Bankovní institut vysoká škola Praha Katedra bankovnictví a pojišťovnictví
Bezkontaktní platby Bakalářská práce
Autor:
Romana Kučerová Bankovnictví, Bankovní management
Vedoucí práce:
Praha
Ing. Marcela Soldánová
červen, 2013
Prohlášení: Prohlašuji, že jsem bakalářskou práci zpracoval/a samostatně a v seznamu uvedl/a veškerou použitou literaturu. Svým podpisem stvrzuji, že odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen/a se skutečností, že se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.
V Praze, dne 12.6.2013
Romana Kučerová
Poděkování: Ráda bych touto cestou poděkovala Ing. Marcele Soldánové za vedení mé bakalářské práce, za připomínky a rady, které mi pomohly obsáhnout všechny cíle celé bakalářské práce. Taktéž bych ráda poděkovala kolegům za poskytnutí dalších informací, konzultací a rad.
Anotace Bakalářská práce se zaměřuje na problematiku platebních karet, jejich bezpečnosti v České republice. Dále se zabývá bezkontaktními platbami, jejich principem a nabídkou na českém trhu. Tato bakalářská práce si také klade za cíl porovnat bezpečnost platebních karet s bezpečností dalších forem plateb. V úvodních kapitolách podrobně uvádím základní popis těchto technologií, jejich technický popis a princip fungování. V další části práce je zpracovaný veřejný průzkum, který zahrnuje úvodní hypotézy, zpracovává detailně výsledky průzkumu a na závěr uvádí výsledky, tedy potvrzení/nepotvrzení úvodních hypotéz. Celá práce je zakončena závěrem obsahujícím shrnutí poznatků z celé práce a pohled na budoucnost platebních technologií.
Klíčová slova: platby kartou, bezkontaktní karty, NFC technologie, bezpečnost platebních karet, QR kódy
Annotation The thesis is focused on payment card enviroment and their security in Czech republic. Particular chapters focus on contactless payments, contactless technology and on the offered solutions on czech market. In opening chapters thesis is described basic fundametnals of contacless technology and its functions. Payment security is part of this thesis, next chapters describe the advantages and disadvantages of various payment methods. In a next part of this thesis is designed survey focusing on payment security. This part consist of preliminary hypotesis, results of each question in survey and conclusions of survey and comparison with preliminary hypotesis. In conclusion, final knowledge and future expectations are described.
Key words: card payment, contactless cards, NFC technology, card payment security, QR codes
Obsah Úvod ........................................................................................................................................... 7 Zvolené metody zpracování........................................................................................................ 9 1
2
3
Historie a vývoj čipových karet a POS terminálů ............................................................ 11 1.1
Čipové karty ............................................................................................................... 11
1.2
POS terminály ............................................................................................................ 12
1.3
E-commerce ............................................................................................................... 14
1.4
Právní úprava ............................................................................................................. 15
1.5
Kartové asociace ........................................................................................................ 17
Nové produkty a technologie plateb ................................................................................. 20 2.1
Vestavné terminály (Petrol POS) ............................................................................... 20
2.2
Top-up ........................................................................................................................ 22
2.3
Cashback .................................................................................................................... 23
2.4
MO/TO....................................................................................................................... 25
2.5
E-commerce – Registrované platby ........................................................................... 26
Bezkontaktní technologie a NFC...................................................................................... 30 3.1
Historie technologie ................................................................................................... 30
3.2
Specifikace bezkontaktní technologie........................................................................ 33
3.2.1
Bezkontaktní platební karta ................................................................................ 33
3.2.2
Akceptační místo ................................................................................................ 36
3.3
4
Implementace bezkontaktní technologie a NFC ........................................................ 40
3.3.1
Implementace bezkontaktní technologie ............................................................ 41
3.3.2
Implementace NFC ............................................................................................. 41
Porovnání rizika a výhod bezkontaktních karet ............................................................... 44 4.1
Srovnání s kontaktní platbou ..................................................................................... 46
4.2
Srovnání s hotovostní transakcí ................................................................................. 47
4.3
Výzkumná část ........................................................................................................... 49 5
4.3.1
Vymezení cílů výzkumu ..................................................................................... 50
4.3.2
Formulace hypotéz ............................................................................................. 50
4.3.3
Zpracování výzkumu .......................................................................................... 51
4.3.4
Shrnutí výsledku výzkumu ................................................................................. 60
Závěr ......................................................................................................................................... 62 Použitá literatura ....................................................................................................................... 64 Seznam grafů ............................................................................................................................ 67 Seznam obrázků........................................................................................................................ 67 Seznam tabulek ......................................................................................................................... 67 Seznam příloh ........................................................................................................................... 68
6
Úvod Akceptace platebních karet dnes patří mezi nedílnou součást života každého člověka. Platební karta je významným platebním nástrojem, který je praktickou a moderní alternativou pro fyzická platidla. Tato komerční oblast každoročně stoupá co do počtu vydaných karet, míst s akceptací platebních karet a celkového počtu transakcí. Platby kartou jsou nejčastěji používanou bezhotovostní platbou v Evropské unii. Ta je s 29% podílem druhá za USA (40% podíl) co se týká počtu bezhotovostních plateb na světě. Čím více roste podíl plateb kartou v tržním světě, tím více společností se soustředí na jejich vývoj v oblasti vydávání i akceptace. Obchodní společnosti se zaměřují nejen na jejich maximální distribuci ve společnosti a u obchodníků, ale soustředí se i na zlepšení jejich vlastností. Mezi tyto vlastnosti patří i rychlost zpracování transakce a tím pádem rychlejší odbavení klienta při platbě. Pokud přidáme ještě oblíbenost platby kartou u jejich držitelů, dostaneme jasný důvod, proč byly vyvinuty bezkontaktní platební karty a jejich akceptace. Tato průlomová technologie urychluje platbu, zvyšuje dohled držitele karty nad svou platební kartou a posiluje pozici plateb kartou. Avšak nová technologie na trhu může vyvolat u držitelů karet obavy z jejich bezpečnosti. Touto oblastí se zabývá další část mé bakalářské práce, která popisuje rizika spojená s bezkontaktními kartami a porovnává je s dalšími možnostmi platby. Cílem této bakalářské práce je zmapovat současný stav akceptace bezkontaktních plateb a porovnání rizika a výhod bezkontaktních transakcí s vybranými druhy plateb. V první části bakalářské práce je popsána historie čipových karet, platebních terminálů a e-commerce, jejich časový vývoj a zásadní mezníky těchto technologií. Druhá kapitola popisuje nové služby pro příjem platebních karet (Petrol POS, Cashback, Top-Up, registrované platby v řešení e-commerce nebo MO/TO transakce). V každé kapitole jsou detailně rozvedeny jednotlivé funkce, jejich princip a způsob využití. Tyto technologie byly uvedeny na trh na základě požadavků trhu a rozvoje jednotlivých obchodních segmentů a dále rozvíjí akceptaci platebních karet na českém trhu. Ve třetí kapitole je detailně popsána bezkontaktní a NFC technologie včetně její historie, specifikace a implementačních nároků v prostředí banky. Tato technologie je ve svém životním cyklu teprve na začátku a její masový rozvoj se teprve očekává, stejně jako je tomu u QR kódů. V poslední kapitole se
7
zabývám bezpečností bezkontaktních plateb, kde tuto platební metodu kriticky srovnávám s dalšími formami plateb, které se v současnosti nejvíce používají na trhu. Pro ověření mých závěrů v oblasti bezpečnosti jednotlivých platebních metod jsem sestavila online dotazník zaměřený právě na bezpečnost platebních karet a jejich srovnání s jinými metodami. Tuto formu získání informací považuji za legitimní pro potřeby této bakalářské práce, dotazníkového šetření se zúčastnilo celkem 150 respondentů, kteří zodpověděli celkem 12 otázek. Dotazník je uveden příloze č.1. Celá bakalářská práce je zakončena závěrem obsahujícím zhodnocení nabytých znalostí a poznatků, získaných při psaní této bakalářské práce. Vzhledem k tomu, že se téměř 20 let pohybuji v bankovnictví, považuji získané informace za přínosné jak pro mou práci, tak pro další vývoj služeb v mém zaměstnání a pro získání pohledu ze strany zákazníka. Současně věřím, že má bakalářská práce a její závěry napomohou dalším studentům i laikům rozšířit jejich informace o nových trendech v platebním styku a zároveň pomůže k lepšímu pochopení pohledu klienta na bezpečnost jednotlivých forem placení.
8
Zvolené metody zpracování Úvodní část bakalářské práce zabývající se historií čipových karet, platebních terminálů a e-commerce byla zpracována formou analýzy dostupné odborné literatury i on-line zdrojů a následně její deskripce. Dále jsem formou konzultací se svými zkušenějšími kolegy, kteří v bankovnictví pracují dlouhá léta, získala cenné informace o historii a vývoji platebních karet v České republice. Jednání probíhalo formou zodpovídání připravených dotazů. V druhé kapitole jsem analýzou nových technologii v bankovnictví a analýzou dostupné literatury a odborných publikací zpracovala přehled o nových technologiích, které jsou uváděny na trh. Dalším zdrojem informací, který byl využit pro tuto kapitolu je má praxe a zkušenosti v oboru. Dále byly formou deskripce popsány principy řešení a analýzou dostupných specifikací sestaven pohled na to, jak jsou tyto nové technologie vnímány bankami a samotnými klienty bank. Metodou analýzy dostupných informací byla provedena analýza řešení bezkontaktních plateb, NFC a jejich přijímání na českém trhu. Formou konzultací se specialisty v daném oboru byly zdokumentovány další důležité informace a zdroje o bezkontaktní technologii, které byly následně metodou komparace s odbornou literaturou zdokumentovány. NFC technologie byla na základě posouzení a vlastní predikce posouzena z hlediska budoucnosti této služby s ohledem na dostupné odborné informace. Ve čtvrté kapitole byly metodou výzkumu u celkového počtu 150 respondentů získány další zdrojová data a podklady pro vyhodnocení závěrů bakalářské práce a potvrzení nebo vyvrácení úvodních hypotéz ve výzkumné práci. Tuto metodu jsem použila proto, abych čerpala z aktuálních informací od klientů. Veřejně dostupné údaje nejsou ucelené a drtivá většina statistik nutných pro vytvoření hypotéz a závěrů není aktuální. Do celé práce byly přineseny osobní dlouholeté zkušenosti a praxe v oboru, formou konzultací s kolegy napříč odděleními byly získány další důležité informace z praxe v oblastech, na které se specializují. V závěru je formou shrnutí sestaven závěr, zhodnoceny
9
získané informace a s ohledem na načerpané zdroje i vytvořena predikce budoucího vývoje v platebním segmentu. Součástí práce byl formou sumarizace použitých zkratek vytvořen seznam použitých zkratek v bakalářské práci, který je uveden v příloze č.2.
10
1 Historie a vývoj čipových karet a POS terminálů Historie karet a akceptačních řešení sahá překvapivě hluboko do historie. Proto v rámci mé bakalářské práce považuji za vhodné shrnout dosavadní historii platebních karet a platebních terminálů. Předchůdci platebních karet se objevily na americkém kontinentu již v roce 1865 ve formě úvěrových známek vyrobených z celuloidu nebo mědi. První pojem karta však byl zaznamenán v roce 1887 v americké literatuře.1 Následníkem úvěrových známek byla již první karta, kterou vydala společnost Loftis Bros. v USA. Oficiálně je však za první platební kartu považována karta společnosti Western Union, která byla vydána v roce 1914. Poté byly karty vydávány i dalšími společnostmi, které si tím své klienty zavazovaly a navíc jim poskytovaly zvýhodněné úvěry, jen aby si zachovaly jejich přízeň. V dvacátém století pokračoval postupný vývoj, který gradoval po skončení druhé světové války. V roce 1950 vzniká první univerzální platební karta společnosti Diners Club, která se následně v roce 1952 stává první mezinárodní platební kartou. V roce 1959 vydala společnost American Express z bezpečnostních důvodů první plastové karty, které bylo těžší padělat, a navíc ve spojení s imprintery urychlily placení. Průlomem v bezpečnosti karet však byl magnetický proužek. Princip magnetického záznamu byl sice vynalezen již v roce 1878, ale na kartu se dostal až v roce 1969 díky společnosti IBM.2 Dalšímu rozvoji platebních karet napomohly peněžní automaty a bankomaty. Šlo o první počítačové zařízení obsluhované laiky.
