Odpovědi oslovených osob

Odpovědi Michaely Erbenové:

1) Jak je podle vás možné, že dochází k vykrádání bankovních účtů přes moderní komunikační kanály, když banky vyhlašují jak jsou jejich aplikace bezpečné?

Podstatou elektronického bankovnictví je obvykle připojení klienta prostřednictvím celosvětové počítačové sítě Internet k www serveru banky (hlavnímu počítači s programem zajišťujícím obsluhu klientů). Tento způsob komunikace se skládá z:

a)      počítačových zařízení a programového vybavení na straně banky,

b)      sítě internet,

c)      zařízení umožňujícím přístup klienta do sítě internet (tedy i k zařízením banky) na straně klienta.

Zabezpečení prvního uváděného segmentu tzn. počítačových zařízení a programového vybavení na straně banky je obecně v ČR na dobré úrovni a informační systémy bank jsou předmětem dohledu ČNB s důrazem na jejich bezpečnost. Komunikaci s klientem prostřednictvím internetu je nutné zabezpečit šifrováním. U elektronického bankovnictví je toto standardem a tuzemské banky k tomu používají protokoly SSL (v současné době celosvětová praxe). I na toto zabezpečení však lze v síti internet útočit.  Přiměřenou obranou proti takovým útokům je dvoustupňová autentizace (tzn. potvrzení autenticity přistupujícího klienta ještě dalším nezávislým způsobem např. telefonicky, SMS zprávou či autentizačním kalkulátorem) nebo využití certifikátu (asymetrické šifrování na bázi elektronického podpisu). Co se týče zařízení klienta lze říci, že dvoustupňová autentizace i zde poskytuje  přiměřenou ochranu, zatímco certifikát může být zneužit, pokud  s ním klient nenakládá v souladu s bezpečnostními zásadami (obdobně jako když si uloží PIN spolu s platební kartou). Z uvedeného vyplývá, že získání identity klienta v síti internet je při současném stavu (tj. za situace poměrně rozšířeného nižšího zabezpečení než dvoustupňové autentizace nebo použití certifikátu) náročnější než zcizení údajů přímo z (často špatně zabezpečených) počítačů klientů. Zařízení klienta tedy momentálně představuje větší riziko než útoky přímo v síti internet. Snížení tohoto rizika souvisí a i do budoucna bude souviset s informovaností klientů o možnosti výběru různých způsobů zabezpečení nabízených bankami s různou úrovní bezpečnosti, se znalostí bezpečnostních pravidel a s jejich aplikací samotným klientem na svém počítači připojeném k internetu. Informovanost a znalosti klientů jsou také nejlepší ochranou proti dalšímu typu útoků využívajících sociální inženýrství (například Phishing).

2) Je takový případ podle vás problém pouze poškozeného klienta?

Základním východiskem při odpovědi na tuto otázku je obsah smlouvy mezi bankou a klientem, což znamená, že se problém týká jak klientů, tak i bank.  Smlouvy jsou obvykle koncipovány tak, že banky nezodpovídají za rizika, která nejsou na straně systému banky tzn., že např. za zneužití certifikátu, PINů, hesel a kódů zodpovídá samotný klient. Z pohledu bank je tento postup logický v tom smyslu, že banka není schopna zajistit správu bezpečnosti na tisících zařízení klientů. Jak již vyplývá z odpovědi na předchozí otázku, považuje však ČNB za podstatné zajistit kvalitní informovanost  klientů o rizicích e-bankingu ze strany bank. ČNB provedla šetření, z něhož vyplývá, že klienti všech tuzemských bank využívající internetové bankovnictví jsou o těchto rizicích nějak informováni. Úroveň informací z hlediska obsahu, dostupnosti a srozumitelnosti se však mezi jednotlivými bankami liší. Právě zde tedy existuje na straně některých bank prostor ke zlepšení. To by mělo vést k tomu, že i běžný (tzn. z hlediska bezpečnosti IT nepoučený) klient bude informován tak, aby dokázal posoudit možné dopady a rizika elektronického bankovnictví, byl informován o alternativách s různým stupněm zabezpečení a byl schopen aplikovat bezpečnostní zásady na svém počítači.

