Bankovní institut vysoká škola Praha. Katedra Bankovnictví a pojišťovnictví. Přímé bankovnictví. Bakalářská práce. Kateřina Ludvíková

Bankovní institut vysoká škola Praha Katedra Bankovnictví a pojišťovnictví

Přímé bankovnictví Bakalářská práce

Autor:

Kateřina Ludvíková Bankovní management

Vedoucí práce:

Ing. Zbyněk Kalabis

Praha

duben, 2011

-1-

Prohlášení: Prohlašuji, že jsem bakalářskou práci zpracovala samostatně a v seznamu uvedla veškerou použitou literaturu. Svým podpisem stvrzuji, že odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámena se skutečností, že se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.

V Praze, 18.4.2011

Kateřina Ludvíková

-2-

Poděkování: Ráda bych na tomto místě poděkovala vedoucímu práce panu Ing. Zbyňkovi Kalabisi za věcné a přínosné připomínky při tvorbě práce, za vstřícný přístup a toleranci.

-3-

Anotace práce: Cílem této bakalářské práce je rozbor aktuálního stavu elektronického bankovnictví jako možnosti propojení klienta s bankou. Nedílnou součástí je představení vzniku a vývoje elektronického bankovnictví včetně současné legislativy v oblasti přímého bankovnictví. Další kapitola je věnována formám používaným v České republice, tzn. telefonickému bankovnictví, GSM bankovnictví, mobilnímu bankovnictví (WAP a PDA bankovnictví), homebankingu a internetovému bankovnictví. Následující kapitola popisuje bezpečnost přímého bankovnictví, a to z různých pohledů. Jednak jsem se snažila popsat vnitřní a vnější bezpečnost z pozice banky i klienta, ale také popisuji příklady možných útoků na internetové bankovnictví a bezpečnostní rady pro předcházení jeho zneužití. Vzhledem k tomu, že platební styk a další bankovní operace spojené s běžným provozem klientova života jsou v dnešní době realizovány obvykle pomocí přímého bankovnictví, věnuji se v závěrečné kapitole elektronickým klíčům, které slouží jako prostředek pro vstup na účet a provádění bankovních operací. Prostřednictvím kvalitativního výzkumu zjišťuji, na základě jakých vazeb realizují klienti výběr metody pro přihlašování do internetového bankovnictví.

Abstract The aim of this bachelor thesis is to analyse the current state of electronic banking as an instrument for connecting a client with a bank. An inseparable part of the thesis is formed by a summary of the process of creation and development of electronic banking, including applicable legislation regulating direct banking. The next chapter deals with other forms of banking in the Czech Republic, i.e. telephone banking, GSM banking, mobile banking (WAP and PDA banking), home-banking and internet banking. The chapter that follows describes direct banking security from various viewpoints. I tried to describe internal and external security of direct banking from the position of both the bank and the client; I also mention some examples of possible attacks on internet banking and offer some security advice in order to avoid its abuse. Having regard to the fact that the system of payments and other banking operations connected with ordinary course of the client's life are now performed mostly through

-4-

direct banking, I devoted the last chapter to electronic security keys (token) that serve as the means for access to an account and for performing banking operations. Based on a qualitative research, I tried to establish the links on the basis of which clients choose a method for logging on to the internet banking.

-5-

Obsah: 1.

Přímé bankovnictví ....................................................................................................... 9 1.1. Historie přímého bankovnictví ................................................................................... 10 1.2. Stručný vývoj jednotlivých kategorií elektronického bankovnictví ........................... 12 1.3. Pojem přímého bankovnictví ...................................................................................... 12 1.4. Platební styk zprostředkovávaný elektronikou ........................................................... 13 1.5. Právní úprava elektronického platebního styku v České republice ............................ 14

2.

Základní druhy elektronických komunikačních prostředků........................................ 18 2.1. Internetové bankovnictví ............................................................................................ 18 2.2. Telefonní bankovnictví ............................................................................................... 20 2.3. Homebanking .............................................................................................................. 21 2.4. WAP (GSM) bankovnictví ......................................................................................... 22 2.5. Sim Toolkit ................................................................................................................. 22 2.6. WAP bankovnictví...................................................................................................... 23 2.7. SMS bankovnictví ...................................................................................................... 24 2.8. PDA banking .............................................................................................................. 25 2.9. Ostatní formy přímého bankovnictví .......................................................................... 25

3.

Bezpečnost internetového bankovnictví ..................................................................... 27 3.1. Vnější bezpečnost ....................................................................................................... 27 3.2. Vnitřní bezpečnost ...................................................................................................... 29 3.3. Příklady možných útoků na internetové bankovnictví a opatření proti nim ............... 42

4.

Zadání parametrů modelového klienta pro porovnání a výběr nejvhodnější varianty 49 4.1. Jak a kde jsem získala respondenty pro svůj kvalitativní výzkum k bakalářské práci 49 4.2. Kvalitativní rozhovory – práce s nimi a jejich analýza ............................................... 51 4.3. Závěr ........................................................................................................................... 52 4.4. Co z kvalitativního výzkumu může vyplynout pro banku .......................................... 53

-6-

Úvod /cíl práce/: V dnešní době jsme svědky rychlého rozvoje snad ve všech možných odvětvích, od vědy až po telekomunikace. Tyto změny se nevyhnuly ani odvětví bankovnictví. S nástupem výpočetní techniky a moderní elektroniky se začaly rozvíjet nové služby, které se uceleně nazývají elektronické bankovnictví. Zájem o tyto služby v minulosti prakticky neexistoval, vzhledem k absenci možnosti vzdálené komunikace mezi bankou a klientem. Za mohutným nárůstem počtu uživatelů elektronického bankovnictví stojí především vznik internetu a mobilních telefonů. V současnosti je elektronické bankovnictví standardní nabídkou většiny bank. Důvodem, proč jsem si vybrala právě téma Přímé bankovnictví, je můj vlastní zájem o tuto oblast v bankovnictví. Ve své pracovní pozici v Raiffeisenbank jsem zjistila, že klienti a dokonce ani moji kolegové často neznají možnosti, výhody a rizika spojená s používáním přímého bankovnictví. Cílem bakalářské práce je popsat stručně vznik a vývoj přímého bankovnictví. Dále definovat jednotlivé komunikační kanály mezi klientem a bankou. Zaměřím se také na bezpečnost přímého bankovnictví, která je jedním z nejdůležitějších aspektů pro jeho úspěšné používání. V závěrečné části práce se zaměřím na praktické využití přímého bankovnictví pro modelového klienta. Následně se snažím vyhodnotit nejvhodnější výběr elektronického prostředku jako přístupu k běžnému účtu v internetovém prostředí konkrétní banky. V bakalářské práci představuji základní přehledy elektronických prostředků sloužící jako možná vodítka, která mohou každému pomoci vybrat nejvhodnější variantu pro vstup na svůj účet. Bakalářská práce je členěna do jednotlivých kapitol, ve kterých je mou snahou především obecně představit přímé bankovnictví z různých úhlů. V této práci se nezmiňuji o produktu platební karta, která je také jednou z významných možností elektronického bankovnictví, ale toto téma je tak obsáhlé, že by nebylo možné pro něj najít v této práci dostatek prostoru. Stejně tak práce nepopisuje všechna témata do detailů, což by též nebylo vzhledem k rozsahu možné. V první kapitole je popsán nástin historie přímého bankovnictví. Dále je zde vymezen pojem přímé bankovnictví a také jsou představeny jednotlivé formy přímého bankovnictví a jeho možnosti. Základní vlastnosti popisuji u elektronické transakce

-7-

platebního styku. Závěr první kapitoly věnuji úpravě elektronického platebního styku v České republice. Druhá kapitola uvádí nejčastější formy elektronických komunikačních prostředků, které klient využívá při komunikaci s bankou. Pozornost upínám především k internetovému bankovnictví, neboť se momentálně jedná o nejpoužívanější elektronický komunikační kanál. Třetí

kapitola

je

věnována

bezpečnosti

přímého

bankovnictví,

převážně

internetového bankovnictví. Kapitola popisuje zejména vnitřní a vnější bezpečnost fungující jako soubor mechanismů a opatření, která eliminují rizika spojená s používáním přímého bankovnictví. Závěr kapitoly shrnuje možné útoky na internetové bankovnictví a představuje opatření proti nim. Čtvrtá kapitola je věnována praktické části, která porovnává nejvhodnější variantu přístupu na běžný účet s internetovým bankovnictvím. Na základě kvalitativního výzkumu se snažím prošetřit, z jakých důvodů volí klienti svůj konkrétní prostředek pro vstup na účet. Závěrem vyhodnotím výsledky kvalitativního průzkumu a uvedu možné výhody pro banku. Informace byly čerpány z odborné literatury a odborných článků. Dalším významným zdrojem byly také konzultace s mými spolužáky, kteří jsou pracovníky konkurenčních bank.

-8-

1.

Přímé bankovnictví

Přímé bankovnictví vzniklo především díky masovému rozšíření výpočetní techniky a vhodných médií sloužících k přenosu dat. Také bychom jej mohli definovat jako bankovní služby, které jsou prováděny přímo klientem pomocí komunikačních kanálů, které to umožňují, tedy často i bez přímého zapojení zaměstnanců banky. „Přímé bankovnictví znamená, že klient může být díky elektronickým prostředkům komunikace se svými penězi v kontaktu 24 hodin denně, 365 dnů v roce, ať je v zaměstnání, doma nebo uprostřed oceánu. Zkrátka odkudkoliv a kdykoliv.“1 Přímé bankovnictví se velkou měrou zavedlo kvůli narůstající konkurenci bankovních i nebankovních subjektů. Banky se snaží o neustálé zatraktivňování svých bankovních produktů a také se neustále snaží snižovat svoje distribuční náklady. Mnoho bank v současné době nabízí klientům i jiné možnosti, jak přistupovat ke svým účtům, než osobní návštěvou své pobočky. Ve snaze získat konkurenční výhodu banky umožňují různými způsoby klientům ovládat své účty kdekoliv a kdykoliv, a to pomocí internetu, mobilního telefonu či dokonce i pomocí jakéhokoliv telefonního přístroje. Pomocí internetového bankovnictví, které je někdy též nazývané on-line bankovnictví, lze zjišťovat použitelný zůstatek, získávat přehled platebních příkazů a zúčtovaných transakcí, zadávat příkazy k úhradě, nebo převodu, získávat výpisy z banky, měnit limity účtu, zjišťovat informace o bance, jako např. úrokové míry, zadávat povolení k inkasu, nebo SIPu a podobně. Záleží však na konkrétní nabídce banky. Pro klienta banky je přímé bankovnictví výhodné nejenom tím, že se nemusí přizpůsobovat otvírací době pobočky, ale i tím, že operace prováděné tímto způsobem jsou zpravidla zpoplatněny nižší sazbou, neboť představují pro banku nižší náklady. Přímé bankovnictví je tedy takové, kdy klient může provádět určité manipulace s účtem kdekoliv a kdykoliv (má-li k tomu však potřebné prostředky) bez toho, aby musel fyzicky navštívit pobočku banky. Obecně můžeme rozdělit druhy přímého bankovnictví

1

PŘÁDKA, Michal; KALA, Jan. Elektronické bankovnictví. 1. vyd. Praha : Computer Press, 2000. ISBN 80-7226-328-5.

-9-

do několika skupin, každá skupina je specifická, a tudíž je pro ni vhodný odlišný způsob autentizace2 čili ověření identity. Druhy přímého bankovnictví: -

Internetové bankovnictví

-

Telefonní bankovnictví

-

Homebanking

-

WAP (GSM) bankovnictví

-

PDA bankovnictví

Pro úplnost je třeba dodat, že banky tyto služby nazývají vlastními názvy. Můžeme se tedy setkat s názvy eKonto, Mobil banka, Mobilkonto označující GSM bankovnictví, dále

Internetbanking

24,

Internet

banka,

Webkonto

označující

Internetové

bankovnictví.3

1.1.

Historie přímého bankovnictví

Historie přímého bankovnictví sahá do šedesátých a sedmdesátých let minulého století, kdy došlo k rozšíření používání platebních karet. Platební instrumenty se začaly používat zejména v západní Evropě a Severní Americe. Ke skutečnému přelomu došlo na konci osmdesátých let dvacátého století díky britské bance First Direct. Jedná se o britskou společnost ze skupiny HSBC, která je jednou z největších světových bank a orientuje se výhradně na přímé bankovnictví. First Direct byla poprvé otevřena svým klientům 1. října 1989 a hned první den obdržela více než 1000 telefonátů. Banka byla založena na následujících předpokladech a marketingových úvahách: -

2

jeden z pěti lidí nenavštívil pobočku své banky za uplynulý měsíc;

Autentizace znamená ověřování pravosti, patří k bezpečnostním opatřením a zajišťuje ochranu před falšováním identity.

3

BĚLOHUBÝ, Jan. Ještě chodíte do banky? [on-line]. [cit. 2003-02-12]. Dostupné na World Wide Web: .

- 10 -

-

51% lidí řeklo, že by raději navštěvovali svou pobočku co nejméně;

-

třetina klientů by si přála vyřídit více věcí se svou bankou po telefonu;

-

vedle příjemného personálu byla důležitá otevírací doba a rychlé a jednoduché transakce.4

First Direct byla zaměřena ve svých počátcích zejména na telefon. Internetové bankovnictví vzniklo až díky masovému rozšíření výpočetní techniky a vhodných médií.

1.1.1.

