OK karta není OK

"Kdo si chce vyzkoušet autorizaci platby?" ptali se zástupci GE Capital Multiservisu na prezentaci pro novináře. Byl jsem "dobrovolně" vybrán. Jak se to dělá, jsem viděl chvíli před tím, tak jsem si sedl k telefonu a čekal až zazvoní. Během několika vteřin zvoní telefon. Volá obchodník ze Slovenska a chce autorizaci platby OK kartou (profil, názory). "Řekněte mi číslo karty, prosím," reaguji jako zkušený zaměstnanec. Postupně zadávám údaje do počítače a pak obchodníkovi nadiktuji autorizační kód. Tím vše končí. Ale v mé mysli je ďábelská myšlenka. Na rozdíl od úhrady běžnou platební kartou nevzniká u obchodníka žádný důkaz fyzické přítomnosti karty při platbě. Z elektronického terminálu vzniká stvrzenka, žehlička vytváří otisk karty, u úvěrové karty se ale pouze vypíše stvrzenka, žádný otisk, žádný terminál, nic. Stačí číslo a jméno držitele.

Návod pro podvodníky

Představme si mladou prodavačku Petru, která pracuje na pokladně ve velkém hypermarketu. Její příjem jí nestačí a tak se rozhodne, že si přilepší. Během následujících dní si opíše čísla několika OK karet a jména jejich držitelů. Protože ve stejnou dobu je tam s ní několik dalších zaměstnanců, podstupuje minimální riziko. Čísla předá svojí kamarádce Janě, která pracuje v jiném obchodě. Ideální je, pokud tam probíhají denně desítky transakcí úvěrovými kartami. Vybere si zboží a koupí si jej na úvěr někoho jiného. Jak? Velice jednoduše, zavolá do autorizačního centra, nadiktuje údaje a dostane autorizační kód. Pak je dopíše do stvrzenky a napodobí zákazníkův podpis. Pokud bude mít štěstí, zjistí zákazník, že jeho karta byla zneužita, až ze svého měsíčního výpisu. Může se ale také stát, že se mu nepodaří nakoupit (protože Jana vyčerpala jeho limit), zavolá na infolinku OK karet a o zneužití se dozví dříve. V tu chvíli se začne problém řešit a Jana bude muset něco vysvětlit. Bude-li však mít pevné nervy, na nic se nepřijde. Pokud se ale bude celá transakce vyšetřovat až po měsíci, tak s velkou pravděpodobností uspěje s větou "jéé, to je dávno, já už si nic nepamatuju" a vzniklou ztrátu bude muset zaplatit někdo jiný. Buď zákazník nebo úvěrová společnost.

Multiservis má v současnosti více než šest tisíc míst, kde se přijímají OK karty. Na nich pracují tisíce lidí, kteří mají přístup k lehce zneužitelným informacím jako jsou čísla karet a jména jejich držitelů. Podobné parametry má i AURA karta společnosti Cetelem (profil, názory), obchodník pouze kontroluje občanský průkaz, nevytváří však žádný dokument o fyzické přítomnosti karty při transakci. Zbývající konkurent Yes karta Home Creditu (profil, názory) je vlastně běžným Maestrem, takže má stejné bezpečnostní prvky jako normální platební karta.

Multiservis ale rozhodně nespí, během několika měsíců by měly mít OK karty magnetický proužek a PIN. V současnosti zatím na většině magnetických proužků těchto karet není uložena žádná informace. Relativně okamžité řešení by mohlo být jednoduché. Obchodník by byl vybaven stejnou žehličkou, jakou má na platby běžnými kartami a vytvářel by na stvrzenky otisky karet.

Dvě prodavačky z našeho ukázkového případu by asi moc škod nadělat nemohly, pokud by se totiž Janě opakovaly pochybné transakce, asi by se na vše přišlo. Ale přece jen si mohou občas přilepšit pár korun. Organizovaný gang by však mohl způsobit mnohem rozsáhlejší škody. Jediné, co tomu pravděpodobně brání, je pouze lokální využití karet. Jejich rostoucí počet však může vzbudit i zájem podloudníků, kteří disponují moderními technologiemi a kvalitním zázemím.

Myslíte si, že vaše karta je dostatečně zabezpečená proti zneužití? Proč úvěrové společnosti nevěnují dost úsilí zabezpečení svých platebních nástrojů? Podělte se s námi o své názory.

spolupráce Lucie Kařízková, bývalá zaměstnankyně kartového centra významné banky