3) Jak by v případě podezření na vykradení účtu přes internet či telefon banking měly podle vás postupovat banky?

Banky by měly mít předem vypracované postupy zohledňující takové situace, aby byly schopny včas a adekvátně reagovat a minimalizovat možné škody. K těmto postupům může patřit např. zablokování účtu, u něhož lze předpokládat kompromitaci (obdoba standardní procedury zablokování platební karty), zajištění důkazních prostředků (auditní záznamy, transakční historie) či informování klienta. Banky by také měly být schopny poskytnout součinnost orgánům činným v trestním řízení. V relevantních případech je také vhodné neprodleně informovat všechny klienty, kteří jsou potenciálně ohroženi (např. při Phishingu). Tato rizika by měla být předmětem standardních analýz včetně sledování relevantních auditních záznamů a jejich vyhodnocování.

Odpovědi Otakara Schlossbergera:

1) Jak je podle vás možné, že dochází k vykrádání bankovních účtů přes moderní komunikační kanály, když banky vyhlašují jak jsou jejich aplikace bezpečné?

Banky nemohou vyhlašovat nic jiného, než že jejich systém,který používají, je bezpečný. On v podstatě asi je, ale otázka je, jaká je úroveň této bezpečnosti a jaká je pak informovanost klientů dané banky ze strany této banky. Pokud klient není dostatečně informován závaznými pravidly ochrany svého PC proti možným útokům z tzv. třetí strany, pak je to ze strany banky nekorektní a dokonce by to bylo možno označit za protiprávní jednání. Klient má právo na komplexní informace daného produktu a služeb. Zde bych právě zdůraznil skutečnost bezpečnosti používaných PC a jejich SW aplikací. Jsou mezi námi koumáci, kteří dokáží při "slabším" ošetření daného PC přes svůj "nelegální" SW se do PC klienta banky dostat. Jisté je, že nikdy asi nebude schopen říci, že daný systém je "absolutně bezpečný". Bezpečnost je pojem relativní a jsem názoru, že pokud banky nabízejí elektronické služby, pak si musejí přiznat jisté riziko, se kterým musí počítat ve svých ekonomických kalkulacích. Vždyť dnešní banky na území ČR mají velmi často samostatné oddělení či pracoviště, která se zabývají jen a jen riziky banky. S ním je nutno počítat, neboť bez  něj není podnikání v bankovnictví v podstatě možné. Některá rizika má banka spočítána přesně, nad jinými teprve bádá, i když ví či tuší, že existují.

2) Je takový případ podle vás problém pouze poškozeného klienta?

S ohledem na výše uvedené jsem názoru, že pokud klient dodržel všechna smluvní ujednání mezi bankou a jím, pak odpovědnost za takovýto zásah je na bance. Vždyť banka je ze zákona (v tomto případě obchodního) povinna ochránit peněžní prostředky klienta na účtu a je oprávněna připustit s manipulací s peněžními prostředky na účtu jen majitele účtu či osobu oprávněnou (§ 710 odst. 2 zákona 513/1991 Sb., obchodní zákoník). Je to stejné jako když podvodník na podpisy zfalšuje Váš podpis na papírovém dokladu a banka tento platební příkaz pustí do systému a tím pádem Vám někdo vezme peníze z účtu. Přitom Vy jste jako majitel účtu platební příkaz nedal.
Je to věcí banky, neboť ona si tento způsob autentizace vymyslela, tak to musí umět používat. To přeci nemůže zajímat klienta, nedejbůh aby za to ještě odpovídat. Bohužel praxe v ČR je jiná i u těch papírových dokladů. Je to velmi smutná skutečnost, že banky vůbec něco takového na přelomu 20. a 21. století vůbec připustí.