Nástin historie internetového bankovnictví

Prvním krokem ke vzniku internetu byla armádní síť USA ARPANET, která byla spuštěna roku 1969 a jejíž správy se ujal Pentagon. Postupně ji využívali i vědci, ale časem lidé zjistili, že ARPANET se dá využít i pro elektronickou komunikaci (e-maily). Programy pro elektronickou komunikaci se neustále zlepšovaly a počet uživatelů neustále skokově rostl. Síť ARPANET byla odpojena roku 1990, kdy již fungoval internet v podobě, ve které ho známe dnes. V roce 1991 se připojilo i Československo a v dalších letech se počet uživatelů stále zvyšoval. Od roku 1993 se na internetu začaly ve velkém objevovat komerční organizace. Nejprve se začaly objevovat subjekty z počítačové oblasti a poté i z dalších oborů. V mnoha státech se internet stává běžnou součástí každodenního života.5 Počet uživatelů internetu neustále roste, protože internet je dnes dostupnější díky moderní technice a nízkým nárokům na jeho užívání. Dnes je vynikajícím nástrojem pro získávání informací a nejjednodušším prostředkem komunikace.

4


5


- 11 -

1.2.

Stručný vývoj jednotlivých kategorií elektronického bankovnictví

Stručně lze vývoj jednotlivých forem elektronického bankovnictví charakterizovat následně: 80. léta 20. století -

předávání dat na kompatibilních médiích;

-

dálkový přenos dat.

90. léta 20 století -

elektronické bankovnictví pro firemní klientelu;

-

telefonní bankovnictví pro privátní klientelu ve 2. polovině 90. let 20. století;

-

s nástupem internetu první vlaštovky s nabídkou internetového bankovnictví koncem 20. století;

-

mobilní GSM sítě a mobilní operátoři s nabídkou telefonních služeb přinášejí ve spolupráci s bankami GSM banking na bázi SIM karet.

Počátek 21. století -

díky zvyšující se penetraci internetu dochází k nástupu internetového bankovnictví;

-

GSM banking je propagován mobilními operátory a bankami;

-

telefonní bankovnictví je cenově zvýhodněno proti „papírovému bankovnictví“.6

1.3.

Pojem přímého bankovnictví

Pojem přímé bankovnictví vznikl s rozvojem nových technologií, který přímo ovlivnil rozvoj nových produktů v oblasti bankovnictví. Jedná se v podstatě o služby, které umožňují komunikaci mezi bankou a klientem bez nutnosti navštívit osobně

6

SCHLOSSBERGER, Otakar; HOZÁK, Ladislav. Elektronické platební prostředky. 1. vyd. Praha : Bankovní institut vysoká škola, 2005. ISBN 80-7265-073-4.

- 12 -

pobočku banky. Banky si mohou dovolit nabízet svým klientům kromě pohodlí také vyšší úroky a nižší administrativní poplatky, neboť díky přímému bankovnictví eliminují tradiční způsoby přístupu k účtu a náklady s tím spojené. Aby klient mohl obsluhovat svůj účet co nejsnadněji, nabízí banky širokou paletu produktů tzv. přímého bankovnictví. Vše se děje prostřednictvím telefonu nebo počítače a internetu. Elektronické obchodování je nejvýraznějším prvkem ekonomického prostředí, které často bývá označováno jako tzv. nová ekonomika. Nová ekonomika se od té původní neodlišuje obsahem řešených problémů nebo postupy řešení, ale zejména prostředky, kterými je dosaženo stanového cíle. Nová ekonomika je charakteristická využíváním prostředků nehmotné povahy – informací a jejich bleskovou výměnou v obrovském množství. Nová ekonomika se tak stává součástí procesu globalizace. Aktivní využívání nových informačních technologií na všech stupních řízení a realizace ekonomických procesů je v současné době otázkou bytí a nebytí.7 Z výše uvedeného jednoznačně vyplývá, že banky a bankovní služby jdou ruku v ruce s novou ekonomikou. Banky se musí, i přes svůj konzervativní přístup, přizpůsobit tomuto trendu, jinak by brzy podlehly konkurenci a zániku v současném systému rychlé globální výměny informací. Banky proto nabízejí svým klientům odpovídající služby. Patří sem: internetové bankovnictví, telefonní bankovnictví, homebanking, WAP (GSM) bankovnictví nebo také PDA bankovnictví, o kterých se rozepíši podrobně v dalších částech bakalářské práce. Když si klient některou z těchto služeb zřídí, má ke svému účtu přístup 24 hodin denně. Klientovi je tak umožněno, aby se jeho požadavkům informovanosti dostalo adekvátní reakce v potřebné kvalitě a rozsahu.

1.4.

Platební styk zprostředkovávaný elektronikou

Aktuální vývoj platebního styku a zúčtování směřuje stále více k elektronickému bankovnictví. Elektronické transakce musí mít řadu základních vlastností stejně jako klasické bankovní transakce:

7

MACHKOVÁ, Hana; ČERNOHLÁVKOVÁ, Eva; SATO Alexej a kolektiv. Mezinárodní obchodní operace. 4. vyd. Praha : Grada, 2008. ISBN 978-80-247-1590-2. - 13 -

1. Důvěryhodnost – tradiční banky si zakládají na vtahu s klientem, kdy může být výhoda, že každý klient má svého poradce, kterého zná a kterému důvěřuje. Tento způsob komunikace je v dnešní době masového nárůstu uživatelů bankovních služeb neudržitelný. Naproti tomu komunikace z pohodlí domova nabízí dostatek prostoru důkladně si nabízený produkt prostudovat a dostatečně porovnat s konkurencí. 2. Integrita – zabezpečuje, aby nedošlo k úmyslné či technickou chybou způsobené modifikaci přenášených dat – jako je změna zadané částky, počet opakování plateb, popřípadě změna čísla účtu. 3. Neodmítnutelnost – spočívá v tom, aby kterákoli ze zúčastněných stran nemohla popřít svůj požadavek. Příkladem může být klientem zadaná transakce, která se provede, a později klient popře její zadání a bude požadovat navrácení prostředků. V tomto případě je nutno zajistit, aby daný požadavek byl zadán ve tvaru, na který má oprávnění pouze konkrétní uživatel přímého bankovnictví. 4. Identifikace a autentizace – banka musí nejprve určit identitu komunikující protistrany a musí mít jistotu, že komunikuje skutečně s daným klientem a naopak. Identifikace ze stany banky je podmíněná zadáním několika unikátních údajů, které by měla mít k dispozici pouze oprávněná osoba (heslo, mobilní telefon, na který dorazí jednorázový mobilní klíč). Stejně tak jako banka musí mít jistotu identifikace i klient. 5. Certifikace – znamená potvrzení zadávaných údajů u konkrétní transakce, jako je číslo účtu, částky, variabilní, konstantní a specifický symbol, aj. Tento pojem lze chápat jako specifický případ požadavku na integritu dat. Rozdíl mezi identifikací a autentizací je například ten, že banka klienta po zadání hesla pustí na účet, kde může pasivně prohlížet zůstatky a přehledy transakcí, ale pro zadání dalšího aktivního požadavku je nutno provést určitý druh certifikace.

1.5.

Právní úprava elektronického platebního styku v České republice

Elektronický platební styk byl částečně upraven již zákonem č. 124/2002 o platebním styku, který ale byl pro dnešní dobu již nedostatečný. Toto se změnilo

- 14 -

1. 11. 2009, kdy vešel v platnost zákon č. 284/2009 Sb., o platebním styku, který nahrazuje zákon původní. Zákon č. 284/2009 Sb., o platební styku, harmonizuje české právo s právem Evropské unie, respektive směrnicemi Evropské komise a Rady. Tento zákon by měl přinést kromě harmonizace s evropským právem také vyšší ochranu uživatele platebního styku, zejména občanů (nepodnikatelů) a drobných podnikatelů. Výběr důležitých částí ze zákona: -

Zkrácené lhůty provádění platebních transakcí – tuzemský i zahraniční platební styk.

-

Odpovědnost z neautorizované transakce. Při ztrátě a odcizení karty odpovídá plátce do 150 EUR. Při podvodném jednání plátce nebo při porušení povinnosti úmyslně nebo z hrubé nedbalosti odpovídá plátce v plném rozsahu, po oznámení ztráty, odcizení nebo zneužití karty odpovídá poskytovatel v plném rozsahu.

-

Blokace platební karty je pro držitele zdarma.

-

Důkazní břemeno – poskytovatel plátce má povinnost doložit správnost postupu zúčtování transakce.

-

Nová pravidla pro provádění inkas – možné například následně odvolat již provedenou platbu.

-

Informační povinnost – poskytnutí respektive zpřístupnění informací a povinnost banky informovat o transakcích na běžném účtu.

-

Výpovědní lhůta smlouvy o běžném účtu nesmí být delší než 1 měsíc. Po ročním vedení účtu banka provede zrušení zdarma.

Po dlouhých letech, kdy nebylo pevně definováno právní prostředí v elektronickém platebním styku, je v platnosti zákon, který dbá o práva uživatele těchto bankovních služeb, a v tomto směru již není potřeba mít obavy o bezpečnost. Důležitější než samotná legislativní úprava je eliminování možnosti nelegálního zneužití, což je jistě největší obava mnoha uživatelů elektronického platebního styku.

- 15 -

1.5.1.

Rozdíly mezi klasickou pobočkou a používáním přímého bankovnictví

Podíl

elektronického

bankovnictví

a

informací

distribuovaných

bankou

elektronickou formou stále rapidně vzrůstá a do budoucna se dá předpokládat, že vzdálená komunikace bude hlavním distribučním kanálem. Mezi hlavní rozdíly ve styku prostřednictvím klasické pobočky a přímým bankovnictvím patří: 1. Výrazné snížení nákladů – a to jak na straně banky, která uspoří především za výstavbu a údržbu kamenných poboček, na mzdových nákladech bankéřů, ale i na straně klienta. Operace provedené přes on-line kanály jsou několikanásobně levnější než operace prováděné na pobočce. Pro klienta tyto bankovní operace znamenají výraznou časovou úsporu, neboť bankovní operace mohou realizovat z pohodlí domova. 2. Dostupnost služeb – oproti kamenným pobočkám, které mají pevně stanovené otevírací hodiny obvykle od 9 – 17h, není využívání přímého bankovnictví nijak výrazně omezeno – s výjimkou aktivních operací, které závisí na dostupnosti ze strany banky. Klient přesto nemusí čekat frontu na přepážku obchodní banky. Oproti tomu nemusí být přímé bankovnictví vždy dostupné kvůli technickým problémům, nebo aktualizaci dat. 3. Rozdílný způsob komunikace – tradiční banky si zakládají na vtahu s klientem, kdy může být výhoda, že každý klient má svého poradce, kterého zná a kterému důvěřuje. Tento způsob komunikace je v dnešní době masového nárůstu uživatelů bankovních služeb neudržitelný. Naproti tomu komunikace z pohodlí domova nabízí dostatek prostoru důkladně si nabízený produkt prostudovat a dostatečně porovnat s konkurencí. 4. Nové typy služeb – moderní a propracované aplikace nabízejí stále nové produkty, které klient může pomocí on-line bankovnictví využívat – např. založení spořicího účtu, nákup investičních instrumentů, založení kreditní karty, podání žádosti o spotřebitelský úvěr a jiné. Z výše uvedených kategorií vyplývá, že oba typy komunikace mají svá pro a proti. V budoucnosti bude zřejmě nevyhnutelné, že dojde k vytlačení tradičních poboček bank do pouhé alternativy k přímému bankovnictví. Banky přesto dbají na demografické rozložení svých klientů a uvědomují si, že ne pro všechny a pro všechno je on-line - 16 -

bankovnictví vhodné. Senioři nebo lidé s negativním vztahem k výpočetní technice mají stále možnost využívat bankovních služeb na pobočkách, ovšem s rizikem čekání a vyšších poplatků za provedené operace pracovníky bank.

- 17 -

2.

Základní druhy elektronických komunikačních prostředků

Aby mohl klient obsluhovat svůj bankovní účet co nejpohodlněji, nabízí banky svým klientům pestrou škálu možností, jak může klient svoje finance řídit. Níže představuji nejčastější formy elektronických komunikačních prostředků, které klient využívá při komunikaci s bankou. Největší pozornost věnuji internetovému bankovnictví, neboť se momentálně jedná o nejpoužívanější elektronický komunikační kanál. Další oblíbenou formou mezi klienty je GSM bankovnictví a PDA banking, který má stále větší oblibu mezi klienty, a v oblasti bankovnictví má před sebou tento komunikační kanál zajímavou budoucnost. Telefonní bankovnictví a homebanking jsou stále oblíbené formy mezi klienty, ale v současnosti jsou tyto komunikační prostředky spíše na ústupu. U každé kategorie elektronických komunikačních prostředků představuji podrobně jejich popis, jednotlivé výhody a podmínky pro jejich bezpečné využívání. Za další metodu elektronického bankovnictví se dají považovat i platební karty, které však nejsou vzhledem k rozsáhlosti tématu předmětem této práce.

2.1.

