Ma sary kova u ni ver zit a Ekonomicko-správní fakulta Studijní obor: Finance
PŘENOS A TVORBA ELEKTRONICKÝCH POLOŽEK V PLATEBNÍM SYSTÉMU ČESKÉ REPUBLIKY Transmission and production of electronic items in the payment system in the Czech Republic Bakalářská práce
Vedoucí bakalářské práce:
Autor:
Ing. Dalibor PÁNEK, Ph.D.
Berta SMÉKALOVÁ
Brno, 2015
Jméno a příjmení autora:
Berta Smékalová
Název bakalářské práce:
Přenos a tvorba elektronických položek v platebním systému České republiky
Název práce v angličtině:
Transmission and production of electronic items in the payment system in the Czech Republic
Katedra:
financí
Vedoucí bakalářské práce:
Ing. Dalibor Pánek, Ph.D.
Rok obhajoby:
2015
Anotace Předmětem bakalářské práce „Přenos a tvorba elektronických položek v platebním systému České republiky“ je analyzování plateb, které vytvářejí automatické elektronické položky. První část se zaměřuje na platební styk obecně v České republice. Je zde rozebrána legislativa a typologie platebních systémů. Druhá je zaměřena na způsoby platby, které vytváří automatické elektronické položky. Zaměřuje se na platební karty, platební terminály, platby mobilem, elektronickými peněženkami a platby na internetu. Zavěř popisuje proces přenosu elektronických položek v platebním systém České republiky.
Annotation The subject of the bachelor thesis „Transmission and production of electronic items in the payment system in the Czech Republic“ is analyzing payments, which create automatic eletronic items. First part of this theses deals with payment system in the Czech Republic in general. It analyses legislative and typology of payment systems. Second part is focused on methods of payment, which produce automatic elecronic items. It is focused on payment cards, payment terminals, m-payments, e-purses and ebanking. The end is devoted to description of transmission process of electronic items in payment system in the Czech Republic.
Klíčová slova Elektronická položka, platební karta, platební brána, NFC, CERTIS
Keywords Electronic item, payment card, payment access, NFC, CERTIS
Prohlášení Prohlašuji, že jsem bakalářskou práci Přenos a tvorba elektronických položek v platebním systému České republiky vypracovala samostatně pod vedením Ing Dalibora Pánka, Ph.D. a uvedla jsem v ní všechny použité literární a jiné odborné zdroje v souladu s právními předpisy Masarykovy univerzity a vnitřními nařízeními Masarykovy univerzity a Ekonomicko-správni fakulty MU. V Brně dne 15. dubna 2015 Vlastnoruční podpis autora
PODĚKOVÁNÍ Chtěla bych především poděkovat mému vedoucímu Ing. Dalibor PÁNEK, Ph.D. za rady o této problematice a za ochotu a flexibilitu při konzultacích. Dále bych chtěla poděkovat své rodině a přátelům za morální podporu v průběhu mého studia.
OBSAH ÚVOD.................................................................................................................................................... 9 1 Platební styk .................................................................................................................................... 10 1.1 Instrumenty platebních služeb pro převody peněžních prostředků ..........................................11 1.2 Bankovní platební styk v ČR .....................................................................................................13 1.2.1 Vnitrobankovní platební styk ............................................................................................14 1.2.2 Mezibankovní platební styk ..............................................................................................14 1.3 Charakteristika platebních systémů .........................................................................................15 1.4 Elektronický platební systém ...................................................................................................16 1.5 Účastníci platebního systému ..................................................................................................17 2 Elektronické položky ........................................................................................................................ 19 2.1 Platební karty ..........................................................................................................................19 2.1.1 Historie.............................................................................................................................19 2.1.2 Náležitosti ........................................................................................................................20 2.1.3 Typologie platebních karet ...............................................................................................21 2.1.4 Bezpečnost a rizika ...........................................................................................................21 2.2 Platební terminály ...................................................................................................................23 2.2.1 Historie.............................................................................................................................24 2.2 2 Hardware..........................................................................................................................24 2.2.3 Typologie platebních terminálů ........................................................................................25 2.2.4 Typy transakcí umožňující platební terminál – komunikace s platební kartou ....................27 2.2.5 Bezpečnost a rizika ...........................................................................................................28 2.3 Platební brány .........................................................................................................................28 2.3.1 Historie.............................................................................................................................29 2.3.2 Bezpečnost a rizika ...........................................................................................................29 2.4 Platba mobilem, tabletem .......................................................................................................30 2.4.1 Historie.............................................................................................................................30 2.4.2 Bezpečnost a rizika ...........................................................................................................32 2.5 Elektronické peněženky ...........................................................................................................32 2.5.1 Bezpečnost a rizika ...........................................................................................................32 2.6 Internetové bankovnictví .........................................................................................................33 2.7 Shrnutí ....................................................................................................................................33 3 Proces přenosu elektronických položek ............................................................................................ 34 3.1 Autorizace ...............................................................................................................................34
3.1.1 Rizika autentizace a autorizace .........................................................................................37 3.2 Zúčtování ................................................................................................................................38 3.2.1 CERTIS ..............................................................................................................................38 ZÁVĚR ................................................................................................................................................. 42 Seznam použitých zdrojů .................................................................................................................... 44 Seznam grafů ...................................................................................................................................... 47 Seznam schémat ................................................................................................................................. 47 Seznam tabulek .................................................................................................................................. 47
ÚVOD Běžný spotřebitel na trhu v České republice (ČR) má spoustu možností, jak zaplatit za zboží nebo službu. Může se jednat o platbu v hotovosti nebo naopak bezhotovostní platbu např. přes internet nebo platební terminály v obchodě. V dnešní době je možné využít pro platby mobilní telefony a další chytrá zařízení. Trendy si vyvíjí ohromnou rychlostí a trh se přizpůsobuje se požadavkům spotřebitelů. Právě bezhotovostní platby jsou čím dál častější a populárnější, což vyplývá ze statistik Sdružení pro bankovní karty. V bakalářské práci se zaměřím na automatické elektronické platby, u kterých není nutné manuálně zadávat informace o příjemci. Jednou z hlavních funkcí banky je platební styk, jehož součástí je zmíněný bezhotovostní styk. Téměř každý dnes ví, jak pracovat s platební kartou, ale už méně lidí ví, jak tento proces pokračuje dál a co se odehrává uvnitř bankomatu nebo platebního terminálu. Cílem je shrnout přenos elektronických položek v ČR, přes které instituce musí data „projít“ a co je nutné vůbec pro jejich vznik. Vymezím, u kterých zařízení a za jakých podmínek elektronické položky vzniknou a její náležitosti při vzniku jako jsou bezpečnostní prvky tvorby a přenosu nebo samotných zařízení. Z hlediska informací není v dostupných skriptech problematika shrnuta. Objeví se zde stěžejní body, které se musí uskutečnit před, v průběhu, ale i po platbě. Použiji především metodu deskripce, která bude sloužit k popisu technických předpokladů a následně cesty dat a vysvětlení specifický pojmů. Budou zde rozebrány zákony, které se týkají předpokladů pro uskutečnění platebního styku a jeho celý průběh. Analyzuji trh v ČR z hlediska zúčastněných institucí a z tohoto předikuji vývoj v některých oblastech pro další roky. Za zdroje mi poslouží tištěná literatura především v obecném pojetí platebním styku, dále elektronické knihovna MU a pro nejaktuálnější informace o vývoji a trendech tiskové zprávy institucí, které mají co dočinění s vytvářením elektronických položek. Na začátku vymezím zákonem platební styk, jaké platební služby a instrumenty se v ČR využívají. Zakončím ji charakteristikou platebních systémů a jejich účastníků. V praktické části si přiblížím jednotlivé možnosti pro platby, u kterých vznikne automatická, elektronická položka. Velká kapitola bude věnována platebním kartám a následující budou o možnostech jejího použití. V každé z nich se zmíním o zabezpečení zařízení a možných rizicích. Budu se zabývat platebními terminály, platbou přes mobilní zařízení, elektronickými peněženkami a internetovým bankovnictvím. V poslední části rozeberu přenos elektronických položek, autentizaci a zúčtování plateb.
1 PLATEBNÍ STYK V rámci ČR je platební styk vymezen zákonem č. 284/2009 Sb., o platebním styku. Obsahuje například vysvětlení platebních služeb, ale také práva a povinnosti jednotlivých účastníků platebního styku. Můžeme říct, že platební styk je vztah mezi plátcem a příjemcem platby (v některých případech je plátce totožný s příjemcem), mezi nimiž existují určité vztahy. Existuje různé členění platebního styku, které obvykle není jednotné a jeden platební styk se může porovnávat pomocí více kritérií. Hotovostní platební styk je takový, u kterého se reálně směňují mince nebo bankovky. Vývojově mladším je bezhotovostní styk, který je na vzestupu a v posledních desetiletí je významným trendem v oblasti bankovnictví. Jedná se o platbu provedenou převodem peněžních prostředků na území ČR nebo na území jiného státu prostřednictvím banky v české nebo cizí měně a bezhotovostním převodem peněžních prostředků. 1 Bezhotovostní platební styk má řadu výhod. Účastníci platebního styku se nemusí setkat, styk lze uskutečnit na dálku. Snižuje se riziko držby peněžních prostředků. Klesá nebezpečí krádeže nebo padělání, protože se platí „elektronickými daty“. Na druhou stranu hotovostní peníze zaručují okamžitou likviditu a jsou neustále k dispozici. Jsou vhodné především při převodu nižších částek. Po vstupu do Evropské unie (EU) je regulován i platební styk. Od 1. července 2004 je nutné při platbách nad 15 000 EUR použít pouze bezhotovostní platbu2. Výjimkou je platba podle zvláštního právního předpisu. Do platby se započítávají jak peněžní prostředky v české, tak i zahraniční měně a jejich aktuální kurz dle České národní banky (ČNB). Pokud příjemce zjistí, že platba je nad limitem, má povinnost odmítnout hotovostní plnění, a pokud tak neučiní, může být i on trestně stíhán. Jedním z důvodů tohoto opatření je například zabránění korupce, nekalým obchodům a stimul bezhotovostního platebního styku. Pro uskutečnění bezhotovostního styku musí být uvedeny náležitosti, které jsou uvedeny v následující kapitole. Podle Schlossberga se ještě vymezuje elektronický platební styk, jenž operuje pouze s elektronickými penězi. Uskutečnit se může přímo mezi účastníky platebního styku, tedy plátcem a příjemcem, nebo i pomocí zprostředkovatele, kterým je nejčastěji banka. Pokud se jedná čistě o bezhotovostní nebo částečně hotovostní platební styk, vždy se musí uskutečnit skrz zprostředkovatele. V tomto případě musí existovat nějaký bankovní účet, který platební prostředky přijme. Územně se platební styk může uskutečnit v rámci jednoho státu, tzv. vnitrostátní, nebo pokud plátce a příjemce nejsou osoby jednoho státu, hovoříme o zahraničním platebním styku. Tuzemský je legislativně snadnější a v některých případech může být i rychlejší, kvůli menšímu omezení. Zúčtování vnitrostátního platebního styku zajišťuje clearingové Zákon č. 284/2009 Sb., o platebním styku, část II. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 2015-04-01]. 2 Zákon č. 337/1992 o omezení plateb v hotovosti a o změně zákona Sb., o správě daní a poplatků, ve znění pozdějších předpisů; Zákon č. 254/2004 o omezení plateb v hotovosti Sb. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 2015-04-01]. 1
10
centrum CERTIS3, které spadá pod ČNB. U zahraničního styku se musí uvést více informaci při převodu platebních prostředků (kód IBAN a BIC). Jako podkategorii, vzhledem ke snaze unifikovat zákony, uvedeme styk uvnitř evropského hospodářského prostoru (EHP) a mimo EHP, takový se nazývá příhraniční platební styk. Jiné členění je založeno na bankovních institucích, pokud styk zprostředkovává pouze jedna instituce nebo dvě. V prvním případě se jedná o vnitrobankovní styk a do platebního styku obecně vstupuje plátce, příjemce a banka. Mezibankovní styk je charakteristický účastí dvou bank, plátce a příjemce. Hlavní roli toto rozdělní hraje v procesu zpracování elektronických položek. Je-li nutné předložit speciální dokumenty pro uskutečnění platebního styku, jedná se o tzv. dokumentární platební styk. Avšak většina dnešních transakcí je uskutečněna nedokumentárně. Účastníci mohou skrz zprostředkovatele nastavit závazkový vztah. Potom povinnost zaplatit přechází na zprostředkovatele (obvykle banku). Jedná se například o inkasní příkazy nebo příkaz k úhradě a tento platební styk se nazývá závazkový. Přes řadu výhod (rychlost, automatizace) dnes převládají bezzávazkové platby.