3) Jak by v případě podezření na vykradení účtu přes internet či telefon banking měly podle vás postupovat banky?

Nemohu poučovat banky, ale kdybych o tom v dané bance rozhodoval, jistě bych nejdříve odškodnil svého (zdůrazňuji SVÉHO - totiž z něj žiji, on mi přináší zisk a můj chléb), pak bych šetřil, proč k tomu došlo, zda jsem nepostupoval jako banka v rozporu např. se zákonem o platebním styku, obchodním zákoníkem apod. a zda byla naplněna některé skutková podstata trestného činu.  Pokud by se v průběhu šetření ukázalo, že klient mne napálil (i to se může stát), pak bych jako banka dal klienta k soudu za trestný čin podvodu (příp. za jiné spáchání některé ze skutkových podstat trestného činu). Jak jsem naznačil výše, banky se bohužel a k újmě našich klientů chovají obráceně - mají za to, že klient je asi podvodník. Přitom daný klient je často jejich bezproblémovým klientem po řadu let.... Nepřijde mi takovéto chování etické a také ke slušnosti to má hodně daleko.

Odpovědi Petra Špačka:

1) Jak je podle Vás možné, že dochází k vykrádání bankovních účtů přes moderní komunikační kanály, když banky vyhlašují jak jsou jejich aplikace bezpečné?

K vykradení účtu klienta tímto způsobem dochází ve zcela ojedinělých případech. Přestože se úroveň zabezpečení těchto způsobů komunikace neustále zvyšuje, možnost podvodného proniknutí do systému nelze nikdy zcela vyloučit. Může jít o útoky znalců těchto technologií, kterým se nedokáží bránit ani velcí provozovatelé internetových portálů (stačí připomenout problémy s celosvětově šířenými viry), nebo útoky organizovaných skupin. Nejčastěji však dochází ke ztrátám neopatrností klientů bank. V každém případě platí, že nejjednodušší cesta k prolomení jakéhokoli zabezpečení vede stále přes neopatrnost a důvěřivost klientů, kteří dostatečně nechrání svěřené zabezpečovací prvky anebo nedodržují zabezpečovací pravidla. Mezi klasické případy patří neopatrné ukládání hesel a PIN, používání jednoho hesla pro více komunikačních kanálů anebo positivní reakce na tzv. phishing (fingované dotazy "bank" na zaslání zabezpečovacích prvků veřejným mailem). Banky rozhodně bezpečnost nepodceňují a trvale vynakládají značné prostředky na stálé vylepšování systémů z hlediska jejich zabezpečení, neboť jejich důvěryhodnost je pro ně naprosto prioritním požadavkem.

2) Je takový případ podle Vás problém pouze poškozeného klienta?

Samozřejmě se problém týká obou stran. Pokud neexistuje reálné podezření, že jde o pokus o podvod se zapojením klienta, měl by být problém řešen společně oběma stranami. Pokud se prokáže , že nedostatek v zabezpečení nebyl způsoben neopatrností klienta a došlo k němu porušením povinností na straně banky, má klient právo na náhradu škody v souladu s příslušnými právními předpisy. Banka má současně šanci nedostatek odstranit a ochránit tak další klienty. Pokud byla škoda způsobena neopatrností klienta, získá při komunikaci s bankou nejen nové zabezpečovací prvky, ale i další vysvětlení, jak podobným případům v budoucnu předcházet. Současně banka dostane informaci, kterou lze využít v další osvětě mezi občany.

3) Jak by v případě podezření na vykradení účtu přes internet či telefon měly podle Vás postupovat banky?

Banka by samozřejmě měla záležitost náležitě prošetřit tak, aby bylo možné objektivně posoudit, zda se jedná o skutečné selhání na straně banky a jaká je jeho příčina či zda nejde o chybu, nedopatření, nebo třeba i špatný úmysl klienta. K tomu má každá banka stanoven určitý vnitřní postup, který by měl být dodržen. Banka by měla klienta informovat, k jakým závěrům při šetření reklamace došla a na základě svých zjištění by měla učinit další kroky, např. zrevidovat bezpečnostní systém, podat trestní oznámení atp.