1.1
Čipové karty Fenoménem dnešní doby jsou čipové karty, na které lze uložit širší objem informací
týkajících se identifikace držitele karty, ale i sloužících ke zvýšení bezpečnosti operací, které jsou kartou prováděné. Vynálezcem této převratné technologie byl francouzský novinář Roland Moreno, který již v lednu 1974 dostal nápad na realizaci čipové karty a v březnu téhož roku si ho nechal patentovat. Poté se obrátil na francouzskou společnost CII-Honeywell Bull, 1
JUŘÍK, Pavel. Platební karty – ilustrovaná historie placení. Praha: Libri, spol. s r.o., 2012, s.49. ISBN 978-807277-498-2. 2
JUŘÍK, Pavel. Platební karty – ilustrovaná historie placení. Praha: Libri, spol. s r.o., 2012, s.59. ISBN 978-807277-498-2. 11
kde o rok později vyrobili prvních sedm čipových karet. V roce 1979 se o tuto technologii začaly vážně zajímat banky společně s francouzskou komunikační firmou France Telecom, kdy společně vyhlásily výběrové řízení na zkušební provoz paměťových karet.3 O rok později se již rozjely zkušební projekty třech různých technologií reprezentované firmami Philips, Schlumberger a Bull CP8. Tyto projekty skončily v roce 1984, kdy francouzské banky upřednostnily technologii Bull CP8. Čipové karty se tak začaly prosazovat například jako telefonní karty u France Telecom, jako chytré karty s mikroprocesorem v členských bankách asociace Cartes Bancaires, nebo později u společnosti Carte Bleue v podobě elektronické peněženky sloužící k placení parkovného v Lyonu. Vývoj čipových karet byl monitorován kartovými asociacemi (například Europay, MasterCard a další), které zadávaly detailní analýzy, které obsahovaly výsledky bezpečnosti nového řešení. Výsledkem těchto analýz byly závěry, že využitím čipové technologie dojde k výraznému zvýšení bezpečnosti a zamezení zneužívání karty. Následně kartové asociace vydávají standard EMV (Europay, MasterCard, VISA), ve kterém byl popsán princip komunikace mezi kartou a platebním terminálem. EMV standard byl navržen tak, aby karty a terminály, byly zpětně kompatibilní se staršími normami. V červnu v roce 1997 zavedly britské banky podle tohoto standardu první bankovní karty s čipem. Druhou společností, která takovéto karty vydala, byla překvapivě Slovenská sporiteľňa.4
1.2
POS terminály S rozvojem platebních karet a tím i souvisejícím nárůstem plateb se zvyšoval také počet
papírových dokladů, které bylo zapotřebí při platbě kartou vyplňovat a zasílat bankám. Navíc velká část platebních transakcí musela být telefonicky autorizována. Proto byly již v polovině 70. let zkonstruovány první platební terminály, které bezhotovostní platby velmi zjednodušily. První generace terminálů fungovala na principu natypování požadovaných informací na klávesnici terminálu (číslo karty, naúčtovaná částka) a autorizace transakce proběhla 3
JUŘÍK, Pavel. Svět platebních a identifikačních karet. Praha: Grada: Grada Publishing, spol. s r.o., 1999, s. 153. ISBN 80-7169-759-1. 4
JUŘÍK, Pavel. Platební karty – ilustrovaná historie placení. Praha: Libri, spol. s r.o., 2012, s. 185. ISBN 97880-7277-498-2. 12
vytočením telefonního čísla příslušného centra platebního systému nebo ověřením karty v databázi blokovaných karet v paměti terminálu. Druhá generace využívala za prvé záznamů na magnetickém proužku karty, kde je zaznamenaná velikost finančního limitu, druh použití karty a její platnost a za druhé seznamu zakázaných a blokovaných karet uloženém v platebním terminálu. Jednou týdně (později i denně) byl proveden přenos dat o provedených transakcí do banky. Z počátku byly pro tyto přenosy využívány diskety, později telefonické a datové linky. Roku 1979 uvedla VISA první terminál, který se telefonicky spojoval s autorizačním centrem (tzv. Dial-up terminál). Platební terminály byly z důvodu snížení nákladů na jejich pořízení, po dohodě hlavních kartových asociací, později upraveny pro příjem všech druhů platebních karet současně. Třetí generace platebních terminálů reaguje koncem 90. let na požadavek bank i obchodníků, kteří požadují pomocí terminálu provozovat platební, věrnostní a jiné operace. K přenosům dat mezi bankou a obchodníkem se začínají využívat přenosy pomocí GSM, GPRS, Bluetooth nebo Wi-Fi. Zároveň se zvětšují nároky kartových asociací na bezpečnost transakcí a od roku 2002 požadují, aby terminály dokázaly kódovat informace pomocí 3DES a od roku 2005 i RSA šifrovacích standardů. Po roce 2000 se z platebního terminálu stalo univerzální obchodní místo, které neslouží jen k placení zboží a služeb. Dá se říci, že dnešní platební terminály se svou univerzálností podobají do určité míry bankomatům. Klienti je tak mohou využívat pro více typů transakcí, například: nákup s výplatou hotovosti (Cashback) dobíjení mobilních telefonů (Top-up) úhrada poštovních poukázek s čárovým kódem tisk peněžních poukázek (vouchery, věrnostní karty apod.) prodej a tisk virtuálních e-karet (MasterCard, Visa) prodej a tisk vstupenek a jízdenek (mj. s QR kódem, do něhož lze uložit jakoukoliv textovou informaci) Od roku 2005 pak začali výrobci platebních terminálů nabízet moduly pro placení bezkontaktními kartami MasterCard PayPass, VISA PayWave a pro tzv. mobilní platby. Pro
13
tuto formu platby jsou charakteristické převážně malé přenosné terminály s bezdrátovou komunikací pro malé obchody, řemeslníky apod.5
1.3
E-commerce Historie e-commerce logicky navazuje na vývoj informačních technologií, šíření síťových
komunikací a rozrůstání konektivity na internet. Historie internetu sahá do padesátých let dvacátého století, kdy byla založena společnost ARPA, které se podařilo uvést v život první síť a to již v roce 1969. Avšak tato síť vznikla pro vojenské účely. Zlomovým rokem byl pro internet rok 1983, kdy byla technologie uvolněna pro komerční účely. Ve stejném roce se v USA objevil první náznak elektronické komerce. Až v roce 1990 byl ovšem napsán první prohlížeč stránek WordWideWeb (WWW). Avšak do té doby šel vývoj rychle dopředu a již v roce 1992 byl otevřen první elektronický obchod www.books.com, který byl schopen online autorizovat platební karty. O pár let později vznikaly dnes legendární elektronické obchody, mezi které patří například Amazon nebo eBay. V současné době je prodej online nezbytnou součástí obchodníků a každý rok roste nejrychleji ze všech platebních metod. Propojení s platební bránou banky umožňuje klientům rychlou a bezpečnou platbu jak v oblasti B2B, tak B2C. Na českém trhu jsou dominantní dvě platební brány umožňující platbu kartou online – ProxyPay České spořitelny a platební brána GPE, kterou využívají další banky na českém trhu – ČSOB, Komerční banka, Raiffeisen Bank a UniCredit Bank. Obě řešení podporují 3-D Secure platby. Tyto platby jsou zabezpečené online platby založené na zvýšeném zabezpečení vydané karty doplňkovým bezpečnostním prvkem. Tím bývá obvykle PIN, dynamický kód zobrazovaný na displeji klíčenky nebo zasílaný na mobilní telefon. Existují dva typy plateb pro elektronické placení – e-commerce transakce a tzv. MO/TO (mail order/telephone order) transakce, tedy transakce bez přítomnosti držitele karty. E-commerce platby jsou založeny na komunikaci obchodníka a jeho e-shopu přes zabezpečený SSL kanál. Každé řešení má svůj implementační postup a způsob komunikace mezi systémy. Komunikace probíhá přes zabezpečenou linku nebo přes Internet. Bezpečnost 5
JUŘÍK, Pavel. Svět platebních a identifikačních karet. Praha: Grada: Grada Publishing, spol. s r.o., 1999, s. 162. ISBN 80-7169-759-1. 14
komunikace bývá obvykle posílena o další prvky, jako je dodatečné heslo v zasílaných zprávách, kontrola referreru, ověřování ID obchodníka a další prvky. Na českém trhu nabízená řešení akceptují všechny karty typu VISA, VISA Electron, MasterCard a Maestro. Společnost GPE přijímá jako jediná i platební karty Diner´s Club. Systémy nabízené na českém trhu podporují několik typů transakcí: předautorizace (dokončení předautorizace, částečné dokončení předautorizace) transakce typu prodej refundace, částečná refundace zrušení transakce opakované transakce Z hlediska bezpečnosti obě řešení nabízená na českém trhu vyžadují při platbě vyplnění čísla karty, expirace a CVV/CVC kódu v platebním formuláři. Obě řešení podporují dodatečnou autorizaci 3-D Secure. Česká spořitelna navíc nabízí svým obchodním partnerům možnost blokovat mezinárodní karty formou filtrování rozsahů platebních karet.
1.4
Právní úprava Dotčená oblast platebních karet je upravena právními předpisy nejen České republiky, ale
především také normami evropského práva. Obecným pramenem práva u nás jsou zákony a vyhlášky6, v rámci práva Evropské unie to jsou nařízení, směrnice a doporučení. Stěžejní legislativní rámec je dán: Zákon č. 21/1992 Sb., o bankách Tento zákon zapracovává příslušné předpisy Evropské unie a upravuje některé vztahy související se vznikem, podnikáním a zánikem bank se sídlem na území České republiky, včetně jejich působení mimo území České republiky, a dále některé vztahy související s působením zahraničních bank na území České republiky.7
6
GERLOCH, A. Teorie práva. Praha: Vydavatelství a nakladatelství Aleš Čeněk, 2009. ISN 978-80-7380-2332. 7 ČESKO. Zákon č. 21/1992sb ze dne 20. prosince 1991 o bankách In: Sbírka zákonů České republiky. 1991, Dostupný také z: http://www.zakonyprolidi.cz/cs/1992-21. [cit. 12.6.2013]. 15
Zákon č. 229/2002 Sb., o finančním arbitrovi „Hlavním posláním finančního arbitra, a tedy i hlavním důvodem založení tohoto institutu, je zajištění rychlého, bezplatného a efektivního vyřizování sporů mezi občany a vybranými finančními institucemi.“8 Finanční arbitr je oprávněn z oblasti platebních karet rozhodovat konkrétní spory týkající se např. nevydání hotovosti při výběru z bankomatu, zneužití platební karty při platbě u obchodníka třetí osobou, nebo neautorizovaných platebních transakcí. Nařízením Evropského parlamentu a Rady (ES) č. 924/2009 ze dne 16. září 2009 o přeshraničních platbách ve Společenství a zrušení nařízení (ES) č. 2560/2001. Zmíněná právní norma charakterizuje základní pojmy z oblasti platebních služeb, stanoví povinnosti členských zemí v oblast cenové politiky při provádění převodů v rámci domácího a přeshraničního platebního styku.9 Zákonem č. 284/2009 Sb., o platebním styku, ve znění pozdějších předpisů, který nabyl účinnosti dne 1. 11. 2009 a nahradil tak předchozí zákon č. 124/2002 Sb. Zákon o platebním styku do českého právního řádu transponoval Směrnici Evropského parlamentu a Rady 2007/64 ES ze dne 13. listopadu 2007 o platebních službách na vnitřním trhu. Tento zákon upravuje jak veřejnoprávní podmínky pro výkon platebních služeb, tak úpravu soukromoprávních vztahů vznikajících mezi poskytovateli platebních služeb a uživateli platebních služeb.10 Předpis evropské centrální banky „Recommendations for the security of internet Payments“ z roku 2013 obsahující bezpečnostní doporučení pro zvýšení bezpečnosti plateb na internetu11 Zákon č. 254/2012 Sb. ze dne 14.6.2012, kterým se mění zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů, a další související zákony.
8
http://www.finarbitr.cz/cs/financni-arbitr/poslani-a-ukoly-fa.html [cit. 27.6.2013]. SCHLOSSBERGER, O. Platební služby. Praha: Management Press, s.r.o., 2012, s.20. ISBN 978-80-7261-2383. 10 http://www.finarbitr.cz/cs/platebni-sluzby.html#Pravni_uprava_platebnich_sluzeb - [cit. 12.6.2013]. 11 ECB EUROPEAN CENTRAL BANK. Recommendations for the security of internet Payments [on-line]. Frankfurt:ECB, [cit. 2013-6-10]. Dostupné z: http://www.ecb.int/pub/pdf/other/recommendationssecurityinternetpaymentsoutcomeofpcfinalversionafterpc201 301en.pdf. 9
16
1.5
Kartové asociace Základním stavebním kamenem celého kartového sektoru jsou kartové asociace. Tyto
asociace vydávají základní pravidla pro vydávání a příjem platebních karet a udělují bankám pro danou činnost licenci. Následně s nimi spolupracují při dodržování pravidel a konzultují s nimi nové předpisy a nařízení. Mezi nejznámější a nejrozšířenější kartové asociace patří VISA a MasterCard, které vydávají pravidla pro regiony v celém světě a pokud v daném regionu chtějí banky využívat služeb kartových asociací, musí se jimi řídit. Transakce jednotlivých bank jsou těmito asociacemi monitorovány a v případě problémů jsou banky informovány o jednotlivých rizikových situacích. V posledních letech kartové asociace spolupracují s Evropskou unií na vytvoření uceleného platebního trhu v zemích EU označovaného jako SEPA. Kartové asociace jako takové nevydávají vlastní platební karty, tuto činnost ponechávají na spolupracujících bankách. Ovšem, aby tyto banky mohly vydávat karty s logem určité asociace, musí projít certifikací a musí se držet pevně stanovených norem. Asociace následně provádějí zúčtování platebních transakcí, z čehož vyplývá, že všechny banky jsou tedy připojeny na kartové asociace. Kartové asociace se podílely i na uvedení bezkontaktní technologie na trh. Dalším významným úkolem kartových asociací je samotné proškolování personálu bank formou vzdělávacích akcí (VISA Busines Schoul, MasterCard Academy a další), vydávání bezpečnostních doporučení a vývoj bezpečnostních předpisů. V neposlední řadě vytváří samotný obchodní trh mezi bankami a pro jednotlivé země stanovují poplatky, například poplatek za zpracování transakcí při platbně kartou, označovaný jako „interchange fee“. Tento poplatek je placen v případě, kdy platební karta a terminál, kterým je transakce provedena, nejsou od jedné banky.
VISA Zdroj: Visa Inc.
. Největší kartová asociace má původ ve Spojených státech, kde v roce 1958 největší americká banka Bank of America zahájila projekt pilotní kreditní karty BankAmericard. Následně oddělením obou subjektů vznikla společnost NBI, později VISA. V současné době 17
se jedná o společnost vlastněnou jednotlivými členy asociace. V současné době pod logem VISA společnost nabízí debetní, kreditní a předplacené karty 36 evropských zemích12. Sama však žádné karty nevydává, tuto činnost ponechává na vydavatelských bankách. V současné době má společnost VISA vydáno více než 460 milionů karet, z toho 46.8 milionu bezkontaktních karet. Od roku 2005 VISA vydává karty se stávajícím designem bezpečnostních prvků – ochranná známka, čip, UV element a CVV2.
MasterCard International Zdroj: MasterCard Worldwide . V roce 1966 byla společnost založena jako Interbank Card Asssociation (ICA) a následně v roce 1979 přejmenována na MasterCard. V roce společnost prezentovala novou akvizici EuroCard, následně v roce 1988 společnost Cirrus (síť bankomatů). Společnost MasterCard následně v roce 1991 uvedla v život novou debetní síť Maestro. V roce 2002 se pak společnost konverguje z členské asociace na privátní akciovou společnost. V roce 2006 jsou pak akcie společnosti uvedeny na burze v New Yorku. Společnost MasterCard vydává své karty rovněž s ochrannými prvky, jako jsou ultrafialové iniciály MasterCard, hologram a CVC2.
American Express (AmEx) Zdroj: American Express Company . V roce 1958 se společnost American Express, původně velký vydavatel cestovních šeků, rozhodl vstoupit na kartový trh. Společnost v roce 1957 měla možnost odkoupit společnost Diner´s Club, ale nevyužila této nabídky.13 V roce 1958 společnost vydáván první kreditní kartu. K dnešnímu dni společnost vydala 102.4 milionu karet ve 130 zemích.14
12
VISA. visaeurope.com [online]. ©2013 [cit. 2013-06-1]. Dostupné z http://www.visaeurope.com. JUŘÍK, Pavel. Platební karty – ilustrovaná historie placení. Praha: Libri, spol. s r.o., 2012,s.63 ISBN 978-807277-498-2. 14 AMEX. About us. Americanexpress.com [online]. ©2013 [cit. 2013-05-26]. Dostupné z http://about.americanexpress.com/?inav=footer_about_american_express. 13
18
Diner´s Club Zdroj: Diners Club International . Společnost založená v roce 1950 s kapitálem 75 tisíc dolarů Frankem McNamarou již ve stejném roce vytvořila papírovou platební kartu, která byla následně poskytnuta 200 známým obchodníkům a základem platebního styku se tak stala „osobní známost“. V roce 1956 kupuje společnost konkurenty Trip-Charge Card, Sheraton CCC. Již v tomto roce karty akceptuje přes 9 tisíc obchodních míst a v oběhu jich je 250 tisíc.15 V současné době je společnost vlastněna společností Discover Financial Services (NYSE: DFS) a akceptuje karty v celkem 185 zemích po celém světě.16
Karty jako ochranný prvek využívají potisk citlivý na
ultrafialové světlo – viditelný pouze pod ultrafialovým zářením. V síti Diner´s Club jsou obvykle akceptovány i karty Discover.
Japan Credit Bureau (JCB)
Zdroj: JCB (Japan Credit Bureau) . Japonská společnost založená v roce 1961. V současné době je celosvětově vydáno přes 79 milionu karet s logem JCB.17 Karty vydávané pod logem této společnosti využívají pro ochranu proti padělání hologram, UV značku nebo embosované „J“ za expirací karty.
15
JUŘÍK, Pavel. Platební karty – ilustrovaná historie placení. Praha: Libri, spol. s r.o., 2012,s.60 ISBN 978-807277-498-2. 16 DINER´S CLUB. About us. Dinersclub.com [online]. 2013 [cit 2013-06-01]. Dostupné z: http://www.dinersclub.com. 17 JCB. Brand. jcbcard.com [online]. 2013 [cit 2013-06-01]. Dostupné z: http://www.jcbcard.com. 19
2 Nové produkty a technologie plateb V posledních letech jsou díky rozrůstající se akceptační síti kladeny stále větší nároky na technická řešení, která jsou využívána u obchodních partnerů. Platební technologie dosahují do čím dál více specifických oblastí a stává se, že s příchodem nových služeb přibývá požadavek na vývoj platebního řešení pro konkrétní službu. V dalších podkapitolách jsou shrnuty nové produkty a technologie pro platby kartou, které byly uvedeny na český trh.
