Banky mají ve svých smlouvách s klienty o internetovém bankovnictví takové podmínky, že vše, co se děje na klientově počítači, spadá do jeho kompetence. Tím je ošetřeno, že v případě napadení toho počítače a ovládání účtu neoprávněnou osobou nese odpovědnost klient. Banky si tak chtěly zajistit, že jejich internetové bankovnictví vlastně nemusí být ani maximálně bezpečné, protože, co se stane mimo banku, není její starost.
Pokud očekáváte, že služba klientovi znamená také jistotu v případě, "kdy nic nezaviníte" a přesto vám peníze z účtu zmizí, nemohli jste doposud odpovídající produkt nalézt. Banky ale nejsou jediným vykladačem práva a tvůrcem bankovního trhu u nás. Rozhodnutí finančního arbitra v jednom z případů vykradeného účtu kartu dokonale obrací.
Internetové bankovnictví zná většina našich čtenářů. Komunikace je celkem dobře zabezpečena, ale "ukrást" přihlašovací data není nepřekonatelně složité. Požádali jsme o rozhovor Jiřího Nápravníka, který se celou problematikou intenzivně zabývá, aby nám o celé problematice prozradil něco bližšího.
Hrozba útoku se nedá vyloučit
Peníze.CZ: Internetové bankovnictví dnes používá řada lidí a mnozí z nich jsou laici. Co jim hrozí, jak se mohou bránit a postačí to?
Jiří Nápravník: Klient, který si je vědom toho, že jeho počítači a poté bankovnímu účtu hrozí určité nebezpečí, si podle pokynů nainstaluje antivirový program. Často jej správně i aktualizuje. To ale obvykle nestačí . Stejně jako v případě již známých dialerů, které přesměrovávají internetové připojení, nelze vyloučit útok vnějšího světa na vaše bankovní data. Vetřelcem může být i nejapný vtip kolegy nebo zvědavost technicky zdatného synka, kterého zajímá, co tatínek na tom počítači dělá. Cest je zkrátka mnoho. Výsledkem je, že třetí osoba získá heslo a certifikát pro přístup k vašemu kontu.
Takže se účty běžně vykrádají?
Že se tak v praxi občas děje, není nutné nějak obsáhle popisovat. Máme již pravomocná odsouzení, řada případů se šetří, nové se objevují.
Kolik účtů už bylo takto postiženo?
Řádově pár desítek. Někdy si klient "vykrade sám sebe" a snaží se banku podvést. Všichni klienti bank rozhodně nejsou andílci. Na druhou stranu ale pokud někdo skutečně podvede klienta, tak ten nemá u banky zastání a jeho reklamace jsou zamítány. Problém je také hrozba toho, že se může objevit lavina podobných podvodů a banky na to nejsou, jak ukazuje současná praxe, připraveny. Zatím jen nechají odpovědnost na klientovi, který obvykle zvládá svůj počítač uživatelsky. Z hlediska techniky však pro získání přístupových dat postačí jen připravit a propašovat k oběti do počítače dostatečně inteligentní program.
Mají již známé oběti nějaké společné znaky? Kdo jsou?
Jsou to běžní uživatelé napříč profesemi. Spojuje je vlastně to, že užívají počítač a obvykle to nejsou odborníci, což ale není pravidlem. Jmenujme lékaře, obchodní zástupce, architekta, daňovou poradkyni, ale i ředitele počítačové firmy.
Obecně je nejzranitelnější technologie přístupu přes uživatelské jméno a heslo, případně doplněno o digitální certifikát. V těchto případech se nedá vyloučit, že by vykrádání účtů mohlo získat charakter masovosti. Ale i další způsoby zabezpečení mohou díky lidem, ale bez jejich přímého zavinění, selhat. Veškerá hesla a PINy člověk vyzradí například pod nátlakem. Může se tak ale stát i při probouzení se z narkózy a dalších neobvyklých, ale reálných situacích.
Banky se ale možné odpovědnosti zbavily šikovně postavenými smlouvami o internetovém bankovnictví. Jak tedy rozhodl finanční arbitr?
Poškozený v daném sporu, jehož účet a účet bytového družstva, který spravoval, byl vykraden, to sám neudělal. I to se šetřilo a šetřit musí. Zjistilo se, že pachatelem je jakýsi bezdomovec, s největší pravděpodobností bílý kůň. Ovšem, peníze již u sebe neměl. Je možné, že je někomu předal, nebo je prohrál, propil atd.
Banka však v souladu se smlouvou škodu uhradit odmítla. Poškozený se tedy obrátil na finančního arbitra, který měl již zkušenosti s podobnými případy u platebních karet. V případě internetu se jednalo o první rozhodnutí a zkušenosti nebyly ani z Německa či Rakouska. Arbitrovi trvalo rozhodnutí necelý rok a půl, ale nakonec došel k závěru, že banka pochybila . Že systém jakým provozuje internetové bankovnictví není úplně v pořádku, protože klienta na začátku nepoučila, jak řádně provozovat její internetové bankovnictví. Arbitr zejména vytknul bance skutečnost, že nemá fungující reklamační oddělení. Banka se sice odvolala, ale arbitr následně rozhodl obdobně a s konečnou platností, takže banka musí vrátit na klientův účet to, o co přišel. Absurdní na celé věci je, že banka se odmítla podřídit a předala celou věc soudu. Banka, která sama nedokázala zjistit, zda se jednalo v daném případě o korektní transakci nebo podvod, si u soudu stěžuje na rozhodnutí finančního arbitra.