Odpovědi Vladimíra Smejkala:

1) Jak je podle vás možné, že dochází k vykrádání bankovních účtů přes moderní komunikační kanály, když banky vyhlašují jak jsou jejich aplikace bezpečné?

Problém není v drtivé většině případů u bank, ale u klientů, kteří nedodržují podmínky, jež se zavázali smluvně dodržovat. Tyto podmínky se týkají právě bezpečnosti, tedy jak nakládat s nástroji pro vzdálené bankovnictví (programy, podepisovací klíče, hesla apod.). Pokud někdo nedodržuje bezpečnostní opatření a nechá si podepisovací klíč odcizit, nebo někomu jinému řekne heslo, pak se nesmí divit, že mu pachatel vybere účet. Je to stejné, jako když si napíšete na platební kartu PIN nebo necháte klíčky od auta ležet na kapotě. Příkladem z reálného života může být klient, který si nahrál (značně nerozumně) podepisovací klíč do svého počítače a ten pak dal do opravy. Hrozně se pak podivoval, že mu někdo zanedlouho vybral z účtu půl milionu a že nenašel dovolání ani u banky, ani jinde.
Velice často ale dochází ke zneužití u účtů či karet, které vůbec s internetbankingem nesouvisí. Jde o případy tzv. phishingu, kdy klient, obvykle nalákán nesmyslným a ničím neodůvodněným příslibem vyplacení nějaké částky, kterou mu měl někdo poslat na účet, prozradí pisateli e-mailu, vydávajícímu se za banku, své přihlašovací údaje k účtu nebo údaje o platební kartě.Snad jediná služba, kterou nepovažuji, už ze své podstaty, ze absolutně bezpečnou je právě telefonbanking, alespoň ten klasický, pomocí hesel. Tzv. GSM banking prostřednictvím mobilních telefonů vykazuje vyšší, byť nikoliv absolutní míru bezpečnosti.

2) Je takový případ podle vás problém pouze poškozeného klienta?

Domnívám se, že převážně ano. Jde totiž o klienty, neopatrné, lehkomyslné, naivní či dokonce hloupé. Pokud banka jasně popsala ve smlouvě, co má a nemá dělat klient s prostředky pro vzdálené bankovnictví, a klient toto nedodrží, je to opravdu jen a jen jeho problém.
Samozřejmě pokud by došlo skutečně k prolomení bezpečnosti informačního systému banky resp. vzdáleného bankovnictví, pak to je průšvih nejvyšší kategorie a mohlo by to banku existenčně ohrozit. Ale není mi znám u nás žádný takový případ. Všechny bankovní podvody byly spáchány buď zaměstnanci banky, nebo na základě jednání neopatrných klientů.

3) Jak by v případě podezření na vykradení účtu přes internet či telefon banking měly podle vás postupovat banky?

Hlavní zásadou je zadokumentovat všechno, co lze. Jedině tak lze dohledat, v natolik rychle se měnícím prostředí, jakým je bankovní informační systém, ale především k němu připojené elektronické komunikace, co se stalo. Dál je třeba rovněž zadokumentovat co se stalo na druhé straně, tj. u klienta. Na základě toho lze následně prokázat, zda došlo k chybě či opomenutí u klienta, nějaké chybě v bance, nebo – což samozřejmě nelze také vyloučit – že se jedná o útok zvenčí. Ale podrobnější návody bych nerad publikoval veřejně, mohlo by to posloužit i pachatelům.

Odpovědi Jiřího Nápravníka:

1) Jak je podle vás možné, že dochází k vykrádání bankovních účtů přes moderní komunikační kanály, když banky vyhlašují jak jsou jejich aplikace bezpečné?