2.1
Vestavné terminály (Petrol POS) S rozvojem akceptační sítě se začaly rozšiřovat specializovaná řešení i pro segment
čerpacích stanic.
S rostoucí konkurencí na trhu a s příchodem světové krize hledaly
společnosti výrazné úspory ve svých provozních nákladech včetně personální oblasti. Výsledkem těchto činností byl požadavek na zautomatizování obsluhy klientů a nahrazení zaměstnanců strojem. Součástí požadavku bylo, aby technické řešení umožňovalo bez přítomnosti obsluhy klientovi provést platbu kartou. Proto se banky začaly zabývat řešením, kdy do samoobslužného zařízení byly nainstalovány platební terminály. Již v 80. letech 20. století se objevily první realizace vestavěných terminálů do samoobslužných zařízení a to ve Francii a Dánsku.18 Stojany jsou v současné době osazeny řídící jednotkou, slotem pro akceptaci karty a PINpadem. Umožňují transakce s využitím magnetického proužku, čipu a od roku 2013 již bezkontaktně. Terminál je zabudován do speciálního samoobslužného boxu přímo v prostorách čerpací stanice, obvykle poblíž tankovacího stojanu. Tento box je obvykle vybaven displejem s ovládacími prvky, kde si klient po vsunutí platební karty zadá odhadovanou výši natankovaného paliva. Dle výše transakce je klient vyzván k zadání PINu, následně je částka předautorizována držiteli karty. Až poté může klient načerpat palivo. Po dokončení tankování je dokončena autorizace na výslednou částku. Výsledná částka nikdy nemůže být vyšší než
18
JUŘÍK, Pavel. Platební karty – ilustrovaná historie placení. Praha: Libri, spol. s r.o., 2012,s.161 ISBN 97880-7277-498-2. 20
předautorizovaná částka. Tankovací zařízení tak neumožní klientovi natankovat více paliva, než je výše předautorizace. V segmentu petrochemie toto řešení přináší další specifika, kdy aplikace v platebním terminálu musí podporovat tankovací (fleetové) karty, které vydávají petrolejářské společnosti pro své klienty. Mezi ně lze zařadit v ČR například CCS, DKV, UTA, Routex, EuroWAG a další. Banky tedy v tomto řešení musely samy vytvořit H2H19 připojení k daným vydavatelům karet nebo využívají řešení prostředníka, který již toto připojení má k dispozici a k němuž jsou připojeni opět přes H2H protokol. Na českém trhu banky využívají spolupráce s dalšími společnosti, jako je Wincor-Nixdorf nebo UniCode. Tyto společnosti poskytují čerpacím stanicím i pokladní systémy, s kterými je platební terminál následně schopen komunikovat přes datové spojení a komunikační protokol. Mezi tyto protokoly patří například WNSP protokol nebo IFSF protokol. V technologii, kterou jsem nastudovala a kterou využívá Česká spořitelna, je postup následující. Klient vsune platební nebo tankovací kartu do terminálu. Terminál se speciálně upravenou aplikací rozezná typ karty. V případě, že se jedná o tankovací kartu, je transakce směrována na společnost UniCode, která následně komunikuje s vydavateli daných tankovacích karet a transakci autorizuje. Pokud se jedná o standardní platební kartu, je transakce odeslána k autorizaci do banky. Tento postup je uveden na obrázku č. 1, který popisuje propojení celého řešení.
19
H2H – Host to Host – přímé datové obousměrné propojení dvou systémů přes zabepečený komunikační protokol, který si obě strany specifikují. V bankovnictví tímto způsobem komunikují například banky s technickými subdodavateli a agregátory. Agregátor – společnost centralizující platební řešení do jednoho celku. Buď pracuje formou sjednocení platebních metod nebo centralizuje platby několika obchodníků do jednoho řešení. 21
Obrázek č. 1: Schéma konektivity Petrol POS
Banka
Pokladna s akceptací Platebních karet Tankovací stojan 1 Platební karty
Tankovací karty Petrol partner
Tankovací stojan 2
Tankovací stojan 3
Zdroj: vlastní tvorba S ohledem na velmi příjmově zajímavý segment tuto službu nabízí nejsilnější acquiringová skupina bank na českém trhu – Česká spořitelna, ČSOB, Komerční banka, UniCredit Bank.
2.2
Top-up Novou službou, která využívá akceptační sítě, je služba Top-Up. Toto specifické řešení,
které banky uvedly na trh, umožňuje klientovi během platby kartou dobíjet kredit u svého mobilního telefonu u českého operátora. Službu lze využít pouze pro prepaid tarif daného operátora. Platba probíhá tak, že klient po volbě platby kartou u obchodníka kromě nákupu požádá o dobití svého kreditu mobilního telefonu. Obvykle není omezena tato služba povinností nakoupit v určité výši. Klient nadiktuje obsluze číslo, na které chce kredit dobít. Obsluha přímo na terminálu zadá mobilní číslo do terminálu a zadá dobíjenou částku. Držitel karty potvrdí částku a zadá svůj PIN. Po autorizaci transakce držitel karty obdrží doklad obsahující údaje o dobití kreditu. Výsledná výše transakce se skládá z nákupu a dobitého kreditu. Tuto službu nabízí i Česká spořitelna. Technické řešení jsem konzultovala se specialistou v dané oblasti a uvádím příklad řešení této služby s pohledu acquirera. Banka využívá pro tuto 22
službu technického partnera, který disponuje propojením na systémy mobilních operátorů. Na platebním terminálu je upravena aplikace, která je schopna přes centrální řídicí systém banky komunikovat se systémem technického partnera. Ten zašifrované údaje přeposílá operátorům, kteří provedou dobití MSISDN čísla. Výše transakce je tedy rozdělena na samotnou platbu za zboží a službu. Následně je interními dohodami rozdělena provize mezi zainteresované strany. Instalace služby je prováděna tak, že technik provede výjezd na místo platebního terminálu a nahraje do terminálu novou aplikaci. Současně proškolí obsluhu na nové funkčnosti a pomocí testovacích karet s obsluhou provedou testovací transakce a ověří funkčnost.
2.3
Cashback Doplňkovou službu při přijímání platebních karet je nová služba Cashback, která
umožňuje během platby získat od obchodníka hotovost. Při platbě kartou tedy její držitel požádá obsluhu o vyplacení hotovosti v určité výši. Výsledná částka, která je držiteli karty odúčtována, obsahuje nejen nákup, ale i vyplacenou částku. Vzorová účtenka je zobrazena na obrázku č. 2. Obvykle je u této služby stanovována minimální výše nákupu, od které je možné využít tuto službu a také maximální výše hotovosti, která může být vyplacena. V České republice je možné využít službu Cashback při nákupu nad 300 Kč a je možné požádat o hotovost ve výši maximálně 1500 Kč. Vybraná částka se započítává držiteli karty do limitů pro výběr z bankomatu, je tedy vhodné s tímto počítat. V roce 2012 byl novelizován zákon č.136/2011 sb., který rušil povinnost povinného proškolování obsluhy, která poskytuje službu cashback. Pokud by byla tato povinnost proškolení ponechána, dle mého názoru by došlo k výraznému snížení počtu míst poskytujících tuto službu a došlo by k snížení počtu transakcí. V grafu č.1 je zobrazen přehled vývoje počtu cashback transakcí v České republice. Počet transakcí má v posledních čtyřech letech stále rostoucí tendenci.
23
Graf č. 1: Počet Cashback transakcí v ČR
Zdroj: www.bankovnikarty.cz , Profil ČR, Statistiky.
U této služby spatřuji výhodu pro obě strany, které se transakce účastní. Držitel karty tak může pohodlně získat hotovost a nevyužívá tak bankomatů, na druhé straně obchodník obvykle od banky získává provizi za využití této služby držitelem karty. Ke konci roku 2012 bylo evidováno v ČR celkem 6493 provozoven poskytujících tuto službu.20 Obrázek č.2: Vzor účtenky k operaci Cashback
Zdroj: interní dokumentace ČS 20
SBK BANKOVNÍ KARTY. Tisková zprava -vývoj v oblasti karet za 2012 [on-line]. Praha: SBK, [cit. 2013-215]. 24
2.4
MO/TO Specifickou variantou online plateb jsou tzv. MO/TO transakce. Název je zkratkou
anglických slov mail order / telephone order, tedy je službou určenou pro online vytvoření transakce bez přítomnosti držitele karet. Služby tohoto typu na českém trhu fungují tak, že banka udělí obchodníkovi přístupy do webového rozhraní, viz obrázek č. 3, v kterém uživatel ručně zadá údaje o platební kartě získané od klienta telefonicky nebo e-mailem. Obchodní partner pak po přihlášení do webového rozhraní zadá požadavek na vytvoření transakce na požadovanou částku, vloží poskytnuté údaje o kartě a platbu potvrdí. Systém provede online ověření karty (ověří zůstatek, denní limit apod.) a na jeho základě buď platbu schválí, nebo zamítne. Obrázek č. 3: Prostředí České spořitelny pro zadání transakce
Zdroj: https://3dsecure.csas.cz/merchant [cit.14.6.2013] Toto řešení je pohodlné například u obchodníků komunikujících telefony (call centrum, hotel, aj.), kteří nejsou přímo v kontaktu s klientem. Z mé praxe mohu potvrdit, že toto řešení například využívají hotely pro autorizaci částky při rezervaci ubytování a dalších službách. Obchodník si tak po dalších sedm dnů může blokovat částku například ještě před příjezdem klienta a bez jeho přítomnosti. Toto řešení otevírá otázku bezpečnosti a možnosti zneužití získaných údajů o kartě obchodníkem nebo jeho zaměstnancem. Proto v souvislosti s tímto
25
řešením je doporučováno postupovat nejvýše obezřetně a držet se základních bezpečnostních kroků21: Sledovat jakýkoliv náznak rozvážnosti klienta a ochoty sdílet další informace jako je vydavatelská banka karty nebo dodací adresa Analyzovat zájem klienta o kupované zboží nebo službu Rozlišit dodací adresu, například podezřelá destinace, P.O.BOX a další neobvyklé lokality Nevydávat zboží třetím stranám, jako jsou poslíčci nebo taxislužby Nevracet uhrazenou částku v hotovosti Je tedy všem obchodním partnerům doporučeno dbát zvýšené opatrnosti při přijímání a zpracovávání takových transakcí. Tento typ online akceptace platebních karet lze z jistého úhlu pohledu považovat za rizikový. Pokud porovnáme počet registrovaných e-commerce účtů v ČS s počtem MO/TO účtů, je patrné, že drtivá většina obchodníků se kloní ke klasickému e-commerce řešení a MO/TO je využíváno opravdu spíše na velmi specifické služby. Všechny banky pro snížení rizik a ztrát ze zneužití této služby předcházejí aktivním monitoringem transakcí a sledování pochybných transakcí ve svých systémech. Pokud by tedy množství podvodných transakcí překročilo stanovené meze, znamenalo by to problémy i pro banku samotnou a mohlo by dojít k penalizaci ze strany kartových asociací.
2.5
E-commerce – Registrované platby V kapitole 1.3 této bakalářské práce byla popsána historie elektronického platebního
řešení e-commerce. Toto řešení zajišťuje pro obchodníky využívající elektronickou komerci (e-shopy a online řešení) možnost přijímat platební karty. E-commerce pracuje tak, že obchodník přizpůsobí své internetové stránky pro komunikaci s protokolem platební brány. Platební brána poté komunikuje s řešením obchodního partnera obvykle přes zabezpečený HTTPS protokol, tedy pomocí certifikátů. Největšími poskytovateli v ČR jsou společnosti Global Payments a Česká spořitelna. Společnost Global Payments poskytuje své řešení několika českým bankám: ČSOB, Raiffeisen Bank a UniCredit Bank. Řešení je tedy univerzální, prostředí platební brány taktéž. V horní části platební brány jsou umístěna vždy loga dané banky. Lídrem v oblasti e-commerce je na českém trhu Česká spořitelna. Ta nabízí 21
ČS a.s. Doporucene_postupy_MOTO_EC.pdf [CD], Praha: Česká spořitelna a.s., 2013. 26
své řešení stejně jako Global Payments s podporou dodatečné autorizace držitele karty, viz obrázek č. 4. Obrázek č. 4: Platební brány ČS a Global Payments
Zdroj: vlastní provedení zkušební platby Samotný online nákup probíhá tak, že po výběru zboží na stránkách obchodníka držitel karty zvolí jako způsob platby platbu kartou. Na pozadí obchodník vytvoří zprávu s potřebnými údaji pro banku. V řešeních na českém trhu to je obvykle ID obchodníka, ID transakce, částka, měna, typ transakce a další parametry závislé na daném řešení. Tyto obdržené údaje si banka obvykle přes zabezpečené rozhraní u obchodníka ověří. Pokud obchodník potvrdí údaje, je držitel karty přesměrován na platební bránu. Zde zadá číslo karty, expiraci a bezpečností CVV/CVC kód a potvrdí platbu. Pokud je zadaná karta typu 3-D Secure, je držitel karty následně přesměrován na stránky vydavatelské banky, kde zadá ještě dodatečný bezpečnostní kód, který obdrží ze své banky. Obvykle jej banka zasílá pomocí SMS nebo využívá tzv. „bezpečnostní klíčenky“ s dynamickým generováním kódu. Poté jsou údaje autorizovány bankou a výsledek transakce zobrazí držiteli karty. Současně odesílá platební brána obchodníkovi výsledek transakce. V USA společnosti jako Apple nebo Amazon využívají pro svá online řešení vlastní rozhraní, kde ukládají kompletní údaje o platební kartě. Platba samotná se tak výrazně zrychluje a držitel karty nemusí při každém nákupu zadávat údaje o platební kartě. Toto řešení 27
ovšem v EU není povoleno, konkrétně ukládání CVV/CVC není povoleno. Toto rozhodnutí lze chápat jako jistá forma zabezpečení. V případě zneužití přihlašovacích údajů u daného obchodníka by tak kdokoliv mohl zneužít platební kartu pro své nákupy. Řešení těchto amerických společností ovšem zaujalo významné české obchodníky, kteří vznesli požadavek na své banky, aby jakkoliv urychlily provedení transakce a ulehčily tak držiteli karty opakované nákupy na jejich internetových stránkách. V roce 2012 na základě těchto požadavků Česká spořitelna uvedla na trh registrované platby. Obrázek č. 5: Registrovaná platba - Česká spořitelna
Zdroj: vlastní provedení platby na https://3dsecure.csas.cz/transaction [cit.21.6.2013] Řešení banky využívá stávající propojení s obchodním partnerem a rozšiřuje funkčnost ecommerce. Systém obchodníka v novém požadavku na platbu (NewPaymentPost) zasílá bance nový parametr označovaný jako „CardHolderID“. Toto ID musí být pro každého klienta unikátní a pod tímto kódem se ukládají údaje o platební kartě daného klienta. Pokud by tedy došlo k zaslání ID jiného klienta, zobrazily by se uložené karty jiného klienta. Proto je velmi důležité ze strany obchodního partnera dbát na správné přidělování a zasílání ID. Při první návštěvě klienta se zobrazí klasická platební brána, ovšem v dolní části umožňuje uložit kartu pro další nákupy a možnost si ji pojmenovat. Pokud klient tuto volbu zatrhne a transakce je autorizována jako úspěšná, dojde pod jeho ID, na pozadí zaslaného, k uložení údajů o kartě v databázi banky. Ukládá se PAN a datum platnosti (expirace) karty. Při dalším 28
nákupu a volbě platby kartou se klientovi zobrazí jeho uložené karty z minulosti, viz obrázek č. 5. Počet není omezen, je možné uložené karty mazat. Na pozadí obchodník opět platební bráně odesílá cardhoderID, systémy banky ověří v databázi, zda k danému ID eviduje uložené údaje o kartách. Pokud eviduje, zobrazí v prostředí platební brány jejich přehled s maskovaným PAN. V případě, že není pod daným ID uložena žádná karta, zobrazí brána držiteli karty klasický platební formulář opět s možností pro uložení karty. Klient tak pro provedení transakce pouze vybere uloženou kartu a zadá bezpečnostní CVV/CVC kód karty, který je uveden na její zadní straně. Pokud je platební karta 3-D Secure, je její držitel opět přesměrován na stránky vydavatele karty, kde zadá bezpečnostní kód. Zrychlení celé transakce je tedy výrazné, ale současně si zachovává bezpečnost klasického e-commerce řešení. Z hlediska bezpečnosti shledávám toto řešení jako vysoce zabezpečené a to z těchto důvodů: celá komunikace probíhá přes protokol HTTPS nutnost znát uživatelské jméno a heslo na stránkách obchodníka identifikace držitele přes neveřejné ID, které nezná ani držitel karty nutnost zadávat CVV/CVC kód k vybrané kartě online autorizace karty (zamezení použití blokované karty) Společnost Global Payments nabízí podobné řešení, které ovšem používá řešení nepožadující zadání CVV/CVC kódu při dalších transakcích. Tím pádem v případě získání přihlašovacích údajů u daného obchodníka je možné neomezeně (až do výše zůstatku na účtu, ke kterému je karta přiřazena) provádět transakce bez dalšího ověření. Jde tedy o nezabezpečenou transakci.
