Bankovní institut vysoká škola Praha Katedra financí a ekonomie
Bezpečnost bezhotovostního platebního styku Bakalářská práce
Autor:
Melinda Nguyenová Bankovní management
Vedoucí práce:
Praha
Ing. Marcela Soldánová
2016
Prohlášení Prohlašuji, že jsem bakalářskou práci zpracovala samostatně a v seznamu uvedla veškerou použitou literaturu. Svým podpisem stvrzuji, že odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámena se skutečností, že se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.
V Praze dne 28. 4. 2016
Melinda Nguyenová
Poděkování Ráda bych poděkovala vedoucí mé bakalářské práce Ing. Marcele Soldánové za odborné konzultace, cenné rady, podnětných připomínek a trpělivost v průběhu zpracování této bakalářské práce.
Anotace Bakalářská práce se zabývá bezhotovostním platebním stykem s důrazem na problematiku jeho bezpečnosti. Cílem práce je charakterizovat základní prvky bezhotovostního platebního styku a rizika, která souvisí s jeho používáním. Práce je členěná do čtyř kapitol a skládá se z teoretické a praktické části. Teoretická část se zabývá základními aspekty bezhotovostního platebního styku, jeho nástrojů a aktuálními hrozbami, které s jeho užíváním souvisí. Část praktická obsahuje dotazníkovou studii používání nástrojů bezhotovostního platebního styku, jako jsou platební karty či internetové bankovnictví, zaměřenou rovněž na průzkum aktivního přístupu respondentů k bezpečnosti při použití těchto nástrojů. Součástí praktické části je i predikce budoucího vývoje bezhotovostního platebního styku, používání platebních karet a internetového bankovnictví.
Klíčová slova bezhotovostní platební styk, platební příkaz, platební karta, bankomat, elektronické bankovnictví, bezkontaktní platby, autentizace, autorizace platby
Annotation This bachelor thesis deals with the cashless payments with emphasis on their safety aspects. The aim is to characterize the basic aspects of cashless payment and risks associated with itsuse. The thesis consists of theoretical and practical part and it is divided into four chapters. The theoretical part describes basic elements of cashless payment, its tools and actual threats related to its use. The practical part contains an analysis of the use of cashless payment tools such as payment cards and internet banking based on a questionnaire survey. This survey is also aimed to analyze respondents active approach to safety when using these tools. The practical part also contains a prediction of the future development of cashless payments, the future use of payment cards and internet banking.
Keywords cashless payment, payment order, credit card, ATM (automated teller maschine), electronic banking, cashless payments, authentication, payment authorisation
OBSAH Úvod ........................................................................................................................................... 6 Zvolené metody zpracování ..................................................................................................... 7 1
Charakteristika bezhotovostního platebního styku ....................................................... 8 1.1
Historie bezhotovostního platebního styku na území ČR ........................................... 8
1.2
Charakteristika tuzemského bezhotovostního platebního styku ................................ 10
1.3
Charakteristika zahraničního bezhotovostního platebního styku .............................. 11
1.3.1 1.4
Platební karty...................................................................................................... 15
1.4.2
Bankomaty ......................................................................................................... 20
1.4.3
Elektronické bankovnictví.................................................................................. 21
Právní úprava platebního styku ................................................................................. 22
Základní přehled bezpečnostních rizik ......................................................................... 25 2.1
Rizika při použití platební karty ................................................................................ 25
2.1.1
Použití platební karty v bankomatu .................................................................... 26
2.1.2
Platby u obchodníka ........................................................................................... 28
2.1.3
Ztráta či krádež platební karty ............................................................................ 29
2.2
Rizika při použití platby přes internet ....................................................................... 29
2.2.1
Podvodné emaily ................................................................................................ 32
2.2.2
Platby přes internetové bankovnictví ................................................................. 34
2.3
3
Nástroje bezhotovostního platebního styku ............................................................... 14
1.4.1
1.5 2
Nástroje zahraničního platebního styku ............................................................. 14
Obezřetnost při bezhotovostním platebním styku ..................................................... 35
2.3.1
Možné opatření na straně klienta ....................................................................... 36
2.3.2
Možné opatření na straně poskytovatele ............................................................ 37
Aktuální vývoj bezpečnosti platebního styku ............................................................... 40
3.1
4
Analýza využití bezhotovostního platebního styku ................................................... 40
3.1.1
Výběr respondentů ............................................................................................. 41
3.1.2
Vyhodnocení dotazníkového průzkumu............................................................. 41
3.2
Výhody využití bezhotovostního platebního styku ................................................... 46
3.3
Nevýhody využití bezhotovostního platebního styku ............................................... 47
3.4
Aktuální trendy bezhotovostního platebního styku ................................................... 47
Predikce vývoje bezhotovostního platebního styku a bezpečnostních rizik .............. 49 4.1
Odhad budoucího vývoje bezhotovostního platebního styku .................................... 49
4.1.1
Budoucnost platebních karet .............................................................................. 50
4.1.2
Vývoj internetového bankovnictví ..................................................................... 50
4.2
Predikce bezpečnostních rizik ................................................................................... 51
Závěr ........................................................................................................................................ 53 Seznam použité literatury: .................................................................................................... 55 Seznam tabulek a obrázku: ................................................................................................... 61 Příloha č.1 ............................................................................................................................... 62
Úvod Bezhotovostní platební styk představuje v dnešní době nedílnou součást každodenního života občanů, fyzických i právnických osob, nebo obchodních společností. Poslední roky se nesou ve znamení bouřlivého vývoje informačních a komunikačních technologií, který zpřístupnil elektronická média běžným lidem. Svět konzervativního bankovnictví samozřejmě reaguje na tento trend. Neustále se vyvíjí technologie poskytující jednoduché, rychlé a co nejvíce spolehlivé nástroje. Nástup a masové rozšíření používání internetu umožnil bankám využít tento mocný nástroj při distribuci bankovních produktů a služeb na globální trh. V souvislosti s dynamickým rozvojem v této oblasti však dochází zejména v oblasti elektronického bankovnictví k snahám o zneužití poskytovaných služeb. Zde je kladen důraz nejenom na zabezpečení informačních systémů jednotlivých bank, ale také na pozornosti klienta samotného. Zde předložena bakalářská práce se zabývá problematikou bezhotovostního platebního styku a to z hlediska jeho bezpečnosti. Jedná se o téma velice aktuální, a to z toho důvodu, že pro většinu lidí jsou nástroje bezhotovostního platebního styku naprosto běžnou součástí života. Důvod, proč jsem si vybrala toto téma, je především rozšíření znalostí v této oblasti, a to právě proto, že se toto téma bytostné dotýká mne i mých blízkých. Cílem práce je poskytnout základní přehled v oblasti bezhotovostního platebního styku, a zároveň upozornit na možná rizika s ním spojená. Dále si také práce klade za úkol poskytnout informace, jakým způsobem lze zneužití běžně používaných nástrojů bezhotovostního platebního styku předejít. Práce je rozdělena do čtyř kapitol, a sestává z části teoretické a části praktické. V první kapitole je uvedena charakteristika bezhotovostního platebního styku, jeho nástroje a příslušná legislativa. Kapitola druhá se zabývá riziky, která souvisejí s užíváním bezhotovostního platebního styku, a to zejména riziky spojenými s používáním platebních karet a placením přes internet. Praktická část práce se skládá ze dvou kapitol, třetí a čtvrté. Kapitola třetí se zabývá analýzou využití bezhotovostního platebního styku a aktivního přístupu respondentů k bezpečnosti při používání těchto nástrojů, a to na základě dotazníkového průzkumu. V této kapitole budou také formulovány závěry plynoucí z dotazníkového průzkumu. Dále třetí kapitola srovnává výhody a nevýhody bezhotovostního platebního styku, a uvádí současné trendy v této oblasti. Čtvrtá kapitola je věnována odhadu budoucího vývoje bezhotovostního platebního styku, budoucnosti platebních karet a rovněž internetového bankovnictví. Také zde budou zmíněné možné rizika a hrozby, kterým bude potřeba v blízké budoucnosti čelit. 6
Zvolené metody zpracování Metody, použité k vypracování bakalářské práce, zahrnují literární rešerši, komparativní analýzu, dedukci a prediktivní analýzu. Literární rešerše umožnila popsat současný stav v oblasti bezhotovostního platebního styku. Pomocí komparativní analýzy byly srovnány různé nástroje bezhotovostního platebního styku, jejich výhody a nevýhody ve srovnání s hotovostními platbami, ale také rizika, kterým v současné době uživatele těchto nástrojů čelí. Na základě analýzy dat získaných pomocí dotazníkového průzkumu bylo možné zahrnout také dedukci ohledně přístupu uživatelů k bezpečnosti bezhotovostního platebního styku. Vzhledem k tomu, že téma bakalářské práce se zabývá velice dynamickou oblastí, bylo také vhodné zahrnout prediktivní analýzu budoucího vývoje v oblasti bezhotovostního platebního styku a rizik, která s ním souvisí.
7
1 Charakteristika bezhotovostního platebního styku Bezhotovostní platební styk, tj. platby, ve kterých dochází k převodům peněžních prostředků mezi klienty bez fyzické přítomnosti peněz, je moderní a v současné době velice oblíbená a hojně využívaná forma platebního styku. Jeho hlavní výhodou je rychlost, bezpečnost nebo také hospodárnost a přesnost. Pro využívání bezhotovostního platebního styku je nutné mít zřízen běžný účet u peněžního ústavu.
1.1
Historie bezhotovostního platebního styku na území ČR
Historie moderního bezhotovostního platebního styku na našem území sahá již do 19. století, kdy došlo k výraznému růstu plateb bez hotovostních peněz. Nejčastější formou platby bylo využití žirových účtů, kdy rychlost proúčtování závisela na tom, u které banky se oba účty nacházely. V případě, že se jednalo o rozdílné subjekty, platilo se až konečné saldo nadřízené centrále místo vzájemného vyrovnávání závazků. (Česká národní banka, 2015a) V 19. století s rozvojem cestování byly ve světě také vyvinuty platební nástroje bezhotovostního platebního styku jako např. cestovní šeky, poštovní poukázky, i kovové úvěrové známky – předchůdci platebních karet (Juřík, 2006). Během druhé světové války byla většina žirocentrál propojena s říšskými, aby byl umožněn hladký převod prostředků do Říše. Po roce 1948 se sjednotil platební styk na všech úrovních, a hlavní odpovědnost za bezhotovostní platební styk byla svěřena Poštovní bance. Počátkem 50. let byly zavedeny dva významné prvky platebního styku – inkasní příkaz a tzv. okruhový systém vzájemného zúčtování mezi pobočkami Státní banky československé, Investiční banky a ústavy lidového peněžnictví. Podstatou tohoto systému byly spojovací účty, na kterých se hromadily prostředky v rámci jednotlivých okruhů (okresní pobočky, kraje, Slovensko, celostátní zúčtovna). Okruhový platební styk se ukázal jako velmi problematický. K první automatizaci bankovnictví došlo na přelom 60. a 70. let, kdy se na centrálách i pobočkách budovala a vzájemně propojovala výpočetní střediska. V roce 1975 došlo k vytvoření přímého zúčtovacího okruhu mezi pobočkami centrální banky, na který byly napojeny ostatní bankovní ústavy, což představovalo základy moderního systému bezhotovostního platebního styku. V roce 1980 byl spuštěn rutinní provoz systému ABO (Automatizace bankovních operací). Na počátku 90. let došlo ke vzniku nových bank, a stávající systém ABO přestal být dostaču8
jící, proto centrální banka v roce 1992 spustila nový systém mezibankovního platebního styku. S rozdělením Československa a s koncem měnové unie v únoru 1993 bylo dohodnuto působení centrálních bank obou zemí jako prostředníků platebního styku (tj. platby všech bank jedné země budou směrovat do centrální banky této země, odsud do centrální banky druhé země, a nakonec do banky určení). Existovaly dva zúčtovací okruhy, jeden okruh s kurzem 1:1, druhý okruh byl vázaný na aktuální kurz obou národních měn vůči ECU (virtuální evropská měna v tehdejší době). Toto přechodné období trvalo do roku 1995. Mezibankovního zúčtování v českých korunách probíhá v systému CERTIS (Czech Real-Time Interbank System). ABO stále využívá centrální banka k vedení svého účetnictví a také pomocí ABO poskytuje bankovní služby státu. (Česká národní banka, 2015a) Po roce 1990 došlo v ČR k prudkému rozvoji bankovnictví ve všech jeho formách. Nastala vysoká poptávka po službách platebního styku, objevily se nové instrumenty, jako např. různé druhy platebních karet, šeková služba, trvalé příkazy, či automatické bankovní převody (Schlossberger a Soldánová, 2005). Značně stoupl význam směnárenských operací, a také se vytvořila velká poptávka v oblasti zahraničního platebního styku, značně ovlivněného vznikem nové euroměny. Zároveň došlo ke značnému kvalitativnímu rozvoji elektronického bankovnictví, což umožnilo zefektivnění práce prostřednictvím sofistikovaného výpočetnětechnického a programového vybavení. Zákazník tak může s bankou komunikovat 24 hodin denně, sedm dnů v týdnu, nebo může využívat samoobslužné bankovní přepážky s nepřetržitým provozem. V roce 2004 se stala Česká republika členem Evropské unie. Jejímu vstupu předcházela řada opatření nutných k harmonizaci odpovídající právnímu uspořádání různých oblastí života, včetně oblasti platebního styku a zúčtování. Bylo tudíž vydáno několik důležitých právních norem, které začlenily do právního řádu vybrané oblasti platebního styku a zúčtování, nebo kodifikovaly tzv. „the best practices“ z předchozího období. Platební styk možno definovat jako vztah mezi plátcem a příjemcem, který je uskutečňován v určitých formách buď přímo mezi nimi, nebo prostřednictvím peněžního ústavu (Schlossberger a Soldánová, 2005). Platební styk se řadí mezi základní operace obchodních bank, a jeho formy lze dělit na základě vícero hledisek. Pro účely této práce je použito dělení platebního styku z hlediska způsobu placení, tj. rozlišujeme mezi platebním stykem hotovostním, který využívá fyzické peníze a 9
platebním stykem bezhotovostním tj. převodem mezi bankovními účty (Schlossberger, 2012). Bezhotovostní platební styk možno dále dělit z hlediska teritoria na: tuzemský platební styk mezi účty vedenými bankami v ČR (obchodními bankami i ČNB) zahraniční platební styk, tj. převod prostředků mezi různými státy přeshraniční platební styk se jedná o převod peněžních prostředků z jednoho členského státu EU/EHP do jiného členského státu EU/EHP, který vždy překračuje hranice členských států, v domácí měně kteréhokoli členského státu až do výše protihodnoty 50000 EUR. (Česká národní banka, 2015b) Dalším důležitým kriteriem, dle kterého lze dělit formy platebního styku jsou náležitosti průvodních dokumentů platebních operací. Z tohoto hlediska se platební styk dělí na (Schlossberger a Soldánová, 2005): nedokumentární platební styk (tzv. hladké platby) - platby, které neobsahují žádný další bankovní závazek, resp. bance je předáván pouze samotný platební instrument (např. příkaz k úhradě/inkasu, hromadný/trvalý příkaz k úhradě/inkasu, šeky) dokumentární platební styk - platby, které obsahují bankovní závazek a vztahují se k průvodním dokumentům, resp. při platebním styku jsou bance podle stanovených pravidel předávány také další průvodní dokumenty (např. dokumentární inkaso, dokumentární akreditiv, směnky). Tento druh platebního styku je využíván především v rámci mezinárodního obchodu a slouží k minimalizaci rizika nezaplacení za poskytované zboží, služeb, atd.