To je v celku jednoduché a nepříjemné zároveň. Internet, GSM nebo i telefonbanking vytvořili lidé a lidé jej také používají. Co člověk sestrojil dokáže jiný člověk překonat. Pokud jde o prohlášení jednotlivých bank, tak si dost dobře nedokáži představit, že by banky říkaly něco jiného než, že jsou jejich moderní komunikační kanály výborně zabezpečené. Bankovnictví je postaveno na důvěře a jakékoliv pochybnosti o bezpečnosti mohou s důvěryhodností konkrétní banky nebo určitého typu služby vážně otřást. Problém bezpečnosti konkrétního typu komunikačního kanálu a případných vykradených účtů nevidím ve zvolené technologii pro ověření identity klienta. Minulost již jasně ukázala, že donedávna bezpečné řešení obsahuje bezpečnostní slabinu a ještě ke všemu na místě kde ji nikdo neočekával. Problém především spatřuji ve vnímání toho zda k vykradení bankovního účtu může dojít, případně zda se to skutečně může stát bez klientova přispění ( i nedbalostního). V případě podvodů v prostředí klasických (papírových) platebních příkazů je již známo mnoho příkazů z minulosti a existují i rozhodnutí soudů. V případě platebních karet je tomu podobně. V této oblasti je to ještě umocněno tím, že platební karty vydávání nadnárodní asociace a jednotliví členové těchto asociací si mezi sebou vyměňují informace o nových formách podvodů a tím společně zdokonalují celý systém. V prostředí internetového, GSM nebo telefonního bankovnictví nic takového neexistuje. Dokonce bych řekl, že klasičtí bankéři a top management bank jsou v této oblasti často odkázáni na rady svých specialistů na moderní technologie, případně na doporučení externích konzultantů. Jak dokazuje několik případů kdy došlo k vykradení bankovních účtů bez spoluúčasti klientů a jak byly tyto případy bankami řešeny, tak specialisté z bank pravděpodobně trpí vnitřní slepotou a posuzují možná rizika pouze z úzkého prostoru své specializace. Pamatuji si, že ještě před několika lety jeden pan profesor a odborník na výpočetní techniku označoval jakoukoliv zmínku o slabině v internetovém bankovnictví jako pokus o poškozování dobrého jména bank (http://digiweb.ihned.cz/23-12692280-n%E1pravn%EDk-i00000_d-07). Problémy spojené s vykrádáním bankovních účtů nevidím ani tak v technologiích, ale především ve zkušenostech a to jak informatiků, tak také bankéřů, manažerů a v neposlední řadě i klientů.

2) Je takový případ podle vás problém pouze poškozeného klienta?

Cynik by řekl "ano". Je to problém klienta, protože využívá služby banky, kterou zajímají pouze stržené poplatky a v nesnázích se ke  klientovi chová jako by to byl podvodník a kdoví co ještě. Teď ale vážně. Rozhodně se nedomnívám, že je vykradený účet problém pouze klienta. To z několika důvodů:
- Klient bance půjčil své peníze a ona je vydala cizí osobě aniž by si spolehlivě ověřila, že se jedná o klienta.
- Klient využíval pro obsluhu bankovního účtu komunikační kanál, který vytvořila (nechala si vytvořit) a provozovala jej banka.
- Banka za využívání takového komunikačního kanálu vybírala od klienta peníze a to přímo nebo skrytě ve formě poplatků za balíček bankovních služeb.
- Stále nové a nové bezpečnostní slabiny v operačním systému Windows nebo v internetovém prohlížeči potvrzují, že to co bylo včera zabezpečeno na dostatečné úrovni dnes již nemusí stačit.
- Banka má na rozdíl od klientů možnost a prostředky včas odhalit nové bezpečnostní riziko. Klient je v této oblasti odkázán na rady své banky. Pokud mu zástupce banky řekne, že jejich internetbanking je bezpečný, protože respektuje mezinárodní standardy,  používá SSL a 128bitový šifrovací klič, tak non-IT uživateli nezbývá nic jiného než poděkovat za radu.