29
3 Bezkontaktní technologie a NFC S bezkontaktní technologií v bankovním sektoru je na trh uveden nový standard – NFC technologie (Near Field Communication). Obě technologie jsou po několika letech mírného vývoje vnímány jako velmi zásadní novinky v nabídce bank a očekává se od nich razantní zvyšování používání karet jejich držiteli.
3.1
Historie technologie Na počátku NFC technologie stály společnosti Philips, Sony a Nokia, které založily v roce
2004 neziskovou organizaci NFC forum, jež definovala standardy protokolu. Technologie prakticky vychází ze standardů RFID technologie, která zahrnuje normu ISO 14443. RFID technologie svou historií sahá až do roku 1983, kdy byl podán první patent na tuto technologii. V bankovním sektoru byla NFC technologie uvedena na trh ve Spojených státech, kde se jako první poskytovatel profiloval nebankovní gigant Google. Ten uvedl na trh produkt Google Wallet. Společnost pro uvedení na trh využila spolupráce s místním operátorem, který poskytnul zařízení od společnosti Samsung. Tento projekt narazil na několik úskalí NFC technologie, které je reálné na všech trzích, kde chce tato nová technologie uspět. Prvním faktorem je dostupnost mobilního zařízení, které bude podporovat NFC technologii. V současné době poskytuje mobilní telefony s NFC čipem pouze společnost Samsung. Využití doporučeného hard limit22 přístupu (typicky VISA) přináší maximální zrychlení realizace platby kartou na obchodním místě. Bezkontaktní technologie je v tomto případě
22
Hard limit - jeden ze způsobů fungování transakčních limitů u bezkontaktních karet. Transakce pod úroveň bezkontaktního limitu terminálu jsou realizovány bezkontaktně offline, transakce vyšší než tento limit jsou povinně realizovány jako standardní čip a PIN transakce. Pokud je transakce nižší než bezkontaktní limit terminálu, ale karta má vyčerpaný čítač bezkontaktních transakcí, držitel je vyzván k provedení standardní kontaktní transakce. V případě transakce vyšší než bezkontaktní limit, není bezkontaktní čtečka terminálu aktivována a držitel je přímo vyzván k provedení kontaktní transakce. Soft limit - druhý ze způsobů fungování transakčních limitů u bezkontaktních karet. Transakce pod úroveň bezkontaktního soft limitu terminálu jsou realizovány bezkontaktně offline, transakce vyšší než soft limit jsou realizovány také bezkontaktně, nicméně jsou autorizovány on-line (nutnost zadání PIN klientem). U bezkontaktní transakce s on-line autorizací nedochází k resetu čítačů offline transakcí karty. Pokud je transakce nižší než soft limit terminálu, nicméně je vyčerpán čítač bezkontaktních transakcí, MasterCard nechává na 30
využívána pouze pro částky do cca 500 Kč, a to bez ověření držitele karty a bez tisku účtenky (tištěna jen na vyžádání). Pro účely zjištění efektivity a časových dopadů při zavedení bezkontaktní technologie byla provedena několikerá měření délky trvání jednotlivých činností při typické platbě na POS (byly stanoveny konkrétní scénáře). Tato přibližná měření jasně ukázala velký benefit v podobě časové úspory při platbě na místech s instalovanou bezkontaktní technologií. Bylo dosaženo podobných výsledků, které uvádí oficiální zprávy jednotlivých asociací (MasterCard úspora 22/s, VISA úspora 21 – 29/s) a to konkrétně v hodnotě okolo 20 s. Lze tedy říci, že zavedení bezkontaktní technologie v sobě skrývá jasný potenciál rapidního zrychlení při platbách při nákupu zboží jak v menších obchodech, tak velkých řetězcích. Pro akceptaci bezkontaktních karet u obchodníků je nutno upravit a tudíž i certifikovat stávající platební aplikace pro platební terminály a doplnit nebo vyměnit nezbytné akceptační zařízení - terminál. Ve většině případů znamená nasazení bezkontaktní technologie nahrazení stávajících terminálů zcela novou produktovou řadou terminálů a vývoj nové aplikace i pro kontaktní část platební aplikace. V bankovním sektoru se jedná o zabezpečenou bezdrátovou komunikaci mezi inteligentní čtečkou a elektronickým zařízením. NFC technologie má vyhrazené pásmo a pracuje na frekvenci 13,56 MHz s rychlostí přenosu dat do 424 kb/s a komunikací typu Half-Duplex (tedy zařízení buď jen naslouchá, nebo vysílá, není možné obojí současně). Dle informací výrobců se dále pracuje na zvýšení rychlosti komunikace až k hranici 1Mb/s. Data jsou přenášena induktivní vazbou, která prakticky vychází z radiového přenosu. NFC technologie podporuje dva módy a to pasivní a aktivní. Pasivní komunikace je využívána tehdy, když jedno zařízení nevyžaduje žádné externí napájení, je napájeno elektromagnetickým polem vysílače. Aktivní mód nastává tehdy, když obě strany spolu komunikují a střídají se ve směru přenosu signálu. V roce 2011, kdy bylo dostupné první zařízení, se dále specifikace NFC technologie vyvíjela, a tak prakticky nebylo možné potvrdit, že mobilní telefon od společnosti Samsung plně odpovídá specifikaci. Z praxe mohu potvrdit, že v daném roce, kdy začínal projekt bezkontaktních plateb, byl poskytnut testovací kus i pro banku, v které pracuji, se zařízení chovalo nestabilně a jeho chování s danou verzí firmware neodpovídalo specifikaci. Dalším požadavkem pro správnou funkčnost je speciální SIM karta. acquirerově rozhodnutí, zda bude vyžadovat standardní kontaktní EMV transakci a nebo povolí on-line autorizaci bezkontaktní transakce. 31
Posledním požadavkem je dostupnost řešení, které bude schopno distribuovat data pro zařízení s NFC čipem – terminal management system. Vybudování této infrastruktury je velmi vysokým počátečním nákladem pro uvedení této služby do provozu. Na trh tedy byla uvedena služba, kterou podporoval pouze jeden mobilní operátor a jen velmi omezený počet telefonů. Úspěšnost takového projektu musí podpořit také akceptační síť platebních terminálů, které budou schopny akceptovat transakce pomocí NFC technologie. Dané zařízení tedy musí být certifikováno dle VISA na PayWave 2.1 a Mastercard PayPass 3.x. Tuto službu ve Spojených státech aktuálně využívá pouze několik desítek tisíc aktivních uživatelů. Lze ale předpokládat, že pouze těmito úvodními pokusy je možné klienty postupně přesvědčit na využívání nových technologií. Na českém trhu byla iniciativa pro aplikaci NFC technologie poprvé zaznamenána ze strany mobilních operátorů. Mobilní operátoři v době, kdy se stabilizoval počet aktivních klientů, kteří využívají hlasové a datové služby, hledají další zdroje příjmů a možnosti využití jejich datové sítě a databáze klientů. Jak již bylo zmíněno, pro realizaci NFC technologie je potřeba disponovat distribučním centrem pro nahrávání bezpečnostního elementu, samotnou přítomností bezpečnostního elementu a dostupným zařízením. Mobilní operátoři tak nadále považují tento segment za potenciální zdroj dalších příjmů, a tak v úvodu jednali o spojení s bankami v ČR, s kterými by tuto službu poskytli svým zákazníkům, ale i klientům bank. Průkopníkem na českém trhu je společnost O2, která se NFC technologií začala zabývat již v roce 2009, kdy spustila projekt s Plzeňskými městskými dopravními podniky. Dalším pilotním provozem v ČR se stal projekt mobilního operátora O2 ve spolupráci s Citibank, Globus ČR, Komerční bankou a VISA Europe. Průměrná částka transakce byla v roce 2012 ve výši 537 Kč. Celé dvě třetiny transakcí byly označeny jako podlimitní, tedy nedosahovaly částky 500 Kč, nad kterou je vyžadována dodatečná autorizace. V ostrém provozu byla NFC technologie poprvé spuštěna bankou GE Money Bank ve spolupráci s O2 v prosinci 2012. Mezi podporovaná zařízení patřily opět pouze mobilní telefony od společnosti Samsung (řada Galaxy). K funkčnosti této služby je nutné disponovat mobilním telefonem s NFC čipem a speciální SIM kartou podporující NFC platby. Do mobilního telefonu je nainstalována aplikace označovaná jako mobilní peněženka.
32
Při platbě do 500 Kč není vyžadováno zadávání bezpečnostního PINu, nad 500 Kč je nutné nejprve zadat bezpečnostní PIN a poté je mobilní telefon přiložen k platebnímu terminálu. Dle statistik SBK pro první čtvrtletí 2013 bylo provedeno celkem 2 791 606 NFC transakcí v celé ČR23.
3.2
Specifikace bezkontaktní technologie Specifikace bezkontaktní technologie vychází ze standardu EMV5 pro bezkontaktní
rozhraní, jehož velká část byla odvozena od standardu ISO/IEC1443. Bohužel však nebylo mezi jednotlivými asociacemi dosaženo kompletní shody, a tak je společný standard EMV definován pouze pro první - fyzickou vrstvu protokolu. Další vrstvy komunikačního protokolu jsou specifické dle konkrétní asociace. Asociace Visa vydala sadu specifikací pod názvem Visa PayWave, asociace MasterCard pod názvem MasterCard PayPass. Jednotlivé přístupy dle těchto specifikací se navzájem výrazně liší. Mimo zmíněné rozdíly existují i odlišnosti dle konkrétní verze příslušné specifikace či protokolu. Bezkontaktní terminály vyžadují oproti kontaktním terminálům rozšiřující nastavení jako jsou například limity, terminálové akční kódy nebo povolené typy transakcí. Asociace MasterCard i Visa zavedly v rámci bezkontaktní technologie nové typy terminálových limitů. Jejich volba má zásadní vliv na akceptaci bezkontaktních karet z hlediska businessu.
3.2.1 Bezkontaktní platební karta Rozměry bezkontaktních platebních karet jsou standardizovány podle mezinárodní normy ISO 7816. Dle tohoto standardu se vyrábějí tři typy karet v několika velikostech, viz tabulka č. 1. Nejrozšířenějším typem platební karty je typ ID-1, který se využívá nejen u bankovních karet, ale i u telefonních karet, řidičských průkazů atd. Tento rozměr je nejčastěji označován jako „velikost platební karty“.
23
SBK BANKOVNÍ KARTY. Statistiky SBK [on-line]. Praha: SBK, [cit. 10.5.2013]. Dostupné z: http://statistiky.cardzone.cz/download/sbk_statistika_1kv_2013_nfc.pdf. 33
Tabulka č. 1: Normované rozměry platebních karet Označení
Rozměry
Popis
ID-1
85,725mm (šířka) x 53,975mm (výška)
platební karty
ID-00
66 mm (šířka) x 33 mm (výška)
identifikační karta
ID-000
25 mm (šířka) x 15 mm (výška)
SIM karty
Zdroj: http://www.cardwerk.com/smartcards/smartcard_standard_ISO7816
Bezkontaktní platební karta má velmi podobnou konstrukci jako hybridní platební karty24. Skládá se z předního a zadního plastového dílu, na které se provádí tisk grafického zpracování platební karty. Na předním díle je osazen integrovaný obvod jako u čipové karty. Ve středu karty je vložena bezkontaktní vložka obsahující anténu. Obrázek č. 3: Konstrukce bezkontaktní karty
Zdroj: ABnote, Austrálie..
Platební karta musí obsahovat tyto nezbytné náležitosti25: Označení vydavatele karty Jméno držitele platební karty, popřípadě určitou formu identifikace držitele karty (například rodné číslo nebo podpis) Číslo platební karty (PAN) Platnost platební karty a záznam dat 24
Hybridní karta – karta obsahující čipovou technologii i magnetický proužek. DVOŘÁK, Petr. Bankovnictví pro bankéře a klienty. Praha: Linde Praha a.s., 2005.s.371, ISBN 80-7201-515X. 25
34
V současné době nabízí bezkontaktní karty většina velkých bank. Pro tuto práci byl zpracován přehled nabízených produktů, v tabulce níže jsou uvedeny i asociace, pod kterými byla bezkontaktní platební karta vydána. Tabulka č. 2: Přehled nabízených bezkontaktních karet na českém trhu Banka
Asociace
Produkt
Počet k 31.5.2013
Mastercard
kreditní
27 080 ks
Mastercard
debetní
175 132 ks
Citibank
Mastercard
kreditní
Nezjištěno
Komerční banka
Mastercard
kreditní
Nezjištěno
VISA
kreditní
Nezjištěno
GE Money Bank
Nenabízí
UniCredit bank ČSOB
Mastercard
kreditní
8 000 ks
debetní
600 000 ks
Raiffeisen Bank
Mastercard
kreditní
17 000 ks
Česká spořitelna
VISA
debetní
953 213 ks
kreditní
8 106 ks
Mastercard
kreditní
30 161 ks
Mastercard
debetní
45 000 ks
VISA
debetní
90 000 ks
Air Bank mBank Fio Banka
Nezveřejňuje údaje
Zdroj: vlastní tvorba, odpovědi na emailový dotaz, tiskové a výroční zprávy bank
Požádala jsem písemně všechny banky o dodání počtu vydaných bezkontaktních karet, bohužel i přes velké úsilí se mi nepodařilo od všech požadované údaje získat. Pro doplnění jsem tedy využila veřejně dostupné údaje v publikovaných článcích na internetu.
