Chraňte si svou platební kartu sami!

Minulý týden se do popředí zájmu médií dostal případ vykrádání cizích bankovních účtů, prostřednictvím duplikátů platebních karet které se někomu podařilo zhotovit a s využitím ochranného PINu, který někdo zřejmě odkoukal od oprávněného majitele při jeho výběru. Nechci zde popisovat podrobněji princip tohoto podvodu - místo toho si dovolím ocitovat z jednoho článku na serveru Penize.cz (s názvem "Kde jsou moje peníze?"), který se celý zabývá právě nebezpečím zneužití platebních karet. Jedna z variant, které článek popisuje, je následující:

6. Ani otvírače dveří nejsou bezpečné
Na některých bankách je namontováno čtecí zařízení určené pro vstup, můžete ho najít například v České Spořitelně na Václavském náměstí, v IPB na Senovážném náměstí, v Komerční bance na Národní třídě a na mnoho dalších místech. V některých případech se takováto zařízení objevila i u jiných bank. Klient přišel ke dveřím, projel kartu čtecím zařízením a vstoupil. Vybral peníze a spokojen odcházel. Ale ouha, zanedlouho mu někdo vybral účet. Jak? Dlouho trvalo, než byl tento podvod odhalen. Čtecí zařízení bylo nepravé a nad bankomatem byla umístěna videokamera, která nahrála volení PINu.

Pikantní na tomto článku je, že byl publikován dávno před událostmi minulého týdne, konkrétně 3.7.2001, a již v červenci se kolem něj rozvinula zajímavá diskuse. Nechci se zde zabývat tím, zda zmíněný článek mohl posloužit někomu jako návod a zda se takovéto články mají či nemají psát (podle mého názoru určitě mají, a to jako varování pro potenciální oběti - zloději se nejspíše inspirují někde úplně jinde). Rád by se ale zastavil u toho, co považuji v souvislosti s celým problémem za klíčové: kdo je primárním nositelem rizik, plynoucích z takovýchto zneužití?

Kdo nese riziko?

V zemích, kde je používání platebních karet nejvíce rozšířeno, jde převážně o kreditní karty a riziko jejich zneužití nese primárně banka. Ta příslušnou částku za svého klienta okamžitě zaplatí, ale nestrhává si ji ihned z jeho účtu. Místo toho čeká až na příští pravidelné vyúčtování (např. na konci kalendářního měsíce), až jí klient toto vyúčtování odsouhlasí. Během této doby tak svého klienta v zásadě úvěruje (poskytuje mu bezúročný úvěr, resp. kredit, proto také "kreditní karta").

Pokud ale klient při pravidelném vyúčtování rozporuje nějakou konkrétní platbu, neměla by banka z jeho účtu tuto platbu strhávat a místo toho by právě ona měla řešit celý problém (mj. zjišťovat a prokazovat co a jak se stalo) a nést náklady a škody s tím spojené. Aby to nebylo snadno zneužitelné, například samotnými klienty, mají i oni určitou spoluúčast na škodě která eventuelně vznikne - ale jen v omezené výši, například do maxima 50 USD. V USA je tato maximální výše spoluúčasti dokonce uzákoněna (skrze zákon "Fair Credit Billing Act" z roku 1975).

U nás je situace dosti odlišná. U nás je drtivá většina používaných platebních karet debetního charakteru. To znamená, že banka příslušnou částku zaplatí a při nejbližší možné příležitosti (z hlediska technické realizace) si tuto částku strhne z účtu svého klienta, aniž se jej ptá na oprávněnost či neoprávněnost celé transakce. Pokud se jednalo o zneužití, musí se ozvat sám klient a začít konat - on musí prokazovat, že platba byla neoprávněná, že šlo o zneužití a přesvědčit o tom banku. Další je pak závislé na konkrétních podmínkách konkrétní banky, i na jejím celkovém přístupu. Většinou ale veškeré riziko, škody a případné následky nese klient, nikoli banka.

Jeden konkrétní příklad

Banka, jejíž služby využívám já, mi dovoluje podat reklamaci na již provedenou transakci, a to do 75 dnů, s tím že musím přiložit všechny dostupné doklady. Banka pak může, ale také nemusí reklamaci uznat (má na to lhůtu 90 dnů). Pokud jde o odpovědnost banky, ta je v příslušném odstavci smluvních podmínek vymezena tak že

"banka neodpovídá za neposkytnutí služeb a škody, případně následky způsobené držitelům karet okolnostmi stojícími mimo kontrolu banky nebo jejích partnerů (např. přerušení dodávky energie, porucha bankomatu apod.)".

To interpretuji tak, že banka obecně nenese odpovědnost za škody vzniklé zneužitím karet (ale v konkrétních případech, na základě vlastního posouzení, může škodu nést - při přijaté reklamaci). Výmluvná je v této souvislosti také pasáž týkající se postupu při ztrátě/krádeži/zneužití platební karty:

Majitel účtu nese všechny náklady a škody vzniklé zneužitím karty do 24.00 hodin následujícího kalendářního dne od data oznámení ztráty/krádeže/zneužití. Od tohoto okamžiku přechází odpovědnost na banku, s výjimkou transakcí, při nichž byl použit PIN.