1.2
Charakteristika tuzemského bezhotovostního platebního styku
Jak již bylo zmíněno v předchozí kapitole, při bezhotovostním platebním styku se peníze převádějí z účtu plátce na účet příjemce platby, tzn. realizace bezhotovostního platebního styku je vyhrazena obchodním bankám, u kterých mají klienti uloženy peníze na účtech. Jinak řečeno, banka zatíží (debetuje) účet jednoho klienta a připíše příslušnou částku ve prospěch (kredituje) jiného klienta téže nebo jiné instituce. Banky provádějí platby na základě příkazů svých klientů. Tyto příkazy jsou podávány buď formou písemnou (tiskopisy), nebo elektronicky (např. pomocí internetbankingu, použitím platebních karet, atd.). V případě, že plátce i příjemce mají své účty u téže banky (tj. jedná se o vnitrobankovní platební styk), převod pe10
něz uskuteční tato banka ve vlastním zúčtovacím centru. V opačném případě (tj. převod mezi bankami navzájem, tzv. mezibankovní platební styk) musí banka plátce použít pro převod peněz tzv. „mezibankovní zúčtovací centrum“ (centrální zúčtovací resp. clearingové centrum). Systém, který v ČR zpracovává mezibankovní platby v českých korunách je systém CERTIS (Czech Express Real Time Interbank Gross Settlement System) umístněn v ústředí České národní banky, která na uskutečňování bezhotovostních plateb v ČR dohlíží a metodicky je zastřešuje. ČNB vede každé bance pro účely vypořádání jeho mezibankovních plateb účet v českých korunách. CERTIS provádí platby pouze v případě dostatečného krytí na účtu banky plátce. (Česká národní banka, 2015c) Z předchozího vyplývá, že účastníky bezhotovostního platebního styku jsou příkazce - tj. plátce, který dává přímý příkaz převádějící instituci k převodu bezhotovostních prostředků příjemce - osoba, která obdrží finanční částku převodu (příkazcem i příjemcem může být tatáž osoba) zprostředkovatelé platby - poskytovatel platebních služeb plátce a poskytovatel platebních služeb příjemce Pro využívání bezhotovostního platebního styku je nutností tzv. bankovní spojení, tj. číslo přidělené k bankovnímu účtu klienta, které jednoznačně identifikuje účet klienta a banku, ve které je účet veden. Toto číslo se skládá z vlastního čísla účtu a identifikačního kódu banky přiděleného ČNB. V rámci platebního styku se mohou používat i další číselné kódy (tzv. symboly plateb), které blíže specifikují platbu. K základním nástrojům bezhotovostního platebního styku a zúčtování náleží tzv. příkazy k zúčtování, kterým je věnována samostatná kapitola. (Schlossberger, 2012)
1.3
Charakteristika zahraničního bezhotovostního platebního styku
Zahraniční platební styk představuje bezhotovostní pohyb peněžních prostředků z jednoho státu do druhého v měně jednoho z nich. Jedná se o veškeré peněžní převody v souvislosti s mezinárodním pohybem zboží, služeb a kapitálu (Schlossberger, 2012). Složitost zúčtování u zahraničních plateb ve srovnání s platbami tuzemskými spočívá ve faktu, že obvykle zahrnují více geografických oblasti, právních systémů a vícero měn. Také mnoho bank se přímo 11
neúčastní platebních systémů mimo vlastní krajinu, a z tohoto důvodu je zapotřebí další zprostředkovatelské finanční instituce (Kokkola, 2010). K provádění zahraničního platebního styku proto slouží bankám celosvětová síť korespondenčních bank, s jejichž pomocí a s pomocí vzájemného účetního spojení se realizují všechny platby v odpovídající měně bez použití hotovostních platebních prostředků (tj. účetně). Účty vedené v korespondenční síti možno dělit na tzv. nostro a loro účty. Nostro účet je účet konkrétní tuzemské banky v zahraniční obchodní bance, kdežto loro účet je účet této zahraniční obchodní banky v tuzemské bance. Základním předpokladem pro realizaci zahraničního bezhotovostního platebního styku je existence systému, který zajišťuje přenos jednotlivých položek zahraničního platebního styku (Kalabis, 2012). Nejrozšířenějším systémem je tzv. SWIFT (Society for Worldwide Financial Telecommunication), se sídlem v Bruselu. Cílem společnosti SWIFT je vývoj mezinárodní komunikační sítě, která umožňuje členským bankám rychlý a bezpečný přenos informací v mezinárodním bankovním obchodě. Cílem SWIFT je: bezdokladové zpracování platebního styku urychlení komunikace mezi bankami minimalizace rizik snížení nákladů na přenos dat přímý přístup k finančním institucím na celém světě K identifikaci odesílatele a příjemce platby, a také k identifikaci swiftových kódů bank slouží tzv. swiftová adresa BIC (The Bank Identifier Code). BIC má osm nebo jedenáct znaků a skládá se z následujících kódů: kód banky - čtyři abecední znaky kód země - používá se dvoumístní abecední kód ISO, např. DE pro NĚMECKO kód místa - dvoumístní alfanumerický znak event. kód pobočky (volitelná položka) - tří alfanumerické znaky Potřeba harmonizace platebních systémů eurozóny dala v roce 2002 vzniku tzv. Jednotného eurového platebního prostoru (SEPA; Single Euro Payments Area) v rámci zemí EU/EHP. (Schlossberger, 2012) Po zavedení EUR jako jednotné měny některých zemí EU vyvolalo potřeby standardizovat a sjednotit postupy při zpracování a realizaci operací platebního styku a jejich nástrojů. Projekt SEPA představuje nástroj v rámci snah o finanční integraci v rámci 12
EU. Cílem SEPA je, aby byly převody v měně EUR prováděny jednotně. Pomoci SEPA jsou regulovány. (csas.cz, a) platby v EUR z účtu na účet (SEPA Credit Transfer) - jedná se o rychlý převod v eurech v rámci SEPA prostoru. Hlavní výhodou je např. platba bez omezení převáděné částky; částka je mezi účty převedena v plné výši; poplatky sdílí plátce i příjemce (typ poplatku SHA); platba je převedena následující den po zadání příkazu a ve stejný den převedena na účet příjemce. inkasa v EUR z účtu na účet (SEPA Direct Debit) - jedná se o bezhotovostní inkaso v eurech. Hlavní výhodami SEPA inkasa je, že všechny inkasní příkazy v rámci EHP lze provádět z jednoho účtu. Dále je SEPA inkaso uvolňované ve prospěch identifikačního kódu příjemce (CID), což znamená, že příjemce může inkasa vysílat z různých účtů nebo pouze z jednoho účtu dle aktuální potřeby. Na rozdíl od tuzemského inkasa obdrží u SEPA inkasa peníze nebo odmítnutí v den požadovaného vypořádání. Než dojde k využívání SEPA inkasa, je potřeba, aby plátce udělil příjemci tzv. Mandát k SEPA inkasu. Ten obsahuje informace o plátci a příjemci, identifikační číslo příjemce (CID), jednoznačnou referenci (UMR, Unique Mandate Reference). Plátce musí zajistit dostupnost svého účtu pro SEPA inkaso. Příjemce musí mít aktivní službu pro vysílání příkazů k SEPA inkasu podepsáním smlouvy u své banky. Na základě Nařízení Evropského parlamentu a Rady (EU) č. 260/2012 byly stanoveny závazné požadavky: jedná-li se o platbu v měně EUR v rámci EU/EHP nutnost uvádět číslo účtu příjemce ve tvaru IBAN a identifikátor banky příjemce ve tvaru BIC fyzické osoby-podnikatelé a právnické osoby musí při předávání/přijímání hromadných úhrad používat formát zpráv dle normy ISO 20022XML Tyto požadavky musí země eurozóny dodržovat od 1. února 2014. V ČR mají účinnost od 31. října 2016.
13
1.3.1 Nástroje zahraničního platebního styku Mezi nástroje zahraničního platebního styku lze řadit následující (Schlossberger a Soldánová, 2005): platební příkaz, resp. hladké platby - rozlišují se platby ze zahraničí a platby do zahraničí. Platby jsou většinou prováděny pomocí systému SWIFT. Náležitosti zahraničního platebního příkazu jsou název příkazce a číslo jeho účtu; částka v cizí měně; název cizí měny v kódu ISO - např. EUR pro euro; přesný název a adresa příjemce platby a číslo jeho účtu; jméno a adresa peněžního účtu příjemce; informace o tom, kdo platí bankovní výlohy; účel úhrady; podpis klienta dle platných podpisových vzorů šek - je platební příkaz (někdy označován jako cenný papír), který dává příkazce (majitel účtu) bance, aby k tíži jeho účtu zaplatila určitou částku ve prospěch osoby uvedené na šeku. Podstatné náležitosti šeku jsou písemná forma a jediný jazyk, označení “šek” v textu listiny, bezpodmínečný příkaz zaplatit určitou částku, jméno plátce, místo platby, datum a místo vyplacení, podpis výstavce. dokumentární platby - tj. dokumentární akreditiv a dokumentární inkaso. Dokumentární akreditiv je písemný závazek banky, který je vystaven na žádost jejího klienta (příkazce, kupujícího), že poskytne třetí osobě nebo pověřenému (prodávajícímu) určitou platbu, jestliže budou do určité doby splněny akreditivní podmínky (tyto prověřuje banka na základě předložených dokladů). Dokumentární inkaso je operace banky na základě příkazu klienta obstarat vydání dokladů opravňujících k dispozici s dodaným zbožím třetí osobě proti zaplacení určité peněžní částky.
1.4
Nástroje bezhotovostního platebního styku
Kromě základních nástrojů bezhotovostního platebního styku, které jsou uvedeny v předchozích kapitolách, existuje celá řada dalších instrumentů. V následující části je pozornost věnována dalším nástrojům platebního styku, které byly vybrány i z hlediska problematiky bezpečnosti bezhotovostního platebního styku.
14
1.4.1 Platební karty Platební karty jsou nejstarším a v současnosti nejrozšířenějším produktem, který umožňuje vzdálený přístup k účtu elektronickou cestou. Jedná se o elektronický platební prostředek, který lze použít zejména k úhradě spotřebních výdajů, při platbě, výběru hotovosti, nákupu přes internet, a také k výběru či vkladu hotovosti z bankomatu. (konzument.cz, 2013) V České republice se platební karty využívají od roku 1990. V současnosti patří ČR k vyspělým trhům s vysokou četností užívaní platebních karet (viz Tabulka č.1). TRANSAKCE
VY-
2010
2011
2012
2013
2014
2015
224,409,915
270,008,563
308,186,163
377,920,819
479,675,371
580,434,955
93,277
321,487
367,604
616,086
557,962
565,023
počet transakcí web
-
-
-
16,769,528
22,253,544
29,334,254
počet transakcí NFC
-
-
-
-
202,606,738
369,153,778
203,591,131
269,077,694
283,834,301
321,826,633
374,752,411
447,362,448
121,012
384,318
467,869
724,487
702,648
668,910
-
-
-
17,582,214
24,253,067
33,642,712
DANÝCH KARET Počet transakcí celkem počet transakcí cash back
OBJEM PLATEB U OBCHODNÍKŮ (v tis. Kč) Objem transakcí celkem Objem transakcí cash back v tis. Kč Objem transakcí web v tis. Kč
Tabulka č. 1: Přehled využití platebních karet v ČR v období 2010-2015 Zdroj: bankovníkarty.cz, 2016, vlastní úprava Poznámka: pomlčka znamená, že údaje nebyly k dispozici Vydavatelé platebních karet, tj. banky, se řídí pravidly mezinárodních asociací, a podmínky vydávání a používání platebních karet stanovují ve svých obchodních podmínkách, jež jsou součástí smlouvy o běžném účtu nebo samostatné smlouvy. Účastníci placení kartou jako prostředku bezhotovostního platebního styku jsou: klient (držitel karty, plátce) 15
banka (vydavatel karty, emitující instituce) banka (obchodníka) obchodník (dodavatel, příjemce platby) autorizační středisko Platební karta musí obsahovat následující prvky (Schlossberger, 2012): logo vydavatele karty identifikace držitele karty (nejčastěji jméno) číslo platební karty a tzv. BIN platnost platební karty nosič elektronického záznamu ochranné prvky platební karty Platební karty jsou proti zneužití chráněny řadou bezpečnostních prvků. Jedná se zejména o prvky následující: číslo platební karty - jedná se o základní a klíčový údaj obsažený na platební kartě, který spojuje konkrétní platební kartu s konkrétním finančním účtem. Rozlišují se karty embosované (tj. reliéfní, kdy je číslo do karty vyraženo a umožňuje čtení platební karty pomocí tzv. imprinteru) a neembosované karty (číslo je natisknuto) PIN (Personal Identification Number) kód - je bezpečnostní číselný kód, který je generován automaticky. Číselní kombinace PIN kódu je známa pouze držiteli karty podpisový proužek - obsahující podpisový vzor uživatele na zadní straně karty magnetický proužek - jedná se o médium, které zaznamenává identifikační údaje o držiteli karty, sloužící především k identifikaci a autentifikaci oprávněného držitele platební karty čip - tj. mikroprocesor, na kterém jsou uloženy informace potřebné k ověření osobního kódu držitele. Jedná se o bezpečnější technologii, než použití magnetického proužku. V současnosti je čipová technologie povinná pro všechny země EHP vydávající platební karty VISA nebo Mastercard. Použití čipu umožňuje vydavatelům přidat do čipu další aplikace a také čipová karta umožňuje funkci elektronické peněženky (viz níže). Některé platební karty obsahuju oba typy ochrany (tj. magnetický proužek i čip, jsou to tzv. hybridní karty) (peníze.cz, 2016a) hologram - jedná se o trojrozměrný obraz, na které, znak hologramu při pohybu kartou mění charakteristickým způsobem svou barvu a pozici (Kipielová, 1997) 16
ultrafialové ochranné prvky - viditelné pouze pod UV zářičem kód karty - je buď součástí magnetického proužku karty, nebo je vytištěn na zadní straně platební karty (slouží jako verifikační údaj při internetových platbách) Průběh transakce platební kartou lze rozdělit do čtyř kroků (Kokkola, 2010): 1. iniciace transakce - platba je zahájena buď pomocí terminálu (bankomat, resp. POS terminál) případně na dálku bez nutnosti účasti samotné platební karty skrze email, přes telefon nebo internet 2. autentizace transakce - zahrnuje přečtení informací obsažených na magnetickém proužku nebo čipu, případně zadání kódu CVC/ CVC2. Identita majitele karty je obvykle ověřována pomocí PIN kódu nebo podpisu 3. ověření transakce - spočívá v kontrole údajů na kartě (tj. kontrola ochranných prvků, čísla karty, platnosti karty) a případně v ověřování finančního krytí transakce prostřednictvím dotazu u autorizačního střediska. Autorizační středisko ověřuje danou transakci u vydavatele karty, a to prostřednictvím elektronické sítě propojující jednotlivé vydavatele karet. V případě, že je transakce prováděná prostřednictvím bankomatu nebo platebního terminálu (tj. zařízení, které je připojeno online na tuto síť), autorizace probíhá automaticky a ověřuje se jen PIN kód držitele karty 4. přenos transakce do clearingového centra a vypořádání plateb - probíhá prostřednictvím počítačové sítě, na kterou jsou banky zúčtované v daném kartovém systému napojeny z celého světa. Systém realizuje zúčtování veškerých plateb uskutečněných prostřednictvím karet v průběhu daného dne. Jednotlivé banky poté obdrží seznam plateb ve prospěch nebo na vrub účtů jednotlivých klientů. Vypořádání plateb provádí určená zúčtovací banka na základě výstupu z clearingového systému v podobě kreditních či debetních sald jednotlivých bank. Ty jsou následně zúčtována prostřednictvím nostro účtů jednotlivých bank vedených u zúčtovací banky. Jednotlivé banky pak zatíží či kreditují účty klientů. Platebních karet se vydává nepřeberné množství druhů (Schlossberger, 2012). Podle osoby držitele a uživatele karty je možné rozlišovat mezi: osobními platebními kartami - slouží k užití pro soukromé účely, nebo služebními platebními kartami (business) - jsou vydávány např. pro zaměstnance, členy orgánů, živnostníků, atd.