Internetové bankovnictví

Původně bylo internetové bankovnictví především doménou internetových nadšenců. Zpočátku bránila rozšíření jeho používání nízká vybavenost české populace počítači a hlavně připojením k internetu, avšak v posledních letech se dostupnost internetu ve společnosti výrazně zlepšila. S tím, jak se internet rozšiřoval mezi běžné občany, začal být kladen důraz na běžného uživatele. Každá banka má svůj osobitý styl v rámci nabízeného internetového bankovnictví a možnosti jsou skutečně různé. Nicméně všechny banky se snaží upoutat své klienty kvalitním marketingem a vytvořit příjemné uživatelské prostředí. Banky si uvědomují skutečnost, že jejich bankovní aplikaci budou používat i laici, kteří jsou neznalí v používání informačních technologií. Důležitými rysy je celková přehlednost, srozumitelnost nápovědy a dostupnost jednotlivých služeb. Banky stále počítají s narůstajícím zájmem klientů a očekávají, že půjde o distribuční kanál budoucnosti. Poukazuje na to také skutečnost, že nyní je internetové bankovnictví nejpoužívanějším elektronickým kanálem.

- 18 -

Internetové bankovnictví je služba, která umožňuje klientům ovládat jakýkoliv běžný účet prostřednictvím internetu. Jedná se o metodu kontaktu klienta s bankou přes webové rozhraní. K bance a jejím službám má klient nepřetržitý a v podstatě neomezený přístup.

Obrázek 1: Přihlašovací stránka do internetového bankovnictví

Výhodou internetového bankovnictví je bezesporu možnost vstupovat na účet z libovolného počítače. Klient nemusí instalovat žádný speciální program, a přesto má všechny nabízené bankovní služby k dispozici odkudkoliv 24 hodin denně. Banky obvykle nabízí svým klientům internetové bankovnictví jako nedílnou součást běžného účtu již při samotném založení. Další běžnou zvyklostí bank bývá, že využívání internetového bankovnictví je zcela zdarma a klient platí pouze bankovní poplatky za vybrané transakce, které skutečně využívá. Navíc za platební transakce provedené pomocí internetu jsou většinou účtovány nižší poplatky než za ekvivalent transakce provedené na pobočce. Klient má neustálou kontrolu nad svými prostředky a možnost okamžitě řešit případné nesrovnalosti se skutečností. Internetové bankovnictví také nabízí dlouhodobou transakční historii. Obvykle se jedná o dobu 12 měsíců. Tímto klientovi odpadá archivování papírových výpisů, jak bylo v minulosti častokrát zvykem. Podmínkou pro využívání internetového bankovnictví je pouze počítač připojený k internetu. Klient se přihlásí z počítače prostřednictvím elektronického klíče na svůj účet. Elektronický klíč umožňuje bezpečnou komunikaci mezi bankou a klientem.

- 19 -

2.2.

Telefonní bankovnictví

Přelom šedesátých a sedmdesátých let byl poznamenán změnou v mnoha oborech lidské činnosti a zasáhl také oblast bankovnictví. Hlavním důvodem bylo snižování cen techniky umožňující její masovější nasazení, a to zejména s přihlédnutím k růstu nákladů na lidskou práci. Ukázalo se, že osobní kontakt s bankéřem není pro řadu klientů důležitý, mnoho z nich preferuje stálou dostupnost služeb prostřednictvím moderních komunikačních kanálů. Telefonní bankovnictví je po platební kartě historicky druhým přímým komunikačním prostředkem, který se dočkal masovějšího rozšíření a jehož prostřednictvím mají klienti bezprostřední přístup k zadávání bankovních operací, objednávání služeb či práci s účty.8 Klient zavolá na obvykle bezplatnou klientskou linku banky. Telefonní operátor si ověří totožnost klienta prostřednictvím elektronického klíče nebo hesla. Telefonní bankéř může jednak pomoci klientovi se zadáním bankovní transakce, ale také může klientovi poskytnout informace o pohybech na účtu nebo může aktivovat další služby na účtu, které klient požaduje. Operace prováděné prostřednictvím telefonu můžeme členit na pasivní a aktivní. Pro přiblížení uveďme několik příkladů aktivních a pasivních operací, které je možné provádět prostřednictvím telefonu. Pasivní operace:

8

-

zjištění zůstatku na účtu;

-

informace o pohybech na účtu;

-

informace o zadaných a z různých důvodů neprovedených transakcích;

-

informace o produktech a službách banky;

-

úrokové sazby;

-

kurzovní lístek.


- 20 -

Aktivní operace: -

příkaz k úhradě;

-

trvalý příkaz k úhradě;

-

příkaz k inkasu;

-

trvalý příkaz k inkasu;

-

zahraniční platební styk;

-

založení, změna nebo zrušení termínovaného vkladu9.

Klasické telefonní bankovnictví je vhodné pro každého klienta. Vhodné je především pro klienty, kteří nemají potřebné zkušenosti s internetovým bankovnictvím. Výhodou telefonního bankovnictví je dostupnost služeb, protože většina bank v České republice má k dispozici telefonní bankéře nonstop a klient tak může spolehlivě a bezpečně zadat jakoukoliv transakci.

2.3.

Homebanking

Klient obsluhuje tento bankovní produkt prostřednictvím svého vlastního počítače připojeného k internetu a softwaru, který je dodán bankou. Klient obvykle od banky obdrží instalační CD, ze kterého si nainstaluje do svého domácího počítače software. Po připojení se na internet může zjišťovat základní služby jako například zůstatek svého účtu. Výhodou homebankingu je, že se dá kombinovat s účetními programy. Tento benefit využívají nejčastěji firmy a živnostníci, protože jsou povinni vést účetní evidenci. Tento proces funguje také opačně a to znamená, že např. platební příkazy mohu zadávat přímo z účetního systému a to firmám přináší časovou úsporu bez nutnosti navštívit pobočku banky. Dnešní homebankingové systémy umožňují komfortní komunikaci s bankou a nabízejí uživatelům mnohem větší možnosti využití homebankingu:

9

-

zadávání platebních příkazů (i hromadných) v domácí a cizí měně;

-

zjištění historie a on-line stavu účtu;

PŘÁDKA, Michal; KALA, Jan. Elektronické bankovnictví. 1. vyd. Praha : Computer Press, 2000. ISBN 80-7226-328-5. - 21 -

-

zadávání trvalých příkazů;

-

export/import do účetního softwaru;

-

informace o měnových kurzech.

Zásadní rozdíl je v tom, že klient se napojuje přímo na bankovní systém, může tak získávat on-line informace o svém účtu, například položit dotaz na aktuální disponibilní zůstatek. Homebankingových systémů existuje velké množství a liší se v technickém řešení, množství realizovatelných operací i použitém zabezpečení. Některé samozřejmě nemusí pracovat v plném on-line režimu, ale využívají tzv. semi on-line. To znamená, že údaje o účtu klienta jsou aktualizovány několikrát denně, například každou hodinu10. Nevýhoda tohoto produktu spočívá v omezení pro klienta, neboť může používat pro komunikaci s bankou pouze počítač, kde je program nainstalován.

2.4.

WAP (GSM) bankovnictví

WAP (GSM) bankovnictví neboli mobilní bankovnictví slouží k ovládání účtu pomocí mobilního telefonu, což je hlavní deviza této služby. Tuto službu může klient využít kdekoliv, kde je mobilní signál. K využívání služby stačí mobilní telefon a být klientem některého mobilního operátora. V minulosti bylo možné v jednom telefonu používat bankovnictví pouze jedné banky. Dnes již telefony umožňují obsluhovat účty u více bank. Po celou dobu zadávání platebního příkazu se uživatel aplikace pohybuje v menu svého telefonu. Služba se dělí do skupin podle rozhraní, které k pohybu na účtu mobilní telefon využívá.

2.5.

Sim Toolkit11

V dnešní době tuto technologii podporuje většina telefonů. Umožňuje nahrání speciální bankovní aplikace do menu telefonu, buď bankou nebo operátorem. Klient se

10


11

Sim Toolkit – neboli Sim Application Toolkit – je standard systému GSM, který umožňuje SIM kartě iniciovat operace, které mohou být použity pro různé doplňkové služby bank nebo mobilních operátorů.

- 22 -

prostřednictvím aplikace pohybuje v menu svého telefonu a přímo v mobilu si zobrazuje informace. Informace mezi klientem a bankou jsou vyměňovány pomocí šifrovaných SMS zpráv. K otevření aplikace a šifrovaných zpráv slouží BPIN, který je distribuován bankou nebo samotným mobilním operátorem. Aplikace navádí klienta k požadovanému cíli. Práce s touto technologií je pro klienta velice příjemná a intuitivní. Jakmile klient potvrdí své zadání v bankovním menu telefonu, odešle automatickou SMS do banky, která obratem zašle odpověď ohledně potvrzení transakce, výši zůstatku, založení termínovaného vkladu, aj.

Info

Zůstatek

Elektronický klíč

Autent. kód

Příjmy

Transakce

Platba

Výdaje

Platba

Kurz

Úrokové sazby

Avízo

Obrázek 2: Schéma SIM Toolkit aplikace

2.6.

WAP12 bankovnictví

Zkratka „Wireless Application Protocol“ skrývá aplikaci, která zobrazuje internetové stránky banky upravené pro display mobilního telefonu, na kterém je nutné zadat adresu, kde je umístěna aplikace. Jedná se o obdobu stránek klasického internetu, kde jsou ale stránky upraveny přímo pro menu mobilního telefonu. Dříve bylo nevýhodou tohoto bankovnictví nižší přenosová rychlost dat. Ovšem díky technickému pokroku je tato nevýhoda minulostí.

12

WAP – jedná se o systém pro zajištění provozu elektronických služeb na mobilních telefonech jako ekvivalent k internetovým protokolům určeným pro GSM sítě.

- 23 -

2.7.

SMS13 bankovnictví

Službu krátkých textových zpráv je nutné v bance předem definovat a aktivovat. Banka v tomto případě zasílá uživateli na mobilní telefon informací SMS a to dle žádosti klienta. Například při každém přírůstku na účtu nad 100 CZK banka zašle zprávu o zůstatku na účtu. Při této službě je nutná smlouva s mobilním operátorem a také je nezbytné, aby bylo jasně stanoveno, kdo nese náklady na odeslání SMS. Zda hradí náklady banka nebo klient. Výhodou je použitelnost u všech typů mobilních telefonů, vzhledem k tomu, že každý přístroj dokáže přijímat SMS zprávy. Váš účet může informovat o příchozích či odchozích transakcích SMS zprávou nebo e-mailem. Prostřednictvím této služby se klient dozví o pohybech na svém účtu, aniž by se klient musel sám ptát. Využívání bankovnictví prostřednictvím mobilního telefonu nabízí zajímavý kompromis k internetovém bankovnictví, které nemusí být za každých okolností dostupné. Na druhou stranu je SMS bankovnictví méně přehledné a používáno klienty s omezenými službami. S mobilním telefonem lze provádět především základní operace jako zjištění zůstatku, příkaz k úhradě nebo dobití kreditu. Poplatky za transakce prostřednictvím této služby jsou srovnatelné s ostatními kanály on-line bankovnictví. Obvyklé služby využívané prostřednictvím WAP (GSM) bankovnictví jsou:

13

-

zjištění zůstatku na účtu;

-

zjištění poslední příjmové/výdajové transakce;

-

jednorázové příkazy k úhradě;

-

založení termínovaného vkladu;

-

přehled blokací platebních karet;

-

kurzy měn;

Short Message Service – služba krátkých textových zpráv v GSM síti.

- 24 -

2.8.

PDA banking

PDA14 banking je v podstatě kapesní počítač, díky kterému má klient k dispozici informace nejen o bance a jejích produktech a službách, ale může také pohodlně a přehledně řídit svůj účet. V podstatě se jedná o určitý druh internetového bankovnictví. PDA banking má s rozvojem nových chytrých telefonů vybavených operačním systémem zajímavou budoucnost. Všechny banky v České republice vyvíjejí software, aby se drželi na vlně s aktuálními technologiemi, které používají v běžném životě jejich klienti. Chytré telefony budou vždy napřed proti ustáleným telefonům na trhu, a proto se banky přizpůsobují vývojem aplikací požadavkům svých klientů. Výhodou tohoto kapesního počítače je pro uživatele zejména pohodlí při spravování svých financí. Banka upravuje PDA stránky tak, aby co nejlépe odpovídaly zobrazení v prostředí PDA. Klient nemusí pro zprovoznění této služby nic dalšího aktivovat, neboť pro komunikaci s bankou potřebuje pouze vlastní kapesní počítat s připojením k internetu.

2.9.

Ostatní formy přímého bankovnictví

Fax a pošta jsou klasickým komunikačním prostředkem. V tomto případě jsou, narozdíl od předešlých způsobů, transakce prováděny se zpožděním. Formuláře k těmto příkazům banky zveřejňují na internetu, jejichž součástí je i pole pro vyplnění klientského čísla, které slouží jako identifikátor. Pro ověření identity oprávněné osoby slouží tzv. jednorázový autentizační kód. Tento kód bývá vygenerován autentizačním kalkulátorem (fyzickým, nebo softwarovým), případně může být heslo zasláno e-mailem nebo SMS, čímž se zabrání zneužití autorizačních práv třetí osobou. Jelikož je tento kód generován i na základě typu transakce a zadaných částek, je zabráněno tomu, aby byl příkaz zneužit pozměněním zadaných údajů při jeho přenosu (integrita). Zpravidla bývá tento způsob z pohledu vyřizování běžných bankovních transakcí považován pouze za doplňkový.15

14

PDA – Personal Digital Assistent – jedná se osobní organizér vybavený operačním systémem a internetovým prohlížečem.

15

BĚLOHUBÝ, Jan. Ještě chodíte do banky? [on-line]. [cit. 2003-02-12]. Dostupné na World Wide Web: . - 25 -

Mezi ostatní formy on-line bankovnictví se dají zařadit jednotlivé služby bank, které individuálně nabízí ke svým produktům. Patří mezi ně náhled pouze na měsíční výpisy po přihlášení, mutace internetového bankovnictví sloužící jako speciální aplikace pro kreditní kartu, samoobslužné zóny v moderních bankách aj.

