Rizikové placení mobilem
Banky, karetní společnosti, mobilní operátoři i prodejci v tom mají jasno: mobilní telefon bude platebním prostředkem budoucnosti. Místo naditých peněženek, plných hotovosti a nejrůznějších platebních karet, bude lidem stačit jejich mobil, který tak jako tak nosí všude sebou. A platit s ním bude tak snadné, že už to ani snadnější být nemůže: postačí jej přiblížit k platebnímu terminálu, na vzdálenost několika málo centimetrů. Zbytek už si prodejce vyřídí s vaším bankovním účtem. Samozřejmě za laskavého (ale nikoli bezplatného) přispění řady prostředníků, kteří si z probíhající platební transakce rádi uloupnou svůj díl. Což je asi ten hlavní důvod, proč na mobilní bezkontaktní platby všichni tak tlačí.
Jenže: je zde ještě druhá strana. Vedle těch, kteří by na mobilních platbách rádi profitovali v roli jejich zprostředkovatelů, jsou zde i ti, kteří by je měli využívat. Tedy zákazníci, kteří by měli svým mobilem platit. A ti se samozřejmě budou ptát nejenom na to, jak je to snadné, ale také na to, jak moc je to bezpečné.
Minulý týden, když odstartoval pilotní provoz bezkontaktních mobilních plateb a zástupci Komerční banky, Citibank, Visa Europe, Telefóniky a Globusu je novinářům předváděli, byli na takovéto otázky dobře připraveni. Že je placení opravdu jednoduché, předvedli opravdu názorně, živou platbou na pokladně. A bezpečnost řešili odkazem na použití stejných mechanismů zabezpečení, jaké se používají u kontaktních i bezkontaktních platebních karet. Včetně povinnosti explicitně potvrdit platbu vyšší než určitý limit, konkrétně 500 Kč.
Na první pohled to zní logicky: v případě mobilu jde skutečně o jinou (a to čistě elektronickou) podobu platební karty, a samotný průběh platby je vlastně úplně stejný. Jenže na druhý pohled už tomu tak není.
Mezi „hmotnými“ platebními kartami a chytrým mobilem je nejméně jeden zásadní rozdíl: platební kartu nepřipojujeme k Internetu, neinstalujeme si na ni nové aplikace, nehrajeme na ní hry a neděláme na ní spoustu dalších věcí, které se svým mobilem naopak děláme. Je to ostatně logické: klasická platební karta, ať již kontaktní či bezkontaktní, je stále ryze jednoúčelové zařízení.
Naproti tomu dnešní mobil je čím dál tím více univerzálním počítačem. Navíc je stále častěji trvale připojen k Internetu. To vše jej činí lákavým terčem pro nejrůznější mobilní malware, ať již v podobě virů, trojských koňů či jiné zlé havěti, za kterou již dávno nestojí nějací amatéři. Dnes jsou to dobře školení, dobře organizovaní a velmi zdatní profesionálové, kteří již dlouho a zcela cíleně útočí na naše počítače, a postupně rozšiřují svůj záběr i na chytré mobilní telefony. A že by si oni nechali ujít tak lákavé sousto, jakým jsou platební karty, uložené v čistě elektronické formě v něčím mobilu? To určitě ne.
Proč to ale zdůrazňují? Ne proto, abych mobilní platby apriorně odsoudil jako z principu nepoužitelné, z důvodu jejich (ne)bezpečnosti. Jde mi o něco jiného: o to, že elektronické platební karty v mobilu budou muset být zabezpečeny lépe a dokonaleji než jednoúčelové platební karty, protože také budou vystaveny větším rizikům. Stejně tak musí být prezentována i jejich bezpečnost vůči potenciálním budoucím uživatelům, mají-li k nim získat důvěru a používat je: ne jako „srovnatelná s jednoúčelovými kartami“, ale vyšší, odpovídající většímu ohrožení. A to včetně rozložení rizika zneužití, které existuje už z principu u každého platebního mechanismu: mělo by být rozumně rozloženo mezi banku a jejího zákazníka. Ne uvaleno celé jen na zákazníka, zatímco banka bude skoro vždy „z obliga“.