17
Dále rozlišujeme platební karty: mezinárodní - umožňují platební transakce na celém světě, a to v případě, že jsou vydány pod záštitou některé z velkých karetních asociací, jedná se o tzv. mezinárodní platební systémy platebních karet. Patří sem bankovní asociace (VISA, MasterCard) a nebankovní asociace (American Express, Diners Club, JCB - Japan Credit Bureau). Podíl mezinárodních platebních karet tvoří drtivou většinu karet celkově v ČR vydaných, a to více než 96%. (bankovníkarty.cz, 2016) tuzemské - nebývají vydávány ve spolupráci s některou bankovní asociací a jejich užití je možné jen na území daného státu. Tyto karty jsou jasně označeny např. „Valid only in the Czech Republic“. Jejich podíl mezi celkově vydanými kartami tvoří od roku 2010 přibližně 3%. (bankovníkarty.cz, 2016) Podle záznamů na kartě rozlišujeme platební karty (penize.cz, 2016a): elektronické - jsou nejrozšířenějším typem karet v ČR, patří sem např. karty VISA Electron nebo Maestro. Jsou použitelné pouze pro transakce ověřitelné online v kartovém centru (tj. pro výběry z bankomatů a platby pomocí elektronického platebního terminálu). Výhodou je např. nízká cena, či velice nízká možnost zneužití zablokované (ztracené nebo odcizené) karty. embosované - údaje na kartě (tj. číslo karty, majitel, platnost, atd.) jsou plasticky vyraženy, což umožňuje čtení karty pomocí imprinteru - tzn., že obchodník vloží kartu do imprinteru a otiskne údaje z karty na stvrzenku, kterou zákazník podepíše. Útraty nad určitý stanovený finanční limit jsou nutné ověřovat telefonicky. Výhodou je širší použití, než u elektronických karet, na straně druhé však vyšší náklady za vedení, či blokaci karty, a vyšší riziko zneužití i po zablokování karty. Z hlediska čerpání finančních prostředků na platebním účtu, ke kterému je karta vydána, lze platební karty dělit na (penize.cz, 2016a): debetní platební karty - s jejichž pomocí může držitel čerpat finanční prostředky pouze do výše zůstatku, kterým disponuje na svém účtu (tj. majitel karty čerpá jenom své vlastní peníze). kreditní platební karty - jejíž prostřednictvím čerpá držitel úvěr, který mu instituce poskytla. K splácení tohoto úvěru dochází obvykle jednou měsíčně v rámci tzv. bezúročného ob-
18
dobí (tj. v tomto období nejsou čerpané finanční prostředky úročeny debetní úrokovou sazbou). charge platební karty - podobné kartám kreditním, s tím rozdílem, že banka na konci měsíce vystaví vyúčtování všech transakcí kartou, a tento dluh je nutno jednorázově splatit v dohodnutém termínu. elektronické peněženky - jsou nástroje určené k platbám menších částek, při jejichž použití není obvykle nutná autorizace pomocí PIN kódu, a na rozdíl od platební karty není nutnost vlastnit běžný (nebo jiný) účet. E-peněženky lze dobít určitou částkou a účtováno je pouze jednorázové dobití a ne každá transakce. Jinou formou jsou e-peněženky, které představují jakéhosi prostředníka mezi bankovním účtem klienta a účtem prodejce, tzn. klient i prodejce mají prostřednictvím elektronické peněženky něco jako stejný účet, a mohou tím pádem ušetřit na poplatcích. Řadí se sem např. systém PayPal, GoPay, PaySec od ČSOB, ePlatby, a jiné. (finparada.cz, 2014a) 2010
2011
2012
2013
2014
Vydané karty celkem
9,268,914
10,030,193
10,172,883
10,250,651
11,027,590
11,421,038
Debetní karty
7,400,919
7,454,543
7,636,852
7,945,804
8,731,223
9,131,920
Kreditní karty
1,564,430
2,288,981
2,269,397
2,075,106
2,019,394
2,023,159
Charge karty
303,565
286,669
266,631
229,741
276,973
265,959
Karty služební
406,983
403,248
383,111
442,519
479,736
509,726
Karty virtuální
152,057
150,372
131,389
102,874
85,014
72,443
8,703,382
9,464,549
9,912,958
10,060,096
-
-
-
-
-
-
6 613 235
8 126 085
Karty čipové a hybridní Platební prostředky NFC
2015
celkem
Tabulka č. 2: Vývoj počtu vydaných platebních karet v ČR v období 2010-2015 Zdroj: bankovníkarty.cz, 2016, vlastní úprava Poznámka: pomlčka znamená, že údaje nebyly k dispozici Platební karty mohou kromě základních služeb (základní karty) poskytovat různé doplňkové služby (specializované karty), např. vyšší možné denní a týdenní limity pro výběry z bankomatu, pro bezhotovostní nákupy, různé druhy pojištění určené držitelům karet, zařazení do věrnostního programu, výběry v hotovosti přímo u pokladny obchodu pomocí služby cashback, vklady hotovosti ve vkladových bankomatech, platby mobilním operátorům z bankomatu, atd. 19
V současnosti jsou velkým trendem tzv. bezkontaktní platební karty, které umožňují rychlejší způsob placení ve srovnání s běžnou kartou, ale i ve srovnání s placením v hotovosti. (Klufa, 2013) Pokud je placená částka nižší než 500,− Kč, není dokonce zapotřebí zadávat PIN kód. Při placení musí držitel karty přiblížit kartu do těsné blízkosti vyznačené zóny platebního terminálu nebo prodejního automatu, čímž se snižuje riziko zneužití na větší dálku. Bezkontaktní karty mají navíc v sobě čítač, který občasně vyžaduje potvrzení platby PIN kódem, což je další prvek ochrany proti zneužití.
1.4.2 Bankomaty Způsob výběru hotovosti z bankovního účtu může být různý. Jedním z nejběžnějších způsobů je výběr prostřednictvím bankomatu (ATM - Automated Teller Machine) (Schlossberger, 2012). Jedná se o samoobslužná zařízení, pomocí kterého může držitel účtu vybírat finanční hotovost. K takovému výběru musí mít uživatel k dispozici platební prostředek přímo svázán s platebním účtem, kterým je nejčastěji platební karta. Bankomat se skládá ze tří základních částí (Juřík, 2003): trezoru s kazetami bankovek, s bezpečnostním a spojovacím modulem operátorské části, která slouží k řízení bankomatu (počítač, klávesnice, tiskárna) provozní části - transportní a počítací systém, tiskárna, obrazovka, klávesnice, snímače platebních karet nebo dalších modulů (vkládání hotovosti, atd.) Bankomat komunikuje s uživatelem pomocí obrazovky, a po vložení platební karty do speciální čtečky, se zobrazí nabídka dostupných služeb. Po zadání PIN kódu na klávesnici a autorizaci platby možno vybrat hotovost nebo použít jinou službu. Veškeré transakce i styk s bankou řídí počítač, bankomaty jsou napojeny na autorizační systém, který ověří, zda jsou informace na platební kartě pravé, vyžádá zadání správného PIN kódu, resp. ověří výběr proti dostatečnému zůstatku na účtu. Bankomaty jsou i navzdory rostoucí oblibě bezhotovostních plateb pořád oblíbeným nástrojem (data týkající se použití bankomatů v ČR jsou uvedena v Tab. č. 3) a v současnosti jsou nabízené funkce v bankomatech českých bank vskutku široké. Bankomaty umožňují například: (finparada.cz, 2015b) vložení bankovek na účet 20
změnu PIN kódu platební karty jednorázové platby vložit žádost o službu nebo produkt dobití kreditu mobilního telefonu obsluhu nevidomých výběry a vklady hotovosti bez nutnosti vložit kartu a jiné
POČET VÝBĚRŮ
2010
2011
2012
2013
2014
2015
168,344,160
174,271,751
179,521,237
182,469,036
181,500,665
177 266 576
619,490,744
626,967,068
629,510,831
664,252,317
628,075,293
672 657 230
Z BANKOMATŮ Počet transakcí v ATM celkem Objem výběrů z ATM celkem (v tisících Kč)
Tabulka č. 3: Údaje týkající se použití ATM bankomatů v ČR v období 2010-2015 Zdroj: bankovnikarty.cz, 2016, vlastní úprava
1.4.3 Elektronické bankovnictví Elektronické bankovnictví (internetové bankovnictví; e-banking; internetbanking) je v současnosti jedním z nejoblíbenějších způsobů obsluhy bankovního účtu skrze internetové rozhraní. V ČR byla průkopníkem elektronického bankovnictví Komerční banka, která umožňovala firemním zákazníkům podávat příkazy prostřednictvím vlastního softwarového systému. (komora.cz, 2007) V současnosti již všechny banky standardně nabízejí přístup k účtu a jeho správu přes internet. Do kategorie elektronického bankovnictví lze v dnešní době zařadit také mobilní bankovnictví (tj. správu bankovních účtů přes mobilní telefon). Hlavní výhodou elektronického bankovnictví je možnost obsluhovat bankovní účet na dálku všude tam, kde má klient přístup k internetu, a to 24 hodin denně, 7 dní v týdnu. Výhodou je
21
také jeho snadná obsluha a rychlost zadaných platebních transakcí. Za transakce provedené pomocí e-bankingu banky obvykle účtují nižší poplatky. Funkce, které banky v rámci elektronického bankovnictví nabízí, se mohou lišit především mezi velkými a malými bankami. Standardními nástroji jsou: přehled všech účtů klienta sledování zůstatku či historie (s možností filtrace nebo exportu do jiných programů) zadávání platebních příkazů založení a správa trvalých platebních příkazů elektronické výpisy zdarma Často nabízenými službami jsou např. souhlas s inkasem a nastavením SIPO, správa termínovaných vkladů, nebo možnost přes internet požádat o spotřebitelský úvěr. Zajímavostí jsou také tzv. e-messages, tj. zprávy o událostech n účtu prostřednictvím e-mailu nebo SMS. E-banking je velice užitečným nástrojem i pro banky, kterým umožňuje snižovat náklady na obsluhu svých zákazníků, ale například velké banky využívají elektronické bankovnictví jako prodejní kanál, jehož prostřednictvím nabízejí klientům další produkty.