Rozhodně si nemyslím, že jsou všichni klienti andílci. Podobně jako v případech papírových platebních příkazů nebo platebních karet se i zde objeví dříve nebo později nějaký klient –podvodník. Jenže banky na to dnes nejsou připraveny a hned bez jakékoliv snahy případy šetřit prohlašují, že jejich dlouholetí klienti jsou podvodníci a když Policie ČR dopadne skutečného pachatele a ten se přizná, tak pracovníci banky nemají ani tolik slušnosti, aby se klientovi za problémy spojené s vykradením jeho účtu omluvili.
To je špatně. Jednak to kazí dobré jméno konkrétní banky podobně jako jakákoliv jiná špatná zkušenost a současně to odrazuje běžné uživatele od většího využívání moderních technologií k nakupování.

3) Jak by v případě podezření na vykradení účtu přes internet či telefon banking měly podle vás postupovat banky?

Konkrétních postupů může být celá řada. To hlavní a podstatné je, že banky budou s klienty rychle a účinně spolupracovat na vyřešení vzniklé mimořádné události. Dřívější postupy, kdy si pracovníci banky ověřili elektronický podpis pod zadanou transakcí jednoduše nestačí a hlavně tuto činnost již za ně dříve provedl počítač banky a právě proto, že elektronický podpis souhlasil, tak byly peníze převedeny na cizí účet. Moderní komunikační kanály určené pro dálkovou obsluhu bankovních účtů, ale i jiných aplikací s sebou přinášení i nové formy trestné činnosti, nové formy podvodů a zneužívání identity. Počítače a počítačové sítě nabízejí současně i možnosti pro nové vyšetřovací metody, jenže daleko důležitější pro úspěšné vyšetření případů spáchaných v prostředí moderních komunikačních kanálů je zájem takové případy vyšetřovat a pachatele, kteří ohrožují dobré jméno banky dopadnout. Dokud se případy se zneužíváním identity dějí v USA nebo i jinde v zahraničí, tak je to dobré čtení a hlavně geografický odstup vytváří jaký si pocit, že se nás to netýká. Jenže chybička se vloudila, několik případů vykradených bankovních účtů jasně ukázalo, že  zneužívání identity se může dotknou každého z nás. Dál již záleží především na bankách jak se k tomuto problému postaví. Zda vzniklou situaci budou řešit sami nebo si počkají až případů a s nimi spojené mediální ostudy bude víc a pravidla jim určí centrální banka nebo ministerstvo financí.

Odpovědi Kláry Volné:

1) Jak je podle vás možné, že dochází k vykrádání bankovních účtů přes moderní komunikační kanály, když banky vyhlašují jak jsou jejich aplikace bezpečné? a 2) Je takový případ podle vás problém pouze poškozeného klienta?

Žádný informační systém není absolutně bezpečný. Banky ale obecně patří k institucím, které bezpečnosti věnují mimořádnou pozornost a průběžně uplatňují stále další bezpečnostní opatření. Bezpečná aplikace banky však automaticky neznamená bezpečné internetové bankovnictví. Do hry totiž vstupují i další faktory - zabezpečení přenosu dat mezi klientem a bankou a chování klienta. Pro přenos dat banky používají většinou protokol SSL a "silné" šifrování obsahu přenášených zpráv. Tím nejslabším místem tak často bývají klienti.