- 26 -

3.

Bezpečnost internetového bankovnictví

Používání internetu v bankovním styku se stalo fenoménem posledních let. Internetové bankovnictví využívá v současné době přes tři miliony klientů v České republice a jejich počet stoupá o desítky procent, což dělá z tohoto produktu jednu z nejdynamičtěji rozvíjejících se služeb. Klientům umožňuje především pohodlnou on-line správu finančních služeb bez nutnosti návštěvy banky. Každá z bank nabízí vlastní formu internetového bankovnictví, která je přijatelně bezpečná vůči zneužití. Dá se tedy říci, že v současné době můžeme považovat všechny nabízené služby přímého bankovnictví za bezpečné, některé jsou však více bezpečné než jiné. Nejvýznamnějším faktorem v oblasti bezpečnosti je však dodržování určitých pravidel. Pokud je používán k podepsání transakce certifikát uložený na médiu, je možné hovořit o zcela bezpečném bankovnictví – avšak tyto formy jsou na ústupu, ve jménu vyšší mobility. Největší nebezpečí, které je spojeno se všemi službami elektronického bankovnictví, je především chování klienta. Není úplně neobvyklé, že uživatel má uloženy přístupové údaje k účtu v peněžence, nebo nalepeny na počítači v práci. Bezpečnost internetového bankovnictví je ovlivňována mnoha faktory. Na bezpečnost tedy můžeme nahlížet podle toho, zda se jedná o faktory vnější (tedy nejsou ovlivněny chováním klienta či chováním banky), či vnitřní, a to na straně klienta nebo na straně banky.

3.1.

Vnější bezpečnost

Pod pojmem vnější bezpečnost rozumíme zákony, zákonné normy a vyhlášky regulátora (ČNB), které mají za cíl zajistit bezpečné bankovní prostředí a ochránit tak klienty před zjevnými riziky vyplývajícími jak z běžných forem bankovnictví, tak i z přímých komunikačních kanálů. Mezi tyto zákony, vyhlášky a směrnice patří zejména níže uvedené: -

zákon č. 21/1992 Sb., o bankách;

-

zákon č. 284/2009 Sb., o platebním styku;

-

zákon č. 634/1992 Sb., o ochraně spotřebitele, ve znění pozdějších předpisů;

-

směrnice 2002/65/ES o uvádění finančních služeb pro spotřebitele na trh na dálku a o změně směrnice Rady 90/619/EHS a směrnic 97/7/ES a 98/27/ES; - 27 -

-

vyhláška č. 374/2009 Sb., o výkonu činnosti platebních institucí, institucí elektronických peněz, poskytovatelů platebních služeb malého rozsahu a vydavatelů elektronických peněz malého rozsahu;

-

zákon č. 227/2000 Sb., o elektronickém podpisu;

3.1.1.

Zabezpečení bankovních informací

Bankovní informace jsou velice choulostivou záležitostí. Jejich bezpečnosti je věnována náležitá pozornost. Banka shromažďuje o svých zákaznících klientské informace, které nezbytně potřebuje v souvislosti s poskytovanými bankovními službami. Velmi citlivé údaje poskytuje klient bance nejčastěji kvůli poskytnutí úvěru, neboť banka vyhodnocuje klientovu důvěryhodnost a bonitu. Vzhledem k tomu, že se jedná o neveřejné informace, je možné poskytnout je třetím stranám pouze za určitých podmínek. Důvěryhodnost je alfou a omegou fungování každého bankovního podnikání. Tento etický rozměr si uvědomují všichni klíčoví manažeři bank, a proto banky respektují ochranu osobních údajů svých klientů včetně pravidel zachování bankovního tajemství i nad rámec toho, co definuje zákon. Kodex bankovní etiky je jednou z možností, jak mohou banky svým klientům, investorům, veřejnosti i zaměstnancům dokázat, že se chovají nad rámec dodržování platných zákonů a závazných postupů stanovených regulátorem ČNB. Banky se dobrovolně přihlašují i k dalším pravidlům chování, které přijímají ve formě kodexů. Tyto standardy jim napomáhají prosazovat korektní vztahy na finančním trhu.

3.1.2.

Etický kodex v bankovnictví

Kromě právně závazných norem se banky dobrovolně přihlašují i k dalším pravidlům chování, která jsou přijímána ve formě kodexů nebo standardů a která mají napomáhat prosazování korektních vztahů na finančním trhu a zlepšit jejich úroveň. Banky tak mohou dobrovolně přistoupit ke kodexům nebo standardům a dodržovat jimi stanovená pravidla chování.

- 28 -

Česká bankovní asociace (ČBA) sdružuje banky, které se staly jejím členem a zavázaly se dodržovat „Etický kodex České bankovní asociace“ (z roku 1993, revidovaný v roce 2007). Kodex stanovuje etické normy bankovních činností, které se týkají čtyř oblastí vztahů: 1. Obecných zásad chování bank – jedná se o souhrn pravidel, které banky dodržují nad rámce zákona. Zejména se jedná o důvěrnost informací, které banka zpracovává. V rámci marketingové kampaně banka uvádí pravdivé a srozumitelné informace. Banka dodržuje principy serióznosti. 2. Vztahů pracovníka k bance, v níž je zaměstnán – tento bod vymezuje v Etickém kodexu zejména povinnosti vyplývající z pracovní činnosti zaměstnance banky. Pracovník hájí zájmy banky a zachovává přísnou mlčenlivost. 3. Vztahů banky ke klientele – tento bod se věnuje především uplatňování přístupu pracovníkem banky. Tento přístup je zdvořilý, korektní a nestranný k zákazníkům. Banka poskytuje služby kvalifikovaně, čestně a s řádnou péčí v souladu se zásadou "poznej svého klienta". Přesto banka nenarušuje soukromí zákazníka a dbá na klientovo právo na ochranu osobnosti. Banka klientovi vysvětluje dostatečně své nabízené služby a také seznamuje klienta s postupem, jak podat podnět či stížnosti na její činnost. 4. Vztahů bank navzájem – závěrečný bod etického kodexu upravuje zejména pravidla hospodářské soutěže a slušné a poctivé obchodní zvyklosti mezi bankami.

3.2.

Vnitřní bezpečnost

Pod pojmem vnitřní bezpečnost si lze představit zejména soubor mechanismů a opatření, která eliminují rizika spojená s chováním samotného klienta, případně banky.

3.2.1.

Bezpečnost na straně klienta

V této kapitole se zaměřím na bezpečnost výhradně z pohledu klienta.

- 29 -

3.2.1.1.

Bezpečností rady pro internetové bankovnictví

Banky poskytují mnoho informací, jak varovat klienty, aby předcházeli zneužití svých účtů. Je samozřejmě v zájmu banky, aby měla důvěryhodnost a pověst peněžního ústavu, kde není možné uložené peníze zneužít. V neposlední řadě je banka obvykle nucena klientovi ušlé ztráty pokrýt – neboť ztráta dobrého jména a prestiže by ji mnohem více poškodila. Následující odstavce jsou výňatkem z rad, které poskytuje na svých stránkách Raiffeisenbank, a.s. 1. Využívejte pouze důvěryhodných služeb a vždy se ujistěte, že opravdu komunikujete se správným poskytovatelem služeb. Při přístupu na účet a zadávání pokynů zkontrolujte, zda je spojení řádně zabezpečeno a komunikujete s bankou (zkontrolujte si platnost a údaje v certifikátu SSL16 zabezpečení, certifikáty banky jsou vydány společností VeriSign, Inc.). Jestliže si nejste jisti, zda opravdu komunikujete s bankou, obraťte se na naši bezplatnou klientskou linku. 2. Chraňte své elektronické klíče, hesla, PINy a osobní informace. Hesla a PINy volte tak, aby nebyly snadno uhodnutelné nebo odvoditelné z informací o Vaší osobě. Banka nikdy nevyžaduje zadání nebo potvrzení těchto údajů prostřednictvím elektronické pošty, pokud po vás budou jménem banky takové informace požadovány, informujte prosím Raiffeisenbank. 3. Dávejte pozor, zda potvrzujete Vámi zadanou transakci. Před potvrzením platby vždy nejdříve zkontrolujte správnost údajů platby proti faktuře, složence, apod. 4. Pravidelně kontrolujte pohyby na svých účtech a platby platební kartou. Jestliže používáte platební kartu pro platby na internetu, pořiďte si internetovou platební kartu. V případě zjištění jakýchkoli nesrovnalostí se neprodleně obraťte na Raiffeisenbank. 5. Finanční služby využívejte pouze z důvěryhodného a řádně zabezpečeného počítače, nepoužívejte počítače, o kterých nemáte žádné informace, nebo jsou v nedůvěryhodném prostředí.

16

SSL certifikát – jde o digitální certifikát, který je v asymetrické kryptografii digitálně podepsaný jako veřejný šifrovací klíč, který vydává certifikační autorita.

- 30 -

6. Na počítači, ze kterého využíváte finanční služby, nepoužívejte a neinstalujte nedůvěryhodný software, neinstalujte software z nedůvěryhodných zdrojů, nenavštěvujte nedůvěryhodné webové stránky a neotvírejte podezřelé poštovní zprávy (zprávy od neznámých odesilatelů, zprávy s nesmyslným předmětem apod.), zejména neotevírejte přílohy takových zpráv. Raiffeisenbank nikdy neposílá nevyžádané zprávy obsahující odkazy na svoje webové stránky. Obdržíte-li elektronickou poštou zprávu obsahující takový odkaz, nereagujte na ni a informujte prosím Raiffeisenbank na klientské lince. 7. Nikdy neposkytujte své bankovní účty pro přijetí plateb určených třetím osobám, může se jednat o nelegálně získané prostředky a majitel účtu se vystavuje riziku trestního stíhání. Rovněž varujeme před tzv. "Nigerijskými podvody" a propůjčování vlastní identity při založení účtu ve prospěch třetích osob. 8. Pokud máte podezření, že bylo Vaše heslo prozrazeno nebo Váš elektronický klíč ukraden (zkopírován), kontaktujte kdykoli banku na bezplatné klientské lince a požádejte o zablokování příslušných služeb. 9. Nedovolte jiné osobě, aby pracovala pod Vaším uživatelským profilem (přihlašovacím jménem), zejména při odchodu od počítače tento vždy uzamkněte nebo se odhlaste. 10. Buďte všímaví – neváhejte kontaktovat banku v případě jakýchkoliv pochybností a podivného chování počítače při přístupu do internetového bankovnictví nebo k jiným službám. Podezřelé chování může být např. nepřicházející autentizační kódy, jiné údaje o platbě v certifikačním kódu, "divné" jméno serveru, jiný vizuální dojem, nové kroky během přihlášení (zvláště pokud by požadovaly certifikační kód). 3.2.1.2.

Šifrování elektronické komunikace

Při přenosu dat mezi klientovým počítačem a bankovním serverem je nezbytně nutné data chránit proti přečtení a pozměnění neoprávněnou osobou. K tomu se běžně používá tzv. SSL tunel (Secure Sockets Layer). Obrazně je tedy mezi dvěma počítači vytvořen tunel, na jedné straně do něj klient vkládá data a na druhé straně z tunelu banka data přijímá, po cestě nejsou z vně tunelu dostupná. K šifrování dat se používá asymetrické šifrování. Jedna strana (banka) má ve svém držení privátní klíč, kterým - 31 -

přijatá data dešifruje, aby je mohla přečíst. Banka druhé straně (klientovi) předá při každém připojení svůj veřejný klíč patřící k privátnímu klíči. Klient pak odesílaná data tímto veřejným klíčem šifruje. Veřejný klíč banka předává klientovi v podobě SSL certifikátu, který je vystaven nezávislou certifikační autoritou (např. I. CA, VeriSign). Aby bylo mezi bankou a klientem navázáno bezpečné spojení, musí být v klientově internetovém prohlížeči tato certifikační autorita označena jako důvěryhodná. Pokud klient přistoupí na server, který nepoužívá certifikát vystavený důvěryhodnou certifikační autoritou, zobrazí internetový prohlížeč varovné hlášení a upozorní klienta na podezřelý server. Banky pro svá internetová bankovnictví používají většinou světoznámé certifikační autority, které jsou již od výrobce internetového prohlížeče nastaveny jako důvěryhodné, a na klienta tedy nejsou kladeny žádné další nároky na nastavení či ověřování pravosti bankovního serveru.

Obrázek 3: Detail SSL certifikátu s klíčem AES-256 o délce 256 bitů

Veškerá síla SSL šifrování spočívá v síle klíčů, které jsou pro šifrování použity. Díky stále vyššímu výpočetnímu výkonu, který je v dnešních počítačích dostupný, je možné zvyšovat sílu klíčů (tedy jejich délku) a tím stále oddalovat okamžik, kdy bude tento způsob zabezpečení dat prohlášen za lehce překonatelný.

- 32 -

3.2.1.3.

Typy elektronických identifikačních prostředků

Níže představuji jednotlivé typy elektronických identifikačních prostředků, které ověřují oprávnění přístupu klienta k bankovním účtům a dalším bankovním operacím.