1.5
Právní úprava platebního styku
Oblast platebního styku je upravena nejen legislativou České republiky, ale taktéž normami evropského práva (Schlossberger, 2012). Za nejdůležitější vnitrostátní právní předpis lze považovat zákon č. 284/ 2009 Sb., o platebním styku. Tento zákon vymezuje vybrané pojmy z oblasti platebního styku a upravuje základní právní vztahy mezi poskytovateli platebních služeb a jejich uživateli. Na základě získání povolení od České národní banky umožňuje získání licence pro podnikání v oblasti poskytování platebních služeb nebo vydávání elektronických platebních prostředků. Zákon o platebním styku se dělí na dvě části: část veřejnoprávní - stanovuje podmínky pro získání povolení podnikat jako poskytovatel platebních služeb a také upravuje právní postavení platebního systému, podmínky pro jeho fungování a základní náležitosti pro povolení poskytovat služby platebního styku část soukromoprávní - zaměřuje se na podmínky při poskytování platebních služeb zaměřujících se na práva a povinnosti poskytovatelů vůči jejich uživatelům 22
Další tuzemské právní předpisy zahrnují např.: - zákon č. 285/2009 Sb., který novelizoval další předpisy dotýkající se platebních služeb - zákon č. 21/1992 Sb., o bankách, který umožňuje bankám poskytovat platební styk a přijímat vklady -zákon č. 254/2004 Sb., o omezení plateb v hotovosti, který má zamezit daňové úniky. - zákon č. 6/1993 Sb., o České národní bance, který mimo jiné upravuje dohled a dozor nad poskytováním platebních služeb a služeb platebního styku - zákon č. 87/1995 Sb., o spořitelních a úvěrních družstvech, který upravuje možnost spořitelním a úvěrním družstvům poskytovat platební styk a přijímat vklady - zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financováním terorismu, který má předcházet tzv. praní špinavých peněz Platební služby i mezibankovní platební styk jsou upravovány celou řadou dalších předpisů, a vzhledem ke skutečnosti, že se jedná o oblast velice dynamickou, dochází k poměrně častým změnám legislativní úpravy. Základními právními prameny, které upravují platební styk v rámci EU, a které jsou přímo účinné do právního řádu ČR jsou např.: (Česká národní banka, 2015d) - Nařízení Evropského parlamentu a Rady (EU) 2015/751 o mezibankovních poplatcích za karetní platební transakce - Nařízení Evropského parlamentu a Rady (EU) č. 248/2014, kterým se mění nařízení (EU) č. 260/2012, pokud jde o přechod na úhrady a inkasa prováděné v rámci celé Unie - Nařízení Evropského parlamentu a Rady (EU) č. 260/2012, kterým se stanoví technické a obchodní požadavky pro úhrady a inkasa v eurech a kterým se mění nařízení (ES) č. 924/2009 - Nařízení Evropského parlamentu a Rady (ES) č. 924/2009 o přeshraničních platbách ve Společenství, které je jedním ze základních pramenů pro realizaci převodů v měně Euro, případně dalších měnách. Toto nařízení charakterizuje některé základní pojmy z oblasti platebních služeb a stanovuje povinnosti členských zemí v oblasti cenové politiky při provádění převodů v rámci domácího a přeshraničního platebního styku - Nařízení Evropského parlamentu a Rady (ES) č. 1781/2006 o informacích o plátci doprovázejících převody peněžních prostředků, které vymezuje povinnost bank a dalších institucí provádějících převody peněžních prostředků uvádět při jejich realizaci takoví informace, které
23
umožní vždy jasně identifikovat skutečného plátce. Cílem je předcházet zneužití finančního systému k praní peněz a financování terorismu. Další právní předpisy EU vážící se ke platebnímu styku a platebním službám jsou následující směrnice, které byly transponovány do právního řádu ČR: - Směrnice Evropského parlamentu a Rady č. 98/26/ES, o neodvolatelnosti zúčtování v platebních systémech a v systémech vypořádání obchodů s cennými papíry ve znění směrnice Evropského parlamentu a Rady 2009/44/ ES - Směrnice Evropského parlamentu a Rady č. 2007/64/ES, o platebních službách na vnitřním trhu - Směrnice Evropského parlamentu a Rady č. 2009/110/ES o přístupu k činnosti institucí elektronických peněz, o jejím výkonu a o obezřetném dohledu nad touto činností - Směrnice Evropského parlamentu a Rady 2014/92/EU o porovnatelnosti poplatků souvisejících s platebními účty, změně platebního účtu a přístupu k platebním účtům se základními prvky (eur-lex.europa.eu, 2015) - Směrnice Evropského parlamentu a Rady (EU) 2015/2366 o platebních službách na vnitřním trhu, kterou se mění směrnice 2002/65/ES, 2009/110/ES a 2013/36/EU a nařízení (EU) č. 1093/2010 a zrušuje směrnice 2007/64/ES. (eur-lex.europa.eu, 2015).
24
2 Základní přehled bezpečnostních rizik Elektronické bankovnictví je velice dynamická oblast s neustále se rozšiřující nabídkou různých služeb. S tím však bohužel souvisí i kriminalita, která cílí na bankovní účty klientů. Pokusy pachatelů nabývají na důmyslnosti. I když banky vyvíjejí značné úsilí o maximální bezpečnost platebních operací, je nutno zdůraznit, že největší slabinou je neznalost, či nepozornost klientů samotných.
2.1
Rizika při použití platební karty
Platební karty jsou zabezpečeny velkým množstvím bezpečnostních prvků (viz kapitola 1.3.1), o jejichž účinnosti svědčí i fakt, že ztráty z podvodů platebními kartami tvoří v ČR méně, než 0,01% z celkového objemu ročně realizovaných plateb pomocí karty. (finančnívzdělávání.cz, 2012) Většina případů zneužití však vyplývá z nepozorného a neopatrného chování uživatelů karet při zacházení s kartou nebo s nedostatečným zabezpečením vlastního počítače. Dle agentury Europol (Evropský policejní úřad), která pomáhá donucovacím orgánům jednotlivých členských států v boji se závažnou mezinárodní trestnou činností a terorismem, v roce 2012 až k 60% případů zneužití platebních karet došlo bez fyzické přítomnosti platební karty u transakce, tedy při online transakcích. (europol.europa.eu, 2016) K zneužití při použití PoS terminálů nebo bankomatů došlo v 23% resp. v 17%. Všechny druhy zneužití zaznamenaly v průběhu roku 2012 nárůst. V roce 2014 byl celosvětově počet odhadovaných online operací odhadnut na 34,8 bilionu, což je téměř dvojnásobek ve srovnání s rokem 2010. Počet zneužití karet při online operacích (tj. bez fyzické přítomnosti karty) rostl úměrně s rostoucím počtem a objemem online operací. Obrázek č. 1 ilustruje, jakým způsobem lze data získané zneužitím platebních karet zpeněžit.
25
Obrázek č. 1: Možnosti zneužití dat získaných z platebních karet Zdroj: europol.europa.eu, 2016, vlastní úprava
2.1.1 Použití platební karty v bankomatu Nejčastější formou zneužití platební karty při použití bankomatu je tzv. skimming, tj. kopírování údajů z platebních karet speciálním snímacím zařízením (Obr. č. 2). (csas.cz,b) Toto zařízení umísťují pachatelé přímo na bankomaty, a může mít různé podoby. Pachatelé pak většinou pomocí miniaturní kamery nebo falešné klávesnice získají také PIN kód. Následně dochází k nelegálním výběrům, většinou v mimoevropských zemích. Je proto třeba sledovat, zda se na bankomatu nenachází cokoli nestandardního.
26
Obrázek č. 2: Ukázka zařízení, která u bankomatu umožňují tzv. skimming Zdroj: old.itnews.sk, 2013 Další formu zneužití představuje tzv. libanonská smyčka, tj. zařízení vložené do vstupu pro platební karty. (kbkarty.cz, 2014) Toto zařízení zadrží kartu, a podvodník ochoten pomoci zmanipuluje klienta, aby opětovně zadal PIN kód, který si pachatel zapamatuje. V případě, že majitel karty vzdá snahu získat kartu zpět, vybere podvodník zařízení i s kartou, pomocí které uskuteční výběr dříve, než majitel nahlásí ztrátu své karty bance. Dle dat Policie ČR došlo v roce 2015 k markantnímu nárůstu skimmovacích útoků oproti roku 2014 (Obr. 3). (policie.cz, 2015) Jinou formou zneužití platební karty přes bankomat je tzv. cash trapping, tzv. past na hotovost, kdy je do bankomatu nainstalované zařízení, které při výběru zadrží hotovost. (partnersbs.cz) Poškozený může pak nabýt domnění, že transakce neproběhla, a že se jedná o defekt bankomatu. Když se od bankomatu vzdálí, pachatelé vyberou hotovost ze schránky zabudované v bankomatu.
27
Obrázek č. 3: Statistika skimmovacích útoků. Zdroj: policie.cz, 2015
2.1.2 Platby u obchodníka Díky moderním čipovým technologiím u karet a také u platebních terminálů je zneužití karty u kamenných obchodů na poměrně nízké úrovni. (podnikatel.cz, 2013) Riziko zneužití platební karty při platbě v kamenném obchodě tkví především v možnosti zneužití platebních údajů obchodníkem samotným, třeba podstrčením falešného displeje terminálu, která zobrazuje odlišnou sumu od té, která je při platbě zákazníkovi odečtena z účtu. ( Krhovják Jan, Lorenc Václav a Václav Matyáš, 2007) Terminál je totiž pod výhradní kontrolou obchodníka. Proto je nutné dbát na to, aby karta byla použita pouze na jednom čtecím zařízení, a aby k jedné platbě byl vyhotoven pouze jeden prodejní doklad. Vždy je potřeba mít kartu pod dohledem - obchodník by s kartou neměl nikam odcházet. Při platbě je také důležité zkontrolovat správnost údajů a výši placené částky. (gemoney.cz,a) V poslední době se velké oblibě těší tzv. bezkontaktní platební karty. Vydavatelé tvrdí, že riziko jejich zneužití je minimální. Důvodem je nutnost kartu přiblížit velice blízko platebního terminálu a také použití zařízení, které občas vyžaduje potvrzení platby PIN kódem. Některá občanská sdružení však upozorňují, že je tomu právě naopak - použitím zařízení za pár set korun a jednoduchého programu je možné přečtení bezkontaktních karet uložených v peněžence v kapse během pár vteřin. (podnikatel.cz, 2013) Faktem však zůstává, že dosud nejsou ověřené případy, že tomu tak skutečně je. (financialfraudaction.org.uk, 2015) Bezkon28
taktní karty jsou opatřeny robustním bezpečnostním systémem. Míra zneužití kontaktních karet zůstává nízká, nejběžnější nadále zůstává zneužití platebních karet bez jejich fyzické přítomnosti.
2.1.3 Ztráta či krádež platební karty V případě ztráty či odcizení platební karty platí jedno zásadní pravidlo - je nutné neprodleně volat na linku banky nebo organizace, která kartu vydala a ta provede okamžitou blokaci karty. Nutnost jednat rychle platí především pro platební karty, u kterých není potřeba zadávat PIN kód, jako např. bezkontaktní karty. Banky mají pro blokaci karet různá pravidla a také si účtují za blokaci karty různé poplatky. Podmínky ohledně použití platební karty jsou vždy uvedeny ve smlouvě o platební kartě. Je nutno rozlišovat mezi blokací platební karty a tzv. stoplistací mezinárodní embosované karty. (finance.cz) Rozdíl je nejenom ve výši poplatku za tento úkon. Blokace karty je omezení (dočasné nebo trvalé) práva používat platební kartu, které se týká všech transakcí on-line. Blokace karty je provedena během několika minut a stačí ke znemožnění jejího použití. Stoplistace (tj. zařazení čísla karty, jména držitele, atd. na mezinárodní stoplist) se provádí u embosovaných platebních karet, a to z důvodu, že s těmito kartami lze provádět i neautorizované transakce. Stoplistace je trvalé a nevratné zrušení práva používat platební kartu. Po nahlášení banka kartu zablokuje během krátké chvíle. V případě zneužití karty do půlnoci dne nahlášení ztráty nese u většiny bank náklady s tím spojené majitel karty. Někdy je nutné blokaci nebo stoplistaci potvrdit přímo na pobočce banky, kde majitel také vyplní hlášení o krádeži. Pro případ ztráty nebo odcizení karty je vhodné si zaznamenat telefonní číslo příslušné instituce, protože blokace i stoplistace se provádí telefonicky. Tím pádem je možno nechat zablokovat kartu i ze zahraničí.
2.2
Rizika při použití platby přes internet
V České republice je nakupování zboží a služeb přes internet nesmírně oblíbené. Aktuální statistiky uvádí, že 38% nakupujících platí pomocí on-line převodu a 33% volí platbu pomocí platební karty. (novinky.cz, 2015) Placení bankovním převodem je považováno za nejbezpeč-
29
nější způsob. Nevýhodou je zdržení (zboží je expedováno až poté, co je platba připsaná na účet obchodníka) a taky riziko omylu při opisování údajů nezbytných k platbě. Placení kartou na internetu je velice pohodlné a rychlé - při dokončení objednávky je zákazník přesměrován na zabezpečenou stránku. Tam zadáním čísla karty, data její expirace a většinou i kontrolního kódu umístěného na rubu karty dojde k okamžité platbě. Internetové platby kartou jsou neprávem velice často považovány za rizikové. (financnivzdelani.cz, b)Ze strany obchodníka musí být transakce na internetu povinně chráněny bezpečnými metodami (3D metodami). Podmínkou však je, že počítač uživatele musí být zabezpečen proti neoprávněnému používání a vybaven nástroji proti softwarovému napadení (firewall). Je vhodné věnovat pozornost: (novinky.cz, 2015) serióznosti internetového obchodu zabezpečení stránek obchodu. Doporučuje se nakupovat v obchodech s certifikátem APEK (Asociace pro elektronickou komerci). Důležitým prvkem bezpečnosti přenosu citlivých dat prostřednictvím internetu je jejich šifrovaný přenos. Proto se také doporučuje, aby stránka, na které zákazník zadává údaje své platební karty, měla instalován certifikát potvrzující SSL zabezpečení, který je graficky znázorněn zlatým rámečkem. Zároveň musí mít tato stránka v internetovém prohlížeči na začátku adresy znaky https://www...( místo http://www....). tzn. že přenos informací o kartě bude probíhat v šifrované podobě. U některých prohlížečů se při šifrovaném přenosu řádek s webovou adresou zbarví zeleně - to znamená, že SSL certifikát je platný (Obr. č. 4). Je taky důležité sledovat sdělení v průběhu platby.
Obrázek č. 4: Označení platného SSL certifikátu zabezpečené webové stránky Zdroj: ib24.csob.cz, 2016 Pokud se např. objeví hlášení, že je problém s neplatným certifikátem (Obr. č. 5), je vhodné v platbě nepokračovat, případně vznést dotaz v e-shopu.
30
Obrázek č. 5: Příklad hlášení u webové stránky s neplatným SSL certifikátem. Zdroj: onehelp.cz, 2016 Nejbezpečněji se platí u obchodníků, kteří k platbě používají zmíněný systém 3D Secure. Tyto stránky jsou označené logy Verified by Visa a MasterCardSecureCode(Obr. č. 6). (peníze.cz, 2013b) Platba je přesměrována přímo na banku, která obchodníka informuje, že platba proběhla. Tím se úplně zamezí možnost zneužití karty obchodníkem.
Obrázek č. 6: Příklad platby přes zabezpečenou webovou stránku pomocí technologie 3D Secure. Zdroj: csas.cz, 2015c
31
Banky ve svých smluvních podmínkách stanovují způsob, jakým se řeší případné ztráty ze zneužití platebních karet. Často s vydáním karty banky nabízejí i pojištění karty proti ztrátám, za které banka neodpovídá.
2.2.1 Podvodné emaily Podvodné emailové zprávy, tzv. phishing je technika, která má za cíl vylákat od uživatele citlivé údaje. (support.office.com, 2015) Phishingové útoky jsou čím dále, tím promyšlenější, a v současnosti průměrný uživatel již obtížněji zjistí, že jsou podvodné. Některé falešné zprávy a internetové stránky používají skutečná loga firem nebo bankovních institucí. Takové počínání pak pachateli může umožnit požádat a získat úvěr pod jménem okradeného, vybrat peníze z účtu poškozeného zneužít platební kartu, uvázat se k lichvářské půjčce, nebo odběru předraženého zboží (Obr. č. 7).