26
Pokud se
podíváme na situaci v Evropské unii, bezkontaktní karty se velmi rychle rozšiřují a stejně tak roste počet jimi provedených transakcí. V Anglii je v oběhu aktuálně 26,9 milionu bezkontaktních karet, na trhu pak 232 tisíc terminálů je schopných přijímat. Ve Francii bylo k dnešnímu dni vydáno 6,7 milionu bezkontaktních karet, do konce roku se odhaduje tento 26
BUBÁK Zdeněk. Bezkontaktní platby válcují Českou republiku [on-line]. Praha: finparada.cz, [ cit. 12.6.2013]. Dostupné z: http://www.finparada.cz/1465-Bezkontaktni-platby-valcuji-Ceskou-republiku.aspx. 35
počet na celkem 16 milionu karet, které bude možné využít na 120 tisících terminálů. V Polsku se aktuálně využívá 8.6 milionu kontaktních karet na 116 tisících obchodních terminálech. Na Slovensku je v oběhu 1,3 milionu bezkontaktních karet a více než 10 tisíc terminálů. Španělsko má na svém trhu aktuálně 2,9 milionu bezkontaktních karet a 183 tisíc terminálů u obchodních partnerů. Turecké banky vydaly dosud přes šest milionů bezkontaktních karet, kterými mohou držitelé platit na celkem 69 tisících terminálech.27
3.2.2 Akceptační místo Uspořádání bezkontaktních zařízení na prodejním místě je důležité a má vliv na komfort provedení platby jak ze strany zákazníka, tak obchodníka. Proto je nezbytné zvolit vhodnou variantu instalace na konkrétním místě. Čtečka bezkontaktních karet může být integrována buď přímo v terminálu, či může být fyzicky oddělena, obě situace znázorňuje následující obrázek. Obrázek č. 7: Bezkontaktní čtečky Ingenico
Bezkontaktní čtečka integrovaná v terminálu
Externí čtečka v PINpadu
Zdroj: Ingenico < http://www.ingenico.com/ >.
Jednotlivá zařízení mohou být propojena s existujícím POS systémem, ECR a dalšími zařízeními (např. PINpadem) různými způsoby. Funkční propojení znázorňující typické prodejní místo s akceptací platebních karet je uvedeno na obrázku č 8.
27
The status of retail payments surveyPCM, CARTES Survey 2013_C.pdf, Brusel: PaymentCM LLP, 2013 , s.7. 36
Obrázek č. 8: Fyzické uspořádání u obchodního partnera
Kontaktní rozhraní (Level 1)
Aplikační rozhraní (Level 2)
TERMINÁL
POKLADNA
Bezkontaktní rozhraní (Level 1)
Aplikační rozhraní - bezkontaktní (Level 2)
Zpracování transakcí
RF ANTÉNA
Rozhraní magnetického proužku
MAGNETICKÝ PROUŽEK
PINPAD
Zdroj: vlastní tvorba
Bezkontaktní zařízení, které přijímá bezkontaktní platební karty, lze rozdělit na tři typy dle fyzické integrace a typu schváleného EMV stupně (levelu): plně integrovaný terminál se čtečkou terminál s oddělenou inteligentní čtečkou terminál s oddělenou transparentní čtečkou. Čtečka odpovídající specifikaci EMV L1 (bez L2) je čtečka odpovídající certifikaci EMV pro elektromechanické charakteristiky, logické rozhraní a přenosový protokol. Čtečka se specifikací EMV L2 obsahuje navíc (oproti EMV L1) ještě aplikační kernel odpovídající požadavkům na interoperabilitu s platební aplikací dle definované EMV. Popis jednotlivých případů je uveden v tabulce č. 3 - Typy akceptačních bezkontaktních zařízení. 28
28
Specifikace Contactless řešení ČS – interní dokumentace k projektu. 37
Tabulka č. 3: Přehled zařízení pro bezkontaktní čtení Zařízení
Terminál s integrovano u čtečkou
Terminál s oddělenou čtečkou
Terminál s transparent ní čtečkou
Popis RF zařízení je plně integrováno do terminálu, který odpovídá všem předepsaným specifikacím týkajících se bezkontaktního rozhraní. RF zařízení je zasazeno do oddělené (externí) čtečky karet, která odpovídá všem předepsaným specifikacím týkajících se bezkontaktního rozhraní. RF zařízení je umístěno do oddělené čtečky, která splňuje EMV Level 1 specifikaci pro bezkontaktní rozhraní. Čtečka je dále propojena s terminálem, který splňuje bezkontaktní specifikace odpovídající EMV Level 2
Uspořádání Terminál RF zařízení
EMV level 1
EMV level 2
Čtečka
Terminál
RF zařízení
EMV level 1
EMV level 2
Terminál
Čtečka RF zařízení
EMV level 1
EMV level 2
Zdroj: interní dokumentace ČS
Nabídku bezkontaktních platebních terminálů lze rozdělit do několika skupin. Dle fyzického uspořádání lze rozdělit platební terminály na vestavné a volně stojící. Volně stojící jsou všechny terminály, které mají vlastní konstrukci i obal a nevyžadují vestavbu do dalších zařízení. Vestavné terminály jsou určeny pro zabudování do dalších zařízení, jako jsou samoobslužné stojany u čerpacích stanic nebo u prodejních automatů.
38
V poslední době lze tato zařízení čím dál více nalézt například na placeném parkovišti. Dále lze volně stojící terminály dělit na stacionární a mobilní. Stacionární jsou připojeny na lokální síť obchodníka, mobilní terminály využívají bezdrátové technologie pro připojení do acquirerské banky. Součástí této bakalářské práce je analýza nabídky terminálů na českém trhu. V našem regionu dominuje francouzská společnost Ingenico, která má ve svém portfoliu celou řadu bezkontaktních terminálů řady Telium 2. Do této řady patří tyto nejvyužívanější terminály a bezkontaktní PINpady: Ingenico iCT220 (terminál bez bezkontaktní čtečky – vyžaduje PINpad s čtečkou) Ingenico iPP220 (PINpad s vestavěnou bezkontaktní čtečkou, vyžaduje pro chod propojení s terminálem) Ingenico iCT250 (terminál s barevným displejem) Ingenico iPP320 (inteligentní PINpad, nevyžaduje propojení s terminálem – vhodný pro propojení přímo s pokladnou) Ingenico iWL221 (mobilní terminál s konektivitou přes GPRS připojení) Ingenico iWL222 (mobilní terminál komunikuje s dokovací stanicí přes Bluetooth) Terminály řady Telium 2 jsou v ČR nejrozšířenějším typem bezkontaktních terminálů. Mezi další poskytovatele patří společnost Verifone s produkty řady a Hypercom s řadou Optimum, která byla doplněna o bezkontaktní PINpad, který stávající řadě terminálu umožní přijímat bezkontaktní platby. Bezdrátová technologie se díky vývoji v posledních letech stává nedílnou součástí nejen počítačové technologie, ale je čím dál více využívána v bankovním sektoru. Bezkontaktní platbou se rozumí platba pomocí platebního prostředku, který obsahuje čip a anténu, a která tak umožňuje zákazníkovi zaplatit pouhým přiložením tohoto platebního prostředku do blízkosti čtečky těchto prostředků (zpravidla na vzdálenost max. několika centimetrů). V současné době nabízí některý z produktů pro bezkontaktní platby naprostá většina kartových asociací.
39
Okruh států, kde již byla tato technologie implementována či kde implementace právě probíhá, pokrývá téměř celou Evropu. Zavedení bezkontaktní technologie s sebou přináší množství výhod, ale též některá možná rizika, které je potřeba zvážit před vlastní implementací a pokud možno minimalizovat jejich dopady. Zákazník může pohodlně zaplatit za zboží, aniž by musel vydávat platební kartu z ruky, či ji zasunovat do příslušné čtečky. Pro vyzdvihnutí komfortu platby tak bývá realizace bezkontaktní platby označována jako „Touch & Go“ či „Wave & Pay. Motivací ze strany zákazníka je tedy pohodlný a rychlý způsob platby, mnohdy rychlejší než použití hotovosti a téměř vždy rychlejší nežli kontaktní způsob platby. Prvotní motivací zavedení bezkontaktních plateb pro kartové asociace a banky je fakt, že přestože je množství platebních transakcí již nyní realizováno pomocí platebních karet, stále existuje velká část trhu, kde zákazníci upřednostňují platbu pomocí hotovosti a vzhledem k množství těchto transakcí by bylo výhodné pokrývat i tuto část trhu. Jedná se především o platby nízkých hodnot, neboť např. jen v České republice je odhad hotovosti v segmentu mikroplateb za rok 2010 cca 506 miliard korun. Motivací pro obchodníky je pak rychlost platby včetně možnosti eliminace tisku účtenek, která umožňuje odbavení většího množství zákazníků za daný čas a větší bezpečnost oproti manipulaci s hotovostí. Dalším důvodem je fakt, že zákazníci při platbě platební kartou zpravidla utratí více peněz, nežli by tomu bylo v případě platbou hotovostí - za běžných okolností nemají bezprostřední informaci o stavu účtu oproti aktuálnímu množství hotovosti v peněžence.
3.3
Implementace bezkontaktní technologie a NFC Při zavádění bezkontaktní technologie je nutné vyhodnotit a zvolit vhodný způsob
implementace z hlediska bezpečnostních dopadů (např. způsob distribuce nových karet, blokování karet apod.). Pro implementaci těchto nových technologií je také důležité zvolit vhodné období, kdy jsou potenciální klienti připraveni na tuto novou službu a jejich návyky a názory potvrzují, že je správný čas službu uvést.
40
Dle mého názoru tak může předčasná implementace nové technologie a její uvedení na trh výrazně ovlivnit úspěšnost nabízené služby. Příkladem může být i NFC technologie, jak je možné vyhodnotit z grafu č. 2.
3.3.1 Implementace bezkontaktní technologie Implementace nové technologie znamená další zásah do systémů banky, kde se obvykle mění některá pole ve zprávách a komunikaci. Jak je uvedeno u nabízených modelů na trhu, viz kapitola 3.2.2., některé modely nabízejí propojení s pokladním systémem obchodníka. Komunikační protokol musí být obvykle taktéž upraven. Obvykle zavedení bezkontaktní technologie nemá znatelný vliv na zatížení přenosových kanálů a komunikačních linek.
3.3.2 Implementace NFC Obecně lze implementaci NFC technologie do prostředí banky označit za mnohem náročnější a to nejen finančně. Jak již bylo uvedeno v kapitole popisující princip NFC technologie, ta vyžaduje přítomnost centrálního systému pro správu tzv. „secure elementu“ zahrnující jeho distribuci, distribuci aplikace, správu účtů a dalších důležitých prvků. Dle dostupných statistik považují samotní experti hromadnou implementaci NFC technologie za aktuální až za několik roků, jak dokazuje níže uvedený graf29. Celkem 21 procent obchodníků uvedlo, že NFC technologie do bankovní sféry je největším problémem v současnosti.
29
The status of retail payments surveyPCM, CARTES Survey 2013_C.pdf , Brusel: PaymentCM LLP, 2013, s.7. 41
Graf č. 2: Připravenost trhu na NFC technologii dle expertů
Zdroj: prezentace PCM-CARTES Survey 2013_C.pdf – strana 7
Pokud se ale banka rozhodne implementovat NFC technologii, přináší to samozřejmě i některé výhody pro banku a klienta. Mezi ně patří z pohledu klienta: Platební nástroj v jednom – mobilní telefon a platební nástroj Jednoduché ovládání a použití – platba za zboží, platba dopravy, platba mezi klienty Vzdálená správa řešení a možnost aktualizace přes hlavní řídící systém Přehlednost – jednoduché zobrazení uložených karet Dále z pohledu banky: Úspory v nákladech na vydávání nosiče údajů Rychlá distribuce produktu směrem ke klientovi Větší vazba a odezva směrem ke klientovi – aktualizace produktu, oslovení Možnost využívat NFC technologii jako platební terminál Jak je uvedeno v posledním bodu pohledu ze strany banky, NFC technologii lze implementovat nejen jako platební nástroj, ale i jako zařízení pro příjem plateb. Obecně se pak očekává, že NFC zařízení pro příjem plateb pomocí mobilního telefonu je cenově výrazně úspornější než nákup, instalace a správa platebního terminálu.
42
NFC aplikace
SIM karta
NFC server
Banka / Provider
Obrázek č. 9: Propojení zařízení NFC
Zdroj: vlastní tvorba
Implementace ekosystému NFC se skládá z koncového zařízení pro klienty, NFC zařízení pro příjem platebních karet a především TSM systému. Ten se skládá ze zprávy bezpečnostní domény, personalizace řešení a serveru pro správu obsahu. Součástí systému je samozřejmě aplikace do mobilních zařízení, v dosud uvedených produktech se jednalo vždy o nativní aplikace pro daný operační systém. Posledním článkem je správce služby (provider), kterým bývá obvykle volen mobilní operátor. Na obrázku č. 9 je uvedeno schéma, jak je implementována správa aplikace a secure elementu, kterým je v tomto případě SIM karta. Na výše uvedeném příkladu je prezentováno řešení, kdy je jako secure element volena SIM karta. Banka má ovšem další možnosti, jaký secure element použít. Může jím být i paměťová karta nebo speciální pouzdro na mobilní telefon. Dle mého názoru je největším rozdílem pořizovací cena, dále možnost aktualizace elementu a jeho praktické využití. SIM kartu obsahuje každý mobilní telefon, na rozdíl od paměťového slotu. Výroba speciálního pouzdra pro daný typ zařízení omezuje množinu klientů na předem definované typy zařízení na daný typ mobilního telefonu.
43
4 Porovnání rizika a výhod bezkontaktních karet Obecně lze o platebním prostředí v ČR hovořit jako o velmi bezpečném oproti ostatním zemím ve světě a to díky pomaleji se rozvíjejícímu trhu s platebními kartami. Již od roku 1992 je v českých zákonech zakotven postih v případě padělání platebních karet nebo podvodů s nimi. (zdroj: SBK). Nejlépe bezpečnost vystihuje statistika SBK, viz tabulka níže, která uvádí údaje v letech 2001 – 2008. Procentní body uvedené v tabulce znamenají poměr celkového objemu podvodných transakcí vůči celkovému objemu obratů v celé akceptační infrastruktuře včetně bankomatů na území ČR. Tabulka č. 4: Podezřelé transakce - procentní body a basis points Rok
2001
2002
2003
2004
2005
2006
2007
2008-1Q
ČR (%)
0,073
0,057
0,064
0,040
0,013
0,027
0,025
0,019
ČR – BP
7,3
5,7
6,4
4,0
1,3
2,7
2,5
1,9
8,6
8,4
8,2
Evropa BP USA (PIN)
1,0
USA
6,0
(podpis) Zdroj: SBK, Dostupné z: http://www.bankovnikarty.cz/pages/czech/profil_cr.html [cit. 2013-5-1].