1.1 INSTRUMENTY PLATEBNÍCH SLUŽEB PRO PŘEVODY PENĚŽNÍCH PROSTŘEDKŮ Pohyb peněžních prostředků se uskutečňuje prostřednictvím tzv. platebních služeb.4 Na rozdíl od platebního styku je platební služba užší pojem. Platební služba vymezuje pouze vybrané platební instrumenty definované zákonem. Jednotliví aktéři musí spolu nejdřív podepsat rámcovou smlouvu o platebních službách, která stanovuje, za jakých podmínek poskytovatel uskutečňuje jednotlivé platební transakce. Podle zákona je to pohyb hotovosti nebo peněžních prostředků za určitých podmínek. Pro přehlednost je zde následující tabulka. Jeden poskytovatel
Dva poskytovatelé
Hotovost → bankovní účet
Vložení
Převod
Bankovní účet → hotovost
Výběr
Převod
Bankovní účet → bankovní Převod účet
Převod
Hotovost → hotovost
Převod
Převod
Tab. č. 1 zdroj: Výkladová stanoviska k vybraným ustanovením zákona o platebním styku. [online]. 2013 [cit. 2015-04-12]. Dostupné z: https://www.cnb.cz/miranda2/export/sites/www.cnb.cz/cs/platebni_styk/pravni_predpisy/vy kladova_stanoviska/download/vykladova_stanoviska_zakona_o_plat_styku_k_20121024.pdf
Czech Express Real Time Interbank Gross Settlement System Zákon č. 284/2009 Sb., o platebním styku, část II. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 2015-04-01]. 3 4
11
Všeobecně se požadavky na platební služby dělí na dvě velké skupiny. Obligatorní neboli podstatné, které jsou nutné k provedení platby, a fakultativní neboli nepodstatné, které slouží k bližší identifikaci, zařazení platby ze strany příjemce. Stejně jako je platební styk širší pojem než platební služby, jsou instrumenty platebního styku obsáhlejší. Konkrétními základními instrumenty platebního styku jsou:
doklady hotovostního platebního styku (pokladní složenka, výběrní lístek apod.),
příkaz k úhradě (jednotlivý, hromadný) – kreditní operace
příkaz k inkasu (jednotlivý, hromadný) – debetní operace
šek (soukromý, bankovní, cestovní)
dokumentární akreditiv,
dokumentární inkaso,
platební karta (debetní, kreditní, charge)
různé kombinace a varianty předchozího (např. trvalé příkazy, automatické převody apod.)5
K instrumentům bezhotovostním platebních služeb patří příkaz k úhradě (jednotlivý, hromadný), příkaz k inkasu (jednotlivý, hromadný), dokumentární akreditiv, směny a platební karty. Z tohoto jasně vyplívá, že platební službou není například vydávání směnek, šeků, zpracování bankovek a mincí nebo směnárenská činnost. Příkaz k úhradě je uskutečněn z pokynu plátce, naopak pokyn pro příkaz k inkasu je podán ze strany příjemce, který se označuje jako příkazce. Vnitrostátní platební příkazy musí obsahovat označení, o jaký instrument se jedná, bankovní spojení plátce a příjemce, částku s měnou6. Fakultativními údaji jsou variabilní, konstantní a specifický symbol, může být vložena textová zpráva určená příjemci nebo datum vystavení platebního příkazu. Oba příkazy mohou být nastaveny jako trvalé. V určitém časovém intervalu se daná částka převede z jednoho účtu na druhý. Obvykle je za takovou službu účtován fixní poplatek. Jedním z nejvíce využívaným inkasním poplatkem je SIPO (soustředěné inkaso plateb obyvatelstva) 7, které probíhá s pravidelností jeden měsíc. Dokumentární platby se dělí na dokumentární inkaso a akreditiv. Banka vstupuje pouze jako zprostředkovatel platby. Dokumentární inkaso se používá při dodávkách zboží s dalšími dokumenty (např.: faktury, skladovací listy…). Banka příjemce a plátce se navzájem vypořádá na základě příslušných dokumentů. Dokumentární inkaso slouží jako „záruka“ pro dodavatele, jelikož odběratel obdrží zboží až po uhrazení. Není to ovšem záruka ze strany banky. Dokumentární akreditiv je naopak závazek banky, která REVENDA, Zbyněk. Peněžní ekonomie a bankovnictví. 5. aktualiz. vyd. Praha: Management Press, 2012, 423 s. ISBN 9788072612406. s. 149- 156 6 SCHLOSSBERGER, Otakar a Marcela SOLDÁNOVÁ. Platební styk. 3. přeprac. a dopl. vyd. Praha: Bankovní institut, 2007. 435 s. ISBN 9788072651078., s. 78 7 JÍLEK, Josef. Finance v globální ekonomice. 1. vyd. Praha: Grada Publishing, 2013, 660 s. ISBN 9788024738932. s. 512 5
12
jedná ve jménu žadatele o akreditiv. Dodavatel požádá o akreditiv a banka zablokuje odběrateli příslušnou sumu peněz na bankovním účtu. Po otevření akreditivu se zkontrolují podmínky obchodu a dodávka zboží. Pokud je vše v pořádku, banka provede úhradu akreditivu. Ze statistik Evropské centrální banky lze vidět, že za rok 20138 se v ČR používalo inkaso, na druhém místě platební karty a na třetím až přímé debety. Ze stejného dokumentu vidíme nárůst používání platebních karet, kdežto například užití šeků klesá. Elektronické peníze
Důležitou součástí tématu o přenosu elektronických položek jsou elektronické peníze neboli elektronický platební prostředek 9 . Je to ekvivalent k reálným, hmotným penězům10. Je uložen na elektronickém zařízení, které může být napojeno na vzdálený server. Nabývá podoby peněz na platebních účtech nebo aplikace v mobilu. Držitel a vydavatel elektronických peněz musí nejdřív sepsat smlouvu o vydávání elektronických peněz a smlouvu o platebních službách. Držitel peněz předá vydavateli sumu peněz, která bude přetvořena vydavatelem na elektronické peníze. Způsoby využití elektrických peněz jsou různé. Je to například elektronická peněženky nebo aplikace pro mobilní telefon či platby z účtu. Pokud si jejich držitel bude přát zpětnou výměnu, musí mu vydavatel vyhovět a navrátit je ve stejné hodnotě 11. Pokud smlouva byla ukončena, povinnost vyplacení veškeré hodnoty elektronických peněz platí až rok po ukončení. Vydávání elektronických peněz podléhá zákonu č. 284/2009 Sb. o platebním styku. Podle něj je mohou vydávat pouze banky, zahraniční banky a jejich pobočky, spořitelní a úvěrní družstva, instituce elektronických peněz, vydavatelé elektronický peněz malého rozsahu a ČNB. V ČR jsou hotovostní platby dominantní, avšak v posledních letech je rozvoj bezhotovostních plateb značný a banky se snaží o komunikaci s klienty v elektronickém prostředí. 12
1.2 BANKOVNÍ PLATEBNÍ STYK V ČR Obecně platební styk musí splňovat několik podmínek. Řídí se řádem (v ČR zákony), má nejméně dva účastníky (plátce a příjemce), provozovatel systému je držitelem licence, na jejímž základě provádí převody peněžních prostředků. Press release - Payment Statistics for 2013. [online]. 2014, s. 5 [cit. 2015-04-12]. Dostupné z: http://www.ecb.europa.eu/press/pdf/pis/pis2013.pdf?06ec75f7173136eb1186fc5c1e3b2d89 9 MEJSTŘÍK, Michal, Magda PEČENÁ a Petr TEPLÝ. Základní principy bankovnictví. 1. vyd. V Praze: Karolinum, 2008, 627 s. ISBN 9788024615004., s. 331 10 Zákon č. 284/2009 Sb., o platebním styku, část II. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 2015-04-01]. 11 Zákon č. 284/2009 Sb., o platebním styku, část II. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 2015-04-01]. 12 Česká republika. Profil ČR [online]. 2014, s. 13 [cit. 2015-04-14]. Dostupné z: http://profily.cardzone.cz/cr/profil_cr.pdf 8
13
1.2.1 VNITROBANKOVNÍ PLATEBNÍ STYK Při identifikaci toku přenosu elektronických položek je důležité vědět, odkud a kam přesně je přenos veden a toto zpracování potřebuje určitou technologii. Pokud je klientplátce a klient-příjemce, jedná se o vnitrobankovní styk a banka v takovémto případě nemusí zúčtovat s nikým transakci mimo banku. Administrativně je přenos nenáročný a neohrožuje likviditu banky, neboť veškeré finanční prostředky jsou neustále pod jednou institucí. Navíc elektronický platební styk omezuje náklady na minimum. Banka má v takovém případě svůj vlastní interní systém. 1.2.2 MEZIBANKOVNÍ PLATEBNÍ STYK Složitější situace nastává, pokud plátce a příjemce nemají stejnou finanční instituci. V takovém případě je nezbytné, aby se mezi sebou banky vypořádali, jak v rámci ČR nebo v rámci zahraničního platebního styku. Jednou z možností je vytvoření smlouvy mezi bankami, kdy nastane tzv. přímé spojení a mají mezi sebou otevřené nostro a loro účty. Nostro účet si zřizuje banka u druhé banky, neboli je jejím klientem. V případě, že si druhá banka chce zřídit účet u první banky, bude mít loro účet a bude klientem první banky. Každý nostro účet má proti sobě svůj loro účet. Obvykle se tyto účty zřizují kvůli vyrovnání transakcí v různých měnách, popřípadě se užívají v korespondenském platebním systému. Navzájem si připisují sumu peněz na vrub nebo ve prospěch a tím si vyrovnávají banky, popřípadě jiné instituce, svoje transakce. Hojně se tento způsob využívá při zahraničním styku. Tento způsob vypořádání je ale administrativně náročný vzhledem k tomu, že každá instituce by musela mít uzavřeno s každou institucí smlouvu a vést vlastní zúčtovací systém. Právě kvůli zmíněným důvodům se v ČR uzákonil druhý způsob. Jeden subjekt je zvolen jako zúčtovací (clearingová) instituce a má povinnost zúčtovat veškeré operace institucí, jež jsou součástí tohoto systému. Finanční instituce jsou na centrum napojeni prostřednictvím otevřených účtů. Vůbec prvním zúčtovacím systém byl tzv. ABO systém (automatizace bankovních operací)13 z roku 1980, který se v devadesátých letech ukázal jako nedostatečný a proto ho vystřídal systém CERTIS, který je nyní jediným místem pro zúčtování plateb v českých korunách. ABO nyní slouží pro vedení účtů ČNB. Účastník je identifikován podle kódu, který je povinnou součástí každé bankovní transakce. V ČR je uváděn na konci za lomítkem v podobě čtyř čísel. Přímými účastníky jsou banky a s povolením, pobočky zahraničních bank a také spořitelní a úvěrní družstva. Účastníkem už není ale Česká pošta, která provádí platební styk14. Přidružené systémy vystupují jako třetí strany. Důležité jsou clearingová centra karetních asociací nebo RM-SYSTÉM, ale nejsou přímým účastníkem, neboť neprovádí zúčtování.