3.2.1.3.1. Jednofaktorová autentizace Jednofaktorová autentizace spočívá v tom, že klient používá pro ověření své totožnosti pouze jeden faktor. Typickým představitelem je statické heslo. Jak z následujících kapitol vyplývá, jednofaktorová autentizace je v dnešní době již považována za nedostatečnou a v tomto duchu dokonce v některých zemích bankovní regulátoři vyžadují po bankách zavádění vícefaktorové autentizace.17 Statické heslo Statické heslo patří mezi nejstarší způsoby ověřování oprávněnosti přístupu k určitým datům či systémům. Ačkoliv je statické heslo jistě jedním z uživatelsky příjemnějších způsobů, jak klient může bance prokázat svoji totožnost, je dnes již překonáno a neposkytuje již dostatečnou úroveň jistoty ani na straně klienta ani na straně banky. Je to dáno zejména tím, že aby heslo zůstalo skutečně bezpečné, musí být na klienta kladeny vysoké nároky na nakládání s heslem a na podobu samotného hesla. Klient nesmí heslo nikde zaznamenávat, ale pamatovat si jej. Aby nebylo heslo jednoduše odhadnutelné útočníkem, nesmí jej tvořit běžně používané slovo, které má zřejmou souvislost s klientem (např. jméno dítěte, oblíbený hokejový klub apod.) Běžným standardem pro tvorbu bezpečného hesla je politika, která vyžaduje délku minimálně 8 znaků, použití velkých a malých písmen, číslic a také speciálních znaků (@, &, #, /, _ apod.). Čím více je však heslo složitější, tím více klientů je nuceno si jej poznamenat na nějaké médium, které mají běžně při sobě (vizitka v peněžence, záznam v mobilním telefonu apod.). Zvýšením složitosti hesel tedy paradoxně můžeme bezpečnost snížit. Dále ačkoliv je heslo sebesložitější, není odolné vůči zkopírování přímo z počítače klienta (jak je uvedeno dále v příkladech známých útoků na internetová bankovnictví).

17

Federal Financial Institutions Examination Council. Authentication in an Electronic Banking Environment [online]. c2001 [cit. 2011-03-30]. Dostupné na World Wide Web: <www.ffiec.gov/pdf/authentication_guidance.pdf>.

- 33 -

Z těchto důvodů např. v USA přijal regulátor opatření, kterým donutil banky nespoléhat se v internetovém bankovnictví pouze na statická hesla. Na základě této regulace byly banky nuceny přejít na jiný způsob ověřování klientů, případně doplnění statického hesla dalšími metodami. GRID karta Je zřejmé, že další slabou stránkou statického hesla je, že zůstává stejné tak dlouho, dokud jej klient sám z vlastní vůle (nebo vynucením aplikací) nezmění. Pokud se tedy útočník k heslu dostane za pomocí technik, které získávají data z datové komunikace anebo přímo z klientova počítače, má slušnou šanci, že jej bude moci v budoucnu zneužít. Na tuto slabou stránku reagovala v minulosti nová metoda, tzv. GRID karta (Grid = mřížka, tabulka). Jedná se o papírovou či plastovou kartu s vytištěnou maticí kódů. Pro každého klienta existuje unikátní matice kódů. Tato se nachází jednak v systému banky a pak také na kartě předané klientovi. Internetové bankovnictví se pak při každém pokusu o přihlášení do systému dotáže klienta pomocí souřadnic matice na kombinaci kódů (např. zadej kódy A 3, A 6, D 1). Při každém vstupu do systému nebo ověření zadávané transakce je klient dotázán na jinou kombinaci kódů. Je zřejmé, že případný útočník, pokud již získá přístup ke klientovu počítači nebo je schopen odposlouchávat datovou komunikaci, je schopen získat právě použitou kombinaci kódů, nikoliv však všechny kódy matice. Pravděpodobnost úspěšného zneužití se tedy snižuje úměrně s velikostí matice s kódy. Nicméně i tato metoda se postupem času ukázala jako nedostatečná. Jednak útočník může nepozorovaně klientovi GRID kartu okopírovat, aniž by to klient měl možnost zjistit (např. kolegové mající přístup v kanceláři ke všem stolům). Dále byly GRID karty v minulosti již mnohokrát kompromitovány při použití sociálního inženýrství a útoku metodou phishing. O metodě phishingu se zmiňuji v kapitole 3.3.8. v rámci příkladů možných útoků na internetové bankovnictví. TAN (jednorázové transakční kódy) Inženýři v bankách se tedy poučili z vývoje a vědomi si zranitelnosti metod používajících stále stejné informace (statické heslo, GRID karta) navrhli tzv. TAN kódy. Jedná se vlastně o sadu jednorázových kódů, vytištěnou na papíře a předanou klientovi v bezpečnostní obálce. Jedná se stále pouze o sadu statických hesel, ovšem jejich síla spočívá v tom, že každé z hesel lze použít pouze jednou, pak se stává

- 34 -

neplatným. Typicky se tato metoda používala v kombinaci se statickým heslem pro přihlášení do internetového bankovnictví, které následně vyžadovalo TAN kód pro každou aktivní operaci (např. příkaz k úhradě, nastavení souhlasu s inkasem apod.). Je zřejmé, že pokud již jednou došlo k použití TAN kódu, je velmi pravděpodobné, že u stejného klienta nedojde k opakovanému použití TAN kódu. Případný útočník nemá tedy žádnou možnost přístupu ke klientovu počítači a také nemá žádnou možnost, jak jednou použitý a zachycený kód zneužít. Odhlédneme-li od možnosti zkopírovat si sadu TAN kódů při cíleném osobním útoku na klienta, je tato metoda nepoměrně bezpečnější než ostatní doposud představené metody. Důvodem, proč se tato metoda v dnešní době již téměř nepoužívá, je uživatelská nepřívětivost pro klienta. Jakmile klient vyčerpá sadu jednorázových kódů (což může být u velmi aktivního klienta, případně u firem s větším počtem plateb i otázka několika dnů), musí zpravidla osobně navštívit pobočku banky a převzít si novou sadu TAN kódů nebo si novou sadu objednat telefonicky a vyčkat na doručení doporučenou poštou. Dalším důvodem, proč se TAN kódy v dnešní době ve velké míře nepoužívají, je fakt, že tato metoda není bohužel odolná vůči některým útokům na internetové bankovnictví, zejména Man in the middle či Man in the browser, které jsou popsány dále v kapitolách 3.3.4. a 3.3.5..

3.2.1.3.2. Dvoufaktorová autentizace Jak již pojem napovídá, při dvoufaktorové autentizaci se klient musí prokázat více prostředky. Typicky musí něco znát (heslo) a něco mít (mobilní telefon, token pro generování jednorázových kódů apod.) HW tokeny Hardwarové tokeny jsou zařízení velikosti kapesní kalkulačky. Tento přístroj funguje na principu symetrického šifrování. Hardwarový token nebo také elektronický klíč obsahuje naprogramovaný šifrovací klíč, např. DES18. Autentizace probíhá na principu symetrického zašifrování zprávy na straně klienta i banky a porovnávání výsledků. Podepisování Obrázek 4: Token VASCO 18

DES – Data Encryption Standard. - 35 -

operací probíhá obdobně s tím, že součástí zprávy jsou jednotlivé údaje v příkazu klienta. Banka kontroluje, zda kód vyslaný klientem je po rozšifrování totožný s došlými údaji klienta, a teprve poté příkaz provede. Tento typ HW tokenu využívá Raiffeisenbank a nabízí jej svým klientům pod názvem osobní elektronický klíč. Posloupnost generování kódů je nepředpověditelná, tj. na základě znalostí předchozích kódů není možné zkonstruovat následující kód. Technologie HW tokenů je tak velice vhodná pro komunikaci prostřednictvím nezabezpečeného přenosového kanálu (telefon, GSM, internet). Elektronický klíč je chráněn čtyřmi základními bezpečnostními prvky. Těmito prvky jsou: -

Elektronický klíč se aktivuje až po zadání čtyřmístného PINu. Nejsou povoleny triviální kombinace PINu jako např. čtyři stejná čísla, vzestupná či sestupná číselná řada. PIN si může uživatel kdykoliv změnit.

-

V případě, že je třikrát zadán chybný PIN, elektronický klíč se sám zablokuje. Odblokování může provést pouze zaměstnanec banky po ověření totožnosti.

-

Po 60 vteřinách nečinnosti se elektronický klíč automaticky vypne. Při zapnutí je opět vyžadován PIN.

-

V případě, že uživatel vygeneroval 10 kódů po sobě a žádný z nich nebyl zadán do klientského systému banky v prostředí internetu, dojde k rozsynchronizování elektronického klíče. Klientský systém z bezpečnostních důvodů takovýto kód nepřijme. Je nutno synchronizovat klíče s bankovním systémem.19

SMS jednorázové kódy Princip TAN kódů, které zmiňuji v kapitole 3.2.1.3.1. Jednofaktorová autentizace, str. 34, byl některými bankami vyvinut do podoby SMS jednorázových kódů. Tento mechanismus vyžaduje, aby klient u banky registroval své mobilní telefonní číslo. Při každém přihlášení do internetového bankovnictví pak klient použije své jedinečné přihlašovací jméno a vyžádá si zaslání aktuálně platného kódu. Tento mu banka vygeneruje on-line a pošle pomocí SMS na registrované mobilní telefonní číslo. Klient

19

PŘÁDKA, Michal; KALA, Jan. Elektronické bankovnictví. 1. vyd. Praha : Computer Press, 2000. ISBN 80-7226-328-5. - 36 -

pak z SMS kód přepíše do přihlašovacího formuláře a požádá o přihlášení. Bankovní systém přijatou žádost o přihlášení ověří, a pokud kód souhlasí, umožní klientovi přístup do internetového bankovnictví. Stejný princip se pak používá také pro podepisování operací. Aby tato metoda splňovala vlastnosti dvoufaktorové autentizace, kombinuje se často se statickým heslem (častější varianta), případně banka posílá klientovi jednorázové kódy v podobě zašifrované SMS, pro jejichž přečtení musí klient znát B-PIN (číselné heslo) do Sim Toolkit aplikace (pro šifrování a dešifrování SMS se používá Sim Toolkit aplikace služby GSM Banking, detaily viz. kapitola 2.5. Sim Toolkit). PKI certifikáty Zkratka PKI (Public Key Infrastructure) označuje metodu šifrování dat za pomocí páru privátního a veřejného klíče (tedy asymetrického šifrování). Stejný mechanismus šifrování je použitý pro vytvoření SSL tunelu mezi bankou a klientem (jak již bylo popsáno v kapitole 3.2.1.2. SSL). Aby klient mohl tuto metodu používat, musí nejdříve získat svůj privátní a veřejný klíč. Tyto klíče může uchovávat buď v podobě souboru na svém počítači (nebo jakémkoliv datovém médiu), případně mohou být tyto klíče uchovány na k tomu určeném médiu (čipová karta, USB token). Ve všech případech se síla metody opírá o tvrzení, že privátní klíč má v držení pouze klient a nikdo jiný. Naopak veřejný klíč klient předává všem stranám (v našem případě bance), se kterými chce vyměňovat elektronicky podepsaná data. Banka je také držitelem svého privátního klíče, který je uschován na k tomu určených zařízeních (např. HSM moduly) a klientům předává svůj veřejný klíč v podobě certifikátu. Použití metody pak spočívá v tom, že klient ve svém internetovém prohlížeči podepíše konkrétní obrazovku svým privátním klíčem a odešle do banky. Banka je následně schopna za pomocí veřejného klíče podpis ověřit. Stejným způsobem může banka klientovi předávat informace podepsané privátním klíčem banky. Veškerá síla této metody stojí a padá na uchránění privátního klíče klienta. Pokud má klient svůj privátní klíč uložen na souboru ve svém počítači a tento soubor není schopen ochránit proti virům, trojanům a jiným škodlivým programům, snižuje se radikálně také bezpečnost této metody. Z tohoto pohledu se jeví použití speciálních nosičů klíčů (čipová karta, USB token) jako mnohem vhodnější. Tato média jsou chráněna proti kopírování dat, umožňují pouze zavolat šifrovací a dešifrovací služby a - 37 -

vrací výsledek. To znamená, že nikdy neposkytnou privátní klíč. Na druhou stranu použití těchto médií vyžaduje instalaci speciálních zařízení (čteček) a speciálního softwaru, který umožní internetové aplikaci provádění šifrovacích a dešifrovacích operací. Zde může opět dojít k významnému snížení uživatelského komfortu. Například na pracovních počítačích patřících firmám, nikoliv klientům, je často zakázáno instalovat jakýkoliv software či připojovat nový hardware (čtečky). Navíc při instalaci může dojít ke komplikacím, které nemusí být běžný uživatel schopen překonat. Aplikace na platebních čipových kartách S uvedením tzv. chytrých platebních karet (tedy karet vybavených čipem) mnoho bank očekávalo, že se v budoucnu objeví nové typy aplikací, které budou moci na čipu pracovat a budou poskytovat držitelům karet novou přidanou hodnotu. Realitou ovšem je, že se dosud mnoho skutečně užitečných aplikací, alespoň v ČR, neobjevilo. V posledních letech se dostává do popředí aplikace, která na čipu platební karty umožňuje uchovávat bezpečně šifrovací klíče a šifrovací a dešifrovací aplikaci. Pokud se takto Obrázek 5: Čtečka čipových

vybavená čipová karta vloží do čtečky k tomu určené, je

platebních karet

schopna generovat jednorázové kódy na displeji čtečky stejně jako v případě použití elektronického klíče. Význam

pro zabezpečení internetového bankovnictví je s elektronickým klíčem srovnatelný. Pro banku to ovšem znamená snížení nákladů na „kalkulačky“ neboť čipové platební karty již klientům vydává za jiným účelem a samostatná čtečka je výrazněji jednodušší a tedy i levnější. Navíc čtečka není spojena s konkrétním klientem a tedy např. v jedné firmě či v jedné rodině mohou jednu čtečku používat všichni, kdo mají k firemnímu či rodinnému účtu přístup, pouze použijí svoji platební kartu.

