Zdroj: Shutterstock
Je dvoufaktorové potvrzování plateb kartou krok správným směrem?
Myšlenka jednotných pravidel a bezpečnosti placení na internetu je samozřejmě správná. V českém prostředí se dnes ale může povinné dvoufaktorové potvrzování jevit jako poněkud kontraproduktivní.
Proč?
V Německu nebo Francii je počet karetních plateb se zabezpečením 3D Secure, tedy s ověřováním transakcí pomocí SMS kódu, jen v nižších desítkách procent. V Česku jsou to skoro všechny platby napříč trhem. Když už v téhle oblasti dochází k podvodům, je to spíš v rámci rodiny. Syn vezme mámě kartu z peněženky, půjčí si její mobil, objedná si na internetu hru na PlayStation a tak podobně.
Každopádně naším úkolem je plně se přizpůsobit evropské legislativě. Chceme naplnit směrnici, ale zároveň to udělat tak, abychom klienty zbavili nepříjemnosti pamatovat si další ověřovací údaje.
Takže se s podvody v online prostředí příliš nesetkáváte?
Setkáváme, ale málokdy jde o karetní transakce. Většinou řešíme phishing, kdy se podvodníci snaží získat přístup do internetového bankovnictví klientů a přeposlat si peníze, nebo malwarové útoky, které se nabourávají do jejich počítačů nebo mobilů.
Povinnost silného ověření – označovaného jako dvoufaktorové či dvoufázové – přinesla směrnice EU zvaná PSD2. Při online platbách se má totožnost potvrdit dvěma ze tří na sobě nezávislých způsobů: pomocí něčeho, co znáte jenom vy (typicky heslo, PIN nebo odpověď na zvolenou otázku); něčeho, co máte u sebe (typicky mobilní telefon nebo token) a něčeho, čím jste (biometrický údaj – tedy otisk prstu, snímek obličeje, oční duhovky, rozpoznání hlasu a podobně).
Proč se při odhalování podvodů víc neangažují karetní společnosti?
S karetními společnostmi Visa a Mastercard intenzivně spolupracujeme, ale momentálně neexistuje jednotný přístup pro celý bankovní trh. Mají obrovské množství údajů o platebních transakcích po celém světě, takže můžou poměrně rychle detekovat, když se děje něco podezřelého. To je pro nás samozřejmě užitečné, ale v rámci regulace, o níž se spolu bavíme, na sebe nechtějí brát zodpovědnost, která zůstává jen na bankách. Ty proto dlouhodobě volí řešení v podobě elektronických klíčů, které si klienti mohou nainstalovat jako aplikaci do mobilu a využívat k potvrzování plateb.
Všichni klienti ale klíč nepoužívají…
Ano, právě na to se musíme kvůli regulaci nejvíce zaměřit. Jde v podstatě o tři skupiny klientů: jedni nechtějí používat bankovní aplikaci v mobilu, druzí nemají chytrý telefon a třetí jsou zaměstnanci s firemní kartou.
Kolik je to celkem lidí?
Dohromady máme přes milion klientů, kteří na internetu platí kartou. Zhruba půl milionu z nich používá pro autorizaci plateb náš George klíč. Výhoda je absolutní zjednodušení, žádné opisování SMS kódu. V aplikaci vám přijde notifikace, že provádíte platbu, pokud ji chcete potvrdit, použijete otisk palce nebo scan obličeje a tím realizujete transakci. Nic víc nepotřebujete. Druhá skupina klientů teď potvrzuje platby kartou bez klíče tím, že opisuje SMS kód.
Jich se tedy bude od ledna kromě SMS kódu týkat ještě ePIN?
Za normálních okolností by jim nic jiného nezbylo. Podle nás ale nutnost pamatovat si další přihlašovací údaj není uživatelsky nejpřívětivější a v podstatě ani nejbezpečnější varianta ověřování plateb, takže jsme se rozhodli, že tento krok nahradíme behaviorální analýzou.
O co jde?