SCHLOSSBERGER, Otakar a Marcela SOLDÁNOVÁ. Platební styk. 3. přeprac. a dopl. vyd. Praha: Bankovní institut, 2007. 435 s. ISBN 9788072651078., s. 258 14Popis systému CERTIS. In: [online]. [cit. 2015-04-12]. Dostupné z: http://www.cnb.cz/cs/platebni_styk/certis/certis_popis.html#bod03 13
14
1.3 CHARAKTERISTIKA PLATEBNÍCH SYSTÉMŮ Každý systém má různé charakteristiky, podle nichž musí účastníci platebního systému jednat. Může se jednat o elektronický platební systém nebo hotovostní, ale stále existují pravidla pro uskutečnění platebního styku. Mezibankovní vypořádání můžeme označit jako zúčtování. Je to započtení vzájemných peněžitých pohledávek, nebo splnění vzájemných peněžitých dluhů převodem peněžních prostředků. 15 Hrubé vypořádací systémy (brutto systém) pracují s jednotlivými převody, které jsou samostatně zúčtovány. Na rozdíl od čistého vypořádacího systému, kdy banky realizují pouze operace související se saldy transakcí. V případě hrubého vypořádání je nutné mít dostatek peněžních prostředků na účtu pro případné zúčtování, jinak může být ohrožena likvidita banky, popřípadě její investice. Můžeme tento systém rozdělit na dvě základní skupiny 16, dávkový (batchový) systém a systém v reálném čase (real time). První zmíněný je zúčtován v průběhu pracovního dne v intervalech určených bankami a v nich je přenesen balík informací o transakcích. Systém zúčtování v reálném čase bere každou transakci zvlášť a ihned ji odesílá. Přenos se můžu zpomalovat, pokud je mnoho položek ve frontě. Označuje se zkratkou RTGS (real time gross system) a v současné době je nejvíce využíván. Proces probíhá kontinuálně v pracovní dny, kdy elektronické položky zpracovává CERTIS. V okamžiku ověření dostatečného množství peněz na účtu plátce, je transakce zpracována. V jednom okamžiku je provedena debetní i kreditní operace. U čistého vypořádání (net settlement) se banky navzájem domluví, vytvoří loro a nostro účty a vypořádají se sami mezi sebou bez jakékoli další instituce. Systém může být dvojí úrovně. Banky mezi sebou mohou uzavřít bilaterální nebo multilaterální smlouvy. Dva účastníci si v bilaterálním systému navzájem stírají pohledávky a závazky. U multilaterálních smluv se pozice kompenzují napříč více institucemi a vytváří se již složitější zúčtovací systém než u bilaterální dohody. Pozice se hlídají navzájem, tudíž nejenže se kontroluje pozice s druhou bankou, ale i pozice druhé banky vůči třetí atd. Kladnou pozicí se označuje účastník s čistou kreditní pozicí, naopak záporná pozice je s čistou debetní pozicí a souhrnně se označují jako čistá vypořádací pozice. Neobvyklým systémem je hybridní systém s prvky obou již zmíněných. Oba systémy fungují na následujících principech:
Neodvolatelnost operací platebního styku
Neprovedení nekrytých plateb
Možnost krátkodobého vykrytí potřeb vnitrodenním úvěrem17
Zákon č. 284/2009 Sb., o platebním styku, část II. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 2015-04-01]. 16 SCHLOSSBERGER, Otakar. Platební služby. 1. vyd. Praha: Management Press, 2012, 325 s. ISBN 9788072612383., s. 177 17 SCHLOSSBERGER, Otakar. Platební služby. 1. vyd. Praha: Management Press, 2012, 325 s. ISBN 9788072612383., s. 178 15
15
Platební systém upravuje povinnosti a práva účastníků platebního systému, obchodní firmu, závazky plynoucí ze vztahu účastníků, způsob zúčtování, jeho postup, náležitosti příkazu k zúčtování, veškeré povinné údaje, které musí sdělit provozovatel klientovi, časový harmonogram zúčtování, vymezení a charakteristiku provozního dne a samozřejmě měnu a sumu peněz. 18 Provozovatelem platebního systému s neodvolatelností zúčtování je v ČR:
Právnická osoba s povolením od ČNB se sídlem v ČR
Se základním kapitálem 730 tis. EUR
Má obchodní plán, předpoklady z technického i organizačního hlediska
Aktivity neohrožují její likviditu
a má kvalifikované a důvěryhodné vedoucí osoby a osoby, které zajistí hladký průběh provozování platebního systému
Podrobnější informace o podmínkách vzniku platebního systému, o jeho provozovatelích a licencích jsou uvedeny v zákoně o platebním styku č. 284/2009.
1.4 ELEKTRONICKÝ PLATEBNÍ SYSTÉM Pro pochopení fungování toku elektronických položek, je nezbytné si přiblížit elektronické platební systémy (EPS). Elektronický platební systém zajišťuje převod bezhotovostních peněz, tudíž má alespoň tři účastníky, je smluvně ošetřen, provozovatel je držitelem licence od ČNB a veškerý pohyb je uskutečněn v rámci zákona o platebním styku. Můžeme ho označit za jakýsi podpůrný prvek, při zajištění finančního zprostředkovávání, je součástí jak vnitrobankovního, tak mezibankovního styku. Peněžní prostředky se vyskytují ve formě elektronických peněz. V literatuře se vyskytuje několik třídících kritérií EPS. Jedním je dělení podle platebních instrumentů, zda obsahuje elektronické peníze, což může být platební karta (magnetická, čipová…). Druhá skupina instrumentů elektronické peníze neobsahuje a jsou to např.: internetové věrnostní body v jiné formě než peněz, komunikace probíhá pomocí telefonu, počítače nebo Personal Digital Assistan adpatéru (PDA-banking)19. Takovéto položky nespadají pod zúčtování v rámci CERTIS. Časové rozlišení doby zahájení platby a odepsání z účtu plátce je další kritérium. Existují předplacené systémy (pre-paid payment systems), aktuálně placené systémy (pay-now systems) a systémy s opožděnou platbou (pay-later payment systems). V prvním případě si plátce musí opatřit kredit, který mu umožní platit v daném systému. Velmi dynamicky se rozšiřuje možnost opatřit si peněžní prostředek pomocí SMS. Další možností je nákup šeku nebo kuponu. Tento způsob využívají elektronické peněženky. Pro užívání aktuálně placeného systému si plátce musí sjednat u banky debetní účet. Typicky opožděnou platbou jsou platby pomocí kreditní karty. SCHLOSSBERGER, Otakar. Platební služby. 1. vyd. Praha: Management Press, 2012, 325 s. ISBN 9788072612383., s. 186/187 19 MEJSTŘÍK, Michal, Magda PEČENÁ a Petr TEPLÝ. Základní principy bankovnictví. 1. vyd. V Praze: Karolinum, 2008, 627 s. ISBN 9788024615004., s. 330 18
16
Ačkoli se na první pohled může zdát, že EPS je propojen s elektronickými položkami, je to pravda jen do určité míry. Tyto systémy jsou odděleny od platebního systému ČR a jejich garantem není ČNB, ale provozovatel sytému. Tomuto tématu se bude lehce věnovat kapitola o platbách mobilem a elektronických peněženkách.
