Zdroj: ČSOB
ČSOB dostala pokutu milion korun od České národní banky kvůli nesplnění pravidel pro silné ověření uživatelů (SCA podle unijní směrnice PSD2). „Do 25. října 2021 nezavedla řídicí a kontrolní systém zahrnující předpoklady řádné správy a řízení společnosti, když postupovala při zavádění silného ověření uživatelů v rozporu s právními předpisy upravujícími poskytování bankovních služeb,“ píše ČNB ve svém rozhodnutí.
Banky musely zavést takzvané silné ověření, založené na dvou různých faktorech – proto se mu říká dvoufaktorové nebo dvoufázové. Samotný jednorázový kód formou SMS už podle výkladu Evropského orgánu pro bankovnictví (EBA) nestačí. Zpřísnění mělo původně platit už od poloviny září 2019, evropští regulátoři nakonec tuto povinnost odložili na začátek roku 2021.
ČSOB i po tomto prodlouženém termínu zůstala – společně s mBank – poslední, která se u starého způsobu potvrzování online plateb kartou (bez aplikace, tedy jen přes SMS) obešla bez ePINu nebo podobného stálého kódu. Přísnější pravidla zavedla ČSOB až na konci loňského října: internetové platby kartou od té doby už nejdou potvrzovat jenom SMS kódem – klienti, kteří nepoužívají chytrý mobil s aplikací Smart klíč, musí spolu s jednorázovým SMS kódem nově zadávat také stálý ePIN.
Také ověření online plateb kartou prostřednictvím vyskakovacího oznámení (push notifikace) v aplikaci ČSOB Klíč, třeba přes otisk prstu, spustila banka se zpožděním – až v únoru 2021. Tuto aplikaci v roce 2020 používala jenom třetina klientů značky ČSOB, u značky Poštovní spořitelna žádný.
Prioritou banky bylo podle zjištění ČNB spuštění služby ČSOB Identita a nové bankovní aplikace, což bylo spojené s přechodem klientů Poštovní spořitelny na společné internetové bankovnictví s „modrou“ ČSOB. Sama banka vysvětluje zpoždění silného ověření, která mělo původně fungovat od poloviny září 2019, epidemií covidu.
Před třiceti lety začal fungovat první online bankomat v Česku. Brzy přišly platební karty, které fungovaly i v cizině. A pak se s nimi dokonce dalo platit v některých obchodech. Máme vzpomínky i fotky.
„Rozhodnutí ČNB respektujeme. Jsme si vědomi, že jsme implementaci silného ověření karetních transakcí v e-commerce spustili o několik měsíců později, než bylo stanoveno evropskou regulací PSD2. Toto bylo způsobeno zejména pandemickou situací a omezením některých dodavatelských služeb. Klíčové pro nás bylo vytvořit fungující a bezpečné prostředí, které bude funkční a uživatelsky přívětivé pro všechny naše klienty,“ reaguje na pokutu mluvčí ČSOB Patrik Madle.
„Po celou dobu jsme sledovali klientské transakce tak, aby nedošlo k žádnému zvýšenému riziku. Transakce byly ověřovány prostřednictvím kódu zaslaného v SMS, což byla do okamžiku platnosti nové regulace dostačující metoda,“ zdůrazňuje mluvčí.
„Silné ověření jsme intenzivně implementovali do e-commerce karetních transakcí v průběhu loňského roku. Od února 2021 tak mohli naši klienti začít využívat ČSOB Smart klíč jako jeden ze způsobů silného ověření. Následně v březnu jsme spustili takzvané RBA řešení, které nám umožňuje procesovat transakce na základě rizikového profilu chování klienta. Od října 2021 jsme doplnili e-PIN, který umožňuje spolu s SMS silně ověřovat e-commerce karetní transakce klientům nepoužívající ČSOB Smart klíč,“ připomíná mluvčí.
ČSOB se – podobně jako ostatní – snažila pro klienty bez aplikace vymyslet způsob, jak se obejít bez ePINu. „ePIN nepovažujeme za klientsky komfortní, proto stále hledáme k mobilnímu klíči vhodnou alternativu,“ řekl už v listopadu 2019 webu Peníze.cz mluvčí Patrik Madle. ČSOB pak věřila, že přísnější pravidla ověřování podle unijní směrnice PSD2 splní díky „risk-based autentizaci (RBA), která podle několika bezpečnostních kritérií vyhodnocuje každou transakci a podle její rizikovosti následně rozhodne o způsobu bezpečnostního ověření“. Mezi kritérii jsou třeba posouzení důvěryhodnosti obchodníka nebo výše nákupu.
Vydejte se s námi do nedávné historie. Zavzpomínáme hlavně na banky, které tu byly – a už nejsou.
Odlišné řešení pro klienty, kteří nevyužívají aplikaci, zvolily Air Bank (vedle SMS se zadává heslo do internetového bankovnictví) a Raiffeisenbank (místo doručení formou SMS si lidé vyzvednou 3D Secure kód ve svém internetovém bankovnictví). Nejpřísnější jsou UniCredit a Hello bank: od roku 2021 lze online nákup s jejich kartou potvrdit jen přes mobilní aplikaci – bez alternativy.
Poslední bankou, která pro klienty bez aplikace zachovala ověření jen přes SMS, zůstala loni na podzim mBank. „Provádíme ještě naši interní bezpečnostní analýzu, která detekuje podezřelé transakce, a pracujeme na faktoru behaviorální biometrie,“ vysvětlovala to mluvčí Kristýna Dolejšová.
Za zpoždění se zaváděním jiných povinných inovací dostala nedávno pokutu od ČNB také UniCredit Bank. Je nižší – 100 tisíc korun – a týkala se komplikací s API (zavádění takzvaného otevřeného bankovnictví – multibanking). Povinnost, kterou měla splnit do poloviny září 2019, neplnila ani letos v únoru.
Petr Kučera
Sdílejte článek, než ho smažem
Diskuze
Příspěvek s nejvíce kladnými hlasy
15. 3. 2022 5:43, Vhb
ČSOB měla v roce 2021 čistý zisk 16,2 miliardy Kč. Milionová pokuta za cokoliv je pro ni symbolická, pod rozlišovací schopností hanky. :-)
Příspěvek s nejvíce zápornými hlasy
14. 3. 2022 21:16, PepaJa
S tím souhlasím. Podle mne je stejně 99,9 % všech zneužití takových, že uživatel útočníkovi vše potřebné řekne sám a možná i rád. Takové nezachrání ani sebelepší zabezpečení. Ostatní si to (snad) dovedou posoudit sami. Obávám se ale, že takové možnost volby nehrozí, protože jen EÚředník ví líp než já, co je pro mne dobré.
Zobrazit celé vláknoSkrýt celé vlákno
V diskuzi je celkem (6 komentářů) příspěvků.