32
Obrázek č. 7: Příklady podvodních emailů. Zdroj: govcert.cz, 2015 Obezřetnost je nutná v případě, že se v emailové zprávě požaduje poskytnutí osobních údajů neznámému zdroji, ověření informací o účtu pod hrozbou jeho zablokování, odesílatel slibuje neuvěřitelně výhodné podmínky, prodej zboží či služby s příslibem platby výrazně převyšující její hodnotu, text zprávy obsahuje gramatické nebo pravopisné chyby nebo odesílatel požaduje udržet vše v tajnosti. Existuje několik doporučení, jak se bránit podvodným emailovým útokům: (support.office.com, 2015) nedůvěřovat zprávě, která požaduje zadání osobních údajů. Většina institucí a zvláště institucí finančních nikdy nevyžaduje osobní údaje prostřednictvím emailu neodpovídat na emaily s naléhavou formulací, ani neklikat na odkazy v těle takové zprávy obecně se nedoporučuje posílat osobní údaje prostřednictvím emailu neotevírat přílohy podezřelých emailových zpráv. Tyto mohou obsahovat virus nebo spyware, který infikuje počítač. Takové prográmky totiž mohou např. zaznamenat, které klávesy jsou stisknuty při přihlašování k online osobním účtům. Je vhodné každou přílohu před jejím otevřením uložit a nechat ověřit aktualizovaným antivirovým programem nešířit a nepřeposílat podezřelé emaily dál prověřovat odkazy webových stránek, které se mohou tvářit jako legitimní webové stránky
33
jednat se společnostmi, které jsou dobře známé a zavedené. Internetové stránky takové společnosti by měly vždy obsahovat prohlášení o ochraně osobních údajů.
2.2.2 Platby přes internetové bankovnictví Bezpečnost internetového bankovnictví je záležitostí, které banky věnuji velikou pozornost. Bezpečnostní systémy fungují jako stavebnicový systém - skládají se z více na sobě nezávislých prvků a jakmile jediný prvek nefunguje, nebo nesouhlasí, nelze bankovní operace provádět. (bezpecnyinternet.cz, a) Nicméně, tzv. internetoví piráti také zdokonalují nástroje, díky kterým mohou získat citlivé informace, jako např. přístupové hesla k internetovému bankovnictví. Často používaným nástrojem je tzv. pharming, tj. použití speciálních programů, které při přihlášení do internetového bankovnictví přesměrují uživatele na stránky, které jsou dokonalou napodobeninou stránek jeho banky. (bezpecnyinternet.cz, b) Pokud na těchto stránkách uživatel zadá svoje přihlašovací údaje, mohou se pachatelé přihlásit do jeho internetbankingového účtu a neoprávněně převést peníze na jiný účet. To zejména, pokud uživatel nemá nastaven nějaký další bezpečnostní prvek, jako např. zasílání autorizační SMS pro potvrzení transakcí nebo klientský certifikát, atd. Je tedy potřeba obezřetnosti a dávat pozor, jestli se internetbankingová aplikace nechová podezřele, resp. nestandardně, tzn., že může například požadovat takové údaje, které klient běžně k přihlášení ke svému účtu nepotřebuje. V takové situaci je třeba okamžitě ukončit operace a z aplikace se odhlásit. Následně se doporučuje kontaktovat klientské centrum příslušné banky. Vhodné je taky sledovat certifikát zabezpečení banky. Pozor také na řádek, kde se zadává webová adresa - v případě, že řádek obsahuje jinou, než obvyklou adresu banky, může se jednat o podvodní internetovou stránku. Další rizika plynou ze skutečnosti, že datové linky, které poskytují elektronické bankovnictví, provozují třetí osoby, a tudíž jsou tyto linky mimo sféru vlivu banky. (fio.cz, 2014) Sem patří například hrozba hackerských útoků nebo například tzv. „odposlouchávání“ komunikace třetí osobou, tj. používání škodlivých virů nebo kódů, které se pří prohlížení určitých stránek sami nainstalují na počítač. Tam mohou odposlechnout veškeré citlivé údaje. Riziko „odposlechu“ platí například i pro zaslané autorizační sms. (aktualne.cz, 2015). Je bez debaty, že samostatnou kapitolou týkající se bezpečnosti internetového bankovnictví a plateb na internetu vůbec 34
je používání telefonů, zvláště chytrých telefonů. Bohužel, většina uživatelů má jenom malý přehled o funkcích a zabezpečení svých zařízení tak, aby rizika zneužití citlivých dat byly minimální. Velice problematické je používání internetového bankovnictví na veřejných počítačích. Nejenže člověk nikdy neví, jaká je úroveň zabezpečení daného počítače, ale uživatel nemá kontrolu nad tím, jaké programy tam jsou nainstalovány. Například díky programu, který zaznamenává údery na klávesnici lze snadno zjistit různá přístupová hesla. Také je možné, že je počítač, na kterém uživatel zadává platební příkazy monitorován z jiného počítače a pachatel může velice lehce získat přístupové údaje a zadávat vlastní příkazy z účtu poškozeného.
2.3
Obezřetnost při bezhotovostním platebním styku
Bezhotovostní platební styk se stal nedílnou součástí každodenního života většiny lidí, stejně tak, jako provádění platebních transakcí na internetu. Bezpečnost vzdáleně ovládaných účtů nezávisí pouze na bezpečnostních mechanismech jednotlivých bank, ale také především na pozornosti klientů samotných. (Česká národní banka, 2015e) Odborníci se bohužel shodují v jednom - největším rizikem, co se zneužití citlivých dat týče, není řádění zlodějů a různých podvodníků, nýbrž nezodpovědné, lehkovážné a neopatrné chování klientů samotných. V mnoha případech jsou však útoky pachatelů směřovány ne na konkrétního uživatele, nýbrž přes slabá místa počítačového systému a to ještě dříve, než se o nich dozví výrobce programu nebo operačního systému. Zabezpečení internetbankingu se skládá ze dvou částí, šifrování přenášených dat a autorizaci, tj. ověření identity klienta. Každý způsob autorizace je však možné přelstít. Nicméně, není nutno vzdávat se naděje na bezpečné internetové bankovnictví. Dle odborníků nejsou z hlediska jeho bezpečnosti důležité délky šifrovacích klíčů, nebo způsob tvorby elektronického podpisu či jiné možnosti novinek informačních technologií, ale přístup k internetbankingu jako ke službě. (tech.ihned.cz, 2008) Z pohledu klienta je důležité takové řešení, které mu zaručí, že pokud splní povinnosti přiměřené svým znalostem a možnostem, bude jeho bankovní účet v bezpečí. Způsob technického zabezpečení není pro uživatele až tak důležitý. Pro banku je bezpečným takové řešení, které neohrozí dobré jméno a zisky banky.
35
2.3.1 Možné opatření na straně klienta Doporučení pro klienty pro bezpečné používání bankomatu lze shrnout do následujících bodů: (gemoney.cz, 2015b) vždy si prohlédněte bankomat, zda na něm nejsou patrné neobvyklé nebo podezřelé zásahy, případně neobvyklé zařízení dbejte opatrnosti při zadávání PIN kódu. Kryjte si klávesnicí rukou, aby PIN nemohl být odpozorován, dbejte dodržování diskrétní zóny nikdy si u bankomatu nenechávejte jinými osobami radit, dbejte pouze pokynů na obrazovce bankomatu k otevírání dveří u vnitřních bankomatů používejte dle možností jinou kartu s magnetickým proužkem (např. věrnostní kartu) nikdo nemá právo přerušit vaši transakci, a to ani personál banky, nebo ochranka vybranou hotovost si spolu s kartou a účtenkou ihned schovejte platební kartu nikdy nikomu nepůjčujte pokud bankomat nevydal kartu nebo hotovost, nikdy od bankomatu neodcházejte a kontaktujte zákaznickou linku, jejíž číslo je uvedené na bankomatu pravidelně kontrolujte výpisy z účtu využívejte nastavení limitů pro výběr, nebo jiné transakce Rizika, která na klienty používajících on-line platby číhají, lze stručně shrnout do dvou skupin. Jsou to: různé snahy získat citlivé údaje z klientem používaného počítače různé internetové útoky, jako např. falešné stránky Dle odborníků je největší hrozbou nedostatečně zabezpečený počítač v kombinaci s nízkou úrovní zabezpečení internetového bankovnictví. Bezpečnému používání internetbankingu a plateb na internetu může napomoci dodržování následujících základních pravidel: (investicniweb.cz, 2014) dbejte o dostatečné zabezpečení svého počítače, a to především o: - aktualizovaná operační systém - aktualizovaný internetový prohlížeč - trvale zapnutý antivirový program 36
- trvale zapnutý firewall - aktualizované nástroje na detekci a odstranění škodlivého software kritickým bodem je prokázání totožnosti (autentizace) klienta při přihlašování do internetového bankovnictví, doporučuje se proto kombinovat autentizace s prostředky nezávislými na internetu, tj. např. autentizační kalkulátory, potvrzovací SMS, nebo např. bezpečně uloženým a v ideálním případě zašifrovaným digitálním certifikátem podobné platí i pro chytré telefony instalujte programy a různé aplikace výlučně z důvěryhodných zdrojů zadávejte přihlašovací údaje na zabezpečených serverech a v důvěryhodném prostředí nikdy nikomu nesdělujte své osobní a přihlašovací údaje chraňte si svůj PIN kód hesla pravidelně měňte, nepoužívejte stejné heslo pro různé služby emaily a přílohy od neznámých či podezřelých odesílatelů neotevírejte využívejte možnosti nastavení limitů pro prováděné transakce na vašem účtu pravidelně kontrolujte pohyby na účtech a také platby platební kartou sledujte doporučení a informace ohledně bezpečnosti internetového bankovnictví, které vydává vaše banka na internetu nakupujte u spolehlivých a prověřených prodejců sledujte pozorně upozornění počítače a na internetových stránkách banky v případě jakéhokoli podezření nebo odcizení osobních údajů vždy kontaktujte svojí banku
2.3.2 Možné opatření na straně poskytovatele Vzhledem k tomu, že internetové prostředí nemusí být bezpečné, snaží se banky zabezpečit maximální ochranu dat při komunikaci s klientem. Důležitým prvkem je kromě šifrovaného přenosu dat, autentizace, tj. ověření oprávněného uživatele bankovním serverem při jeho vstupu do elektronického bankovnictví. K tomu banky používají různé zabezpečovací prvky, např.: (mesec.cz, 2015) autentizační kalkulátor - používají se různé formy, např. automatický vygenerovaný kód po otevření stránky e-bankingu; nutnost zadání PIN kódu a následné vygenerování kódu;
37
nutnost vložit debetní čipovou kartu, zadání PIN kódu a detailní data platby, následně se vygeneruje autentizační kód autentizační SMS - zaslaná na registrovaný mobilní telefon, která obsahuje autentizační kód pro potvrzení bankovní operace. Může být zaslána jako běžná SMS nebo jako šifrovaná SMS SIM-TOOLKIT (nutnost SIM karty podporující bankovní aplikace) podpisový certifikát - jedná se o heslem chráněný šifrovaný soubor, který je uložen na různém typu média, např. disk v počítači, USB disk, CD, DVD, čipová nebo optická karta, nebo tzv. USB token TAN kódy - seznam unikátních 6ti-místných kódů, které zasílá banka poštou. Po potvrzení bankovní operace je použitý TAN kód neplatný, a při další operaci je nutno použít jiný kód uživatelské jméno a heslo - po jejichž zadání není nutno použít další potvrzovací bezpečnostní prvek omezení počtu pokusů přihlášení do elektronického bankovnictví - po určitém počtu neúspěšných pokusů o přihlášení je přístup k účtu zablokován. Pro odblokování je nutné kontaktovat banku automatické ukončení aplikace po vypršení určitého časového limitu nečinnosti maximální denní limit transakcí Banky jsou schopny ochránit nejen své servery internetového bankovnictví, ale jsou také schopny zajistit i bezpečné, tzn. šifrované přenosy mezi internetbankingovými platformami a klientem - na tyto účely mají totiž na rozdíl od uživatelů své odborníky. Banky disponují prostředky pro zabezpečení informačních systémů, které mají pod svojí kontrolou. (technet.idnes.cz, 2008) Banky mohou také neustále monitorovat své připojení do internetu spolu s dalšími aktivitami na síti. V případě potřeby mohou své klienty včas informovat. Mají také dostatek prostředků pro předcházení i pro případné vyšetřování počítačových podvodů, které však využívají v omezené míře, a spíše přenášejí odpovědnost na své klienty. Evropský orgán pro bankovnictví (EBA) vydal dne 19. prosince 2014 tzv. Obecné pokyny Evropského orgánu pro bankovnictví k bezpečnosti internetových plateb, které nabyly účinnosti 1. srpna 2015. (eba.europa.eu, 2014)Tyto pokyny stanovují pro všechny poskytovatele finančních služeb minimální požadavky na všechny internetové platební služby (bez ohledu na to, jaké zařízení je použité k přístupu). (Česká národní banka, 2015f) Nařízení se týkají 38
platebních karet, zadávání převodů v internetovém bankovnictví, vydávání a změny elektronických oprávnění k inkasu, nebo na internetové převody elektronických peněz mezi dvěma elektronickými účty přes internet. Obecné pokyny doplňují tzv. Doporučení pro bezpečnost internetových plateb vydaných Evropskou centrální bankou. (Česká národní banka, 2015g)
39
3 Aktuální vývoj bezpečnosti platebního styku Jak již bylo zmíněno v předešlých kapitolách, velice důležitým prvkem bezpečného využívání nástrojů bezhotovostního platebního styku je opatrnost a pečlivost samotných uživatelů. Následující kapitola prezentuje výsledky dotazníkového šetření ohledně využívání nástrojů bezhotovostního platebního styku, a to zejména využití platebních karet, či internetového bankovnictví.
3.1
Analýza využití bezhotovostního platebního styku
Cílem dotazníkového šetření bylo zjistit nejen to, jak oblíbené je mezi respondenty využití platebních karet a internetového bankovnictví, jakožto nástrojů bezhotovostního platebního styku, ale také jak je vnímána jejich bezpečnost a jak aktivně respondenti k této problematice přistupují. Celkem bylo v dotazníku položeno následujících 11 otázek: 1. Víte, jaké ochranné prvky používá Vaše platební karta/ karty? 2. Jakým způsobem uchováváte PIN kód ke své platební kartě? 3. Jak často aktualizujete ochranné programy svého počítače? 4. Orientujete se v softwarovém vybavení svého mobilního telefonu, zvláště v aplikacích sloužících pro mobilní banking? 5. Jak často využíváte internetové bankovnictví? 6. Jak často měníte přihlašovací údaje k internetovému bankovnictví? 7. Věnujete pozornost upozorněním své banky na jejích webových stránkách, resp. upozorněním internetového prohlížeče při operacích elektronického bankovnictví? 8. Věnujete při nákupech přes internet pozornost ověření důvěryhodnosti internetového prodejce? 40
9. Jakou pozornost věnujete používání hesla pro internetové bankovnictví a jiné služby (např. e-shopy)? 10. Důvěřujete elektronickému bankovnictví? 11. Stali jste se Vy nebo Vaši známí již někdy obětí kriminality při užívání bezhotovostního platebního styku?