1.5 ÚČASTNÍCI PLATEBNÍHO SYSTÉMU V této kapitole si rozebereme jednotlivé aktéry, kteří se vyskytují v platebním systému ČR. Jeho účastníci jsou zásadně třech typů. Plátci, příjemci a finanční instituce. Jsou nezávislé na typu elektronického platebního systému. Plátcem se rozumí osoba, z jejíhož účtu banka odepisuje peněžní prostředky nebo která skládá hotovost.20 Pokud je proveden inkasní příkaz, plátcem není banka. Ta se nazývá příkazce, plátce je i v tomto případě osoba, které jsou z účtu strženy peníze. Na druhé straně stojí příjemce, osoba, jenž finanční obnos získala převodem od plátce. Uživatel platebních služeb je fyzická nebo právnická osoba, která využívá platebních služeb jako plátce nebo příjemce. Druhou skupinou jsou poskytovatelé platebních služeb. Poskytovatelé jsou jasně vymezeni zákonem o platebním styku z roku 284/2009 sb. o platební styku. Jedná se o:
banky za podmínek stanovených zákonem upravujícím činnost bank,
zahraniční banky a zahraniční finanční instituce za podmínek stanovených zákonem upravujícím činnost bank,
spořitelní a úvěrní družstva za podmínek stanovených zákonem upravujícím činnost spořitelních a úvěrních družstev,
instituce elektronických peněz (§ 46) za podmínek stanovených tímto zákonem,
zahraniční instituce elektronických peněz za podmínek stanovených tímto zákonem,
vydavatelé elektronických peněz malého rozsahu (§ 53) za podmínek stanovených tímto zákonem,
platební instituce (§ 7) za podmínek stanovených tímto zákonem,
zahraniční platební instituce za podmínek stanovených tímto zákonem,
poskytovatelé platebních služeb malého rozsahu (§ 36) za podmínek stanovených tímto zákonem,
ČNB
Tyto subjekty zároveň získávají možnost poskytovat platební služby a vydávat elektronické peníze. Existenci umožňuje ČNB, která uděluje povolení, které vychází z právních úprav ČR. Pro povolení činnosti je nutné vyplnit žádost ČNB a přílohy s obchodními, ekonomickými údaji a strategiemi instituce na následující roky. Jednou z
20
Slovník pojmů - P. [online]. [cit. 2015-04-12]. Dostupné z: http://www.cnb.cz/cs/obecne/slovnik/p.html
17
podmínek je například existence právnické osoby se základním kapitálem od 20 až 125 tisíc EUR, dle oblasti obchodování a rozsahu služeb. Rozhodnutí o povolení žádosti musí být vydáno ČNB do 3 měsíců ode dne zahájení řízení. V případě bezhotovostního (popř. elektronického) platebního styku se transakce musí uskutečnit skrze prostředníka, banky, úvěrové nebo jiné finanční instituce. S ohledem na zaměření bakalářské práce je důležité si uvědomit, jak mohou banky s platebními kartami nakládat. V první řadě banka může vydávat platební karty. Pak se jedná o tzv. vydavatelské banky (issuer) 21. Banka musí mít uzavřenou smlouvu alespoň s jednou karetní společností22, jejíž karty může následně vydávat svým klientům. Pokud je přenos uskutečněn v rámci jedné banky, nemusí do něj zasahovat CERTIS. Ovšem pokud se transakce uskuteční mezibankovně, musí dojít k vypořádání mezi bankami. K tomuto vypořádání neboli zúčtování musí instituce dostat povolení. Banka uzavírá smluvní vztahy s obchodními společnostmi, zpracovává transakce platebními kartami (přímo nebo prostřednictvím třetí strany) a zajišťuje clearing. Takovéto bance se říká acquirer neboli zúčtovací banka. Je možné obě tyto možnosti sloučit, tedy jedna banka může vydávat karty a zároveň i zúčtovávat transakce. V ČR všechny banky, které provádí zúčtování, jsou zároveň i vydavateli karet. K datu 1. 4. 2015 je ČR celkem 46 bank včetně poboček zahraničních bank23, z nichž je pouze pět zúčtovacích. Jedná se o Českou spořitelnu, a.s., Československou obchodní banku, a.s., Raiffeisenbank a.s., UniCredit Bank Czech Republic, a.s. a Komerční banku, a.s.. Licence se uděluje obvykle univerzální a umožňuje bankám vykonávat hlavní bankovní činnosti. Všechny provádí platební styk uvnitř ČR. Spořitelní a úvěrní družstva jsou nebankovní instituce, které se aktivně zapojují do platebního styku, ale na rozdíl od bank jejich služby mohou využívat pouze jejich vlastní členové. Například bankomat jedné banky může použít klient jiné banky. Zajímavou institucí je Česká pošta, která se specializuje na poukazy hotovostí a není účastníkem mezibankovního platebního styku. Pro Burzu cenných papírů Praha (BCPP) se užívá vypořádacího systému UNIVYC (Univerzální vypořádací centrum), který je napojen kvůli zúčtování na CERTIS. Velkou skupinou institucí jsou organizace, které vykonávají regulaci a dohled, popřípadě poskytující poradní činnosti. Hlavní roli hraje ČNB, o které jsme se zmínili již v předcházející kapitole. Česká bankovní asociace (ČBA) zastupuje zájmy právnických osob podnikající ve finančním sektoru v řešení s Parlamentem, vládou, ČNB a dalšími subjekty. Neméně významnou úlohou je prezentace v zahraničních záležitostech a také komunikace s evropskou institucí Evropskou radou pro platební styk (EPC), která zastupuje a rozhoduje evropský bankovní sektor. Protože vývoj technologií je náročný a v bankovním sektoru velmi, vytvořilo se zájmové sdružení – Sdružení pro bankovní 21 Slovník
kartové terminologie. [online]. [cit. 2015-04-14]. Dostupné z: http://www.csas.cz/banka/nav/podnikatele-firmy-a-instituce/neziskove-organizace/maestro-sluzebnicestovni/slovnik-kartove-terminologie-d00011839 22 Nejčastějšími platebními kartami ve světě jsou VISA, MC, Maestro, Dinners, JCB, AMEX 23 Celkový přehled počtu subjektů ke dni 1. 4. 2015. [online]. 2015 [cit. 2015-01-12]. Dostupné z: https://apl.cnb.cz/apljerrsdad/JERRS.WEB24.SUBJECTS_COUNTS_2
18
karty (SBK). Zájmem nejsou pouze české, ale i mezinárodní organizace zabývající se platebními kartami. Zajímavé je, že ČNB se nemůže stát členem, protože není peněžní ústav, ale má roli pozorovatele. V neposlední řadě je účastníkem platebního systému CERTIS, clearingové centrum, kterému byla vyčleněna zvláštní kapitola.
Dohled a poradní činnost
•ČNB •ČBA •EPC •...
Poskytovatel platebních služeb
•Banky •Zahraniční banky •Spořitelní družstva •...
Uživatel platebních služeb
•Plátce •Příjemce
Schéma. č. 1 zdroj: Účastníci platebníhho systému, vlastní zpracování
2 ELEKTRONICKÉ POLOŽKY Elektronickými položkami můžeme chápat více pojmů, nejobecnějším může být záznam elektronické povahy, který eviduje peněžní prostředky. V takovémto případě bychom mohli za elektronickou položku brát např. i uložení hotovosti na účet, kdy se vytvoří informace o penězích a dále je evidována v elektronické podobě. Také bychom v tomto případě mohli považovat za elektronickou položku převod peněz v rámci internetového bankovnictví, kdy se zadá platební příkaz. Ovšem pro tuto práci jsem si zvolila užší téma a to zaměření na automaticky vytvořené elektronické položky, které nepotřebují zadávat údaje o příjemci platby.
2.1 PLATEBNÍ KARTY Využití karet se postupně rozšiřuje a v průběhu let přibývá možností, kde karty uplatnit. Mezi nejběžnější zařízení pro platbu kartou jsou bankomaty, platební terminály, imprintery a internetové brány či portály. Ačkoli všechny karty „přijímají“, pouze platební terminály, bankomaty a internetové brány vytváří automaticky elektronické položky. Imprinter je označován za „neelektronický“ terminál, zde tedy už vůbec nemůže být řeč o automaticky vytvořené položce. Kdy se nezadávají údaje o příjemci a plátci. 2.1.1 HISTORIE Jedním z nejrozšířenějších platebních nástrojů je platební karta. Od minulého století se začaly rozmáhat karty, které původně sloužily jako věrnostní programy pro obchodní řetězce. Dnes umožňují vzdáleně manipulovat s peněžními prostředky. První karty 19
v dnešním slova smysl byly vytvořeny na počátku dvacátého století a dodnes si prošly dlouhým vývojem. Nejdříve je vydávaly obchodní řetězce a později specializované společnosti. První z nich byla Diners Club International a později se přidala i společnost zabývající se vydávání šeků American Express (AMEX), následována japonskou Japan Credit Bureau (JCB)24. Některé společnosti postupem let vznikly a také zanikly, až se do dnešního dne ustálilo několik základních karetních asociací. Kromě výše tří zmíněných je zejména na evropském trhu zastoupena společnost MasterCard a Visa. Dnes běžně kartové asociace uzavírají partnerství s obchodními řetězci, co by vydavatel např. fleetových karet na pohonné hmoty či jiné služby. V ČR byla vydána první karta v roce 1988 Živnostenskou bankou. Počet transakcí a vydávání karet se v ČR rok od roku zvyšuje., což vyplívá z následující tabulky z dat SBK. Vydaných
2000
2005
2011
2012
2013
2014
Celkem
6867733
7390357
10030193
10172883
10250651
11027590
Čipové
2166418
2830302
9454549
9912958
10060096
11027590
Tab. č. 2 zdroj: Počet vydaných karet v ČR, vlastní zpracování Akceptace
2000
2005
2011
2012
2013
2014
Obchodní místa
-
54667
69878
73991
83500
91109
Platební terminály