V případě použití PINu se mnou používaná banka zcela zbavuje jakékoli odpovědnosti:

… banka neuzná reklamaci transakce, o níž držitel karty tvrdí, že se jedná o zneužití karty, avšak byl při ní použit PIN.

banka nenese odpovědnost za případné ztráty z účtu majitele, pokud došlo k použití PIN při transakcích jakoukoliv platební kartou vydanou k tomuto účtu.

Potud tedy konkrétní podmínky banky, jejíchž služeb používám já. Snad mohu dodat, že nejde o ČSOB ani jinou z bank, které jsou zmiňovány v souvislosti s kauzou s okopírovanými platebními kartami a odkoukanými PINy. Předpokládám ale, že podmínky používání platebních karet u ostatních našich bank budou velmi podobné. Pokud obsahují obdobné ustanovení, kterým se banka zcela zbavuje jakékoli odpovědnosti v případě použití PINu (bez ohledu na způsob jeho získání), pak mi z toho vychází že ani v takovém případě, jaký se stal minulý týden, by banka nenesla žádnou odpovědnost za škody vzniklé majitelům účtů. Pravda, ČSOB již dala najevo, že je připravena klienty odškodnit v plné výši, ale jako problém vidím to, že jde o gesto, resp. výjimku z obecného pravidla které zní "veškeré riziko nese klient".

Jak regulovat riziko

Každý systém, ve kterém nese veškeré riziko jen jedna strana, považuji za nevyvážený a jsem přesvědčen, že se to nutně projevuje na jeho rozvoji resp. růstu. Zahraniční systém, ve kterém odpovědnost nese primárně banka, je alespoň zčásti vyvážený tím, že v něm svou část odpovědnosti nese i klient, byť tato je shora omezena jistou konkrétní částkou. Tuto částku přitom musí banky volit velmi pečlivě, s ohledem na své vlastní možnosti, četnost různých zneužití a další "parametry". Stejně tak ale musí banka pečlivě vyvážit tlak, který to vyvíjí na klienty: ti musí být motivováni k tomu, aby aktivně předcházeli případnému zneužití své karty, ale na druhé straně je to nesmí demotivovat, neboli odrazovat od faktického používání jejich platební karty.

V ČR sice byly vydány na 4 miliony platebních karet (především EC/MC a VISA), ale i bez přesnějších statistik o způsobu jejich použití si troufnu tvrdit, že lidé s nimi platí podstatně méně než v zahraničí. Největší disproporce přitom zřejmě nebude u použití karet pro výběry z bankomatů a platby u obchodníků (s fyzickou přítomností karty), ale u on-line plateb v prostředí Internetu. Některé naše banky své klienty dokonce explicitně varují před těmito platbami.

Na druhou stranu právě pro on-line platby vznikla či vznikají různá technická řešení, která umožňují ovlivnit míru (velikost) rizika tomu, kdo jej nese. Jejich podrobnější popis by byl na několik samostatných článků, proto jen letmé naznačení základních myšlenek a principů, bez nároků na úplnost:

• princip elektronické peněženky: ten, kdo vlastní určitou částku peněz, ji ponechává na bezpečném místě (typicky: na svém bankovním účtu). Pokud se chystá někde za něco platit, přečerpá nejprve určitou konkrétní částku do své elektronické peněženky, a teprve s ní se vydává "do terénu" a někde platí. Pokud by zde došlo k nějakému zneužití, bude se jednat o zneužití této elektronické peněženky a výše škody bude shora omezena tím, co je v ní právě obsaženo - a to je na rozhodnutí majitele peněženky, který si tak může sám regulovat riziko které podstupuje. Konkrétních příkladů takovéto "elektronické peněženky" je celá řada - mohou to být různé "nabíjecí" karty (např. Juice Pay, CCS), "nabíjecí" účty apod., obecně vše co lze "nabít" (převést tam tolik prostředků, kolik majitel uzná za vhodné, kdykoli to uzná za vhodné) a pak využít pro placení. V roli elektronické peněženky může vystupovat i klasický bankovní účet, který jeho majitel používá tím způsobem, že na něj vždy převede jen částku odpovídající očekávané platbě, a pak z něj skutečně platí (zatímco své "hlavní" finance si udržuje na jiném účtu).
• změna limitů: banka může svému klientovi umožnit, aby si sám pružně reguloval limity pro různé transakce se svým účtem. Může jít například o limit pro on-line platby platební kartou, až po její úplné zablokování vůči všem on-line platbám. Majitel účtu, který se chystá něco platit on-line prostřednictvím své platební karty, pak může předem vhodně nastavit příslušný limit podle výše očekávané platby, platbu provést a pak zase limit snížit, třeba až na nulu.
• jednorázové platební karty: zde banka svým klientům vystavuje takové platební karty, které jsou použitelné jen jednorázově. Má to smysl jen u dematerializovaných karet, tj. nejde o fyzickou kartu ale pouze o její číslo (plus další údaje, jako expirace atd.). Takováto karta je pak použitelná pro on-line platby stejně jako platební karta "skutečná" (fyzicky existující), přičemž obchodník který platbu přijímá nemusí ani poznat, že jde o jednorázovou kartu. Důležité je, že příslušné údaje (tvořící dematerializovanou kartu) jsou generovány dostatečně spolehlivým způsobem (přímo bankou) a jsou skutečně použitelné jen 1x (banka, resp. autorizační středisko ihned pozná jakýkoli pokus o jejich opakované použití a příslušnou transakci nepovolí).