Z tabulky je zřejmé, že oproti Evropě je v ČR procento podezřelých nebo podvodných transakcí násobně nižší. Oproti pinovým transakcím v USA je naopak počet podezřelých transakcí nižší, naproti tomu u transakcí ověřovaných podpisem je násobně vyšší. Dle mnou získaných informací byla hodnota BP u České spořitelny za rok 2012 ve výši 1,7. Nasazení bezkontaktních plateb nepřináší pouze výhody, ale i některá potencionální úskalí, na která je třeba poukázat. V první řadě přináší toto řešení zvýšení komplexnosti stávající infrastruktury a z toho plynoucí zvýšení nákladů na provoz a implementaci celého řešení. Dalším bodem, který je potřeba zmínit, je zvýšené potencionální riziko zneužití prostředků daného účtu. Možným rizikem může být i návyk zákazníka na určitý způsob platby, který se při nevhodném nasazení bezkontaktních plateb především v první fázi implementace může jevit jako lepší než nové řešení pomocí bezkontaktní platby a zákazník tak bude preferovat stávající způsoby platby. V neposlední řadě může být překážkou i 44
nedůvěra zákazníka v bezkontaktní způsob platby jako takové (obava z možnosti zkopírování citlivých dat z karty na dálku apod.). Možnou komplikací může být i fakt, že zákazník může být z bezpečnostně technického hlediska nucen čas od času provést platbu kontaktním rozhraním i v případě, že by bylo teoreticky možno použít bezkontaktní platbu. Aby nebyla ztracena důvěra zákazníka v bezkontaktní technologii, je vždy nutné stejně jako u jakékoliv jiné nové služby provést osvětu držitelů karet. Vhodnou volbou limitů lze omezit částku, která může být zneužita v případě odcizení karty, dokud není krádež nahlášena vydavatelské bance. Při bezkontaktních platbách není možné kartu vzdáleně zablokovat. Mezi další rizika nasazení a využívání bezkontaktních plateb patří dopady na obsluhu terminálu, a to především v následujících bodech: Uživatel karty není z principu bezkontaktních plateb nucen vydávat během transakce platební kartu z ruky Tisk účtenky za transakci, která nepřesáhne hodnotu CVM, nebude povinný. Na místech, kde je připojen terminál k pokladnímu systému (či pouze inteligentní PINpad) bude tisk účtenky zajištěn skrze pokladní systém. Tam, kde taková konfigurace nebude, je nutné zohlednit možnost požadavku tisku účtenky zákazníkem. Z legislativního hlediska a trestního zákoníku v naší zemi může být osoba, která zneužije platební kartu postihnuta dvěma paragrafy: Trestný čin podvodu – dopouští se ho ten, kdo se obohatí ke škodě cizího majetku, nebo uvede někoho v omyl a způsobí mu výraznější škodu. Pro tento trestný čin je stanoven rozsah trestu odnětí svobody na 5 až 12 let. Neoprávněné držení karty – dopouští se ho ten, kdo se neoprávněně obohatí o nepřenosnou platební kartu nebo podobné zařízení schopné plnit stejnou funkci. V tomto případě je možno stanovit odnětí svobody až na dva roky.
45
4.1
Srovnání s kontaktní platbou Celá technologická struktura bezkontaktní komunikace byla navržena pro blízkou
komunikaci mezi zařízeními, která od sebe nebudou vzdálena déle než 10 centimetrů. Tento parametr lze brát jako bezpečnostní prvek, ovšem v odborné literatuře a na internetu byly popsány způsoby, jak je možné na komunikaci zaútočit. Samotná specifikace komunikace (i NFC) tak nijak nechrání komunikaci před vnějšími vlivy. Proto jsou využívány v praxi kryptografické protokoly, například SSL komunikace pro vytvoření zabezpečeného komunikačního kanálu. Bezpečnost je tak prakticky nutno ošetřit v několika částech NFC technologie – při výrobě zařízení, při programování softwarového vybavení (odolnost vůči virům, atd.) a zabezpečit data uživatele zařízení, které obsahuje citlivé údaje jako je například PAN, expirace nebo CVV/CVC2 karty. Pokud by nebylo šifrování využíváno, je prakticky možné odposlouchávat komunikaci mezi zařízeními. U pasivních zařízení, která negenerují své elektromagnetické pole, je odposlech velmi složitý. Pokud je tedy zachycena komunikace mezi zařízeními, je reálné data modifikovat, ovšem díky kontrole svého elektromagnetického pole aktivním zařízením je následně toto zasažení do komunikace zjištěno. Graf č. 3: Porovnání bezpečnosti řešení specialisty
Poznámka: čím nižší číslo, tím je technologie vnímána jako bezpečnější Zdroj: The status of retail payments surveyPCM, CARTES Survey 2013_C.pdf , Brusel: PaymentCM LLP, 2013 , s.7 46
Je tedy velmi složité napadnout komunikaci tak, aby tato změna nebyla registrována, navíc lze měnit pouze některé bity komunikace. Dalším možným útokem je tzv. přepojovaný útok, kdy je realizováno zařízení mezi čtečkou a kartou a zprostředkovává v reálném čase komunikaci. Z praxe mohu potvrdit, že zatím nebyl evidován jediný případ napadnutí komunikace bezkontaktní platební karty a její zneužití. Pokud se na srovnání bezpečnosti podíváme z pohledu expertů v bankovnictví - viz graf č. 3, jako nejbezpečnější řešení se považují klasické platební karty, za kterými se drží bezkontaktní karty. Lze tedy potvrdit, že i po příchodu bezkontaktní technologie jsou platební karty nadále vnímány jako nejbezpečnější forma platby z nových technologií na trhu. Významným ochranným prvkem bezkontaktních plateb jsou nastavené limity pro bezkontaktní transakce. Například základní omezení pro bezkontaktní transakci bez zadání PINu je maximální výše transakce do 500 Kč. Všechny transakce nad tuto částku tak vyžadují od držitele karty zadání PINu. Dále většina bank provozuje tzv. bezpečností limit pro danou kartu. To znamená, že klient po vyčerpání limitu pro bezkontaktní transakce musí provést jakoukoliv kontaktní transakci. Mezi ně patří standardní transakce typu prodej, nebo také výběr z bankomatu. Touto akcí se čítač bezpečnostního limitu nuluje a držitel karty tak může opět provádět další transakce bezkontaktně. V případě ztráty nebo odcizení karty je tak možné provádět bezkontaktní transakce pouze do daného limitu. Tím je ochráněna jak banka, která obvykle za tuto částku ručí, tak i držitel karty. Pro držitele karty jsou tak zachovány stejné podmínky jako v případě kontaktní karty. Lze říci, že z pohledu držitele platební karty neshledávám bezkontaktní technologii jako více nebezpečnou než kontaktní, nesetkala jsem se v praxi s žádným případem jejího zneužití.
4.2
Srovnání s hotovostní transakcí Hotovostní transakce jsou používány již od nepaměti. V minulosti se jako fyzické platidlo
používalo zboží či nerosty a až do dnešní doby tato forma platby přetrvává ve formě mincí a bankovek. Lidé toto platidlo vnímají jako přirozenou formu platby, všechny současné generace od svého narození vnímají tuto formu jako základní nástroj pro platbu. Z bezpečnostního hlediska je platba hotovostí vnímána jako velmi bezpečná. Snad každý ví, že pokud má peněženku s hotovostí u sebe, nemůže dojít k jakémukoliv zneužití jeho majetku a hodnoty. Je ale nutné zmínit, že hotovost jako takovou může ohrozit její fyzické 47
znehodnocení, padělání a nenávratná ztráta. Ne mnoho lidí ovšem ví, že co se týče placení u obchodníka hotovostí, je výhodnější platba kartou. Například pokud obchodníkovi zaplatím za zboží, které mi nebude dodáno, zbývá mi pouze obrátit se na policii nebo na soud a touto formou požadovat vrácení částky nebo dodání zboží. Tato situace je v případě platby kartou, například online mnohem výhodnější. Pokud například online zaplatím zboží, které mi nebude dodáno, banka mi částku vrátí a následně ji vymáhá sama po obchodníkovi. Držitel karty má tedy jistotu, že částku dostane zpět. Padělání bankovek je další možností ztráty hodnoty. Pokud se podíváme na statistiky padělání bankovek v České republice, které zveřejňuje ČNB, bylo v roce 2000 zadrženo 5015 kusů padělků z toho 3652 zadržela policie a 1365 padělků bylo zadrženo v oběhu. Pokud vezmeme v potaz, že v daném roce bylo v oběhu 230 milionu bankovek, připadá na milion bankovek celkem šest padělaných. Tento počet nijak neohrožuje samotný peněžní tok v naší zemi. V porovnání platby hotovostí a platby kartou lze najít shodu co se týče zabezpečení platebního média jako takového. Jak platební karty, tak bankovky disponují bezpečnostními prvky, které využívají jako ochranu před zneužitím. Mezi ochranné prvky českých bankovek patří vodoznak, okénkový proužek s mikrotextem, barevná vlákna, soutisková značka, skrytý obrazec, proměnlivá barva, iridiscentní pruh a mkrotext30. Naproti tomu u platebních karet se lze setkat s těmito ochrannými prvky: ochranná známka PIN čip UV element embosování UV iniciály hologram potisk citlivý na UV světlo
30
ČNB. Česká národní banka – České bankovky [on-line] 2013, [cit. 2013-6-10], Dostupné z: http://www.cnb.cz/cs/platidla/bankovky/animace.html. 48
Zabezpečení platebních médií je u obou platebních metod na vysoké úrovni. Přesto se vyskytují další padělky a falzifikáty, proto banky i ČNB musí neustále situaci sledovat a případně na výkyvy reagovat případným zkvalitňováním ochranných prvků. Nevýhodou zavádění ochranných prvků jsou náklady na jejich implementaci do média. Velkou výhodu u platebních karet spatřuji v možnosti kontroly v okamžiku použití platebního média. U transakcí platební kartou obsluha má možnost rychle ověřit vzhled karty a to, zda na dané kartě je dostatečný zůstatek za něj provede autorizací banka. Výjimkou mohou být bezkontaktní karty, které si držitel karty ponechává pod svou kontrolou. Obsluha navíc u kontaktních karet může provést například základní ověření, zda je na platební kartě jméno ženské, a zda klient je stejného pohlaví. Navíc vše držitel karty potvrzuje buď podpisem nebo PINem u kontaktních transakcí. U bezkontaktních transakcí je vyžadován PIN při transakci nad 500 Kč. U hotovosti může obsluha využít pro ověření pravosti bankovky speciální lampu, ovšem další možnosti, jak pravost ověřit prakticky nemá.
4.3
Výzkumná část Bezpečnost a využití platebních karet ve společnosti je velmi zajímavou oblastí, ve které
lze hledat jak odpovědi na otázky využívání nových technologií, tak odpovědi na vnímání bezpečnosti platebních karet v bankovním sektoru. Odpovídajícím způsobem, jak získat tyto informace, je provedení průzkumu napříč společností. Jako formu výzkumu jsem zvolila online dotazník. Jedná se o výzkum kvantitativní, který se zaměřuje na věkově neomezenou skupinu respondentů a obsahuje větší okruh informací týkající se problematiky platebních karet. Respondenti byli dotazování anonymně. Jediné osobní údaje, které museli zadat, byly údaje o tom, zda je dotazovaný muž či žena a věková skupina. Jednalo se tedy o výzkum formou dotazníku, který obsahoval 12 otázek k dané problematice. Možnosti odpovědí byly závislé na položeném dotazu. Dotazník je uveden v příloze č.1.
49
4.3.1 Vymezení cílů výzkumu V prvé řadě jsem chtěla zjistit, jaký typ platební karty, jak často a k čemu ji respondenti nejčastěji využívají. Dále jsem chtěla zjistit, jak respondenti vnímají bezpečnost platebních karet a jak si stojí platba kartou oproti jiným platebním metodám. Zajímalo mě také, zda si respondenti hlídají stav účtu, ke kterému je platební karta vydána. Ve třetí části výzkumu mě zajímalo povědomí společnosti o nových platebních metodách na trhu, jako jsou NFC technologie, mobilní telefony a QR kódy. Dalším mým záměrem bylo zjistit, jaké jsou návyky dotazovaných při platbě kartou a zda považují akceptační síť v České republice za dostatečnou.
4.3.2 Formulace hypotéz 1. hypotéza – Bude převažovat výskyt standardních čipových karet, platby budou na denní bázi a budou nejčastěji využívané k platbám v obchodech Mým předpokladem je, že s ohledem na počet vydaných karet České republiky a zveřejněné statistiky bude nadále převládat standardní čipová karta, přestože počet vydaných bezkontaktních karet rychle stoupá. Důvodem k této hypotéze je především to, že bezkontaktní karty jsou stále považovány za novinku na trhu a nejčastěji je klient obdrží s automatickou obměnou karet po její expiraci. Cíleně si o bezkontaktní karty zažádají spíše mladší respondenti nebo techničtí nadšenci. Dále se domnívám, že platba kartou bude na denní bázi, protože platební kartu dnes vlastní téměř každý. Akceptační síť se v České republice každým rokem rozrůstá i mezi menší obchodníky a díky bezkontaktním platbám je možné karty pohodlně používat i pro velmi nízké transakce. Proto očekávám, že platební karty budou nejvíc využívány pro nákup v obchodech. 2. hypotéza – Použití platební karty je bezpečná forma placení Dle mého názoru budou dotazovaní odpovídat, že platební karty jsou bezpečnou formou platby. Ovšem při porovnání bezpečnosti platby kartou oproti hotovosti očekávám, že hotovost bude nadále považována za nejbezpečnější formu platby. Fyzické platidlo totiž lidstvo používá již několik staletí. Povědomí o velké bezpečnosti platebních karet je nadále 50
výsadou lidí, kteří pracují v bankovním sektoru. Veřejnost je dle mého názoru stále málo informována o bezpečnostních prvcích platebních karet. 3. hypotéza – O nových technologiích bude mít povědomí velmi nízké procento respondentů Domnívám se, že většina respondentů nebude mít o nových technologiích povědomí, protože NFC technologie nebyla doposud v České republice nabídnuta klientům bank na rozdíl od některých zemí na světě. Předpokládám, že povědomí o NFC technologii budou mít pouze lidé, kteří se o oblast bankovnictví a nových platebních metod zajímají. Co se týče QR kódů, očekávám, že zhruba polovina respondentů bude mít povědomí o této technologii. Důvodem k tomuto tvrzení je, že tato technologie je již funkční například u platebních příkazů a je využívána velkými společnostmi na českém trhu. 4. hypotéza – Akceptační síť je dostatečná a respondenti si ověřují možnost platby kartou Očekávám, že respondenti v tomto případě vyhodnotí akceptační síť v České republice za dostatečnou a to ve věkové skupině nad čtyřicet let. Respondenti do čtyřiceti let budou uvádět akceptační síť za nedostatečnou, protože více využívají platební kartu a považují tento způsob platby za standard. Možnost platby kartou si dle mého názoru budou ověřovat především respondenti mladší generace, protože využívají platbu online častěji než starší generace.
4.3.3 Zpracování výzkumu V této podkapitole jsou zpracovány výsledky odpovědí na otázky, které obsahoval dotazník, v tabulkách a grafech uvádím odpovědi respondentů. Každá otázka má zpracován graf a je detailněji popsána a rozvedena. 1. Jaký typ platební karty používáte? V tabulce níže je uvedeno procentuální zastoupení bezkontaktních karet dle věkové skupiny respondenta. Tabulka č. 5: Přehled využívání daného typu platební karty Věková skupina Podíl bezkontaktních karet
15-20 0%*
21-30 40%
31-40 33%
41-50 41%
50 a více 19%
* s ohledem na nízké procento respondentů nelze vyvodit jakýkoliv závěr 51
Průměr 34%
Z celkem 150 respondentů uvedlo celých 34%, že pro platby využívají bezkontaktní kartu, 66% respondentů pak používá hybridní čipovou kartu. Graf č. 4: Typ používané karty
Zdroj: vlastní tvorba
2. Jak často využíváte platební kartu pro platby? V další otázce byli respondenti dotazováni na frekvenci využívání platební karty. Pro porovnání jsem provedla rozbor dle věku a v tabulce níže uvedla, kolik procent respondentů v dané věkové skupině využívá platební karty. Tabulka č. 6: Procentuální využívání platební karty s ohledem na věk Věková skupina Denně Týdně Měsíčně vyjímečně Respondentů
15-20 0 33,3% 33,3% 33,3% 3
21-30 15 (36%) 4 (9,6%) 22 (52,4%) 1 (2,4%) 42
31-40 24 (53,3%) 3 (6,7%) 17 (37,8%) 1 (2,2%) 45
41-50 18 (53%) 0 (0%) 13 (38,2%) 3 (8,8%) 34
50 a více 11 (42,3%) 0 (0%) 12 (46,1%) 3 (11,6%) 26
Celkem 46% respondentů uvedlo, že platbu používá denně, 43% využívá kartu týdně a celkem pouze 11% respondentů používá kartu v malé míře.