-
42909
77651
86975
94914
110308
Tab. č. 3 zdroj: Počet akceptačních míst v ČR, vlastní zpracování (podklady z http://www.bankovnikarty.cz/pages/czech/main.html) 2.1.2 NÁLEŽITOSTI Původně se karty vyráběly z papíru, dnes se standardně vyrábí z odolného plastu v rozměru 85,6 x 54mm a vlastnosti materiálu podléhají ISO/IEC 7810 a ISO/IEC 781625, čip je tvořen z křemíkových krystalů. Mezi mandatorní prvky karty patří:
název vydavatelské banky
logo vydavatele karty
jméno majitele spolu s podpisovým vzorem
číslo karty (může být embosované v závislosti na typu karty)
24 JUŘÍK,
Pavel. Platební karty: ilustrovaná historie placení. 1. vyd. Praha: Libri, 2012, 204 s. ISBN 9788072774982. s. 60
Parametry a struktura smard card. http://www.cardwerk.com/smartcards/smartcard_standard_ISO7816-3.aspx. [online] [Cit. 25
2015-13-04]
20
karty označována zpravidla měsícem a rokem ukončení platnosti
magnetický proužek
kód CVC (Card Verification Code)
možnost elektronického čipu
2.1.3 TYPOLOGIE PLATEBNÍCH KARET V průběhu vývoje karet se vytvořilo více třídících hledisek. Podle způsobu zaúčtování transakcí, se karty dělí na debetní, kreditní a charge. Debetní umožňuje finanční transakce na účtu, pouze pokud je odpovídající částka, kreditní umožňuje čerpat úvěr a zároveň provádět transakce jako s debetní kartou tedy platit za zboží, služby a výběr z bankomatu. Starším typem je charge karta, kdy vlastník uhradí platby na základě měsíčního výpisu od vydavatele ve stanovené lhůtě26. Podle záznamu dat rozlišujeme embosovanou kartu, která má vyraženy identifikační údaje na kartě, dále elektronickou, jejíž údaje jsou zaznamenány na magnetickém proužku a čipovou kartu, která má údaje zaznamenány v mikročipu a v momentální době se považuje za nejbezpečnější ze zmíněných. Často se setkáváme i s kombinací těchto karet. Již jsme nakousli členění podle vydavatelů karet. Mezi něž patří VISA, MasterCard, Diners Club, AMEX a JCB. Karty mohou být omezeny i územně. Některé dovolují transakce pouze na území konkrétní země a jsou např. označeny nápisem: valid only in the Czech Republic. 2.1.4 BEZPEČNOST A RIZIKA V počátcích byly karty středem pozornosti pro padělatele vzhledem k nízkým ochranným prvkům. Velmi často stačilo pouze napodobit majitelův podpis. Nyní se nejvíce důvěry vkládá do čipu, popřípadě do magnetického proužku, které znesnadňují zneužití karty. Avšak i tak není zcela vyloučeno zneužití karty. První karty bylo relativně snadné napodobit, proto se přidávaly postupně i vizuální bezpečnostní prvky. Mezi bezpečnostní prvky patří hologram na kartě, který je součástí již od 80. let. Vodotisk a grafické prvky nebylo možné na kartu vložit. Při výběru z bankomatu je známým podvodem tzv. Libanonská smyčka. Do bankomatu se vloží zařízení, které kartu zadrží, ale vydá peníze pro vlastníka. Podvodník odpozoruje PIN (často pomocí kamery nebo dalekohledu) a ihned se dostaví k bankomatu a vybere z něj peníze. V ČR je u každého bankomatu kamera, která relativně znesnadňuje instalaci takovéhoto zařízení. Doporučením je zakrytí klávesnice při zadávání PINu. V případě magnetického proužku je možné elektronickou informaci zkopírovat z karty na jinou včetně pinu, avšak nedochází ke zkopírování CVC2/CVV227 prvkům. Tento
JUŘÍK, Pavel. Platební karty :velká encyklopedie 1870-2006. 1. vyd. Praha: Grada, 2006. 296 s. ISBN 80247-1381-0. 27 CVC2/CVV2 – kontrolní kód MasterCard/VISA, který je zaznamenán na podpisovém proužku 26
21
podvod se nazývá Skimming. Phising je podvod při zneužití údajů z emailové pošty a následným sběrem citlivých dat. 28 Se zavedením elektronických čipů se bezpečnost výrazně zlepšila a díky standardizaci je dnes možné provádět transakce off-line levněji a přibyla možnost sloučení s věrnostními kartami. Největší kartové asociace vytvořily vlastní zařízení sloužící ke komunikaci při bezkontaktních plateb a to VISA payWave a MasterCard PayPass. Kartové asociace vyvíjí tlak na bezpečnost, a proto byly vyvinuty technické specifikace, které musí karty splňovat. Nejznámější se nazývá EMV standard, který specifikuje čipové karty. Je pojmenován podle vydavatelů čipových karet – Europay, MasterCard a VISA. Je využívám od roku 1994 a je neustále zdokonalován, aby bylo zabráněno podvodům v oblasti debetních a kreditních operací29. Rozšíření a vývoj čipu na platební karty byl jednou z nejdražších investicí provedenou na platebních kartách. Přes první nedůvěru, je tento krok považován za velmi důležitý pro další vývoj karet. Zajímavostí je, že druhou zemí, kde se vydávaly čipové karty, po Velké Británii, se stalo Slovensko. Ve Velké Británii se stalo téměř 70% podvodů padělky karet a tato inovace výrazně zvýšila bezpečnost plateb. Uvnitř čipu je složitý zašifrovaný kód, který reaguje pouze na určité podněty, který je součástí autentizace Reaguje např. na platebním terminálu na nahrané elektronické klíče – Public Key Infrastructure (PKI), které jsou ocertifikovány autoritou na trhu. Tzv. statická autentizace dat ověřuje data na kartě, jestli opravdu existují a dynamická autentizace dat navíc ověřuje pravost karty jako takové. Přenos elektronických položek je nejčastěji šifrován pomocí algoritmu RSA, který ověřuje transakci pomocí digitálních podpisů (což bývá zmíněné PKI). Dalšími šifrovacími jazyky mohou být DES, 3DES nebo AES. 30 Díky investici do čipu je možné dnes využívat bezkontaktních plateb, které se stále ještě dostávají do povědomí klientů. Nevýhodou je větší šance zneužití karet při nižších částkách. V ČR, zpravidla do 500 Kč, je transakce provedena přiložením karty a není potřeba další autorizace. Tato částka se nazývá autorizační limit. Při platbě vyšší částky je nutné zadávat PIN a provést autorizaci. Toto může zvýšit riziko v případě odcizení samotné karty, ale také i v případě, kdy se podvodník dostane do blízkosti karty, což může být i na ulici. Avšak vzdálenost pro komunikaci s kartou je pouze několik centimetrů. V ČR klade důraz na bezpečnost Sdružení bankovních karet 31 , které komunikuje s odborným světem a přispívá k omezení rizik. Můžeme říct, že trend bezkontaktních plateb bude posilovat, např. MasterCard chce, aby Evropané mohli do roku 2020 platit všude bezkontaktně. 32 28KLUFA,
Dr. Ing. František, JUDr. Ph.D. Petr SCHOLZ a JUDr. Michaela KOZLOVÁ. [online]. s. 42 [cit. 201504-14]. Podvody v oblasti bezhotovostních plateb v ČR (studie). Dostupné z: http://www.finarbitr.cz/download/137_cs_a5_bezhotovostni_podvody.pdf ., s. 21 29 Standard EMV - specifikace. http://www.emvco.com/specifications.aspx. [online] [Cit.2015-04-07] 30 FLÉGL, Jan. Systémy platebních karet [online]. Brno, 2011 [cit. 2015-04-15]. Dostupné z: https://www.vutbr.cz/www_base/zav_prace_soubor_verejne.php?file_id=37531. Diplomová práce. Fakulta elektrotechniky a komunikačních technologií, VUT. 31 Zájmové sdružení právnických osob zabývající se problematikou platebních karet 32 GREGOR, Pavel. MasterCard představila vizi online plateb bez hesel. [online]. 2014 [cit. 2015-04-15]. Dostupné z: http://www.rmol.cz/novinky/mastercard-predstavila-vizi-online-plateb-bez-hesel
22
Mnoho příležitostí k zneužití je na internetu jak jsme si naznačili v předchozím odstavci, ale díky 3D Secure s kombinací autorizace přes mobil, se riziko snižuje. Kromě zmíněného EMV nebo 3D Secure standardu, který rozebereme blíže v následujících kapitolách, je důležitý PCI DSS33 standard, který s nimi kooexistuje. Měl by zamezit úniku citlivých dat z platebních karet. V roce 2001 vytvořila VISA a MC vlastní bezpečnostní systémy CISP a SDP34 a v roce 2004 se tyto dvě instituce spojili a vytvořili nový protokol PCI DSS, ke kterému se přidali v roce JCB International, AMEX a Discovery. Z tohoto protokolu vzešlo 12 požadavků, které má standard splňovat, a jsou rozčleněný do následujících kategorií:
Vytvořit a zajistit bezpečnou síť
• ochránit držitele karet
Zajistit ochranu řídicího systému
• zavedení silných přístupových měřítek
Pravidelně monitorovat a testovat síť • dosáhnout bezpečné informační politiky
Obchodník má za zodpovědnost ochranu dat držitelů platebních karet a nejedná se pouze o hardwarovou a softwarovou stránku karty, ale i např. skladování stvrzenek, dat v pokladním systému… V roce 2015 nabude účinnosti nová verze PSI DSS 3.035 a její hlavním bodem je vydávání čipových karet a jsou tedy podporovány EMV standardem. EMV se na rozdíl od PCI DSS nezabývá daty, která byla odcizena pomocí elektronického zařízení, ale snaží se odcizení pouze předejít. Dalšími standardy pro čipové karty jsou CEPS 36, EEP37, FINREAD nebo GlobalPlatform. Platby kartou jsou pohodné a rychlé, nicméně je nutné se vyhýbat rizikům, která hrozí držitelům karty a zároveň reagovat na narůstající možnosti útočníků a neustále vyvíjet nová bezpečnostní opatření.