Jak reagují banky

Výše naznačená technická řešení nejsou dokonalá, v tom smyslu že riziko zneužití neodstraňují zcela. Jejich zavedení navíc přináší bankám určité náklady a vyžaduje i "zaučení" klientů, aby jejich podstatu a princip fungování docenili. Přesto ale jsou banky motivovány je zavádět - v případě našich bank určitě také proto, že když všechno riziko nesou jejich klienti, snaží se jim banky nabídnout alespoň možnost toto riziko ovlivnit a zmenšovat.

Všechna výše naznačená řešení jsou rozumně použitelná pouze tam, kde klient má dostatečně rychlý a pro něj pohodlný přístup ke svému bankovnímu účtu. Těžko asi bude nabíjet peněženku či měnit limity na svém účtu při každé očekávané platbě, pokud by to mělo znamenat fyzickou návštěvu banky a čekání ve zdejší frontě. Proto mají tato řešení šanci jen u různých forem přímého bankovnictví (například internetbankingu či GSM bankingu). Hodně ale také záleží na cenové politice příslušné banky - pokud zpoplatní příslušné operace příliš vysokou částkou, odradí tím své zákazníky od toho, aby využívali možnost regulovat si riziko sami.

V praxi přitom vše naráží na různé problémy. Například u elektronických peněženek je největším problémem jejich standardizace (různých typů peněženek je celá řada, obchodníci podporují jen některé z nich atd.). U nastavování limitů pro platby přímo z účtů jde zase o možnost, která je dostupná jen klientům dané banky.

Důležité ale je, že některé výše naznačené možnosti, vzniklé především s ohledem na on-line platby, je možné nasadit i u "kamenných" plateb (výběrů z bankomatů, platby kartou u obchodníků) a dát tak lidem možnost vlastní regulace rizika, které zde nesou právě zde.

Co naznačila eBanka?

Příkladem může být eBanka (dříve Expandia banka), která promptně zareagovala na události minulého týdne a vydala tiskovou zprávu, ve které naznačila něco ze svých plánů do budoucna. Půjde zřejmě o výše popisovanou variantu se změnami limitů, aplikovanou i na "kamenné platby", tj. na výběry z bankomatů a fyzické platby kartou u obchodníků.

I v současné době přitom eBanka umožňuje majitelům "fyzických" platebních karet nastavit si podle vlastního uvážení limity pro výběr z bankomatů a platby u obchodníků (v rozmezí od 0 do pevně stanovené částky určené bankou), a dále možnost zablokovat (resp. odblokovat) platební kartu pro on-line platby. Vedle toho má v nabídce také jednu dematerializovanou kartu (EC/MC Internet Card) pro on-line platby, u které je nastavování limitu možné. Důležité ale je, že dnes příslušné změny "účinkují" až po poměrně dlouhé době (až druhý den). Pokud je tedy klient chce využívat k ochraně svého účtu a své platební karty, musí na příslušné změny pamatovat vždy s patřičným předstihem.

Z informací eBanky však vyplývá, že příští rok by operace s nastavováním limitů měly "účinkovat" okamžitě. Takže by měl být možný například následující scénář:

klient má na svém účtu standardně nastavený limit pro výběr z bankomatu na 0,- kč (takže ani při ztrátě či okopírování karty a odkoukání PINu si zloděj z jeho účtu nic nevybere). Pokud majitel účtu náhle zjistí, že potřebuje nějakou částku vybrat, musí si příslušným způsobem zvýšit limit pro výběr. Díky okamžitému efektu tak může učinit skutečně bezprostředně před výběrem, například ze svého mobilního telefonu, na chodníku před bankomatem, který se právě chystá použít (nebo z počítače, před odchodem z kanceláře k bankomatu).

Další již bude záležet na technické realizaci - zda bude muset klient explicitně vrátit limit na 0,- Kč další operací, nebo zda se tak stane automaticky provedením výběru. Velmi důležitá bude i otázka zpoplatnění takovýchto nastavovacích operací - pokud budou přijatelně nízké, budou klienti motivováni je využívat. Pokud budou příliš vysoké, lidé je používat nebudou. V tomto ohledu však eBanka nechtěla nic konkrétnějšího prozradit.