O kolik peněz vlastně šlo?
Na osobním účtu to bylo necelých 40 000 a na účtu družstva něco kolem 250 000 Kč,
Internetbanking tedy není stoprocentně bezpečný. Co na to banky? Předpokládám, že to neslyší rády.
Je to tak trochu úsměvné. Již léta jsem poukazoval na to, že je potřeba stavět vztahy mezi klientem a bankou na vzájemné důvěře. Když jsem tedy před pár lety zjistil potenciální nebezpečí, oslovil jsem příslušné banky, kterých se zjištěný problém týká, sdělily mi, že jsem úplně mimo. Jejich internetová bankovnictví jsou podle evropských norem, ony jsou velké instituce, všechno jim dělaly renomované velké firmy, takže všecko musí být v pořádku.
To vám na popularitě asi nepřidalo.
Časem jsem získal punc někoho, kdo chce pouze očernit jméno bank . Ostatně to tvrdili i jiní odborníci z branže internetové bezpečnosti. Ovšem po rozhodnutí finančního arbitra mám dobrý pocit, že došlo na moje slova. Přístup k zabezpečení ze strany banky má řadu trhlinek. V inkriminované kauze nebyla banka schopná opakovaně doložit IP adresu (identifikace počítače, která se běžně užívá, ale lze poměrně snadno zfalšovat, poznámka redakce), což lze považovat za alespoň základní identifikátor a i jinak neměla žádný zájem na rychlém objasnění případu. Prostě se chovala jako by to nebyl její problém.
Co by tedy podle vás pomohlo do budoucna celému systému?
Pokud klient nebude mít jistotu, že mu nemohou bez jeho viny zmizet úspory, bude jeho důvěra v internetové bankovnictví klesat. Podobně na tom může být i důvěra v elektronický podpis a potažmo e-government. Je třeba vytvořit postupy pro rychlé vyšetřování případů (řádově dny a týdny, nikoliv měsíce a roky) a založit institut pomoci poškozeným klientům. Aby například rodina nepřišla vykradeným účtem o všechny prostředky, měla by banka nabídnout otevření kontokorentního účtu v době nouze zaviněné sporem o vytunelování účtu. Inspiraci pro celou oblast hledejme v oblasti platebních karet, kde fungují díky velkým asociacím účinné mechanizmy, jak se podvodům bránit a jak je rychle vyšetřovat.
Internetbanking je chtě nechtě především službou banky. Jelikož ona spravuje účet, měla by více přistoupit na to, že pokud někdo účet vykrade, je třeba jej společně s klientem vypátrat, nikoliv to nechat jen na klientovi. Bance takový přístup zvedne renomé a kvalita takové služby by se měla stát dalším konkurenčním prvkem. Tomu rozhodnutí finančního arbitra snad také napomohlo.
Měly banky nést odpovědnost za to, že byl účet vykraden cizí osobou z klientského počítače?
Domnívám se, že banky by měly být povinny vyšetřovat všechny reklamace nejenom internetového, ale i GSM, telefonního a dalších komunikací mezi bankou a klienty. Tak by měly postupovat mimo jiné i pro svůj klid a jistotu zda peníze převedl klient, nebo někdo jiný. To se dnes neděje, ale takový přístup je důležitý mimo jiné i proto, že jsme v laboratorních podmínkách otestovali, že je možné zneužít i internetové bankovnictví s čipovou kartou a v takovém případě se neoprávněná transakce provádí na klientském počítači.
Měly by podle vás banky vypracovat lepší mechanismy dokazování a odhalování podvodů? Nebo je podle vás dostačující, že smlouva prostě nechává vše na bedrech klientů? A klíčová otázka, jak je možné, že se banky a finanční arbitr neshodnou v takto zásadním problému?
Diskuze
Příspěvek s nejvíce kladnými hlasy
8. 6. 2005 23:55, jezevec
To byste se divil, jak je to jednoduché.
Ještě vloni ČSOB vyžadovala pro update certifikátu půjčit čipovou kartu na dva dny, včetně prozrazení PINu.
Letos už se dá certifikát obnovit po internetu uživatelsky - ale POUZE před vypršením platnosti stávajícího certifikátu. Na jeho expirující platnost vás ale nikdo neupozorní, takže mnoho lidí zjistí neplatnost certifikátu až když je pozdě a stejně kluše na pobočku. Tam už sice kartu nemusí nechat dva dny, stačí jí strčit do čehosi a zadat PIN na terminálu - ale obnovu certifikátu dělá člověk, kterému na půl hodiny svěříte kartu i s čipem a vložíte platný PIN. Představa jak by takto šla karta nebo její komunikace naklonovat včetně zabezpečení není tak složitá.
Zobrazit celé vláknoSkrýt celé vlákno
Příspěvek s nejvíce zápornými hlasy
9. 6. 2005 13:03, Roman
Ještě bych chtěl panu Jirkovi říct.
Myslím, že nejsem sám, kdo potřebuje občas obsluhovat účet z cizího PC.
Já bych to považoval za normální a ve své smlouvě nemám žádnou zmínku na toto téma. Pokud banky neumí garantovat kvalitu své služby ať ji laskavě neposkytují.
Zobrazit celé vláknoSkrýt celé vlákno
V diskuzi je celkem (33 komentářů) příspěvků.