2.2 PLATEBNÍ TERMINÁLY V dnešním světě je platební terminál běžným přístrojem. Nikoho nepřekvapí, že se skrz něj dá platit v obchodních řetězcích nebo dobíjet tarif do mobilních telefonů. Nejběžnějším úkonem, který je proveden platební kartou a zároveň vytváří automatickou elektronickou položku, je platba kartou pomocí platebního terminálu. Podle VISA má 20-25% procent firem v oblasti cestování, obchodů a restaurací terminály, takže je zde stále potenciál růstu. 38
BONNER, Enda. Implementing the Payment Card Industry (PCI) Data Security Standard (DSS). Telkomnika [online]. 2011, roč. 9, č. 2, s. 365-376 [cit. 2015-04-15]. 34 Cardholder Information Security Program a Site Data Protection 35 KERNER, Sean Michael. EMV Among the Missing Pieces of PCI DSS 3.0. EWeek [online]. 2014, s. 1-1 [cit. 2015-04-14]. http://www.eweek.com/security/emv-among-the-missing-pieces-of-pci-dss-3.0.html 36 Common electronic purse specification 37 European electronic purse 38 BÖHM, Jiří. Češi rádi platí kartou, vybavenost obchodů terminály je však stále nízká. [online]. 2015 [cit. 2015-04-12]. Dostupné z: http://www.cianews.cz/cs/1319507-cesi-radi-plati-kartou-vybavenostobchodu-terminaly-je-vsak-stale-nizka 33
23
Pokud se zaměříme na platbu kartou a platební terminál, můžeme rozlišit dvě základní možnosti jak číst kartu. Prvním je EFT POS terminál39, obecně přijímá jakékoli karty. Druhou možností je imprinter, který nahrazuje v určitých případech EFT POS. Zaznamenává transakci, která může být provedena pouze embosovanou kartou, ale není již v tomto případě vytvořena automatická elektronická položka. 2.2.1 HISTORIE Technologie elektronických terminálů se vyvíjela souběžně s vývojem platebních karet. Nejdříve se začal rozvíjet trh s pokladními systémy založen čistě na hotovostním styku, ale s přibývající klientelou držící platební karty musely přijít na pult přístroje pro přijímaní karet. První větší rozvoj nastal v 80. letech minulého století v USA a postupně v následujících letech nastal obrat v platbách kartou. Původní platby se uskutečňovaly offline a v 90. letech byly provedeny první online platby. Klade se důraz na zabezpečení terminálu proti zneužití. V dnešní době se přizpůsobují terminály platbě mobilem nebo tabletem. Další vývoj může směřovat právě tímto směrem. Mobilní přístroj mPOS 40 funguje pomocí mobilu nebo tabletu jako terminál. Výhodou je jeho menší velikost vhodná především pro menší prodejce, popřípadě živnostníky. V mobilním přístroji je aplikace, která vytváří prostředí pokladny a s mPOS komunikuje pomocí bezdrátové technologie, potvrzení o platbě není formou tištěné účtenky, ale jako SMS nebo email. 41 2.2 2 HARDWARE EFT POS slouží k platbě kartou, musí mít splňovat požadavky na bezpečnost (zejména ze strany karetních asociací) a součástky, aby platební styk zprostředkoval. Zcela jistě musí obsahovat displej, kde se obvykle zobrazí částka s měnou, kterou má plátce zaplatit. A zcela jistě převládají terminály s numerickou klávesnicí, která se může používat pro servisní potřeby nebo zadávání pinu. Může obsahovat čtečku čipů, magnetického proužku a další. Součástí bývá tiskárna s termocitlivým papírem, určena pro tisk stvrzenek, účtenek, závěrek apod. Pokud je terminál propojen s pokladním systémem, může místo terminálu tisknout doklad pokladna. Trendem posledních let je bezkontaktní platba. Posle MasterCard vzrostly platby kartou v roce 2014 o 5%42. Starší typy terminálu nepodporují bezkontaktní platby a nové stojí v řádu tisíců korun. Proto, aby obchodníci udrželi tempo s technologií, byl vytvořen tzv. pin pad. Jedná se o krabičku podobnou platebnímu terminálu a slouží především k zadávání pinu a bezkontaktním platbám. Uvnitř pin padu i terminálu je procesor, který zakóduje a přenese informace o platbě. Oba přístroje musí mít zdroj, u přenosných terminálů baterie. Pro odeslání informace o platbě má terminál komunikační modul, který podle protokolu komunikuje s autorizačním centrem banky. Electronic Funds Transfer at Point-of-sale, tedy elektronický platební terminál určený k autorizaci platební transakce 40 Mpos - Mobile Point-of-sale 41 GUÉRIN, Jacques. Four key benefits of mobile POS in emerging markets. [online]. 2014 [cit. 2015-04-14]. Dostupné z: http://mobile-solutions.ingenico.com/blog/four-key-benefits-of-mobile-pos-in-emergingmarkets/ 42 PLICAROVÁ, Lucie. Tisková zpráva: Stále více lidí preferuje platbu kartou namísto hotovostí. 2014, 2 s. Dostupné z: http://mcapps.cz/mastercard/mastercard_cz/06_11_14_TZ_Master_Index2_CJ.pdf 39
24
Novinkou na českém trhu jsou bezobslužné terminály, které se využívají především na pumpách, můžeme si je představit i jako mýtné brány. Také se pomalu rozšiřují do automatů na pochutiny a nápoje. Právě tyto terminály jsou často velmi omezené. Fungují bez lidské asistence a například u automatů se jedná pouze o bezkontaktní platby do autorizačního limitu. Software je nezbytný pro propojení s bankovními účty a vypořádání mezi institucemi a má své jedinečné ID. Základním vybavením je operační systém, který spravuje celý systém v terminálu. Aby terminál fungoval, je nutné naprogramovat aplikaci, která bude vyhovovat standardům karetní asociací. Tato složka potřebuje podstoupit certifikaci, která je utvářena podle požadavků banky nebo obchodníků, kteří mají zájem o doplňkové služby (propojení terminálu s pokladním systémem…). Obchodník se domluví s bankou, který komunikační protokol bude využívat a a jak bude komunikace šifrována. 2.2.3 TYPOLOGIE PLATEBNÍCH TERMINÁLŮ Existuje mnoho situací, kdy obchodník může použít EFT POS terminál. Především slouží k ověření transakcí pomocí platební karty, vyhotovení dokladu o provedené transakci, přenosu elektronický položek a vyhotovení dokladu o uzávěrce. 43 V závislosti na podmínkách obchodníka a prostorových možnostech si může zvolit různé terminály. Můžeme je dělit podle druhu poskytovaných služeb, režimu provozu, mobility terminálu, přenosu informací nebo značky44. Podle poskytovaných služeb Pokud terminál slouží čistě k bezhotovostní úhradě, jedná se o terminál platební. Je to základní typ, který neumožňuje žádné jiné transakce. Dalším typem je tzv. multifunkční platební terminál, který mimo služby platby kartou může zajišťovat věrnostní nebo bonusový program, dobíjení kreditu nebo zdravotní program. Tyto nadstandardní služby obvykle nevytváří automatické položky, často je nutnost zadávat nějaký identifikační kód a nemusí zasahovat do platebního systému. Podle režimu provozu V zásadě existují dvě možnosti režimu terminálu. Online terminál komunikuje s autorizačním centrem banky prostřednictví buď pevné linky, internetu popřípadě radiového spojení. Stále méně se vyskytující jsou terminály v režimu off-line. Vyšší částky, musí být autorizovány online, (obvykle telefonickým kontaktem) což je jejich značná nevýhoda, ale na druhou stranu mají nižší náklady na provoz, přenos informací. Dnes některé terminály pracují v obou režimech.
Pokyny pro provádění transakcí platebními kartami. 62 s. 2014 [cit. 2015-04-14] Dostupné z: https://www.kb.cz/file/cs/o-bance/dokumenty-ke-stazeni/kb-20121218-pokyny-pro-provadenitransakci-platebnimi-kartami.pdf?4c4596fbf0dd5d0e9772c44428b03f7a 44 SCHLOSSBERGER, Otakar a Ladislav HOZÁK. Elektronické platební prostředky. 1. Vyd. Praha: Bankovní institut vysoká škola, 2005, 276 s. ISBN 8072650734., s. 128 43
25
Kritérium mobility: Stacionární Terminály jsou určeny pro obchodníky, kteří potřebují terminál na menší ploše, v prodejně nebo restauraci. Přestože se jedná o stacionární typ, existuje varianta bezdrátového-stacionárního terminálu. Je to terminál, který není na pevno připevněn, ale musí být v dosahu hlavního terminálu. Až ten odesílá data dál pomocí telefonní linky nebo internetu. -
Pevný
-
Bezdrátový Kabel Data
Bezdrátové spojení Data
Hlavní terminál, základna
Bezdrátový terminál
Schéma č. 2 zdroj: Proces přenosu dat pomocí POS, vlastní zpracování
Mobilní Specifickým rysem mobilních terminálů je možnost přenosu terminálu téměř kamkoli. Není závislý na žádném místě a splňuje stejné podmínky jako stacionární. V tomto případě je vždy spojení bezdrátové a životaschopnost terminálu závisí na vlastní baterii. Kritérium obsluhy: Obslužné terminály jsou takové, které potřebují kromě osoby, která je plátcem i druhou osobu, obvykle obchodníka, pro uskutečnění transakce. Jedná se o většinu terminálů, které jsou v obchodech. Naopak bezobslužné terminály nevyžadují asistenci obchodníka při zadávání požadavků a plátce je sám může obsluhovat. Nejčastěji je možné se s nimi setkat na čerpacích stanicích Kritérium přenosu dat: Přenos dat je úzce propojen s mobilitou terminálů, proto na jejím základě rozlišíme: a) Stacionární-bezdrátové terminály b) Stacionární-pevné terminály c) Mobilní terminály Add. a) Stacionární-bezdrátové terminály Jedná se o přenos elektronický položek mezi bezdrátovým terminálem a základnou. Ten se neuskutečňuje pomocí kabelu, ale bezdrátových technologií. Obvykle se používá WIFI, Bluetooth a GPRS přenos. WIFI má velký potenciál na trhu, internetové spojení je možné téměř kdekoli, ale je méně stabilní než GPRS z důvodu odstínění signálu. GPRS je hojně využívaný typ s vysokou kvalitou přenosu. K jeho provozu je zapotřebí SIM karta. A v neposlední řadě bluetooth technologie, která se používá zejména při Add. b) Stacionární-pevné terminály 26
Nejběžněji se spojí, uskutečňuje telefonní linkou. Kdy elektronické položky jsou přeneseny skrz pevnou linku v daném místě nebo pomocí drátového internetového připojení. Add. c) Mobilní terminály Zde neexistuje možnost na napojení na telefonní linku nebo internet. K jeho provozu je zapotřebí SIM karta a elektrické napájení obvykle zajištěné přes GPRS technologii. Některé platební terminály mohou kombinovat různé druhy komunikace, ale spíše výjimečně. 2.2.4 TYPY TRANSAKCÍ UMOŽŇUJÍCÍ PLATEBNÍ TERMINÁL – KOMUNIKACE S PLATEBNÍ KARTOU Podmínkou uskutečnění platby je nutné, aby terminál přečetl údaje z karty a následně je vyhodnotil. V případě elektronického terminálu se údaje přenáší pomocí magnetického proužku, čipu nebo bezkontaktní pomocí NFC45 technologií. Při zvolení konkrétní transakce na platebním terminálu a použitím jedné z výše zmíněné možnosti se vytvoří námi požadovaná automatická elektronická položka. Dále si stručně rozebereme, které nejběžnější transakce se využívají. Zcela nejdůležitější a nejběžnější funkcí platebního terminálu je zprostředkování transakce prodej, existuje však několik dalších možností převodů peněžních prostředků mezi obchodníkem a zákazníkem (příjemcem a plátcem). V případě koupě zboží, služeb se uskutečňuje na terminálu prodej. Peněžní prostředky jsou převedeny z účtu zákazníka na účet obchodníka. Při platbě je možné uskutečnit Cash back neboli výběr hotovosti, obvykle pokud zákazník zaplatí určitou částku. Může se stát, že zboží, služba bude reklamována a bude požadováno vrácení peněz. Zvolí se proto transakce návrat s doloženou účtenkou o proběhlém převodu platební kartou. Částky se nemusí rovnat, ale při návratu musí být částka menší nebo rovna částce při prodeji. To je dáno tím, pokud reklamujeme jen část zboží, služeb z účtenky. Proces, při kterém se ověřuje, zda je předložená platební karta platná a krytá dostatečnou sumou peněz se nazývá předautorizace. Určitá suma se zafixuje a nelze ji z účtu vybrat, i když reálně jsou peníze stále na účtu. Každá platební karta má nastaven svůj autorizační limit, tedy částku, kterou lze po určitou dobu zablokovat Navazující transakcí je dokončení předautorizace. Do terminálu je zadaná částka, která není vyšší než u předautorizace. Dále se uskutečňuje transakce jako při prodeji a následně se částka z účtu plátce odečte. Pokud uplyne doba určená pro předautorizaci, autorizace se nedokončuje, ale uskutečňuje se prodej. Pokud se z nějakého důvodu rozhodne obchodník neuplatňovat předautorizaci, může ji zrušit a uvolnit peníze na účtu plátce. Nejčastěji se transakce uskutečňují v rekreačních střediscích, autopůjčovnách pro případ, aby návštěvník neodešel bez zaplacení.