Když to zjednoduším, každý klient má u nás vytvořený profil, který zahrnuje informace jako například, jaké částky nejčastěji kartou platí, z jaké lokality, IP adresy a v jakých časech. Během platby také sledujeme, jakým způsobem píše na klávesnici, jak pohybuje myší na monitoru a řadu dalších věcí. Pokud behaviorální analýza při platbě vyhodnotí, že se tyto parametry liší oproti normálu, vyzveme klienta, aby kromě klasického SMS kódu zadal i ePIN.
Takže když pustím k počítači a mobilu manželku, aby nakoupila v e-shopu mojí kartou, bez ePINu nezaplatí?
Pokud nepohybuje kurzorem podobně jako vy a nemá stejné údery na klávesnici, tak pravděpodobně ne. Ale stát se to teoreticky může i vám, například po bujarém večírku. Ale vážně, samozřejmě se může přihodit, že budete chtít na internetu zaplatit kartou z exotické dovolené a my si od vás pro jistotu ePIN vyžádáme. Rozhodně to ale bude koncipované tak, abychom klienty zbytečně neotravovali, když to není nutné.
Od společnosti PwC jsme si nechali zpracovat audit, který potvrzuje, že svou behaviorální analýzu můžeme považovat za další způsob ověření platby. Jsem přesvědčený, že pokud je to v technologických možnostech banky, měla by klientům vyjít maximálně vstříc.
Nemůže to v praxi znamenat, že si váš George klíč stáhne menší počet klientů?
To je zkrátka naše riziko. Ale na prvním místě je pro nás uživatelská přívětivost. Díval jsem se, že u některých bank nebude na výběr – buď budete mít aplikaci v mobilu, nebo ke každé platbě kartou budete potřebovat ePIN. My chceme jít jinou cestou.
Podobně přistupujeme i k platbám v mobilním bankovnictví, svoje klienty známe a díky behaviorální analýze je dokážeme velmi přesně identifikovat. Po přihlášení do George v mobilu proto platby do dvanácti a půl tisíce nemusejí nijak autorizovat, samozřejmě pokud si to sami nenastaví jinak.
Kolik klientů by mohlo chtít, aby se každá jejich platba kartou ověřovala SMS kódem i ePINem?
To nedokážu říct. Ale s touhle variantou zatím ani nepracujeme. Bylo by to podobné, jako když si vezmete naráz pásek i kšandy. Pokud někdo chce nejvyšší možné zabezpečení, měl by přejít na George klíč.
Když se teď v médiích v souvislosti s behaviorální analýzou otevírá téma, co všechno banka o klientech ví, nezačnou to lidé mnohem víc řešit? Nezvýší se počet lidí, co něco podobného berou jako narušení soukromí?
Musíte si uvědomit, že se bavíme o bezpečnosti plateb. Behaviorální analýza má za úkol jednu jedinou klíčovou věc. Chránit klienta před podvodnými platebními transakcemi. V praxi to nefunguje tak, že by nějaká osoba v bance se zaujetím sledovala, co všechno klienti dělají. Jde o automatizovanou strojovou analýzu obrovských kvant dat, která detekuje podezřelé transakce nebo nedostatky v zabezpečení. V tuto chvíli jsme první banka na trhu, která takovouto analýzu má, dokonce takovou, která splňuje přísné nároky evropské směrnice PSD2 na dvoufaktorové ověření plateb.
Jak se to bude vyvíjet dál?
Ve vztahu klientů s bankou budeme dál hledat rovnováhu mezi uživatelsky přívětivým prostředím a co nejlepším zabezpečením. Myslím, že zrovna v Česku jsme na dobré cestě. Klienti bankovnímu systému důvěřují a banky jim to vracejí užitečnými inovacemi.
A co se týče ochrany soukromí v digitálním světě, věřím, že se stále víc lidí začne chovat obezřetně. Že se bude mnohem víc řešit, co o sobě na internetu sdílíme, jaká data různým subjektům poskytujeme. Ať už kvůli bezpečnosti, nebo kvůli tomu, že jsme se v dnešní době stali digitálním zbožím.