52
Graf č. 5: Četnost plateb platební kartou
Zdroj: vlastní tvorba
3. K čemu nejčastěji platební kartu využíváte? Ve třetím dotazu byli respondenti dotázáni na účel, ke kterému platební kartu nejvíce používají. Celých 77 procent z nich využívá svou platební kartu pro platby v akceptační síti obchodních partnerů. Tím se potvrzuje, že platební karta je dnes nedílnou součástí každé peněženky a je využívána především k nákupům v obchodech. Velmi nízký výsledek byl zaznamenán u nákupů na internetu. Tato oblast roste ročně minimálně o deset procent a více, ovšem ve výsledcích zaznamenává pouze tříprocentní podíl z celkového počtu. Graf č. 6: Nejčastější způsob nakupování
Zdroj: vlastní tvorba
Můj závěr je, že nízké procento je částečně způsobeno vyšším průměrným věkem respondentů a nakupovacím návykem držitelů karet. Zajímavým srovnáním je pak využití karet s ohledem na věk, které je uvedeno v tabulce níže.
53
Tabulka č. 7: Nejčastější využití platby kartou Věková skupina Internet Obchodníci Výběr hotovosti
15-20 0% 0% 100%
21-30 3 (7,2%) 30 (71,4%) 9(21,4%)
31-40 2 (4,4%) 39 (86,7%) 4 (8,9%)
41-50 0 (0%) 28 (82,4%) 6 (17,6%)
50 a více 0 (0%) 18 (69,2%) 8 (30,8%)
Z tabulky výše je patrné, že využívání karty pro nákupy na internetu jsou nízké napříč všemi věkovými skupinami. Nákup u obchodníků si napříč věkovými skupinami drží stále vysoký podíl. Je třeba si uvědomit klasické chování držitele karty, kdy na internetu většinou nakupujeme zboží, které se nekupuje každý den. Ano, v poslední době například větší řetězce nabízí nákup potravin na internetu. Tuto službu lze ale stále považovat spíše za doplňkovou. Lze ale očekávat, že využívání karet pro platbu na internetu v budoucnu nadále poroste.
4. Považujete platební karty za bezpečnou formu platby? Tato otázka byla položena v souvislosti se zadáním této bakalářské práce. Chtěla jsem si ověřit, zda považují držitelé karet tuto službu obecně za bezpečnou. Výsledek této otázky lze považovat za jednoznačný, celých 89 procent respondentů odpovědělo ano. Graf č. 7: Jsou karty bezpečné?
Zdroj: vlastní tvorba
Tento výsledek lze přičíst velmi stabilní situaci na českém trhu, zdraví českého bankovního trhu a nízkému podílu podvodů v ČR. Karetní trh se vyvíjel postupně, a tak dle mého názoru i vyšší věkové skupiny důvěřují platebním produktům v naší zemi.
54
Tabulka č. 8: Přehled názorů na bezpečnost platebních karet Věková skupina ANO NE
15-20 100% 0%
21-30 35 (83,3%) 7 (16,7%)
31-40 42 (93,3%) 3 (6,7%)
41-50 29 (85,3%) 5 (14,7%)
50 a více 24 (92,3%) 2 (7,7%)
Očekávala bych konzervativní přístup starších generací k bezpečnosti platebních karet, ovšem výsledky tento názor nepotvrdily. Naopak respondenti ve skupině 50 a více důvěřují platebním kartám minimálně stejně jako mladší generace.
5. Který způsob platby je z Vašeho pohledu bezpečnější? Bezpečnost platebních karet jsem se rozhodla dále porovnat s dalšími, dle mého názoru nejpoužívanějšími platebními metodami, jako je hotovost a platba převodem z účtu. Graf č. 8: Porovnání bezpečnosti dle způsobu platby
Zdroj: vlastní tvorba
Z grafu plyne zjištění, že rozložení názoru veřejnosti je pro všechny metody přibližně stejné. Tabulka č. 9: Porovnání vnímání bezpečnosti dle věkové skupiny Věková skupina Hotovost Platba kartou Převod z účtu
15-20
1 (33,3%) 1 (33,3%) 1 (33,3%)
21-30 18 (42,8%) 12 (28,6%) 12 (28,6%)
31-40 12 (26,7%) 12 (26,7%) 21 (46,6%)
41-50 10 (29,4%) 12 (35,3%) 12 (35,3%)
50 a více 9 (34,6%) 8 (30,8%) 9 (34,6%)
Dalším pohledem na vnímání bezpečnosti platebních metod může být rozdělení dle pohlaví respondenta. Tabulka níže uvádí vnímání bezpečnosti v závislosti na pohlaví. Celkem odpovídalo 88 respondentek a 62 respondentů. Při pohledu na tabulku nejsou patrné 55
významné rozdíly, především u převodu z účtu je vnímána bezpečnost u obou pohlaví velmi podobně. Největší rozdíl je u hotovosti. Tabulka č. 10: Srovnání vnímání bezpečnosti dle pohlaví Věková skupina Muž Žena
Hotovost 25 (40.3%) 25 (28,5%)
Platba kartou 15 (24,2%) 30 (34%)
Převod z účtu 22 (35,5%) 33 (37,5%)
6. Ověřujete si pravidelně stav Vašeho účtu? Návaznou otázkou na bezpečnost platby kartou byl dotaz, zda si držitelé karet ověřují svůj účet, který mají spojený s platební kartou. Ze své zkušenosti mohu říci, že ne každý si ověřuje, zda provedené platby kartou byly správně zpracovány a zaúčtovány. Dle tohoto chování také plyne, zda respondenti důvěřují nebo nedůvěřují platbě kartou. Je nutné ovšem také počítat s individuálními zvyky respondenta a jeho důsledností. Graf č. 9: Ověřujete si stav svého účtu?
Zdroj: vlastní tvorba
Celkem 79% všech respondentů si pravidelně ověřuje stav svého účtu, ke kterému je karta vydána. 7. U částek do 500 Kč dáváte přednost placení Bezkontaktní platby a NFC platby nevyžadují do hranice 500 Kč zadávaní dodatečného ověření formou PINu nebo bezpečnostního kódu. Dalším dotazem na respondenty bylo, jakou formou převážně hradí nákupy právě do této výše. Cílem tohoto dotazu bylo ověřit, jakou platební metodu v této cenové hladině respondenti nejčastěji volí. Výsledek této otázky 56
víceméně potvrzuje roli bezkontaktních plateb na českém trhu a jejich užitnost. Platba do této výše je díky bezkontaktním platbám velmi rychlá a pohodlná, držitel kartu navíc nedává z ruky a má ji neustále pod kontrolou. Graf č. 10: Způsob platby do 500 Kč
Zdroj: vlastní tvorba
8. Slyšel/a jste o platbách mobilním telefonem (NFC technologie)? Cílem osmé položené otázky bylo získat informaci o povědomí respondentů o nové platební metodě NFC. Celkem 104 respondentů z celkového počtu 150 má povědomí a zná NFC platby. S ohledem na malou nabídku na trhu je tento výsledek překvapivý. Graf č. 11: Znáte NFC platby?
Zdroj: vlastní tvorba
57
9. Využíváte platby pomocí mobilního telefonu? Možností plateb pomocí mobilního telefonu využívá pouze 6 % všech respondentů. Z výsledku této otázky je patrné, že platby mobilním telefonem jsou prozatím okrajovou záležitostí a není masově využívána. Odhaduji, že zmíněných šest procent respondentů patří mezi technické nadšence. Potenciál ale přesto v platbě mobilním telefonem vidím. Mobilní telefon dnes vlastní dá se říci každý člověk nad 15 let a všichni jej nosí u sebe stejně jako peněženku. Graf č. 12: Využíváte platby pomocí mobilního telefonu?
Zdroj: vlastní tvorba
10. Využíváte pro platby QR kódy? Platba pomocí QR kódu je dalším novým trendem a na výsledku otázky je to patrné. Pouhá tři procenta respondentů využívají QR kódy pro platbu. Tato metoda se začala na českém trhu objevovat výrazněji až v roce 2012. Lze ovšem očekávat, že spolu s platbami pomocí mobilního telefonu tato forma platby nadále poroste. Graf č. 13: Využíváte pro platby QR kódy?
Zdroj: vlastní tvorba 58
11. Považujete akceptační síť pro přijímání platebních karet za dostatečnou? V posledních dvou otázkách jsem se zaměřila na akceptační síť v naší zemi. V této otázce byla respondentům položena otázka, zda považují vybavení obchodů v ČR za dostatečné. Celých 31 % uvedlo, že síť pro přijímání platebních karet není dostatečná. Graf č. 14: Je akceptační síť dostatečná?
Zdroj: vlastní tvorba
12. Ověřujete si před nákupem, zda prodejce přijímá platební karty? Poslední otázka měla za cíl zjistit chování držitele karty před samotným nákupem. Dotazovala jsem se respondentů, zda si před samotným nákupem ověřují, zda obchodní místo přijímá jejich platební kartu. Překvapivě 34 % z nich důvěřuje šíři akceptační sítě a před nákupem si neověřuje, zda obchodník přijímá platební karty. Graf č. 15: Ověřujete před nákupem akceptaci platebních karet?
Zdroj: vlastní tvorba
59
4.3.4 Shrnutí výsledku výzkumu 1. hypotéza – Bude převažovat výskyt standardních čipových karet, platby budou na denní bázi a budou nejčastěji využívané k platbám v obchodech Potvrdilo se mi, že nadále převládá podíl hybridních čipových karet nad bezkontaktními. Z dostupných zdrojů se ale podíl bezkontaktních karet rapidně zvyšuje a dle mého odhadu na konci roku 2014 budou bezkontaktní karty převládat. Banky při standardní obměně vydávají klientům již bezkontaktní karty, jen na výslovné přání klienta vydají opět pouze hybridní kartu. Částečně se potvrdila má druhá hypotéza, že platební karty budou využívány na denní bázi. Celých 46 % respondentů využívá kartu denně, dále 43 % z nich využívá kartu několikrát týdně. Karty jsou nejvíce používány v obchodní síti a to 77 procenty všech respondentů.
2. hypotéza – Použití platební karty je bezpečná forma placení V otázce č. 4 byla potvrzena část toto hypotézy, že respondenti budou považovat platební karty za bezpečný nástroj pro platbu. Toto se potvrdilo ve formě 89% důvěry v tento platební nástroj. Zcela se mi nepotvrdila hypotéza o nejbezpečnější formě platby. Můj názor, že hotovost bude stále považována za výrazně bezpečnější formu platby než platební karty se až tak nepotvrdila. Respondenti zařadili platební karty a převody z účtu na stejnou úroveň jako platbu hotovosti. Tento výsledek je pro mě překvapením. Důvěru v karty a banky potvrdila otázka č. 6, kde 21 % dotazovaných ani nekontroluje pravidelně svůj stav účtu.
3. hypotéza – O nových technologiích bude mít povědomí velmi nízké procento respondentů Moje třetí hypotéza se nepotvrdila ani v jednom bodu. Majoritní část respondentů uvedla, že má povědomí o NFC platbách a ví, jak fungují. Svoji hypotézu jsem vyjádřila s ohledem na své blízké okolí a známé, kde povědomí o NFC platbách není velké. Jak je ale vidět z výsledku, tuto technologii zná 69 % respondentů. Dalším dotazem se mi ale potvrdilo, že nabídka na trhu je velmi malá a NFC technologie a platba mobilem nejsou v současné době v hlavním proudu bank ani klientů. Pouhých 6 % z dotázaných využívá platby mobilním telefonem. Protože QR kódy jsou nejvíce rozšířené na mobilních telefonech (platební aplikace se schopností skenovat QR kód), bylo zřejmé, že využívání QR kódu nepřesáhne počet 60
klientů využívajících platby mobilním telefonem. QR kódy využívají pouze tři procenta dotázaných. Věřím ale, že dalším rozšiřováním portfolia bank v této oblasti bude tento podíl stoupat. 4. hypotéza – Akceptační síť je dostatečná a respondenti si ověřují možnost platby kartou Poslední hypotéza byla potvrzena celkovým počtem 69 % respondentů, kteří uvedli, že aktuální akceptační síť v ČR je dostatečná. Očekávala jsem ale vyšší podíl a je tedy patrné, že na trhu je stále prostor pro rozšiřování akceptační sítě. Dle mého názoru především v oblasti mikroplateb, tedy v řádu desetikorun. Důvěru v akceptační síť potvrdili respondenti v poslední otázce, kde celých 34 % vůbec neověřuje možnost platit kartou a rovnou provede nákup u obchodníka.
61
Závěr Cílem této bakalářské práce bylo zmapování současného stavu akceptace bezkontaktních plateb a porovnání rizika a výhod bezkontaktních transakcí s vybranými druhy plateb. V úvodních kapitolách jsem provedla analýzu historie platebních karet a platebních terminálů. Očekávám, že v prvních letech využívání bezkontaktních plateb bude realizace platby probíhat pouze prostřednictvím bezkontaktních platebních karet, tzn. tradičních čipových karet rozšířených o bezkontaktní rozhraní. Proto jsem zmapovala aktuální nabídku na českém trhu a zmapovala i situaci v EU. Současná nabídka se nadále rozrůstá, i malé banky uvádí na trh nové bezkontaktní platební karty. Nabídku karet lze považovat za dostatečnou, pozornost je ale třeba zaměřit na obchodní místa pro příjem platebních karet. S rostoucím počtem terminálů, které budou schopny akceptovat bezkontaktní technologii, také výrazně poroste počet bezkontaktních transakcí. Bezkontaktní NFC technologie je v současnosti nasazena v celé řadě států (např. Slovensko, UK, USA, Turecko, Polsko, Irsko a další) a v mnoha dalších je tato technologie v testovací fázi (Maďarsko, Rumunsko, Bulharsko a další). V dalších fázích využívání této technologie se očekává, že platební karty budou postupně doplňovat nebo nahrazovat technologie NFC (Near Field Communication), která umožňuje placení pomocí mobilního telefonu, klíčenky apod. V prvotním nasazení předpokládám použití NFC technologie jako náhrady platební karty, kdy NFC zařízení imituje chování platební karty. V dalších stádiích očekávám nasazení NFC technologie ve formě P2P, kde jsou obě dvě komunikující zařízení aktivní a je tak umožněno zavedení škály dalších služeb. NFC bude znamenat ještě větší komfort pro jednotlivé zákazníky a možnost rozšíření bezkontaktní technologie do dalších segmentů trhu. V současnosti je počet zařízení podporujících technologii NFC omezen a prakticky tak zabraňuje většímu rozšíření služby spolu s náklady na implementaci. Spolu s rozšiřováním mobilních plateb se bude rozšiřovat platba pomocí QR kódů, které opět zrychlí a zjednoduší platbu. Načtením QR kódu pomocí mobilního telefonu a platby stejným zařízením se provede rychlá platba pomocí jediného zařízení.