45
NFC - Near Field Commnication
27
Jinou možností je Late charge transakce, kdy zákazník souhlasil podpisem o odečítání peněz z účtu za předem vymezené služby, pokud budou spotřebovány. Také tato transakce se uskutečňuje nejvíce v hotelových střediscích. Ostatní transakce nejsou již běžně prováděny a z velké části je mohou provádět pouze ubytovací zařízení a autopůjčovny. Signature On File je užívaná v případě opomenutí podpisu k účtence a musí odpovídat částce na nepodepsané účtence. S rezervací telefonicky, faxe nebo poštou souvisí dvě transakce. Guaranteed Reservation Program se použitá při rezervaci a No Show se vyvolá, pokud se zákazník nedostavil. 46 Speciální možností je dobíjení kreditu na mobilní telefony, či jiná zařízení, popřípadě využívání věrnostních služeb. Impuls je opět na straně terminálu, který přijme kartu, avšak následující zúčtování je o to složitější, že do něj vchází další subjekt, mobilní operátor. Je také nutné si uvědomit, že při této transakci je nutné zadat telefonní číslo, popřípadě jiný identifikátor, kam platba směřuje, proto ji již nepovažujeme za automaticky vytvořenou. Všechny transakce musí být zvoleny v terminálu ještě před použití platební karty bez ohledu na bankovní společnost, částku nebo vydavatele karty. Zmíněné transakce automaticky vytvoří položky, které jsou nadále zprocesovány a v rámci konkrétních zúčtovacích center dojde k vyrovnání položek. 2.2.5 BEZPEČNOST A RIZIKA V předchozí kapitole bylo uvedeno, že existuje PCI DSS standard pro platební karty. Dodavatelé softwarů do platebních systémů se musí řídit také standardem PCI, ale konkrétně PA DSS47 a to vždy pokud aplikace ukládá, zpracovává nebo přenáší citlivá data o držiteli karet. Aplikace tedy musí být certifikována a musí být na ní provedeny příslušné testy, než je vypuštěna. Za správné zpracování je zodpovědný dodavatel aplikace.
2.3 PLATEBNÍ BRÁNY Nakupování na internetu získává na oblibě díky pohodlí, úspoře času a velmi často i díky nižším cenám oproti kamenným obchodům. Tomuto trendu se postupně přizpůsobovaly platby a kromě nejstaršího typu (dobírky) je možno platit jak převodem, tak i kartou. Pro odvětví se užívá pojem e-commerce.48 Zahrnuje veškeré transakce uskutečněné pomocí internetu. Přenos pomocí platebních bran dnes činí kolem 20% e-commerce.49 Manuál pro obchodníky - Přijímající platby prostřednictvím platebních karet. [online]. 2014 [cit. 2015-0414]. Dostupné z: http://www.csob.cz/WebCsob/Firmy/Podnikatele/Platebni-karty/csob-manual-proobchodniky-140101.pdf ., s. 47 47 Payment Application Datat Security Standard 48 Manuál pro obchodníky - Přijímající platby prostřednictvím platebních karet. [online]. 2014 [cit. 2015-0414]. Dostupné z: http://www.csob.cz/WebCsob/Firmy/Podnikatele/Platebni-karty/csob-manual-proobchodniky-140101.pdf ., s. 45 49 MACHOVÁ, Barbora. Tisková zpráva: Platební brána PayU v ČR roste, ve fiskálním roce 2013/2014 dosáhla obratu 3,76 miliardy korun. [online]. 2014 [cit. 2015-04-12]. Dostupné z: http://www.payu.cz/sites/czech/files/pdf/Fisk%C3%A1ln%C3%AD%20v%C3%BDsledky%20PayU%20 v%20%C4%8CR.pdf 46
28
2.3.1 HISTORIE Jako první platební brána (místa, která umožňují uskutečnit platby na internetu) se v ČR objevil americký Paypal. Jeho nespornou výhodou je právě světová proslulost a tudíž i větší důvěra uživatelů. Přesto se v ČR neujal a dnes je více společností, které zabezpečují platební brány, ale jejich princip je v zásadě stejný. Pro platby kartou na internetu je nutné mít službu aktivní, vybrat si konkrétní produkt a pomocí webové stránky (např. eshopu) vybrat možnost zaplatit kartou. Obvykle je nutné zadat první vydavatele karty, v ČR nejběžněji VISA a MC a následně se stránka přesměruje na portál banky, zadá se číslo karty a její expirace a probíhá ověření držitele karty zpravidla SMS zprávou. Obchodník dostane odpověď, že transakce byla nebo nebyla schválena a až poté nadejde proces zpracování transakce, který je již stejný jako při použití platebního terminálu. Tedy pokud se internetový obchod nespojí s platební bránou, případně je autorizace neúspěšná, nevznikne ani elektronická položka. Elektronická položka vzniká v okamžiku přesměrování na platební bránu a ověřením karty. V ČR je několik společností, které tuto zprostředkovávají platební agregátory – aplikace, které umožňují výběr způsobu platby50. Mezi největší patří GoPay nebo GPWebPay. Samotné platební brány jsou součástí těchto agregátů a například Raiffeisenbank má vlastní aplikaci ePlatby, Komerční banka aplikaci MojePlatba... Obě poskytují komplexní řešení pro internetové platby a jejich vznik se datuje po roce 2000.
Schéma č. 3 zdroj: Schéma platební brány, vlastní zpracování 2.3.2 BEZPEČNOST A RIZIKA Rizik na internetu je mnoho (shrnuto v kapitole o platebních kartách), a proto se používá často kombinace ochranných prvků. Již běžným standardem je v ČR využívání 3D Secure zabezpečení. Toto zabezpečení umožňují pouze instituce, které mají certifikát od kartových asociací, tedy ČSOB, Komerční banka Raiffeisenbank, UniCredit Bank a Česká spořitelna. Jedná se o moderní zabezpečení, kdy při každé platbě je vygenerováno jednorázové heslo pomocí SMS a zároveň je nutné ověřit CVV2/CVC2 kód. V ČR je podpora pouze na karty asociací VISA a Mastercard a Diners a je u všech obchodníků při platbě přes 3D Secure zobrazeno logo Verified by VISA a MasterCard SecureCode a Diners Club Interneational ProtectBuy. Pro případ odcizení karty, napadení karty počítačovým virem nebo malwarem je nutné, aby veškeré transakce byly potvrzeny. Také je důležité, že po té, co se přesměruje platba na platební bránu, obchodník nemůže získat informace o kartě, což se považuje za největší výhodu. Komunikace se odehrává pomocí XML51 zpráv a jsou zaslány pomocí HTTPS52, který je samozřejmostí pro Nejtypičtější je výběr mezi platbou na místě (při převzetí), platba kartou a platba převodem Extensible Markup Language - Značkovací jazyk určený ke strukturalizaci, podobný struktuře html 52 Hypertext Transfer Protocol Secure – šifrování pomocí SSL ne TLS 50 51
29
bezpečný tok informací a data jsou dále šifrována pomocí certifikátů (SSL nebo TLS). Výsledkem je ověření autentizace držitele karty a vytvoření požadavku k dalšímu platebnímu procesu. Kromě tohoto musí splňovat aplikace stejně jako v platebním terminálu PA DSS standard. Dne 18. 11. 2014 představila MasterCard vizi online plateb, která by mohla být přijat v roce 201553 a jejím dalším krokem by bylo nahradit 3D Secure. MasterCard by mohla využívat více informací o držitelích karet a očekává se, že do roku 2018 bude 30% maloobchodních plateb uskutečněno pomocí telefonů. Základním principem by měla být autentizace nikoli pomocí hesla, PINu, ale spíš něčím, jako je jednorázové nebo biometrické heslo.