Klienti by měli vždy dodržovat tato pravidla:

- Při používání internetovém bankovnictví postupovat důsledně podle pokynů banky.
- Nešetřit na pořízení zabezpečovacích technologií, které banka nabízí (autentizační kalkulátory, čipové karty, USB tokeny aj.). Zejména pokud má klient na účtu k dispozici vyšší finanční částku (může jít i o možné půjčení prostředků).
- Nikomu a žádným způsobem nesdělovat uživatelská hesla a jiné přístupové kódy k účtu (ani bance, ani e-mailem, používat je pouze pro přihlašování, pokud je si uživatel jist, že se nejedná o podvrženou stránku). Nezapisovat si hesla a kódy tak, aby se k nim mohl někdo dostat nebo je přečíst. Nepoužívat hesla, která je možné snadno odvodit – jména dětí, domácích mazlíčků, data narození apod.
- Měnit hesla nejméně tak často, jak to banka doporučuje.
- Používat firewally a antivirové programy (aktualizované!).
- Pokud je používán elektronický podpis, raději neukládat data pro jeho vytváření (soukromý klíč) na pevný disk. Využívat čipovou kartu nebo jiný nosič, který je možné udržet pod vlastní kontrolou.
- Pokud z nějakého důvodu musí být soukromý klíč uložen na pevném disku počítače klienta,  je žádoucí mít nastavený řízený přístup do operačního systému (každý uživatel počítače má své přístupové jméno a heslo).
- Od aplikace elektronického bankovnictví se vždy řádně odhlásit a zavřít okno prohlížeče.
- Pokud se nepodaří přihlášení k účtu a klient má za to, že postupoval správně, a to včetně zadání správných přístupových kódů, měl by ihned kontaktovat banku.
- Klienti by měli zvážit přihlašování ke svým účtům prostřednictvím počítačů v internetových kavárnách nebo na jiných místech, kde si nemohou být jisti, jak jsou počítače zabezpečeny.
- Pokud klient stahuje software neznámého původu z Internetu, je vhodné pravidelně používat antispyware.

Ke zneužití klientova jména a hesla pro přístup může dojít například formou fishingu. To se může dít například následovně - klientovi přijde e-mail, ve kterém je žádán o číslo účtu, kreditní karty, přístupových kódů k bankovnímu účtu a vše se klientovi jeví jako email odeslaný z příslušné banky. Může jít i o odkaz na webové stránky, které mohou vypadat velmi podobně jako stránky banky klienta. Při vyplnění všech údajů ovšem nejsou údaje odeslány do banky, nýbrž útočníkovi, který získá všechna důvěrná data klienta. Další nebezpečí představují viry. Pokud není aktualizován antivirový program, může do klientova PC  proniknout např. trojský kůň. Činnost tohoto typu viru klient neodhalí, PC v pořádku pracuje dál. Ovšem trojský kůň za běhu může odesílat důvěrné informace z klientova PC útočníkovi, který je dále může zneužít. A čím by mohly k vyšší bezpečnosti klientů přispět banky? Je otázka, zda je vhodné nabízet použití zabezpečovacích technologií (autentizační kalkulátory, certifikáty, čipové karty aj.) pouze jako možnost nebo "nadstandard". Patrně velká část klientů bank se přihlašuje ke svým účtům nejméně bezpečným způsobem, a to uživatelským jménem a heslem. Zabezpečovací technologie klienti nepoužívají zřejmě i z toho důvodu, že jim není jasné, jaký přínos pro ně mohou znamenat ve srovnání s jejich cenou. Banky by měly vzít na vědomí, že pouze nepatrný zlomek jejich klientů tvoří odborníci na informační bezpečnost. Podle našeho názoru by banky měly klienty ve větší míře a více srozumitelným způsobem seznamovat s možnými riziky a do jisté míry je "nutit" k využívání zabezpečovacích prvků a technologií.

3) Jak by v případě podezření na vykradení účtu přes internet či telefon banking měly podle vás postupovat banky?

Záleží na tom, zda klient porušil některé z bezpečnostních pravidel nebo ne. Banky by se ale k řešení všech těchto potíží měly stavět vstřícně. Jinak hrozí, že zpochybní svoje dobré jméno nebo dokonce zpochybní službu internetového bankovnictví jako takovou. Přitom počet "klasických" krádeží je nesrovnatelně vyšší než těch v elektronickém světě.