nemůže změnit podle sebe, jako je to možné u PIN ke kartě nebo u hesla pro přístup do elektronického bankovnictví. Proč jste se tak rozhodli?

Myslíme si, že kdyby si lidé mohli ePIN vybrat, většinou by si dávali variantu toho, který mají ke kartě nebo do elektronického bankovnictví. Tak to prostě hodně klientů dělá, aby si další nový PIN zapamatovali. Tomu jsme se chtěli vyhnout, protože by tím vzrostlo riziko, že by při phishingovém útoku mohli přijít o peníze, a rozhodli jsme se vytvořit ePIN každému klientovi sami. Ten bude možné získat buď v internetovém bankovnictví, nebo prostřednictvím našeho bankomatu. Pro usnadnění této změny bude ePIN pro daného klienta stejný ke všem jeho kartám, které jsme mu vydali. A důležité také je, že klient nás může požádat kdykoliv o nový ePIN, ne jen když ho zapomene.

HN: Který ze způsobů ověřování se podle vás nejvíc prosadí?

Dominovat bude elektronický klíč. Odhaduji, že do konce letošního roku ho bude při platbách kartou na internetu využívat až 75 procent našich klientů. A věřím, že ten podíl se bude dál zvyšovat. Myslím, že komfort, který používání elektronického klíče při potvrzování platby na internetu přináší, převládne nad častou nechutí lidí učit se něco nového. Navíc, moc starých telefonů, ve kterých aplikace být nemůže, už mezi lidmi nekoluje. Elektronický klíč chceme umožnit i na firemní karty, pokud u nás držitel takové karty bude mít i osobní účet. Jistě nám ale zůstane určitá skupina lidí, kteří tuto aplikaci z principu nebudou chtít. Například ti, kteří za bezpečnější považují mít k platbám na internetu tlačítkový telefon, který jinak nepoužívají, a raději budou zadávat vždy ePIN a kód z potvrzující esemesky. Nebudeme je příliš nutit ke změně, chceme platby kartou v e-shopech umožnit všem klientům.

HN: Někteří vaši konkurenti už avizují, že elektronický klíč včlení do své mobilní aplikace. Půjdete také touto cestou?

Pro skupinu lidí, kteří využívají mobil k placení, to dává smysl. Pak je tu ale skupina lidí, kteří všechny platby provádějí jen přes osobní počítač. Proto jsme se už před delším časem rozhodli mít tuto aplikaci zvlášť. Jednak tím i zmíněná skupina klientů může získat přístup k elektronickému podepisování různých dokumentů, jednak jsme nechtěli, aby měl kdokoliv pocit, že ho tímto způsobem tlačíme k platbám přes mobil. Ale abych byl upřímný, o spojení George klíče s naší mobilní aplikací teď začínáme znovu debatovat. Kdybychom se pro to rozhodli, dříve než za rok nebo za dva však do toho nepůjdeme.

HN: Jak velký problém pro banky byly podvodné transakce při placení kartou na internetu před spuštěním nové evropské regulace?

Ve srovnání se světem šlo o velmi malý problém. V Česku skoro všechny platby kartou měly už zabezpečení 3D Secure, tedy ověření pomocí kódu z poslané esemesky. Zneužití karty při platbě na internetu, aniž by v tom majitel karty sám sehrál nějakou roli, bylo na úrovni promile z objemu všech karetních transakcí. V některých zemích EU takové zabezpečení neměli a zaznamenávali až sedm procent podvodných transakcí.

Chápu ale, že unie to potřebovala naléhavě řešit a chtěla, aby všechny země měly stejně silné zabezpečení.

HN: Jaké typy podvodů v internetových platbách nejčastěji řešíte?

U plateb kartou v e-shopech jde většinou o zneužití v rámci rodiny. Typicky si někdo vezme kartu a telefon jiného člena a tajně si nakoupí na internetu. Mnohem víc se setkáváme s podvody v internetovém bankovnictví. Jde hlavně o takzvaný phishing, kdy se podvodník snaží dostat k přístupovým heslům skrze e-mailové nebo SMS zprávy, které se tváří, že jsou od banky, a přeposlat si pak z klientova účtu peníze. Dalším způsobem jsou údajné telefonáty z banky. Žádná banka přitom něco takového od svých klientů nikdy nepožaduje a my jim to neustále připomínáme. Jinou variantou je například vytváření falešného profilu na Facebooku, kdy podvodníci přesvědčí vaše přátele, aby si je přidali. Poté s nimi z takového profilu začnou komunikovat a pokusí se od nich získat citlivé údaje, třeba pod záminkou, aby jim dotyčný mohl vrátit peníze, které omylem dostal. Ke ztrátě úspor by mohlo dojít, pokud byste si do svého telefonu stáhli škodlivý program, který pak může přeposílat vaše esemesky a přístupové kódy. Ze stejného důvodu se nedoporučuje provádět root telefonu (úpravu, která mimo jiné umožní instalovat do telefonu software z neověřených zdrojů − pozn. red.). Ve všech těchto případech by člověk svou neopatrností přišel o identifikační hesla, protože nějakým způsobem s podvodníkem "spolupracoval". Právě proto doporučujeme využívání aplikace George klíč, která monitoruje, zda dané zařízení vyhovuje bezpečnostnímu standardu.