3.1.1 Výběr respondentů Dotazníkové šetření probíhalo na portálu www.survio.com, který je oblíbeným nástrojem pro studie podobného charakteru. Dotazník byl rozeslán pomocí sociálních sítí nebo pomocí přímého odkazu, a účastnilo se ho celkem 62 respondentů. Nevýhodou sestaveného dotazníkového průzkumu je, že není zřejmé, jaké věkové kategorie se ho účastnily - bylo by jistě zajímavé sledovat dané parametry i s ohledem na tuto proměnnou.
3.1.2 Vyhodnocení dotazníkového průzkumu Výsledky dotazníkového průzkumu byly zpracovány pomocí do grafů, které jsou prezentovány níže. Z dotazníkového průzkumu plyne, že celkově internetové bankovnictví využívá 85,588,7 % (v jedné otázce ze tří se údaj liší) dotázaných; 62,9 % dotázaných využívá mobilní bankovnictví a 85,5 % dotázaných využívá možnost nakupování přes internet. Pro platební karty bohužel tento údaj chybí, lze se však domnívat, že dotázaných, kteří vůbec nevyužívají nebo nevlastní platební kartu je zanedbatelné procento. Dále jsou vyhodnoceny jednotlivé dotazované body.
Znalost majitelů platebních karet ohledně ochranných prvků jejich platebních karet: Co se platebních karet týče, jen přibližně dvě třetiny dotázaných vědí (33,9 %) nebo alespoň částečně vědí (37,1 %), jaké ochranné prvky používá jejich platební karta. Téměř třetina (29 %) dotázaných odpověděla negativně na otázku, zda vědí, jaké bezpečnostní prvky používá jejich platební karta. 41
Způsob uchovávání PIN kódu k platební kartě:
O Napsán v blízkosti platební karty (např. v peněžence) (0 %) O V mobilním telefonu (8,1 %) O Na bezpečném místě (mimo platební kartu) (8,1 %) O Pamatuji si ho (83,9 %) Pozitivní zprávou je, že ohledně uchovávání PIN kódu ke své platební kartě, žádný z dotázaných neuchovává tento údaj v blízkosti platební karty. Převážná většina respondentů (83,9%) si jej pamatuje. Ostatní dotázaní jej uchovávají buď v mobilním telefonu (8,1%) nebo na bezpečném místě mimo platební kartu (8,1%).
Aktualizace ochranných prvků počítače používaného pro elektronické bankovnictví: Ohledně bezpečnosti svých počítačů je tak trochu alarmující, na druhou stranu bohužel nijak překvapující skutečnost, že více než polovina respondentů věnuje žádnou (12,9%) nebo malou (43,5%) pozornost aktualizaci ochranných prvků. Jenom 43,5% dotázaných aktualizuje bezpečnostní prvky svého počítače pravidelně. Orientace v softwarovém vybavení mobilního telefonu, zvláště v aplikacích sloužících pro mobilní banking: O Ano (30,6 %) O Částečně (27,4 %) O Ne (4,8 %) O Nepoužívám mobilní telefon pro internetové bankovnictví (37,1 %)
42
Z dotazníkového šetření dále vyplynulo, že mobilní telefon pro internetové bankovnictví používá méně, než dvě třetiny dotázaných (62,9 %). Z toho téměř polovina uživatelů se v softwarovém vybavení svého telefonu (a především v aplikacích sloužících k mobilnímu bankovnictví) orientuje jenom částečně (27,4 %) nebo vůbec (4,8 %). 30,6 % dotázaných uvedlo, že se orientuje v softwarovém vybavení svého telefonu.
Frekvence využívání internetového bankovnictví?
O Každý den (9,7 %) O 2x až 4x do týdne (25,8 %) O Přibližně jednou týdně (25,8 %) O Přibližně jednou měsíčně (27,4 %) O Nepoužívám ho vůbec (11,3 %)
Dle průzkumu je internetové bankovnictví pravidelně používaným nástrojem bezhotovostního platebního styku. Téměř 10 % dotázaných používá internetbanking denně, více než čtvrtina (25,8 %) několikrát do týdne a rovněž čtvrtina (25,8 %) alespoň jednou týdně. Více než čtvrtina dotázaných (27,4 %) používá internetové bankovnictví alespoň jednou měsíčně.
Obměna přihlašovacích údajů k internetovému bankovnictví: Co se týče aktivního přístupu respondentů k bezpečnosti v používání internetového bankovnictví, v některých ohledech jsou čísla alarmující. Například skoro 70 % z nich nemění přihlašovací údaje ke svému účtu. Jenom 16,1 % dotázaných pravidelně své přihlašovací údaje mění.
43
Sledování upozornění banky na jejích webových stránkách, resp. upozorněním internetového prohlížeče při operacích elektronického bankovnictví: Téměř třetina (32,3 %) dotázaných také nevěnuje pozornost upozorněním na webových stránkách své banky, resp. upozorněním internetového prohlížeče při používání internetového bankovnictví. Tento údaj však může být zkreslený tím, že otázka nezahrnuje možnost odpovědi pro respondenty, kteří internetové bankovnictví nevyužívají a tím pádem je procento „nepozorných“ respondentů nižší.
Prověřování důvěryhodnosti internetového prodejce při nákupech přes internet: O Ano, vím jaké náležitosti by měl seriózní internetový prodejce splňovat (59,7 %) O Ne, netuším jak ověřit důvěryhodnost internetového prodejce (25,8 %) O Nenakupuji přes internet (14,5 %)
Při nakupování na internetu takřka 60 % respondentů ví, jaké náležitosti by měl splňovat seriózní prodejce. Více než čtvrtina (25,8 %) respondentů uvedla, že nevědí, jaká kritéria by měl důvěryhodný prodejce splňovat. Obezřetnost ohledně používání hesla pro internetové bankovnictví a jiných služeb (např. e-shopy):
O Používám odlišné heslo pro internetové bankovnictví a jiné pro nákupy na internetu (64,5 %) O Používám stejné heslo (24,2 %) O Nepoužívám internetové bankovnictví (11,3 %
44
Nepřekvapujícím negativním trendem ohledně aktivního přístupu dotázaných k bezpečnosti internetového bankovnictví také je, že téměř čtvrtina (24,2 %) z dotázaných používá stejné heslo jak pro internetové bankovnictví, tak i pro nakupování na internetu. Skoro dvě třetiny (64,5 %) respondentů používá hesla odlišná. Zkušenost s kriminalitou při užívání bezhotovostního platebního styku: Zajímavostí, co se kriminality při použití bezhotovostního styku týče, je že více než 11 % zúčastněných (nebo jejich známých) má negativní zkušenost. Nejvíce (4,8 %) dotázaných má zkušenost se zneužitím platební karty, stejné procento (1,6 %) má zkušenost se zneužitím dat skrze podvodní emaily, mobilní bankovnictví, nebo nákupy přes internet. Důvěra v elektronické bankovnictví:
O Ano (66,1 %) O Pouze z části (29 %) O Ne (0 %) O Nevyužívám ho (4,8 %)
Přesto až 95 % respondentů důvěřuje elektronickému bankovnictví zcela (66,1 %) nebo alespoň částečně (29 %).
Na základě výše uvedeného lze říci, že dotazníkový průzkum v podstatě potvrdil fakta uvedené v předchozích kapitolách. Bezhotovostní platební styk je mezi uživateli v ČR velice oblíbeným nástrojem, a lze jenom očekávat, že počet uživatelů bude pořád přibývat. Negativní stránkou je samotný přistup uživatelů k bezpečnosti při použití bezhotovostního platebního styku, zejména internetového bankovnictví a nakupování přes internet. Z dotazníku plyne, že v této oblasti mají uživatelé pořád značné rezervy, a že je nutné věnovat větší úsilí informovanosti veřejnosti ohledně bezpečnostních rizik při používání bezhotovostního platebního styku a jak vlastním přičiněním předcházet zneužití citlivých dat, potažmo nedovolenému 45
zacházení podvodníků s finančními prostředky. Součástí tohoto úsilí by měla být také aktivní snaha zvyšovat finanční gramotnost veřejnosti. Co se týče samotného dotazníku, lze mu vytknout několik nedostatků. Jistě by bylo zajímavé zahrnout specifikaci věkového rozložení respondentů. Také se objevují otázky, kde není možné odlišit uživatele, kteří nepoužívají dotázanou službu nebo nástroj, a tím pádem jsou odpovědi zkreslené.
3.2
Výhody využití bezhotovostního platebního styku
Na základě informací uvedených v předchozích kapitolách možno shrnout, že bezhotovostní platební styk se stal nesmírně oblíbenou formou placení a jeho popularita s dostupností nových technologií pořád roste. Jedná se o velice pohodlný, rychlý a při dodržení základních pravidel bezpečného zacházení s nástroji bezhotovostního platebního styku i poměrně bezpečný způsob placení. Finanční instituce často poskytují svým klientům různé benefity za používání platebních karet. Dalo by se říci, že za platby v hotovosti je uživatel dokonce znevýhodněn (např. nutnost dokladovat původ peněz při platbách nad určitý limit). Výhody bezhotovostního platebního styku lze shrnout v následujících bodech: (nenechsedojit.cz, 2012) platbu lze poslat jednoduše kdykoliv a odkudkoliv, stačí připojení k internetu lze využít různých platebních instrumentů (platební karty, internetové nebo mobilní bankovnictví, atd.) vyšší bezpečnost oproti hotovosti úspora času a často i poplatků ve srovnání s používáním hotovosti při platbě v zahraničí je bezhotovostní platba kartou výrazně levnější, protože není nutné vybírat hotovost z bankomatu, a platba je realizována v devizách (výhodněji než ve valutách, tj. bankovkách a mincích) Z hlediska obchodníků nebo bank jsou patrny tyto výhody: v důsledku příjímání menšího objemu hotovosti dochází k vyšší bezpečnosti a snižování nákladů na manipulaci s hotovostí bezhotovostní platby zvyšují obrat 46
zvyšující se objem bezhotovostních transakcí zvyšuje kontrolu nad finančními toky a snižuje kriminalitu, daňové úniky a praní špinavých peněz, což je lákavé především pro vlády
3.3
Nevýhody využití bezhotovostního platebního styku
Kromě zjevných výhod má bezhotovostní platební styk ve srovnání s placením v hotovosti samozřejmě i své nevýhody. Patří sem zejména: (nenechsedojit.cz, 2012) nejistota, že platba bude provedena platba probíhá s omezenou kontrolou platícího ne všude jsou bezhotovostní platby přijímány v případě výpadku platebních terminálů, internetového připojení nebo aplikace pro internetové bankovnictví není možné bezhotovostní platby provádět při platbě kartou dochází k prodlevě mezi platbou a odečtením peněz z účtu, která může trvat i několik dnů bezpečnostní ochrana a hrozba zneužití citlivých údajů a neoprávněná manipulace penězi na účtu v případě specifických požadavků je vhodnější osobní konzultace s pracovníkem banky pro technicky méně zdatné uživatele nebo uživatele, kteří nedisponují internetovým připojením, počítačem nebo jinými zařízeními je bezhotovostní platební styk složitý nebo nepoužitelný
3.4
Aktuální trendy bezhotovostního platebního styku
Bezhotovostní platební styk se těší veliké oblibě, která díky technologickým vymoženostem neustále roste a nabízí uživatelům nové možnosti. V současnosti je velikým trendem v oblasti menších finančních transakcí bezkontaktní placení, tzv. NFC technologie („near field communication“). (rychlost.cz, 2015) Tato forma plateb si již našla své místo mezi uživateli a to především ve formě bezkontaktních platebních karet, o kterých bylo pojednáno v předchozích kapitolách. Česká republika se dokonce dostala na první příčku v Evropě, co se týče podílu bezkontaktních útrat. (finance.idnes.cz, 2015) Značné očekávání v této sféře se pojí s neustále se zvyšujícím počtem používaných chytrých telefonů, které se osvědčily jako elektronická 47
peněženka, a to zejména s příchodem mladší generace. V oblasti mobilního bezkontaktního placení by se mohly osvědčit také tzv. inteligentní hodinky vybavené systémy Android nebo ty na platformách společnosti Apple. (rychlost.cz, 2015)Mobilní bezkontaktní placení však ještě stále nenaplnilo očekávání a to především z důvodu nedořešení bezpečnostních otázek, hlavně nedostatečným řešením autentizace a autorizace. Předpokládá se však, s vývojem chytrých telefonů bude velice brzy vyřešen i tento problém. (inflow.cz, 2014) Co však pokulhává, je počet terminálů pro bezkontaktní platby - u řady malých obchodníků se nedá platební kartou vůbec platit. Důvodem jsou nezanedbatelné poplatky bankám, a také řešení připojení terminálu (k internetu nebo telefonu), které lze omezeně využít mimo prodejnu. Tím obchodníci přicházejí o řadu zákazníků. V této oblasti nabízí levnější a pohodlnější řešení technologie mPOS (tzv. „mobile point of sale“) v podobě mobilních platebních terminálů. Tyto terminály se připojují k tabletu nebo smartphonu, a jejich obsluha je velice jednoduchá. (finance.idnes.cz, 2015) Dalším očekáváním v blízké budoucnosti v oblasti elektronických plateb je vstup nových značek kreditních karet zejména asijských společností (především těch Čínských) na evropský trh. S přibývajícími zákazníky z Asie bude pravděpodobně souviset větší využívání biometrických údajů, které by měly nahradit používání klasického PIN kódu. Toto řešení by mohlo být úspěšné jak vzhledem k větší bezpečnosti, ale také díky možnosti získat od zákazníků údaje o jejich nákupních zvycích a případně potřebách. (rychlost.cz, 2015) V Evropě se mají rozšířit přímé převody peněz mezi lidmi, jako např. služba Visa Direct, při které k převodu peněz stačí znát mobilní číslo příjemce. Další možností je posílání peněz kontaktům z různých sociálních sítí. (lupa.cz, 2015) Kromě technologických inovací, které zvýší uživatelský komfort při využívání bezhotovostního platebního styku je pořád velikou výzvou vytvoření kultivovaného a co nejbezpečnějšího internetového prostředí. To by měla podpořit i plánovaná změna legislativy v zemích Evropské unie, ale také USA.
48
4 Predikce vývoje bezhotovostního platebního styku a bezpečnostních rizik Tato část práce je věnována zamyšlením se nad budoucím vývojem bezhotovostního platebního styku obecně, ale také nad budoucími trendy v oblasti platebních karet nebo internetového bankovnictví. V krátkosti je také pojednáno o možných hrozbách, které s bezhotovostním platebním stykem souvisejí.