3.2.2.

Bezpečnost na straně banky

Celková bezpečnost přístupu ke klientovu účtu pomocí přímých elektronických kanálů (a tedy i internetového bankovnictví) musí být řešena „end-to-end“. Jinými slovy, útočník vždy vyhledává to nejslabší místo celého řetězce a na to pak zaměří svoji pozornost. Pokud tedy banka nastaví svoje služby, systémy a přístupy k nim zvenčí takovým způsobem, že útok by byl příliš náročný, nákladný či zdlouhavý, není to ještě - 38 -

záruka nejvyšší jistoty. Stejným způsobem musí být zajištěny také procesy a přístupy k systémům přímého bankovnictví na straně banky. 3.2.2.1.

Vydávání přístupů klientům – identifikace klienta

Zřizování služeb přímého bankovnictví a nastavování přístupů klientům je na straně banky zcela jistě tím nejkritičtějším místem, na které se může případný útočník zaměřit. Tento proces se běžně skládá z několika úkonů řazených sekvenčně: 1. ověření totožnosti klienta; 2. ověření oprávněnosti jeho požadavku; 3. provedení požadovaných nastavení v informačních systémech; 4. průvodní dokumentace sloužící k evidenci a archivaci změn s podpisem klienta. Ověření totožnosti osoby, se kterou pracovník banky komunikuje, je nejdůležitějším krokem celého procesu. Zde se banka musí zaměřit na důkladné školení zaměstnanců, aby tito dokázali s vysokou mírou jistoty rozeznat pravost předložených dokladů, případně dokázali rozeznat podezřelé chování klienta, které by mohlo napovídat, že něco není v pořádku. Pokud již pracovník banky dojde k závěru, že osoba před ním jedná podezřele a že nemusí být nutně tím, za koho se vydává, pak musí mít pracovník banky k dispozici dostatečnou podporu vysoce kvalifikovaných bezpečnostních specialistů, kteří jsou schopni pomocí např. telefonické konzultace situaci posoudit a doporučit další postup. Pokud při tomto procesním kroku dojde k selhání banky, získává tak útočník již v podstatě legalizovaný přístup k účtům klienta a ke zneužití pak dochází v řádu několika minut, ihned po opuštění bankovní pobočky. Případný útočník se však také může prokázat pravými doklady totožnosti a zaměřit se na podvodné doložení své oprávněnosti přístupu k účtům klienta (např. falešnou plnou mocí). V obou případech celou situaci komplikuje možnost předložení dokladů a plných mocí vystavených mimo území ČR. V tomto případě by měla banka podporovat proces,

kdy

předložené

doklady

vyhodnocují

specialisté

školení

v

oblasti

mezinárodního práva, kteří jsou vybaveni přístupem k informacím, pomocí kterých je možné ověřit, zda jsou doklady vystaveny autoritou, která skutečně v dané zemi existuje a má oprávnění k vydávání předkládaných dokladů. V těchto případech je také nutné vyžadovat dostatečně autorizovaný český překlad (soudní překlad) či apostille (ověření čili legalizace dokumentu). - 39 -

Provedení požadovaných změn v informačních systémech pak musí provádět pouze k tomu oprávnění zaměstnanci banky, pokud se jedná o tak citlivou operaci, jako je umožnění přístupu ke klientským účtům, je vhodné použít také systém kontroly 4 očí, tedy operaci do systému zadá jeden pracovník a druhý pracovník pak tuto operaci musí autorizovat poté, co si ověří, že se jedná o oprávněnou operaci. Všechny tyto operace musí být samozřejmě auditované tak, aby mohlo dojít kdykoliv v budoucnu k dohledání datových stop, které prokážou, kdo a kdy jakou operaci provedl a kdo ji autorizoval. Pokud pak dojde kdykoliv v budoucnu mezi bankou a klientem ke sporu, zda byly přístupy vydány oprávněně či nikoliv, musí být banka schopna předložit průkaznou dokumentaci s podpisem klienta, pomocí které může dokázat, že postupovala v souladu s přáním klienta, nikoliv svévolně. K tomu slouží protokoly či formuláře o změnách, na kterých jsou požadované změny v nastavení jasně a zřetelně uvedeny a jsou podepsány jak klientem, tak bankou a jsou samozřejmě také opatřeny datem a místem podpisu.

3.2.3.

Ochrana citlivých informací před zaměstnanci

Dalším potenciálně zranitelným místem, které by mohlo být případným útočníkem napadeno, je samotné interní prostředí banky a přístupy k citlivým datům klienta. Pokud banka používá jakákoliv hesla, GRID karty, symetrické šifry a podobné prvky, které jsou v držení pouze klientem a bankou, musí být tato data uložena v informačním systému, aby ten podle nich dokázal autorizovat klientovy operace. V tom případě však všechna tato data musí být uložena v šifrované podobě. Představme si typický příklad nastavení nového hesla do internetového bankovnictví. -

Klient do internetového bankovnictví zadá nové heslo.

-

Systém po obdržení hesla získaný řetězec zašifruje předem nastaveným klíčem a získaný výsledek uloží do databáze.

-

Klient se přihlašuje do internetového bankovnictví s novým heslem.

-

Systém převezme heslo, toto zašifruje stejnou šifrou a ověří, zda výsledek odpovídá tomu, které je uloženo v databázi. Pokud ano, umožní klientovi vstoupit.

Tato metoda zajistí, že i když pracovník banky dokáže hesla z databáze přečíst, nemůže je použít, protože získaný řetězec neodpovídá tomu, co klient zadává jako heslo

- 40 -

a jeho zašifrováním by tedy zákonitě vznikl jiný výsledek, než ten, co je v databázi uložen. Popsaný proces ovšem funguje pouze tehdy, jsou-li šifrovací klíče uloženy bezpečným způsobem a přístup k nim je řízen např. rozdělenými hesly, kdy několik vybraných pracovníků banky je držitelem pouze části hesla a k získání šifrovacího klíče a nastavení nového klíče je nutné, aby se přihlásili všichni pověření pracovníci (kontrola více očí). Pro samotné uložení šifrovacích klíčů se pak používají hardwarové prostředky, které jsou dostatečně ochráněné před neoprávněným přístupem (např. čipové karty, HSM moduly apod.)

3.2.4.

Procesy zamezující získání neoprávněného přístupu zaměstnancem

Aby banka co nejvíce snížila riziko toho, že se útočník dohodne se zaměstnancem banky, který mu za úplatu pomůže v získání neoprávněného přístupu, aplikuje ve svých pracovních procesech nejčastěji kontrolu 4 a více očí. To znamená, že provedení vybraných operací se musí účastnit více pracovníků ze stejného či z různých oddělení. Pro útočníka je pak mnohem složitější kontaktovat všechny pracovníky a všechny přesvědčit ke spolupráci. Dále je možné zapojit do kontroly 4 očí také skutečného majitele účtu. Tedy pokud dojde ke změně nastavení přístupů k prostředkům klienta, systém může automaticky odeslat majiteli účtu SMS či e-mail. Je tak pravděpodobné, že pokud by útočník již získal pomocí podvodu přístup k internetovému bankovnictví a účtům klienta, oprávněný majitel bude banku velmi rychle kontaktovat a banka tak může případným škodám rychle zabránit. Dalším možným opatřením je zavedení systémem vynucených časových odkladů, kdy od nastavení nových přístupových práv musí uplynout alespoň X hodin, než tyto začnou skutečně fungovat. Tuto dobu může banka využít k tomu, aby majitele účtu kontaktovala a ověřila, zda provedené změny jsou skutečně v souladu s jeho vůlí.

3.2.5.

Doplňkové bezpečnostní mechanismy

Kromě uvedených bezpečnostních prvků využívají banky také další doplňkové mechanismy, které dále zvyšují bezpečnost internetového bankovnictví pomocí - 41 -

eliminace již známých identifikovaných rizik. Vzhledem k tomu, že se tato práce nezaměřuje primárně na bezpečnost, nejsou tyto mechanismy dále rozepsány do většího detailu. -

Zablokování uživatelského přístupu do přímého bankovnictví v případě podezření na ztrátu či zneužití elektronických identifikačních prostředků (hesla, GRID karty, mobilního telefonu apod.)

-

Odblokování přístupu většinou není možné na dálku, ale pouze po osobní návštěvě pobočky a prokázání totožnosti platnými doklady.

-

Časově omezená platnost jedné relace po přihlášení do internetového bankovnictví.

-

Vyhodnocování

podezřelých

transakcí

pomocí

interních

bankovních

analytických systémů a procesů. -

Limity pro finanční operace přes internetové bankovnictví a další alternativní kanály.

-

Sdílení informací o nových typech útoků mezi bankami v rámci lokálních formálních sdružení či využíváním placených informačních služeb působících mezinárodně.

3.3.

Příklady možných útoků na internetové bankovnictví a opatření proti nim

Tato kapitola obsahuje příklady vybraných útoků na internetová bankovnictví, které byly již prokazatelně v ČR či v zahraničí použity k získání neoprávněného přístupu k účtům klientů. Kapitola si neklade za cíl přiblížení všech útoků, které jsou teoreticky možné a to zejména z toho důvodu, že pouze málo z teoretických útoků bylo a bude skutečně prakticky provedeno. Útočník je totiž také člověk a je veden snahou o co nejrychlejší a nejsnadnější způsob získání finančních prostředků. Z toho důvodu se tedy složitým a finančně náročným útokům zpravidla vyhýbá.

3.3.1.

Sniffing – odposlech datové komunikace

K provedení této metody stačí v prostředí internetu umístit na vybrané připojené počítače a servery počítačový program, který poslouchá všechny datové toky v síti a - 42 -

tyto si zaznamenává či vyhodnocuje. Útočník pak může jednoduše přečíst např. všechny e-maily, které přes určitý segment počítačové sítě protekly. Proti tomuto útoku se lze jednoduše chránit pomocí šifrování komunikace protokolem SSL. Šifrovanou komunikaci si útočník může také zaznamenat, ale nedokáže z ní jednoduše získat data v čitelné podobě. K tomu by bylo zapotřebí velkého výpočetního výkonu, který není jednoduše dostupný. S tím, jak však roste výkon běžných osobních počítačů, zvětšují banky a ostatní instituce délku klíče, který se pro šifrování používá, a tím zajišťují dostatečnou náročnost prolomení šifrované komunikace.

3.3.2.

Zneužití blízkou osobou

Toto je bohužel jeden z nejčastějších případů, se kterými se banky setkávají. Klienti často své přístupové údaje či prostředky lehkomyslně sdílí s více osobami (partneři, manželé, zaměstnanci ve firmě apod.). Z různých důvodů (ať už kvůli osobním rozepřím anebo ukončení pracovního vztahu ve firmě) pak může docházet k „vyrovnání“ účtů pomocí zneužití přístupů do internetového bankovnictví. Proti tomuto typu útoku se banka může jen velmi těžko chránit. Pomůže snad jen prevence formou vzdělávání vlastních klientů a vedení k zodpovědnému nakládání s přístupovými prostředky k přímému bankovnictví.

3.3.3.

Keylogger

Jako Keylogger se označují programy nebo HW zařízení, které umožňují z počítače číst všechny vstupy, které jeho uživatel zadává pomocí klávesnice. Tímto způsobem tak může útočník jednoduše získat statická hesla k internetovému bankovnictví a později s nimi může nakládat zcela libovolným způsobem. Možností, jak dostat keylogger do klientova počítače, je mnoho. Nejčastěji se používají tzv. trojské koně, což jsou škodlivé programy, které si klient většinou nainstaluje s nějakým programem či hrou, která je šířena zdarma po internetu. Dále se může tento program dostat do klientova počítače automatickou instalací po navštívení webových serverů s pochybným obsahem (většinou erotického zaměření), aniž by o tom uživatel vůbec měl tušení. HW keylogger se může vyskytovat v podobě malé krabičky, která se připojí mezi klávesnici a počítač, případně může být instalována rovnou v klávesnici, aniž by byla navenek vidět. Aby mohl útočník HW keyloggor instalovat, potřebuje tedy získat

- 43 -

fyzický přístup k počítači, což může být složitější, ale např. v prostředí velkých firem, kde je běžný pohyb mnoha osob, to není zcela nemožné. Tento typ útoku je přímo namířen proti statickým heslům, pokud tedy banky používají jiné prostředky, jsou vůči keyloggerům imunní.

3.3.4.

Man in the middle

S vědomím toho, že sniffing nemůže ohrozit šifrovanou datovou komunikaci, byl vyvinut útok, který dokáže i tuto ochranu překonat. Nejde však o prolomení šifry, ale o mnohem jednodušší způsob získání obsahu šifrované komunikace. Jak je již popsáno v kapitole 3.2.1.2. SSL, bezpečná komunikace se navazuje mezi serverem banky a počítačem klienta. Aby se mohl klient k počítači banky připojit, musí být připojen k internetu přes infrastrukturu poskytovatelů připojení. Pokud se připojí klient přes WIFI hot spot provozovaný útočníkem, ten může záměrně nejdříve vytvořit SSL tunel mezi počítačem klienta a svým serverem, z tohoto tunelu pak data získat, přečíst případně i modifikovat a pak teprve vytvořit tunel mezi svým serverem a bankovním serverem. Pokud pro vytvoření svého podvodného SSL tunelu použije certifikát, který nebude vystavený důvěryhodnou autoritou, internetový prohlížeč na to klienta upozorní a ten by se neměl vůbec pokoušet do internetového bankovnictví přihlašovat. Pokud ovšem bude ignorovat upozornění prohlížeče, může tak svůj účet dát všanc.