Když jsem dělal vdubnu během první vlny pandemie koronaviru rozhovor s šéfem digitálního bankovnictví České spořitelny Filipem Zemanem, přiznal, že očekával trvalejší přechod klientů do online prostředí. Jak to vypadá během druhé vlny?
Na jaře využívání plateb kartami, internetového bankovnictví i mobilu hodně vyskočilo, ale pak se čísla poměrně rychle vrátila do předcovidového normálu. Hodně lidí tehdy vybralo peníze z bankomatu a fungovalo dál s hotovostí. Na bilancování dopadu druhé vlny je ještě brzy, ale je tu rozhodně patrný větší příklon k bezhotovostním platbám. Zároveň je ale potřeba říci, že lidé logicky kvůli lockdownu celkově více šetří a utrácejí méně peněz. Pokud jde o Českou spořitelnu, letos poprvé svým bezhotovostní operace objemem předstihnou ty hotovostní.
Jan Hailich je od letošního září šéfem nově vzniklého tribu Platby v České spořitelně. V bance pracuje pět let a kromě oblasti plateb v denním bankovnictví se věnoval i digitálnímu prodeji. V minulosti pracoval na manažerských pozicích v mobilním operátorovi Vodafone nebo pro telekomunikační společnost Telefónica O2 Czech Republic. Vedl například oddělení péče a prodeje nebo měl na starost rozvoj nových obchodních modelů.
Nečekáte po Vánocích návrat do zajetých kolejí?
Těžko odhadovat. Řekl bych, že si za těch osm divokých měsíců spousta lidí zvykla na bezhotovostní fungování. Zároveň je potřeba dodat, že můžeme sledovat i ekonomické důsledky pandemie. Počet i objem transakcí kartami sice roste, ale pokud započítáme i hotovost, pak celková útrata domácností klesá. Lidé jsou při utrácení obezřetnější. Bezhotovostní platby se souvisí s rozvojem e-commerce. Tento segment teď zažívá žně a nemyslím si, že se na tom bude příští rok něco měnit.
Mediálně vděčným tématem jsou letos také virtuální platební karty. Co nás v nejbližší době čeká v téhle oblasti?
Virtuální karty představují platební budoucnost, už jen kvůli tomu, jak jsou praktické. Spousta bank teď sice přichází na trh s ekologickými platebními kartami, ale to je spíš jen pěkné PR. Jasně, jsou ekologičtější než ty klasické, ale s virtuálními kartami je to nesrovnatelné.
Mezi další nesporné výhody patří možnost okamžitého vystavení, což rozhodně oceníte při přechodu mezi bankami, při zakládání nového účtu nebo když vám ukradnou peněženku. A zcela zásadní je i jejich bezpečnost. Při cestě do zahraničí nebo platbě v neověřeném e-shopu si můžete například vygenerovat virtuální kartu a po jejím použití ji ihned zrušit.
Díky tokenizaci, kdy se k platební kartě přiřadí unikátní virtuální číslo, které je odlišné od skutečného čísla karty, můžete také bez obav platit přes služby, jako jsou Apple Pay, Google Pay a další.
Jak důležité jsou tyhle služby pro rozšíření virtuálních platebních karet?
Sehrály zásadní roli. Mezi klienty je o ně velký zájem. Dřív šlo virtuálními kartami platit v podstatě jen v e-shopech. Služby Apple Pay a Google Pay ale změnily pravidla hry. Až díky nim se začalo virtuálními kartami platit přes fyzické platební terminály. V současnosti máme tokenizováno zhruba třináct procent všech našich platebních karet. Podíl těchto karet nahraných v mobilním zařízení dál poroste.
Blíží se soumrak klasických plastových karet?
Myslím, že během příštích pěti až osmi let opravdu dojde k tomu, že se budou častěji používat virtuální platební karty než ty plastové. Klíčové bude samozřejmě rozšíření chytrých telefonů v populaci. A stačí se podívat, co pro dnešní mládež mobil znamená.
Ondřej Tůma
Dlouhodobý investiční produkt
Myslete na sebe a zabezpečte se na penzi co nejlépe. Třeba investováním do široké nabídky fondů.
Sdílejte článek, než ho smažem