4.1
Odhad budoucího vývoje bezhotovostního platebního styku
Při pohledu na nesmírně dynamicky se rozvíjející oblast bezhotovostního placení, se nabízí jednoduchá otázka - jaký to bude mít dopad na používání hotovosti? Dojde k úplnému vymizení fyzických peněz? V tomto směru jsou názory odborníků nejednotné - jedni předpovídají, že fyzické peníze nemají šanci odolat, a že v blízké budoucnosti vlády přistoupí k jejich zrušení. O takovém řešení se uvažuje ve vyspělých krajinách, například v severských zemích nebo Izraeli. (peníze.cz, 2015c) Jedná se totiž o velice lákavé řešení, které by díky lepší kontrole omezilo daňové úniky, kriminalitu, ale také ušetřilo náklady na vydávání bankovek či mincí. Dle odborníků je však tento scénář v nejbližší době zatím jen teoretickou úvahou. V důsledku technologického rozmachu dochází sice přirozeně ke změně poměru hotovostních a bezhotovostních plateb. Nicméně, na druhou stranu množství oběživa v ČR i v Eurozóně v posledních letech roste. Hotovost zůstává důležitým prostředkem i z důvodu, že její zákaz by mohl vést ke značné kontrole občanů - o každé finanční operaci by se totiž dověděla třetí strana. Nejnovější systém virtuální měny nebo decentralizované měny jako Bitcoin, z právnického hlediska se nepovažují za peníze. Existují bez centrálního řídícího bodu, která by jej regulovala, což bývá prezentováno jako výhoda této měny. (ecb.europa.eu, 2015) Funguje na principu klient-klient (peer-to-peer). Díky sofistikovanému šifrování by nemělo být možné virtuální měnu zfalšovat. Zatím však doplácí virtuální měna na nedostatečnou důvěru trhu, a také jsou patrné snahy o její regulaci nebo úplné zakázání vládami. (investujeme.cz, 2013)
49
4.1.1 Budoucnost platebních karet Každým rokem stoupá mezi českými spotřebiteli obliba platebních karet, a také stoupá počet míst, kde je kartami možné platit. V roce 2014 se zvýšil objem transakcí pomocí karet téměř o 20%, a počet akceptačních míst vzrostl o 16%. Dva zásadní faktory, které rozhodují o vztahu uživatelů k placení kartou je rozšíření sítě míst, kde je kartou možné platit a jednoduchost provedení platby. Důležitými faktory jsou dále geografická lokalita (především z hlediska rozšíření akceptační sítě) a také samozřejmě věk uživatelů. Jak již bylo zmíněno v předchozích kapitolách, jednoznačným trendem je bezkontaktní technologie NFC. Například Česká spořitelna vyměnila ke konci roku 2014 svým klientům téměř všechny debetní karty za bezkontaktní a následně v květnu 2015 činil podíl bezkontaktních transakcí 75% celkového objemu karetních transakcí. V otázce bezpečnosti se zatím nepotvrdil nárůst zneužití bezkontaktních karet, rozhodně však lze karty považovat za bezpečnější, než hotovost. Kromě toho má zákazník jistotu, že v případě odcizení a zneužití karty bez zadání PINu, mu banka ukradené peníze vrátí. (bankovnictví.cz, 2015) Používání klasických platebních karet jednoznačně ustupuje právě moderním kartám s NFC čipem a chytrým telefonům s NFC technologií, které umožňují pohodlně platit za jízdenku nebo třeba za lístek do kina. Novinkou, kterou společnost MasterCard zavádí (zatím jenom) na britském trhu jsou biometrické platební karty. (ekonomika.idnes.cz, 2014) Tyto karty vůbec nepoužívají PIN kód - mají v sobě zabudovanou čtečku otisku prstu, která rozezná, zda kartou platí její majitel. Biometrické platební karty by si mohli oblíbit především milovníci nových technologií, ale také by mohly být dobrým řešením například pro seniory, kteří mají problémy zapamatovat si PIN kód a píší si ho na papírky uložené v peněžence. Není však jasné, zda bude tato novinka zavedena i v ČR.
4.1.2 Vývoj internetového bankovnictví V ČR již čtyři lidé z pěti využívají internetové bankovnictví, jeden člověk ze čtyř využívá obsluhu svého účtu pomocí smartphonu. (zprávy.aktualne.cz, 2015) Hitem blízké budoucnosti 50
je právě mobilní bankovnictví, které se postupně mění na plnohodnotný prodejný kanál. Nové technologie nutí banky, aby zaujaly pozici moderního poskytovatele služeb. Dnes již většina bank v ČR poskytuje mobilní bankovnictví, avšak ani zdaleka zatím nevyužívají jeho potenciál naplno. Odborníci odhadují, že díky novým technologiím navážou finanční instituce klientem mnohem osobnější a důvěrnější vztah. Díky informacím o klientech, které budou banky sdílet skrze chytré telefony nebo tablety, budou moci lépe odhadovat potřeby svých klientů a v reálném čase na ně reagovat (např. nákup spotřebního zboží, cestování, atd.). Mobilní bankovnictví se bude neustále modernizovat a nabízet chytřejší aplikace s užitečnými s inteligentními funkcemi, které bude moci využívat širší okruh uživatelů. Internetové bankovnictví by se mělo dokonale přizpůsobit osobnosti klienta, a to nejen co se týče nastavení vzhledu a obsahu, ale bude nabízet široké spektrum služeb. Neočekává se však, že by tradiční distribuční kanály (tj. pobočky, platební karty, bankomaty, klasické platební terminály, atd.)zanikly - banky je budou nadále v rozumné míře udržovat v zájmu zachování konvenčního způsobu komunikace se svými klienty. (softec.cz, 2015b)
4.2
Predikce bezpečnostních rizik
Kybernetické útoky se staly významným nebezpečím pro podnikání, a to nejen z hlediska finančního, ale také z hlediska poškození dobré pověsti společnosti. Dle Portálu Kybernetické Bezpečnosti, se nejvíce ohrožený cítí finanční sektor. (kybez.cz, 2016) Bankovní sektor v ČR by však měl být na útoky relativně dobře připraven. Co se týče bezpečnostních rizik, kterých je možno se v blízké budoucnosti obávat, jedná se s největší pravděpodobností především o speciální škodlivý software a škodlivé kódy, které budou útočit na zabezpečovací mechanismy konkrétních společností s cílem získat citlivá data. (finparada.cz, 2015c). Za tím účelem budou útočníci využívat velice sofistikované formy phishingu a triky spojené se sociálním inženýrstvím. Vzhledem k tomu, že mobilní zařízení jsou čím dál, tím častěji využívány nejen pro bezhotovostní platby, očekává se, že budou také přibývat i mobilní útoky. Byly zaznamenány četné „infekce“ škodlivým softwarem využívající vážné zranitelnosti operačních systémů. Podobné platí i pro nové operační systémy, zejména Windows 10 a iOS9 - předpokládá se, že útočníci se pokusí zneužít slabá místa těchto systémů, pro která je vyžadováno větší množství aktualizací, a kde jsou uživatele méně seznáme51
ni s novým prostředím. Útočníci totiž často využívají tzv. zranitelnosti nultého dne (tj. doby, kdy ještě škodlivý program není obecně znám, a tudíž neexistuje pro něj účinná obrana). Takovým hrozbám by mohly předejít pokročilejší sandboxingové technologie (jedná se o druh bezpečnostního mechanismu v rámci počítačové bezpečnosti). Co se týče ochrany citlivých dat, možno předpokládat, že bude docházet k centralizaci řešení pro správu zabezpečení. To znamená, že místo velkého množství bezpečnostních produktů a řešení, která jsou často nepřehledná, složitá, nákladná, a která v konečném důsledku nevedou ke zvýšení bezpečnosti, bude nutné sjednocení zabezpečení, které poskytne větší kontrolu a sníží riziko, že se nové hrozby schovají v bezpečnostních mezerách různých systémů.
52
Závěr Bezhotovostní platební styk je vzrušující téma nejen z hlediska toho, že se jedná o čím dál, tím oblíbenější nástroj k pohodlným platbám, ale díky neustálému technologickému vývoji jsou vyvíjena nová řešení, která jsou pro uživatele velice příjemné, a které ještě více ulehčují zacházení s vlastními finančními prostředky. Jak už tomu při zacházení s finančními prostředky bývá, nedílnou součástí jsou i rizika s ním spojená. Bakalářská práce si kladla za cíl charakterizovat bezhotovostní styk, jeho nástroje, výhody a nevýhody, nebo také předpovědět jeho budoucí vývoj. Především si však kladla za cíl upozornit na rizika, která v současnosti s jeho použitím souvisí. Součástí bakalářské práce je rovněž dotazníková studie zaměřena na analýzu využití nástrojů bezhotovostního platebního styku, jako jsou platební karty nebo elektronické bankovnictví, a aktivního přístupu respondentů k bezpečnosti při jejich používání. Jak již bylo uvedeno, nedílnou součástí používání bezhotovostního platebního styku je i riziko, že dojde ke zneužití citlivých údajů, které může vést k nedovolenému zacházení s finančními prostředky majitelů postižených účtu. A to navzdory konstatování, že placení bez hotovosti je mnohem bezpečnější, než zacházení s hotovostí. Banky věnují značné úsilí bezpečnostní ochraně mechanismů a nástrojů bezhotovostních plateb a služeb, které poskytují. Je však nevyhnutné, aby samotni uživatelé věnovali dostatečnou pozornost zabezpečení svých počítačů, mobilních telefonů, a především byli obezřetní při provádění bezhotovostních operací. Fakta ukazují, a dotazníkový průzkum uvedený v této práci je potvrzuje, že používání platebních karet, internetového bankovnictví jakožto i nakupování přes internet, je mezi českými uživateli velice oblíbené, a nepochybně se bude dál zvyšovat počet uživatelů, kteří budou tyto nástroje a služby využívat. Z dotazníkové studie také plyne, že uživatelé mají značné rezervy, co se týče aktivního přístupu k bezpečnému použití elektronického bankovnictví. Pořád je vysoké procento lidí, kteří nevěnují dostatečnou pozornost zabezpečení svých elektronických účtů, nemění svá hesla a neaktualizují ochranné prvky svých počítačů. Je tudíž nutné věnovat větší úsilí informovanosti veřejnosti ohledně bezpečnostních rizik při používání bezhotovostního platebního styku a jak vlastním přičiněním předcházet zneužití citlivých dat, potažmo nedovolenému zacházení podvodníků s finančními prostředky. Součástí tohoto úsilí by měla být také aktivní snaha zvyšovat finanční gramotnost veřejnosti. 53
Bakalářská práce poskytuje čtenáři nejenom přehled v oblasti bezhotovostních plateb, ale především poskytuje přehled aktuálních rizik a hrozeb, a nabízí uživatelům přehledná opatření či doporučení pro bezpečnější používání nástrojů bezhotovostního platebního styku. Věřím, že tato práce je užitečným materiálem pro lepší orientaci ve vzrušujícím světě bezhotovostního platebního styku a jeho bezpečného užívání.