3.3.5.

Man in the browser

Tato technika se vyvinula v posledních několika letech, některé české banky zaznamenaly útoky touto technikou v roce 2007. V té době však byl stejný útok již aplikován na mnoho zahraničních bank v USA i v Evropě. Metoda spočívá v tom, že do napadeného počítače je pomocí trojského koně nainstalován vir, který se aktivuje poté, co klient v internetovém prohlížeči navštíví přihlašovací stránku do internetového bankovnictví. V ten okamžik vir začne přebírat datovou komunikaci pod svoji kontrolu. Útočník si již předem připravil na svém podvodném serveru kopii přihlašovací stránky do internetového bankovnictví. Vir pak zapříčiní to, že ačkoliv v internetovém prohlížeči vypadá vše, jako obvykle (šifrované spojení je navázáno, žádné varování o nedůvěryhodném serveru se nezobrazuje, internetová adresa je shodná s internetovou adresou banky), ve skutečnosti je načtena stránka z podvodného serveru útočníka.

- 44 -

Jakmile klient vyplní své přihlašovací údaje, podvodný server si je uloží do své databáze a pak teprve přesměruje klienta na server banky. Při přesměrování použije již známé klientovy přihlašovací údaje a bankovní server tedy klienta rovnou přihlásí do internetového bankovnictví a klient nemá šanci útok vůbec postřehnout. V minulosti byl tento útok používán pouze za účelem kradení hesel, která pak mohla být později zneužita. Vzhledem k technické dokonalosti útoku je však možné tento typ útoku použít i proti sofistikovanějším metodám zabezpečení a klienti jsou vůči němu velmi zranitelní. V podstatě jedinou ochranou je přísné dodržování pravidel bezpečnosti používání počítače, neinstalování žádných programů, které pochází z nedůvěryhodných zdrojů, abychom zamezili infikaci svého počítače trojským koněm.

3.3.6.

Falešná BTS pro mobilní síť

Mobilní operátoři používají BTS (base transceiver station, tedy základny s přijímačem a vysílačem) pro provoz běžné GSM sítě pro mobilní telefony. Za účelem legálních a bohužel i ilegálních odposlechů byla vyvinuta zařízení (tzv. GSM Interceptory), kterými lze simulovat běžnou BTS síť a přinutit jím mobilní telefon kohokoliv v dosahu, aby navázal komunikaci nejdříve s falešnou BTS, a ta pak teprve naváže komunikaci s pravou mobilní sítí20. Pokud tedy klient využívá např. telefonní bankovnictví a běžná statická hesla, je možné jeho hovor odposlechnout a následně za pomocí získaného hesla a dalších informací provést útok na jeho účet. Dále je možné pomocí této metody odchytávat SMS s jednorázovými kódy pro přihlášení do internetového bankovnictví a tyto použít místo klienta. Tento útok dosud v našich končinách zaznamenán nebyl, nicméně v zahraničí již podobné útoky zaznamenány byly. Dosud však nikoliv se zaměřením na bankovní účty, ale spíše na osobní údaje klienta, využitelné pro jiné podvody. Proti tomuto typu útoku je možné se chránit použitím Sim Toolkitového šifrování SMS zpráv mezi klientem a bankou. Pouhým odposlechem GSM sítě v tomto případě nedojde ke kompromitaci obsahu, ten je totiž nutné dešifrovat jiným typem klíče, než se používá k šifrování samotné komunikace v GSM síti. To dělá z toho útoku velmi náročnou operaci, jejíž provedení již není pouhou otázkou technických znalostí a několika miliónů korun na technické vybavení.

20

NoWork. GSM Interceptor: Mobilní Superšpión part II. [online]. c2008 [cit. 2011-04-02]. Dostupný na World Wide Web: . - 45 -

3.3.7.

Odposlech telefonní linky

Tento typ útoku je použitelný pouze na telefonní bankovnictví zabezpečené statickým heslem. Jedná se o poměrně jednoduchou metodu přerušení kabelu telefonního vedení a instalace vlastního nahrávacího zařízení, případně modulu s rádiovým přenosem získaného hovoru. Stejně tak je možné nainstalovat tzv. štěnici přímo do klientova telefonního přístroje. Proti tomuto typu útoku se banky již od počátků telefonního bankovnictví snaží chránit tzv. maskováním hesla. V takovém případě při ověření klienta nepožadují celé heslo, ale pouze několik znaků z vybraných pozic hesla (např. první, třetí, pátý znak z osmimístného hesla). Maska pro ověření hesla je informačním systémem při každém hovoru vygenerována náhodně. To znamená, že pokud chce útočník získat heslo celé, musí vyslechnout velké množství hovorů, aby získal všechny pozice z hesla. Pokud pak klient není příliš aktivní a používá tento vzdálený kanál do banky pouze dvakrát do měsíce, je to pro útočníka velmi zdlouhavé. Jako další stupeň ochrany před tímto útokem banky zavedly také jednorázová transakční hesla, která jsou popsána v kapitole 3.2.1.3.1 Jednofaktorová autentizace, strana 34.

3.3.8.

Phishing

Pojem Phishing označuje použití různých podvodných technik za účelem vylákání citlivých informací od obětí. Jeho podoba se slovem rybaření není náhodná, veškeré techniky skrývající se pod tímto pojmem lze připodobnit k rozhození návnady do řeky a číhání na úlovek, který se na návnadu chytí. Nejčastějším typem tohoto útoku je rozesílání e-mailů na velké množství adresátů. Útočník připraví e-mail, který se pomocí sociálního inženýrství snaží navodit dojem, že pochází od důvěryhodné instituce (např. banky, karetní asociace, velkého internetového obchodníka apod.). Součástí e-mailu je odkaz na webovou stránku, která se opět snaží navodit dojem, že náleží stejné instituci jako e-mail. Na této stránce je připravený formulář, do kterého má oběť přepsat své přihlašovací údaje do internetového bankovnictví nebo číslo platební karty. Zpravidla je e-mail psán v přátelském duchu, snaží se vyvolat dojem starostlivosti o klienta. Oběť si přečte informace, že si musí banka ověřit jeho přihlašovací údaje, aby byla jeho služba internetového bankovnictví stále bezpečná a funkční. Anebo si karetní asociace potřebuje ověřit, jestli je klientova platební karta stále funkční. Následuje naléhání, že pokud oběť toto ověření neprovede, nemůže banka / asociace zaručit, že bude služba / karta stále funkční apod. I když banky investují nemalé prostředky do informačních - 46 -

kampaní, které nabádají klienty k obezřetnosti a k nevyplňování svých údajů do formulářů, na které je odkazují nevyžádané e-maily, stále se v množství miliónů náhodných adresátů najdou desítky těch, kteří útočníkům své údaje poskytnou. To je také důvod, proč se tato zdánlivě naivní metoda stále využívá. Jedinou funkční obranou proti tomuto útoku je zrušení statických hesel a striktní používání jiných prostředků, které pro každou operaci generují nové jedinečné a časově omezené kódy. Níže přikládám přepis skutečného phishingového e-mailu. V tomto případě se jedná o útok na Českou spořitelnu z roku 2006: „Předmět: Ceska sporitelna – Pozor! Nove bezpecnostni standardy. Od: „Ceska sporitelna“ <[email protected]> Datum: Wed, 11 Oct 2006 14:45:52 –0500 Dobry den vazeni klienti! Leto roku 2006 bylo pro Banku nejzavaznejsim z hlediska poctu nelegalnich operaci. Cim dal vice maji podvodnici zajem o duvernou informaci nasich zakazniku. Velke mnozstvi lidi se na nas obraci s zadosti zamezit vzniku nebezpeci ztraty peneznich prostredku z uctu. S ohledem na soucasny stav vyhlasuje Banka nasledujici mesic za mesic boje s frodem. Do 1.listopadu musi vsechny nasi klienti aktivovat novy system bezpecnosti vlastnich uctu. Provedli jsme velkou praci pro zlepseni bezpecnosti. System byl zkontrolovan uznavanymi odborniky v oboru elektronickych plateb, a vsechny nezavisli experti potvrdili ucinnost systemu proti frodu. Z duvodu nebezpeci mozneho zneuziti techto udaju podvodniky nejsou tyto data zverejnena v otevrenych zdrojich. Vy jste byl(a) zvolen(a) jako jeden z ucastniku finalniho stadia testovani systemu.

V

soucasne

dobe

Vam

navrhujeme

vyuzit

odkaz

https://www.servis24.cz/ebanking-s24/ a standardnim zpusobem prihlaseni do Internet bankingu aktivovat novy bezpecnostni system. V aktualnim stadiu provozu jsou mozne nektere nesrovnalosti. Pripoustime jejich

- 47 -

existenci, a proto prosim nezasilejte dodatecne popisy vznikajicich potizi, prace na jejich odstraneni jiz probihaji. Musime Vas informovat o bezpodminecnem pouziti noveho systemu od listopadu, v opacnem pripade budou Vase ucty zablokovany do okamziku uplne identifikace Vasi osoby. Proto doporucujeme v nejkratsi mozne dobe prejit na novy bezpecnostni standard. S pozdravem, Oddeleni Banky pro ochranu pred froudem.“

3.3.9.

Vylákání citlivých dat telefonicky

Tento útok spočívá v tom, že útočník získá o své oběti základní osobní údaje a telefonní kontakt. Zpravidla již také ví, ve které bance má jeho oběť veden účet. Útočník svou oběť kontaktuje telefonicky a snaží se navodit dojem, že je zaměstnancem této banky a chce mu sdělit nějakou důležitou informaci, např. že se na jeho účtu objevila velká transakce a banka si chce ověřit, zda tuto transakci zadal opravdu majitel účtu, aby ji mohli případně zastavit. V průběhu hovoru si pak vyžádá od klienta jeho přihlašovací údaje do internetového nebo telefonického bankovnictví, aby si údajně mohl ověřit klientovu totožnost, jedině pak bude banka schopna transakci zastavit. Oběť je pak vystavena nátlaku, pokud se neověří, přijde o velkou částku ze svého účtu. V této situaci je mnoho lidí schopno tlaku podlehnout a dát útočníkovi vše, co potřebuje k tomu, aby mohl nerušeně pomocí počítače nebo telefonu převést veškeré prostředky klienta z jeho účtu kamkoliv jinam. Proti tomuto typu útoku se může banka chránit pouze tak, že bude striktně dodržovat politiku neověřování klienta jeho citlivými údaji v případě, že volá banka klientovi. Pokud se pak klient setká s jednáním, které vůči němu banka nikdy nepoužila, má větší šanci pojmout podezření a útoku se ubránit.

- 48 -

4.

Zadání parametrů modelového klienta pro porovnání a výběr nejvhodnější varianty

Závěrečnou kapitolu své bakalářské práce věnuji praktické části. Pro tuto praktickou část jsem si vybrala internetové bankovnictví běžného účtu, které prodává Raiffeisenbank pod obchodním názvem eKonto.

Praktickou část jsem věnovala

variantám přístupu k tomuto běžnému účtu v internetovém prostředí. Snažila jsem se vyjít z předpokladu, že volba elektronického klíče pro vstup do eKonta je závislá především na bezpečnosti klíče a poplatcích za jeho užívání. Na základě tohoto předpokladu jsem se soustředila na klienty, kteří s osobním účtem eKonto od Raiffeisenbank déle než kalendářní rok pracují. U klientů jsem se zabývala jejich názory, postoji a bezpečným chováním při práci s účtem. Kvalitativní výzkum ukázal, že stejně jako mezi klienty mladšími, tak i mezi klienty staršími a v předdůchodovém věku existují vazby, proč volili právě svůj stávající typ elektronického prostředku pro vstup na účet – ovšem tyto varianty měly své odlišné důvody. Přístup a používání klíče se mezi jednotlivými věkovými kategoriemi a pohlavími lišily, jak představím níže. Následující poznatky mají za cíl představit kvalitativní metodologii, na níž jsem postavila výzkum. Smyslem tohoto textu je vysvětlit, jak jsem k závěrům došla.

4.1.