62
Bezpečnost platebních karet lze v současné době považovat za vysokou. Z průzkumu, který jsem provedla, vzešlo potvrzení, že platba kartou je vnímána jako stejně bezpečný způsob platby jako je platba hotovostí nebo převodem. Z dostupných informací je vnímána bezkontaktní technologie stejně bezpečná jako klasická čipová karta, což se opět potvrdilo. O nových technologiích, které jsou uváděny na trh, mají čeští uživatelé celkem malé povědomí a potvrdilo se, že tyto technologie musí ještě uzrát, aby mohly na trhu konkurovat současné nabídce platby kartou. Bezpečností plateb se zabývají nejen lokální banky, ale i Evropská centrální banka. Ta vydává pro banky členských států doporučení ke zvýšení bezpečnosti plateb s využitím platební karty. Mezi základní doporučení patří nastavení měření míry rizik, zabezpečení autentizací do systémů banky skládající se ze znalosti (znám heslo) a vlastnictví (vlastním mobilní telefon nebo token), monitorování a reportování podezřelých transakcí a v neposlední řade edukace obchodních partnerů a držitelů karet. Tato doporučení směřují k tomu, aby koncový klient vnímal platbu kartou, například na internetu, jako bezpečný způsob platby. Jen pokud je toto splněno, lze očekávat rostoucí počet plateb a spokojenost klientů. Bez dostatečné bezpečnosti služby nelze v dnešní době očekávat úspěch bankovního produktu.
63
Použitá literatura Odborná literatura: DVOŘÁK, Petr. Bankovnictví pro bankéře a klienty. Praha: Linde Praha a.s., 2005. ISBN 807201-515-X. GERLOCH, A. Teorie práva. Praha: Vydavatelství a nakladatelství Aleš Čeněk, 2009. ISNN 978-80-7380-233-2. JUŘÍK, Pavel. Platební karty – ilustrovaná historie placení. Praha: Libri, spol. s r.o., 2012.ISBN 978-80-7277-498-2. JUŘÍK, Pavel. Svět platebních a identifikačních karet. Praha: Grada: Grada Publishing, spol. s r.o., 1999. ISBN 80-7169-759-1. LINC, Ondřej. Mobil konkuruje bankovní přepážce. Lidové noviny. 1.3.2013. PŮLPÁNOVÁ, Stanislava. Komerční bankovnictví v České republice. Praha: Vysoká škola ekonomická v Praze – Nakladatelství Oeconomica, 2007. ISBN 978-80-245-1180-1. POLOUČEK S. a kol. Bankovnictví. Praha: C.H. Beck, 2006. ISBN 80-7179-462-7. SCHLOSSBERGER, Otakar. Platební služby. Praha: Management Press, s.r.o., 2012. ISBN 978-80-7261-238-3.
Interní dokumenty banky: ČS a.s. Doporucene_postupy_MOTO_EC.pdf [CD], Praha: Česká spořitelna a.s., 2013. ČS a.s. Specifikace Contactless řešení ČS.pdf , Praha: Česká spořitelna a.s., 2011. ČS a.s. Statistiky FRAUD, Praha: Česká spořitelna a.s., 2013. ČS a.s. Specifikace služby Cash back, Praha: Česká spořitelna a.s., 2012. ČS a.s. Specifikace služby Top Up, Praha: Česká spořitelna a.s., 2012.
Manuály kartových asociací: VISA Contactless cards: convenient and secure VISA Card security code
64
VISA Card not present sales VISA Online payment security MasterCard Bezpečnost platebních karet
Prezentace: The status of retail payments surveyPCM, CARTES Survey 2013_C.pdf , Brusel: PaymentCM LLP, 2013. HEŠNAUROVÁ, Marie. Novinky SEPA a dopady na kartový business, Praha: Česká spořitelna a.s., 2013.
Zákony: EU. Nařízení Evropského parlamentu a Rady (ES) č. 924/2009 ze dne 16. září 2009 o přeshraničních platbách ve Společenství a zrušení nařízení (ES) č. 2560/2001. ČESKO. Zákon č. 124/2002 Sb. ze dne 13.3.2002, o převodech peněžních prostředků, elektronických platebních prostředcích a platebních systémech. Dostupný z: http://www.psp.cz/sqw/sbirka.sqw?cz=124&r=2002. ČESKO.Zákon č. 229/2002 Sb. ze dne 9.5.2013, o finančním arbitrovi. Dostupný z: www.finarbitr.cz/download/377_cs_229_2002_finarb_(2).pdf. ČESKO.Zákon č. 254/2012 Sb. ze dne 14.6.2012, kterým se mění zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů,a další související zákony. Dostupný z: aplikace.mvcr.cz/sbirka-zakonu/ViewFile.aspx?type=z&id=24424. ČESKO. Zákon č. 21/1992sb ze dne 20. prosince 1991 o bankách In: Sbírka zákonů České republiky. 1991, Dostupný z: http://www.zakonyprolidi.cz/cs/1992-21. ČESKO. Zákon č. 284/2009 Sb. ze dne 22. července 2009 o platebním styku, ve znění pozdějších předpisů. Dostupný z http://www.cnb.cz/miranda2/export/sites/www.cnb.cz/cs/legislativa/zakony/download/zakon_ 284_2009.pdf. ČESKO. Zákon č. 136/2011 Sb., úprava ze dne 3. července 2012 o oběhu bankovek a mincí a o změně zákona č. 6/1993 Sb. Dostupný z: portal.gov.cz/app/zakony/zakon?q=136/2011.
Internetové zdroje: SBK BANKOVNI KARTY. Profil České republiky [on-line]. Dostupný z www.bankovnikarty.cz/pages/czech/profil_cr.html [cit. 2013-1-25]. SBK BANKOVNÍ KARTY. Tisková zprava -vývoj v oblasti karet za 2012 [on-line]. Praha: SBK, [cit.2013-1-15]. 65
SBK BANKOVNI KARTY. Profil České republiky [on-line]. Dostupný z www.bankovnikarty.cz/pages/czech/profil_cr.html [cit. 2013-1-25]. MESEC. Bezpečné platební karty existují, nebojte se platit na internetu [on-line] http://www.mesec.cz/clanky/bezpecne-platebni-karty-existuji-nebojte-se-platit-na-internetu/ [cit.2010-6-25]. VISA. Poprvé v Evropě překročily roční výdaje držitelů debetních karet Visa 1 bilion euro [on-line]. Praha: Visa, 2013-01-25 .Dostupný z www.visa.cz/cz/tisk__m%C3%A9dia/news__novinky/articles/2013/poprv%C3%A9_v_evrop%C4%9B_p%C5%99ekro%C4%8Dily_ro% C4%8D.aspx [cit. 2013-2-24]. SBK BANKOVNÍ KARTY. Statistiky SBK [on-line]. Praha: SBK, [cit. 2013-5-10]. Dostupné z: http://statistiky.cardzone.cz/download/sbk_statistika_1kv_2013_nfc.pdf. IDNES. Jak se měnilo „karetní“ chování v Česku za posledních deset let [on-line]. Praha: iDNES [cit. 2013-5-22] Dostupné z: http://finance.idnes.cz/vyvoj-pouzivani-platebnich-karet-v-cesku-f1n/bank.aspx?c=A130516_163426_bank_zuk. KANCELÁŘ FINANČNÍHO ARBITRA. Poslání a úkoly FA [on-line]. Dostupné z: http://www.finarbitr.cz/cs/financni-arbitr/poslani-a-ukoly-fa.html [cit. 2013-06-27]. ECB EUROPEAN CENTRAL BANK. Recommendations for the security of internet Payments [on-line]. Frankfurt:ECB, [cit. 2013-6-10]. Dostupné z: http://www.ecb.int/pub/pdf/other/recommendationssecurityinternetpaymentsoutcomeofpcfinal versionafterpc201301en.pdf American Express [online]. Dostupné z: . Diners Club International. [online]. Dostupné z: . JCB (Japan Credit Bureau). [online]. Dostupné z: . MasterCard Worldwide. [online]. Dostupné z: . Visa Inc. [online]. Dostupné z: .
66
Seznam grafů Graf č. 1: Počet Cashback transakcí v ČR ............................................................................... 24 Graf č. 2: Připravenost trhu na NFC technologii dle expertů .................................................. 42 Graf č. 3: Porovnání bezpečnosti řešení specialisty ................................................................ 46 Graf č. 4: Typ používané karty ................................................................................................ 52 Graf č. 5: Četnost plateb platební kartou ................................................................................. 53 Graf č. 6: Nejčastější způsob nakupování ............................................................................... 53 Graf č. 7: Jsou karty bezpečné? ............................................................................................... 54 Graf č. 8: Porovnání bezpečnosti dle způsobu platby ............................................................. 55 Graf č. 9: Ověřujete si stav svého účtu? .................................................................................. 56 Graf č. 10: Způsob platby do 500 Kč ...................................................................................... 57 Graf č. 11: Znáte NFC platby? ................................................................................................ 57 Graf č. 12: Využíváte platby pomocí mobilního telefonu? ..................................................... 58 Graf č. 13: Využíváte pro platby QR kódy? ............................................................................ 58 Graf č. 14: Je akceptační síť dostatečná? ................................................................................ 59 Graf č. 15: Ověřujete před nákupem akceptaci platebních karet? ........................................... 59
Seznam obrázků Obrázek č. 1: Schéma konektivity Petrol POS ....................................................................... 22 Obrázek č.2: Vzor účtenky k operaci Cashback ..................................................................... 24 Obrázek č. 3: Prostředí České spořitelny pro zadání transakce .............................................. 25 Obrázek č. 4: Platební brány ČS a Global Payments .............................................................. 27 Obrázek č. 5: Registrovaná platba - Česká spořitelna ............................................................ 28 Obrázek č. 5: Konstrukce bezkontaktní karty ......................................................................... 34 Obrázek č. 7: Bezkontaktní čtečky Ingenico........................................................................... 36 Obrázek č. 8: Fyzické uspořádání u obchodního partnera ...................................................... 37 Obrázek č. 9: Propojení zařízení NFC .................................................................................... 43
Seznam tabulek Tabulka č. 1: Normované rozměry platebních karet ............................................................... 34 Tabulka č. 2: Přehled nabízených bezkontaktních karet na českém trhu................................ 35 Tabulka č. 3: Přehled zařízení pro bezkontaktní čtení ............................................................ 38 Tabulka č. 4: Podezřelé transakce - procentní body a basis points ......................................... 44 Tabulka č. 5: Přehled využívání daného typu platební karty .................................................. 51 Tabulka č. 6: Procentuální využívání platební karty s ohledem na věk .................................. 52 Tabulka č. 7: Nejčastější využití platby kartou ....................................................................... 54 Tabulka č. 8: Přehled názorů na bezpečnost platebních karet ................................................ 55 Tabulka č. 9: Porovnání vnímání bezpečnosti dle věkové skupiny ........................................ 55 Tabulka č. 10: Srovnání vnímání bezpečnosti dle pohlaví ..................................................... 56
67
Seznam příloh Příloha č. 1: Bakalářská práce – dotazník .................................................................................. 1 Příloha č. 2: Seznam použitých zkratek v bakalářské práci ....................................................... 1
68
Příloha č. 1:
Bakalářská práce – dotazník 1. Jaký typ platební karty používáte? standardní čipovou kartu bezkontaktní kartu
2. Jak často využíváte platební kartu pro platby? denně týdně měsíčně výjimečně
3. K čemu nejčastěji platební kartu využíváte? výběr hotovosti platby u obchodníků platby přes internet
4. Považujete platební karty za bezpečnou formu platby? ano ne
5. Který způsob platby je z Vašeho pohledu bezpečnější? hotovost převod z účtu platba kartou 3. K čemu nejčastěji
6. Ověřujete si pravidelně stav Vašeho účtu? 1
ano ne
7. U částek do 500 Kč dáváte přednost placení: platební kartou hotově
8. Slyšel/a jste o platbách mobilním telefonem (NFC technologie)? ano ne
9. Využíváte platby pomocí mobilního telefonu? ano ne
10. Využíváte pro platby QR kódy? ano ne
11. Považujete akceptační síť pro přijímání platebních karet za dostatečnou? ano ne
12. Ověřujete si před nákupem, zda prodejce přijímá platební karty? ano ne
Prosím uveďte Vaše pohlaví
2
žena muž
Prosím uveďte Vaši věkovou skupinu 15 - 20 21 - 30 31 - 40 41 - 50 50 a více
Zdroj: vlastní tvorba
3
Příloha č. 2:
Seznam použitých zkratek v bakalářské práci Zkratka
Popis EN
Popis CZ
ARPA
Advanced Research Projects Agency
Výzkumná a vývojová agentura spadající pod ministerstvo obrany USA
B2B
Business to Business
Označení pro obchodní vztahy mezi obchodními společnostmi
B2C
Business to Customer
Označení pro obchodní vztahy mezi obchodními společnostmi a koncovým zákazníkem
BIN
Bank Identification Number
Je to prvních šest čísel karty označující vydavatelskou banku dané karty
Česká společnost pro platební karty, která vydává a spravuje firemní palivové karty.
CCS
CVC
Card Verification Code
Číslo uvedené na zadní straně platební karty určené k zvýšení ochrany před zneužitím
CVV
Card Validation Value
Číslo uvedené na zadní straně platební karty určené k zvýšení ochrany před zneužitím
ČNB
Česká národní banka – centrální banka ČR vykonávající dohled nad finančním trhem
ČS
Česká spořitelna a.s – česká banka
ČSOB
Česká obchodní banka – česká banka
DKV
Název společnosti poskytující tankovací platební karty
EMV
Europay, Mastercard, VISA
Norma karetních asociací
EU
European Union
Evropská unie – unie evropských států
GPRS
General Packet Radio Service
Služba umožňující přenos dat a připojení k internetu
H2H
Host to Host
přímé datové obousměrné propojení dvou systémů přes zabepečený komunikační protokol, který si obě strany specifikují. V bankovnictví tímto způsobem komunikují například banky s technickými subdodavateli a agregátory
HTTPS
HyperText Transfer Protocol Secure
Šifrovaná varianta stránek http přenášející webové stránky. Šifrování probíhá pomocí algoritmu SSL 1
ID
Identificator
Identifikátor, identifikační číslo nebo kód
MO/TO
Mail order / telephone order
e-commerce řešení, provedení on-line platby bez přítomnosti držitele karty
MSISDN
Mobile Subscriber Integrated Service Digital Number
Unikátní číslo účastníka mobilní sítě, telefonní číslo
NFC
Near field communication
Komunikační protokol
PAN
Permanent Account Number
Číslo platební karty
P2P
Peer to Peer
Označení propojení počítačových sítí
POS
Point of sale
Platební terminál
RFID
Radio Frequency Identification
Identifikátory navržené pro označování zboží, pracuje na principu bezkontaktní komunikace Sdružení bankovních karet, organizuje všechny tuzemské banky
SBK
SIM
Subscriber Identity Module
Unikátní identifikační karta sloužící k identifikaci účastníka mobilní sítě
SSL
Secure Socket Layer
Šifrovací algoritmus užívaný pro šifrování komunikace mezi servery
TSM
Terminal Systém Management
Centrální řídící systém pro správu zařízení a technologií
UTA
Union Tank
Typ tankovací karty vydávané společností Union Tank
Zdroj: vlastní tvorba
2