54
Seznam použité literatury: Tištěné monografie: 1. KALABIS, Zbyněk. Základy bankovnictví: bankovní obchody, služby, operace a rizika. Vyd. 1. Brno: BizBooks, 2012, 168 s. ISBN 978-80-265-0001-8. 2. KIPIELOVÁ, Ivana. Slovník základních pojmů z bankovnictví. Vyd. 1. Praha: Fortuna, 1997, 62 s. ISBN: 80-7168-495-3. 3. KOKKOLA, Tom. The payment system. European Central Bank. 2010, 369 s. ISBN: 97892-899-0632-6 4. JUŘÍK, Pavel. Encyklopedie platebních karet: historie, současnost a budoucnost peněz a platebních karet.Vyd.1. Praha: Grada Publishing, 2003, 312 s. ISBN 80-247-0685-7. 5. JUŘÍK, Pavel. Platební karty: velká encyklopedie 1870-2006.Vyd.1. Praha: Grada Publishing, 2006, 296 s. ISBN 80-247-1381-0. 6. SCHLOSSBERGER, Otakar a Marcela SOLDÁNOVÁ. Platební styk.Vyd.3. Praha: Bankovní institut, a.s., 2005, 368 s. ISBN: 80-7265-072-6. 7. SCHLOSSBERGER, Otakar. Platební služby.Vyd.1. Praha: Management Press, s.r.o., 2012, 328 s. ISBN: 978-80-7261-238-3. Zákony: 8. ČESKO. Zákon č. 6/1993 Sb., o České národní rady a České národní bance, schváleno dne 17. 12. 1992, uveřejněno v č. 3/1993 Sbírky zákonů, strana č. 035 9. ČESKO. Zákon č. 21/1992 Sb., o bankách, schváleno dne 20. 12. 1991 uveřejněno v č. 5/1992 Sbírky zákonů, strana č. 0098 10. ČESKO. Zákon č. 87/1995 Sb., o spořitelních a úvěrních družstvech a některých opatřeních s tím souvisejících a o doplnění zákona České národní rady č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů, schváleno dne 20. 04. 1995, uveřejněno v č. 18/1995 Sbírky zákonů, strana č. 984 11. ČESKO. Zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, schváleno dne 05. 06. 2008, uveřejněno v č. 80/2008 Sbírky zákonů, strana č. 3686 12. ČESKO. Zákon č. 254/2004 Sb., o omezení plateb v hotovosti a o změně zákona č. 337/1992 Sb., o správě daní a poplatků, ve znění pozdějších předpisů, schváleno dne 13. 04. 2004, uveřejněno v č. 83/2004 Sbírky zákonů, strana č. 5426 13. ČESKO. Zákon č. 284/2009 Sb., o platebním styku, schváleno dne 22. 7. 2009, uveřejněno v č. 89/2009 Sbírky zákonů, strana č. 4174
55
14. ČESKO. Zákon č. 285/2009 Sb., Zákon, kterým se mění některé zákony v souvislosti s přijetím zákona o platebním styku, schváleno dne 22. 07. 2009, uveřejněno v č. 89/2009 Sbírky zákonů, strana č. 4211 Nařízení: 15. Evropského parlamentu a Rady - č. 248/2014 ze dne 26. února 2014, kterým se mění nařízení (EU) č. 260/2012, pokud jde o přechod na úhrady a inkasa prováděné v rámci celé Unie, Úřední věstník L 84, str. 1-3. 16. Evropského parlamentu a Rady - č. 260/2012 ze dne 14. března 2012, kterým se stanoví technické a obchodní požadavky pro úhrady a inkasa v eurech a kterým se mění nařízení (ES) č. 924/2009. Úřední věstník L 94, str. 22-37. 17. Evropského parlamentu a Rady - č. 924/2009 ze dne 16. září 2009 o přeshraničních platbách ve Společenství, Úřední věstník L 266, str. 11-18. 18. Evropského parlamentu a Rady - č. 2015/751 ze dne 29. dubna 2015 o mezibankovních poplatcích za karetní platební transakce, Úřední věstník L 123, str. 1-15. 19. Evropského parlamentu a Rady - č. 1781/2006 ze dne 15. listopadu 2006 o informacích o plátci doprovázejících převody peněžních prostředků, Úřední věstník L 345, str. 1-9. Směrnice: 20. Směrnice Evropského parlamentu a Rady - 98/26/ES ze dne 19. května 1998 o neodvolatelnosti zúčtování v platebních systémech a v systémech vypořádání obchodů s cennými papíry. Kapitola 06, svazek 003, str. 107 – 112. 21. Směrnice Evropského parlamentu a Rady - 2007/64/ES ze dne 13. listopadu 2007 o platebních službách na vnitřním trhu, kterou se mění směrnice 97/7/ES, 2002/65/ES, 2005/60/ES a 2006/48/ES a zrušuje směrnice 97/5/ES, Úřední věstník L 319, str. 1-36. 22. Směrnice Evropského parlamentu a Rady - 2009/110/ES ze dne 16. září 2009 o přístupu k činnosti institucí elektronických peněz, o jejím výkonu a o obezřetnostním dohledu nad touto činností, o změně směrnic 2005/60/ES a 2006/48/ES a o zrušení směrnice 2000/46/ES, Úřední věstník L 267, str. 7-17. 23. Směrnice Evropského parlamentu a Rady - 2014/92/EU ze dne 23. července 2014 o porovnatelnosti poplatků souvisejících s platebními účty, změně platebního účtu a přístupu k platebním účtům se základními prvky, Úřední věstník L 257, str. 214-246. 24. Směrnice Evropského parlamentu a Rady - 2015/2366/EU ze dne 25. listopadu 2015 o platebních službách na vnitřním trhu, kterou se mění směrnice 2002/65/ES, 2009/110/ES a 2013/36/EU a nařízení (EU) č. 1093/2010 a 2007/64/ES, Úřední věstník L 337, str. 35127 zrušuje směrnice
56
Elektronické dokumenty: 25. KLUFA, F. Elektronické platební prostředky - jak se vyhnout rizikům. 1. vyd. Sdružení českých spotřebitelů 2013, ISBN 978-80-87719-07-7 Dostupné na WWW:
Internetové zdroje: 26. Aktuálně.cz: Hrozí útok na internetové bankovnictví? Expert odpovídal. zpravy.aktualne.cz[online]. 2015 [cit. 2015-11-18]. Dostupné na WWW: 27. Bankovnictví: Budoucnost platebních karet – rychlost vs. bezpečnost. bankovnictví.cz[online]. 2015 [cit. 2015-11-16]. Dostupné na WWW: 28. Bezpečný internet.cz: Bezpečnost internetového bankovnictví obecně. bezpecnyinternet.cz [online].a [cit. 2015-11-23]. Dostupné na WWW: 29. Bezpečný internet.cz: Phishing a pharming. bezpecnyinternet.cz[online].b [cit. 2015-11-23]. Dostupné na WWW: 30. Česká spořitelna: Vaše dotazy - Karty - Skimming. csas.cz,b[online]. [cit. 2015-11-20]. Dostupné na WWW: 31. Česká spořitelna. Zahraniční platební styk. csas.cz, a [online]. [cit. 2016-04-20]. Dostupné na WWW: < https://www.csas.cz/banka/nav/osobni-finance/zahranicni-platebni-styk/sepa-d00020601> 32. Česká spořitelna. Platby kartou na internetu. csas.cz, [online]. 2015c [cit. 2016-04-20]. Dostupné na WWW: < http://www.csas.cz/html/jakplatitkartou/internet.html> 33. ČNB: Historie a vývoj bezhotovostního platebního styku. cnb.cz. [online]. 2015a[cit. 2015-11-03] Dostupné na WWW: 34. ČNB: Popis systému CERTIS. cnb.cz[online]. © 2015c [cit. 2015-11-06]. Dostupné na WWW: 35. ČNB: Přeshraniční platební styk po vstupu do Evropské unie. cnb.cz [online].© 2015b[cit. 201511-03]. Dostupné na WWW: 36. ČNB: Vybrané předpisy vztahující se k platebnímu styku.cnb.cz[online]. 2015d [cit. 2015-11-20]. Dostupné na WWW: 37. ČNB: Upozornění České národní banky na rizika spojená s využíváním internetového bankovnictví. cnb.cz[online]. 2015e [cit. 2015-11-23]. Dostupné na WWW: 38. ČNB: Sdělení ČNB o doporučení pro bezpečnost internetových plateb. cnb.cz [online]. 2015g [cit. 2015-12-21]. Dostupné na WWW:
57
39. ČNB: Sdělení ČNB o obecných pokynech EBA k bezpečnosti internetových plateb. cnb.cz[online]. 2015f [cit. 2015-12-21]. Dostupné na WWW: 40. ČSOB InternetBanking24. ib24.csob.cz [online]. 2016 [cit. 2016-04-21]. Dostupné na WWW: https://ib24.csob.cz/ 41. EUR-Lex. Acces to European Union Law. eur-lex.europa.eu © 2015 [cit. 2016-04-20]. Dostupné na WWW: 42. European banking authority: Obecné pokyny k bezpečnosti internetových plateb (konečné znění). eba.europa.eu[online]. 2014 [cit. 2015-12-07]. Dostupné na WWW: 43. Europol.Chapter 3 - Crime Areas. europol.europa.eu [online]. 2016 [cit. 2016-02-20]. Dostupné na WWW: https://www.europol.europa.eu/iocta/2014/chap-3-4-view1.html 44. Evropská centrální banka: co jsou to peníze? ecb.europa.eu [online]. 2015 [cit. 2016-04-28]. Dostupné z: http://www.ecb.europa.eu/explainers/tell-me-more/html/what_is_money.en.html 45. Finance.cz: Ztráta platební karty. finance.cz [online]. [cit. 2015-11-21]. Dostupné na WWW: 46. Financial Fraud Action UK. Contactless Cards. financialfraudaction.org.uk [online]. © 2015 [cit. 2016-04-21]. Dostupné na WWW: < http://www.financialfraudaction.org.uk/contactlesscards.asp/> 47. Finanční gramotnost: Platební styk. nenechsedojit.cz[online]. © 2012 [cit. 2015-12-12]. Dostupné na WWW: 48. Finanční vzdělávání: Karta a bezpečnost. financnivzdelavani.cz[online]. 2012 [cit. 2015-11-20]. Dostupné na WWW: 49. Finparada. Nový trend v placení na internetu: elektronická peněženka. Finparada.cz [online]. 2014a [cit. 2015-11-06]. Dostupné na WWW: 50. Finparada: Co umí bankomaty v ČR? Jaké funkce v bankomatech nabízejí jednotlivé banky? Finparada.cz [online]. 2015b [cit. 2015-11-06]. Dostupné na WWW: 51. Finparada: Deset hrozeb pro kyberbezpečnost v roce 2016. finparada.cz[online]. 2015c [cit. 201511-18]. Dostupné na WWW: 53. GE Money bank: Jak bezpečně používat platební kartu? gemoney.cz[online].a [cit. 2015-11-21]. Dostupné na WWW: 54. GE Money Bank: Jak vybírat bezpečně z bankomatu. gemoney.cz[online]. © 2015b [cit. 2015-1205]. Dostupné na WWW: 55. Hospodářská komora ČR: Příručka e-business. komora.cz[online]. 2007. Dostupné na WWW:
58
56. Hospodářské noviny: Bezpečný internetbanking, realita nebo fikce? tech.ihned.cz[online]. 2008 [cit. 2015-12-05]. Dostupné na WWW: < http://tech.ihned.cz/c1-22745020-bezpecnyinternetbanking-realita-nebo-fikce> 57. Idnes.cz: Biometrické platební karty: už žádný PIN, bude stačit otisk prstu. ekonomika.idnes.cz [online]. 2014 [cit. 2015-11-18]. Dostupné na WWW: 58. Idnes.cz: Trend: V placení bezkontaktními kartami jsou Češi evropská jednička. finance.idnes.cz [online]. 2015 [cit. 2015-11-16]. Dostupné na WWW: < http://finance.idnes.cz/bezkontaktnikarty-placeni-trend-dqx-/viteze.aspx?c=A150813_110916_viteze_sov> 59. Idnes: Jak funguje platební karta. Idnes.cz[online]. 2006 [cit. 2015-11-05]. Dostupné na WWW: 60. Inflow Information Journal: Blok expertů | Rozhovor s Ing. Tomášem Hládkem. inflow.cz [online]. 2014 [cit. 2015-11-16]. Dostupné na WWW: 61. InvestičníWeb: Desatero bezpečné komunikace (nejen) s bankou v on-line prostředí. investicniweb.cz [online]. 2014 [cit. 2015-12-07]. Dostupné na WWW: 62. Investujeme.cz: Virtuální měny: Budoucnost, nebo riziko? investujeme.cz[online]. 2013 [cit. 201511-19]. Dostupné na WWW: < http://www.investujeme.cz/virtualni-meny-budoucnost-neboriziko/> 63. IT NEWS: Skimming na vzostupe, tento rok už zasiahol 27 bankomatov na Slovensku. old.itnews.sk [online].2013 [cit. 2016-02-22]. Dostupné na WWW: < http://old.itnews.sk/spravy/bezpecnost/2013-03-21/c155090-skimming-na-vzostupe-tento-rok-uzzasiahol-27-bankomatov-na-slovensku> 64. Komerční banka: Bezpečnost bankomatů. kbkarty.cz[online]. © 2014 [cit. 2015-11-20]. Dostupné na WWW: 65. KRHOVJÁK J., LORENC V. a V. MATYÁŠ. Autentizace a autorizace finančních transakcí. Zpravodaj ÚVT MU., 2007, roč. XVIII, č. 1, s. 5-10. ISSN 1212-0901. Dostupné na WWW: 66. Lupa.cz: Trendy v mobilním placení: NFC zvítězilo, do mobilů se teď chystají banky. lupa.cz [online]. 2015 [cit. 2015-11-16]. Dostupné na WWW: 67. Měšec.cz: Internetové bankovnictví. mesec.cz[online]. 2015 [cit. 2015-12-07]. Dostupné na WWW: 68. Microsoft Office: Ochrana před útoky phishing a jinými formami online podvodů. support.office.com[online]. © 2015a,b [cit. 2015-11-23]. Dostupné na WWW: 69. Národní centrum kybernetické bezpečnosti. govcert.cz[online]. 2015 [cit. 2016-02-20]. Dostupné na WWW: 70. Novinky.cz: PORADNA: Jak platit na internetu? Nejlépe kartou. novinky.cz[online]. 2015 [cit. 2015-11-23]. Dostupné na WWW: http://www.novinky.cz/finance/financni-radce/372467poradna-jak-platit-na-internetu-nejlepe-kartou.html
59
71. onebit hosting: Certifikát SSL. onehelp.cz [online]. © 2016 [cit. 2016-04-23]. Dostupné na WWW: 72. Partners bankovní služby: Dávejte si pozor na platební kartu! Podvodníci jsou stále vynalézavější. partnersbs.cz[online]. [cit. 2015-11-20]. Dostupné na WWW: 73. Peníze.cz: Dávejte si pozor na platební kartu! Podvodníci jsou stále vynalézavější. peníze.cz [online]. 2013 b[cit. 2015-11-23]. Dostupné na WWW: 74. Peníze.cz: Očima expertů: Svět bez bankovek a mincí. Blízká budoucnost, nebo sci-fi? penize.cz[online]. 2015c[cit. 2015-11-16]. Dostupné na WWW: 75. Peníze.cz. Platební karty a jejich druhy. penize.cz [online]. © 2016a [cit. 2016-04-20]. Dostupné na WWW: 76. Podnikatel.cz: Nepodceňujte rizika elektronických plateb. Jsou vždy bezpečné? podnikatel.cz [online]. 2013 [cit. 2015-11-21]. Dostupné na WWW: 77. Policie České republiky.Skimming 2015. policie.cz [online]. © 2015 [cit. 2016-04-20]. Dostupné na WWW: 78. Portál Kybernetické Bezpečnosti. kybez.cz[online]. ©2016 [cit. 2016-02-25]. Dostupné na WWW: 79. Rychlost.cz: Změny na poli bezpečnosti, internetové neutrality i platebních systémů. rychlost.cz [online]. 2015 [cit. 2015-11-16]. Dostupné na WWW: 80. Sdružení pro bankovní karty. bankovnikarty.cz[online].2016 [cit. 2016-02-20]. Dostupné na WWW: 81. Softec: Bankovní studie - trendy a nové vize bankovních distribučních kanálů. softec.cz[online]. © 2015 [cit. 2015-11-18]. Dostupné na WWW: 82. Technet.cz: Bezpečný internetbanking, realita nebo fikce? technet.idnes.cz[online]. 2008 [cit. 2015-12-07]. Dostupné na WWW:
60
Seznam tabulek a obrázku: Použité tabulky: Tabulka č. 1: Přehled využití platebních karet v ČR v období 2010-2015 .............................. 15 Tabulka č. 2: Vývoj počtu vydaných platebních karet v ČR v období 2010-2015 .................. 19 Tabulka č. 3: Údaje týkající se použití ATM bankomatů v ČR v období 2010-2015 .............. 21 Použité obrázky: Obrázek č. 1: Možnosti zneužití dat získaných z platebních karet ........................................... 26 Obrázek č. 2: Ukázka zařízení, která u bankomatu umožňují tzv. skimming .......................... 27 Obrázek č. 3: Statistika skimmovacích útoků. ......................................................................... 28 Obrázek č. 4: Označení platného SSL certifikátu zabezpečené webové stránky ..................... 30 Obrázek č. 5: Příklad hlášení u webové stránky s neplatným SSL certifikátem. ..................... 31 Obrázek č. 6: Příklad platby přes zabezpečenou webovou stránku pomocí technologie 3D Secure. ...................................................................................................................................... 31 Obrázek č. 7: Příklady podvodních emailů. ............................................................................. 33
61
Příloha č.1 Dotazník: 1.Víte, jaké ochranné prvky používá Vaše platební karta/ karty 2. Jakým způsobem uchováváte PIN kód ke své platební kartě? 3. Jak často aktualizujete ochranné programy svého počítače? 4. Orientujete se v softwarovém vybavení svého mobilního telefonu, zvláště v aplikacích sloužících pro mobilní banking? 5. Jak často využíváte internetové bankovnictví? 6. Jak často měníte přihlašovací údaje k internetovému bankovnictví? 7. Věnujete pozornost upozorněním své banky na jejích webových stránkách, resp. upozorněním internetového prohlížeče při operacích elektronického bankovnictví? 8. Věnujete při nákupech přes internet pozornost ověření důvěryhodnosti internetového prodejce? 9. Jakou pozornost věnujete používání hesla pro internetové bankovnictví a jiné služby (např. e-shopy)? 10. Důvěřujete elektronickému bankovnictví? 11. Stali jste se Vy nebo Vaši známí již někdy obětí kriminality při užívání bezhotovostního platebního styku?
1
1