Jak a kde jsem získala respondenty pro svůj kvalitativní výzkum k bakalářské práci

Cílem kvalitativního výzkumu bylo pochopit důvod, proč si klienti pro svůj vstup na účet do eKonta vybrali právě svůj elektronický klíč. Abych to mohla udělat, zaměřila jsem se na zkušenosti stávajících klientů, kteří již svůj elektronický klíč déle než jeden kalendářní rok používají. Analýza zkušenosti s účtem klienta dále vycházela z předpokladu, že klienti nemají pouze stejné postavení ve společnosti, ale že je spojuje i něco dalšího, co je každý z nich, byť v odlišné míře, schopen vyjádřit (poplatky spojené s užíváním klíče, bezpečnost konkrétního klíče, pohodlí při používání klíče). Poté, co jsem si vyjasnila předmět výzkumu a zformulovala jsem si výzkumnou otázku do své bakalářské práce, stál přede mnou problém, jak najdu respondenty pro kvalitativní výzkum, protože je známo, že počet respondentů není pro kvalitativní - 49 -

výzkum natolik rozhodující jako jejich rysy. Nepotřebovala jsem mnoho respondentů, ale na druhou stranu jsem potřebovala, aby měli podobné charakteristiky, které jsem si pro výzkum vymezila. Stály tedy přede mnou dva problémy: Kde budu respondenty hledat? a Jak je budu vybírat? Abych odpověděla na otázku kde, rozhlédla jsem se kolem sebe v práci na centrále Raiffeisenbank, kde již čtvrtým rokem pracuji a začala jsem o svých kolezích uvažovat jako o respondentech, protože jsem dobře věděla, že většina z nich využívá eKonto jako svůj hlavní účet. Toto byl tedy první krok k odpovědi na otázku, kde budu výzkum realizovat. V práci jsem tedy prostřednictvím pracovního e-mailu rozeslala svou prosbu o spolupráci kvůli vypracování své bakalářské práce a stručně jsem uvedla, o čem výzkum je. Druhým krokem byla volba místa realizace výzkumu. Do svých materiálů pro bakalářskou práci jsem nejprve rozlišila skupiny dotazovaných dle pohlaví a poté jsem rozlišovala dle věku v rozmezí 18 – 30; 31 – 45; 46 – 60. Posledním klíčovým kritériem bylo vlastnit eKonto jako osobní účet, na který chodí klientovi výplata, a dá se tedy předpokládat, že jej klient aktivně využívá pro platební styk a další operace spojené s běžným provozem klientova života. Vybrala jsem si tedy své kolegy dle výše uvedených parametrů. Rozhovorem s nimi jsem pochopila, že pro zjištění mých dotazů bude stačit pracovní prostředí v klidných částech open spacu, protože se kolegové na dotazování velice těšili a pracovní prostředí jim pro zodpovězení mých otázek nevadilo. Z pětadvaceti e-mailových žádosti se mi vrátilo zpět 15 souhlasných odpovědí. 8 od žen a 7 od mužů. Od začátku mi v tomto výzkumu šlo o porozumění důvodu, proč na účet vstupují právě prostřednictvím toho či onoho konkrétního elektronického klíče, a snažila jsem se pochopit, proč právě tato varianta zvítězila nad dalšími, které jim byly obchodníky při založení účtu nabízeny. Jeden respondent měl v užívání dokonce dva elektronické klíče. Mobilní elektronický klíč Sim Toolkit přesto využíval v osmdesáti procentech a osobní

- 50 -

elektronický klíč byl spíše jako pojistka pro jeho neplánované cesty do zahraničí, které se čas od času realizovaly.

4.2.

Kvalitativní rozhovory – práce s nimi a jejich analýza

Rozhovory byly zaměřené na zkušenosti respondentů s elektronickým klíčem. Nešlo mi přitom o ojedinělé nebo výjimečné situace s klíčem, ale o běžné zkušenosti s přihlašováním, zadáváním jednorázového příkazu nebo zjištěním stavu zůstatku na účtu. Chtěla jsem zjistit, co moje kolegy charakterizuje. Předpokládala jsem, že když budou jednotlivá témata rozhovorů podobná, znamená to, že se za nimi ukrývá společná zkušenost – to, proč si moji kolegové vybrali daný klíč, zda je mohla ovlivnit obava z přímého bankovnictví na základě článků v novinách či televizi aj. Rozhovory, které jsem s kolegy vedla, trvaly v průměru do půl hodiny. Jednalo se o kratší, ale hloubkové hovory, kde jsem se jako tazatel snažila hrát minimální roli, protože mým cílem bylo příliš nezasahovat do respondentova vyprávění a nezkreslit tak jeho úvahy, které nakonec vedly k volbě konkrétního klíče a používání prostředku k autentizaci. Pro respondenty jsem si připravila krátkou strukturu dotazníku s otevřenými otázkami, který jsem respondentům kladla. Vybavila jsem se notebookem a nechala jsem respondenty volně vyprávět a vhodnými formulacemi jsem udržovala proud vyprávění. Poté, co se téma začalo nejprve v devátém, potom již zcela jasně v desátém a jedenáctém rozhovoru opakovat, a když už mi poslední dvanáctý rozhovor nic nového a podstatného nepřinesl, usoudila jsem, že téma mé práce bylo saturováno a do dalších rozhovorů s dalšími kolegy jsem se již nepouštěla.21 Rozhovory jsem tedy reálně uskutečnila s pěti ženami a se sedmi muži. Dotazník pro vybrané respondenty zaměstnance Raiffeisenbank. 1. Proč jste si při založení účtu vybral/a právě tento elektronický klíč?

21

Když už se v dalších rozhovorech neobjevují žádné nové údaje, žádná nová data, dostává se výzkumník do bodu, který Glaser se Straussem (1967) nazývají teoretická saturace. V tomto momentě již není nezbytné k vytvoření teorie další data sbírat. - 51 -

2. Jak Vás ovlivnila cena tohoto elektronického prostředku při Vaší volbě? 3. Jaký typ elektronického klíče nyní používáte pro vstup na účet a pro realizování operací na účtu? 4. Kde a jak často se přihlašujete prostřednictvím Vašeho elektronického klíče na Váš účet? 5. Jak často cestujete do zahraničí? 6. Jak funguje Váš elektronický prostředek v zahraničí? 7. Jak byste blokoval/a svůj elektronický klíč při jeho ztrátě nebo odcizení? Jakmile jsem měla rozhovory hotové, poslechnuté a přepsané v textovém editoru, stál přede mnou nejtěžší úkol. Musela jsem vytvořit smysluplný závěr mé práce a dokončit tak závěrečnou kapitolu bakalářské práce.

4.3.

Závěr

Z dotazníku vyplynulo, že můj předpoklad, že volba elektronického klíče pro vstup do eKonta je závislá na bezpečnosti klíče a poplatcích za jeho užívání, je mylná. Respondenti v drtivé většině soustředili svou volbu na základě pohodlí při vstupu na svůj účet. Bezpečnost byla pro ně také důležitá, ale v podstatě jen do doby překonání námitek ze strany obchodníka při zakládání účtu. Po osvětlení bezpečnostních prvků jednotlivých elektronických klíčů se volba opět naklonila k pohodlí užívání klíče. A který elektronický klíč zvítězil jako nejvhodnější varianta? Jednalo se o mobilní elektronický klíč SMS. Z dotazníků jsem převedla výhody, které byly klíčové pro volbu mobilního telefonu jako mobilního elektronického klíče u většiny respondentů: 1. Díky použití mobilního klíče nemusím nosit žádný další zvláštní elektronický klíč s sebou a můžu se přihlásit z kteréhokoliv počítače nebo notebooku případně inteligentního mobilu. 2. Mobilní klíč je veden zdarma a neplatím za něj žádné další poplatky. (Z průzkumu však vyplynulo, že kdyby byl mobilní klíč zpoplatněn, přesto by si jej klienti ponechali a spíše by zjišťovali cenovou politiku v jiných bankách a uvažovali by spíše o změně osobního účtu než o změně klíče jako takového). - 52 -

3. Při ztrátě nebo odcizení mobilního telefonu nemám obavu ze ztráty, protože zloděj nezná další PIN k otevření účtu v prostředí internetu. (Ten dostává klient zvlášť v bezpečnostní obálce – bez této další bezpečnostní bariéry je vstup neoprávněnou osobou na účet v podstatě vyloučený). 4. V zahraničí se mohu přihlásit na svůj účet bez potíží. Automatické zasílání zpráv o změně stavu zůstatku přicházejí v zahraničí bez potíží. (Většina respondentů cestuje pouze v rámci Evropy, kde banka nezaznamenává větší obtíže s přijetím SMS zpráv než na území České republiky). Osobní elektronický klíč volili jako hlavní prostředek pro vstup na účet pouze tři respondenti. Jednalo se o dva muže a jednu ženu. Jejich společným znakem byl dlouhodobý pobyt a cestování do zahraničí mimo evropské země (Indie, Dubaj). Jeden z respondentů užíval tento typ klíče pouze okrajově jako další variantu pro vstup na účet. Jako hlavní prostředek pro spojení s bankou u tohoto klienta stejně zvítězil mobilní elektronický klíč.

4.4.

Co z kvalitativního výzkumu může vyplynout pro banku

Pro banky obecně může mít tento typ kvalitativního výzkumu klíčovou roli pro propagaci nejoblíbenějšího elektronického klíče v dané socioekonomické skupině. Banka se tak může lépe zaměřit na odbourání námitek při jeho nabízení a může lépe směřovat své finanční prostředky na vývoj a bezpečnost elektronického prostředku pro stávající uživatele, ale také pro nové klienty banky.

- 53 -

Závěr Přímé bankovnictví má v dnešní době své pevné místo v oblasti poskytování bankovních služeb. Počet uživatelů stále narůstá a banky své přímé bankovnictví obvykle nabízejí svým klientům jako nedílnou součást balíčků služeb poskytovaných již při založení běžného účtu. Vzhledem k této nabídce bank přímo úměrně narůstá počet klientů, kteří tento produkt využívají. Výhodou na straně banky je tak úspora distribučních nákladů a zatraktivnění svých služeb pro klienty, neboť klient nemusí nutně navštěvovat pobočku své banky. Trendy se mění i v tak konzervativním prostředí, jakým bankovnictví bezesporu je. Banky přesto svou pobočkovou síť pro své klienty neruší, ale mění je v poradenská místa, kde klient kromě osobního kontaktu se svojí bankou, získá i poradenské služby například v oblasti pojištění, investování a dlouhodobých finančních plánů. V teoretické části bakalářské práce jsem se pokusila popsat stručnou historii vývoje přímého

bankovnictví

a

současný

stav

platebního

styku

zprostředkovávaný

elektronikou. Další kapitolu jsem věnovala představení základních druhů elektronických komunikačních prostředků. Největší pozornost v této kapitole jsem věnovala internetovému bankovnictví, neboť je v současné době nejpoužívanější formou přímého bankovnictví. Dále jsem popisovala historicky starší, ale u klientů stále oblíbené formy, kterými jsou telefonní bankovnictví a homebanking. Kapitolu zakončuji modernějšími formami přímého bankovnictví, a tedy GSM bankingem a PDA bankingem. V následující kapitole jsem popisovala bezpečnost, která je velmi důležitým kriteriem pro důvěryhodnost přímého bankovnictví jako služby nabízené klientům. Vzhledem k možnému rozsahu práce jsem se soustředila především na internetové zabezpečení, neboť je ovlivňováno mnoha faktory. Kapitolu o bezpečnosti rozděluji do několika logických celků, které popisují vnější a vnitřní bezpečnost bankovního prostředí. Dále jsem v práci nastínila příklady možných útoků na internetové bankovnictví včetně vysvětlení, jak jim zabránit. Na závěr bych ráda dodala, že přímé bankovnictví je velmi pohodlný nástroj, který je stále více oblíbený u uživatelů. Tento předpoklad jsem si potvrdila v závěrečné kapitole své práce, a to na základě kvantitativního výzkumu, který jsem realizovala na - 54 -

svém pracovišti Raiffeisenbanky, ve které působím. Přestože jsem se zprvu domnívala, že si klienti, respektive moje kolegové, vybírají variantu pro vstup do internetového bankovnictví na základě bezpečnosti a nejpříznivějších poplatků, ukázalo se, že klienti upřednostňují pohodlí pro vstup na svůj účet a bezpečnost ponechávají spíše na svém bankovním ústavu, vůči kterému mají důvěru. Přímé bankovnictví jako nástroj, který slouží pro správu peněžních prostředků, jde rychlým krokem kupředu. Své výhody skýtá pro obě strany, jak pro banku, tak pro uživatele bankovních služeb. Do budoucna se dá zcela určitě očekávat, že některé formy přímého bankovnictví, které stály na počátku vzniku jeho vývoje, úplně vymizí, ale brzy se objeví nové formy on-line bankovnictví.

- 55 -

Seznam použité literatury a dalších pramenů 1. BĚLOHUBÝ, Jan. Ještě chodíte do banky? [on-line]. [cit. 2003-02-12]. Dostupné na World Wide Web: . 2. BUDIŠ, Petr. Elektronická komunikace a elektronický podpis. puls.bivs.cz, říjen – prosinec 2010, roč. 6, č. 4, odborná příloha. 3. CETLOVÁ, Helena. Marketing služeb. 3. vyd. Praha : Bankovní institut vysoká škola, 2002. ISBN 80-7265-049-1. 4. MACHKOVÁ, Hana; ČERNOHLÁVKOVÁ, Eva; SATO Alexej a kolektiv. Mezinárodní obchodní operace. 4. vyd. Praha : Grada, 2008. ISBN 978-80-2471590-2. 5. PEREIRA, Teresa; KALABIS, Zbyněk. Jednání s klientem. 3. vyd. Praha : Bankovní institut vysoká škola, 2008. ISBN 978-80-7265-111-5. 6. PŘÁDKA, Michal; KALA, Jan. Elektronické bankovnictví. 1. vyd. Praha : Computer Press, 2000. ISBN 80-7226-328-5. 7. SCHLOSSBERGER,

Otakar;

HOZÁK,

Ladislav.

Elektronické

platební

prostředky. 1. vyd. Praha : Bankovní institut vysoká škola, 2005. ISBN 80-7265073-4. 8. VELEK, Jan. Základní informace o českém bankovnictví. 1. vyd. Praha : Bankovní institut vysoká škola, 2000. ISBN 80-7265-034-3.

- 56 -

Bankovní institut vysoká škola Praha. Katedra Bankovnictví a pojišťovnictví. Přímé bankovnictví. Bakalářská práce. Kateřina Ludvíková

Recommend Documents