2.4 PLATBA MOBILEM, TABLETEM Rozšiřující se kapacita mobilů a tabletů dala spoustu podnětů k rozvoji dalších technologií. Lidé užívají běžně mobily a proto se i otevřel prostor pro nový způsob plateb. Podle Deloitte vzroste objem plateb v roce 2015 o více než 1000%.54 V zásadě existují tři způsoby jak hradit platby pomocí těchto zařízení. Využívá se několik technologií55 pro uskutečnění platby jako webový síť, SMS nebo bezkontaktní (RIFID) 56 . V zásadě existují dva přístupy k mobilním platbám – „vzdálený“ (bezkontaktní) a přímý. Do první kategorie řadíme platby prováděné pomocí NFC technologie a do druhé platbu pomocí SMS, webových prohlížečů nebo smartbankingu nebo elektronické peněženky. V budoucnu se plánuje, aby veškeré přenosy mohly být uskutečněny pomocí bezkontaktního styku. 2.4.1 HISTORIE První mobilní platby se uskutečňovaly v ČR v 90. letech známé pod názvem GSM Banking, jediným omezením byl signál operátora. Pro zajištění služeb bylo nutné mít bankovní aplikaci SIM Toolkit a komunikace probíhala pomocí SMS. Další možností bylo využití WAP bankingu, který potřeboval k přenosu internet. Postupně se aplikace přizpůsobovali moderním zařízení, více se využíval internet. Asi nejvíce se rozvíjející možností pro platby mobilem je využít NFC technologie. Banka musí mít uzavřenou smlouvu s mobilním operátorem a speciálně nastavit SIM kartu. Na jedné SIM kartě je možné mít nahraných více platebních karet. Podmínkou je mít zařízení podporující NFC platby a speciální aplikaci, ve které se platby uskutečňují. Tato technologie byla vyvíjena především po roce 2000 a první mobil, který ji podporoval, byl
GREGOR, Pavel. MasterCard představila vizi online plateb bez hesel. [online]. 2014 [cit. 2015-04-12]. Dostupné z: http://www.rmol.cz/novinky/mastercard-predstavila-vizi-online-plateb-bez-hesel 54 KROPÍK, Lukáš. Rok 2015 bude pro mobilní platby zlomový. [online]. 2015 [cit. 2015-04-12]. Dostupné z: http://www2.deloitte.com/cz/cs/pages/about-deloitte/articles/cze-rok-2015-pro-mobilni-platbyzlomovy.html 55 DE MEIJER, Carlo R. W. The increasing adoption of mobile payments in Europe -- and remaining challenges to growth. Journal of Payments Strategy [online]. 2011, roč. 5, č. 3, s. 273-288 [cit. 2015-04-14]. 56 Novější technologie RIFID (radio Frequency Identification se nazývá NFC 53
30
v roce 2010 Samsung Nexus57 S s operačním systémem Android a až v roce 2014 Apple představil nové prostředí pro NFC technologii. V případě, že nemá mobil zabudovanou technologii, je ji možné nahradit tzv. NFC nálepkou. Technologie funguje pomocí rádiových vln na vzdálenost několika centimetrů a její parametry jsou certifikovány ISO normou. Do aplikace se nahrají informace o platební kartě a v případě platby se zvolí odpovídající transakce a přiloží do blízkosti přijímače, po té je transakce uskutečněna. Stejnou technologii Pay Pass (MC) nebo Pay Wave (VISA) používají bezkontaktní karty. Aplikace smartbanking nebo m-banking umožňuje platby přes internetové bankovnictví, ale i uskutečňuje NFC platby. Kromě „běžné“ platby je možno v aplikaci vytvořit příkaz pomocí QR Kódu, který spatřil světlo světa v roce 1994. Stačí pouze vyfotit kód a platební příkaz je načten automaticky do aplikace. V ČR tyto služby umožňují ČSOB, KB, Raiffeisen bank, Fio banka, Airbank, Česká spořitelna. Je opět vyžadována autorizace a výhodou je, že obchodník vidí zpracování platby přímo na zařízení. V tomto případě se jedná o automaticky vytvořenou položku. Další možností je využít mobilu jako elektronické peněženky. V ČR se na tuto oblast specializuje aplikace Mobito společnosti MOPET CZ 58 a SEJF od DIRECT pay s.r.o. (specializovaný na prodej elektronických jízdenek). Zákazník musí mít aktivovanou službu u partnerské banky u Mobita jsou Česká spořitelna, GE Money banky, Raiffeisen bank nebo UniCredit Bank. Na rozdíl plateb pomocí NFC technologie není nutné mít chytrý telefon, je to výhodou. V případě partnerské banky, účet se spáruje s telefonním číslem a peníze se strhávají přímo z bankovního účtu. V druhém případě funguje jako elektronická peněženka, tzn. je potřeba nejdřív do aplikace nabít finanční prostředky, následně je možné z aplikace přeposlat peníze zpět na účet. Je možné zvolit platbu konkrétnímu kontaktu, který je již v aplikaci nahrán, dobít kredit do mobilu, platit na eshopech, které tuto službu podporují, ověřují telefonní číslo a ihned se vygeneruje nový platební příkaz do mobilu, stejně tak funguje transakce u obchodníka, který si zapíše telefonní číslo. V budoucnu se plánuje rozšíření aplikace právě o NFC platby pro usnadnění platby. V případě elektronické peněženky je možné nabíjet pouze z jednoho účtu, u propojení s účtem je možné navázat spojení i se třemi. Aplikace funguje ve spolupráci s mobilními operátory, kteří automaticky „vytočí“ číslo (vytvoří se datový přenos, který je pro plátce zdarma) a následně se spustí platba. U aplikace SEJF je přenos přes internet59. Telefonní číslo je napojeno na bankovní účet a platby nejsou součástí měsíčního vyúčtování volání. Platby je možné uskutečnit pouze s kartami VISA, MC a VISA electron vydanými v ČR a jejich zpracování je okamžité. V případě elektronické pre-paid elektronické peněženky se plátce neúčastní ve dni nákupu platebního styku, protože peníze jsou již od něj odčerpány na účet společnosti, která provozuje epeněženky a následné vypořádání se uskutečňuje mezi společností a příjemcem. Automatická elektronická položka v platebním systému ČR může vzniknout pouze při převodu peněz z účtu do e-peněženky. V druhé části, když zákazník platí pomocí eDE MEIJER, Carlo R. W. The increasing adoption of mobile payments in Europe -- and remaining challenges to growth. Journal of Payments Strategy [online]. 2011, roč. 5, č. 3, s. 273-288 [cit. 2015-04-14]. 58 Mobito - peníze v mobilu. [online]. [cit. 2015-03-30]. Dostupné z: https://www.mobitoplatito.cz/ 59 SEJF. [online]. [cit. 2015-04-02]. Dostupné z: http://www.sejf.cz/index.php/cz/ 57
31
peněženky, sice vznikne informace o platbě, ale již není součástí platebního systém ČR, ale elektronického platebního systému provozovatele e-peněženky Pokud je aplikace napojena na kartu, automaticky reaguje na stav na bankovním účtě, ale přesto do této transakce vstupuje vlastník e-peněženky, který eviduje, pod různými variabilními čísly a kódy platby od jednotlivých majitelů peněženek a až následně je převede příjemci. Při platbě se vydá příkaz k platbě z účtu plátce, která se přepošle přes společnost následně příjemci. „Vypořádání“ platby je tedy v rámci vlastního platebního sytému nikoliv přes CERTIS. 2.4.2 BEZPEČNOST A RIZIKA Na rozdíl od bezkontaktních plateb se zde platby vždy autorizují a nezáleží na výši platby. Transakce je ověřena PINem, který musí být zadán u každé platby. Není však nutné instalovat dodatečné bezpečnostní certifikáty. Ochranným prvkem Mobita je i využívání aplikace pouze na jednom telefonu. Velké riziko nastává při krádeži mobilního zařízení a zároveň zjištění PINu. V takovém případě má zloděj veškerou moc nad účtem ve svých rukách. Vzhledem k tomu, že platby mobilem jsou záležitostí posledních let, standardy v oblasti bezpečnosti nejsou unifikovány, je proto nutné spolupráce s NFC Formu, GSMA, EPC60, EMVCo, ISO, aby spolu úzce spolupracovaly.
2.5 ELEKTRONICKÉ PENĚŽENKY Problematiku elektronických peněženek jsme lehce nakousli v předchozí kapitole. Jedná se o druh čipových karet, podobných jako platební karty a stejně jako platby mobilem slouží k úhradě drobných plateb. Dobíjení takovéto peněženky je možné hotovostí nebo z bankovního účtu. Tyto elektronické peněženky by měly být multifunkční, tedy je možné s nimi zaplatí a zároveň využívat dalších služeb. Příkladem může být například projekt Opencard, kdy si občané dobíjeli kredit na hromadnou dopravu. Největší předností by byla unifikace takovýchto e-peněženek, ale zatím je v nedohlednu. Kromě dobíjení jednorázových částek může existovat druhá možnost, kdy je napojena přímo na účet a čerpá z něj. Nejznámější příkladem je PayPal, PaySec nebo PayU. Tyto systémy jsou mimo zúčtovací a platební systém ČR. Jediné transakce, které se zúčtování dotknou, bude zaslání částky např. na účet PayPal. Avšak jedná se vždy o nebankovní systém zprostředkovávající platby. Z tohoto důvodu se této problematice budeme věnovat jen okrajově. V případě platby e-peněženkou vzniká automatická položka ve svém vlastním elektronickém systému. Transakce nemají online autorizace, neboť veškeré údaje jsou pouze na zařízení e-peněženky. 2.5.1 BEZPEČNOST A RIZIKA Oblast platebních peněženek je prozatím nejméně využívaná z výše zmíněných. I z tohoto důvodů neexistuje mnoho standardů. Jedním z nich je ECML (Electronic
60
European Payment council
32
Commerce Modeling Language) 61 , který zahrnuje několik směrnic. Byl vyvinut Wallet/Merchant Standards Alliance a je spolu se SSL/TLS důležitým prvkem bezpečnosti. Slouží především k šifrování dat na internetovém obchodě, kdy zákazník musí vyplňovat formulář o údajích na kartě nebo i sobě samém.
2.6 INTERNETOVÉ BANKOVNICTVÍ Internetové bankovnictví zcela jistě pracuje s elektronickými položkami. Zadávání platebních příkazů probíhá čistě po internetu a v ČR se služby rozšiřují od devadesátých let a dnes prakticky všechny banky využívají internetové bankovnictví. Existuje více forem internetového bankovnictví – homebanking (nainstalovaný software v počítači), internet banking (přes internetový prohlížeč), phone banking (pomocí mobilu), GSM banking (SMS zprávy, SIM Toolkit, WAP)… Můžeme identifikovat, že platby probíhají v platebním systému ČR a mimobankovní zúčtování probíhá přes CERTIS. Obvykle je nutné zadat údaje o platbě, které jsme si vymezili v prvních kapitolách. To znamená, že položka je sice elektronická, ale nikoli automatická. Na druhou stranu elektronické bankovnictví může vytvářet šablony pro platby, tzn., zapamatujeme si údaje o příjemci. Pokud tedy vytvoříme šablonu a následně ji použijeme pro platbu, můžeme hovořit o jistém druhu automatické položky, kdy nezadáváme údaje o příjemci. Přesto musíme zadávat pokyn ke „spuštění“ šablony a proces není zcela automatický. Bezpečná internetové komunikace probíhá na internetových stránkách přes https a zašifrované kanály. Největším problémem zůstává autentizace uživatele. Existují dva druhy autentizace – slabá a silná. U slabé se zadává pouze pin, kdežto u silné se používají tokeny, biometriky nebo certifikáty. Vzhledem k tomu, že elektronické bankovnictví nevytváří automatické elektronické položky, nebudeme se tímto tématem více zabývat.
2.7 SHRNUTÍ Ačkoli se na první pohled může zdát, že všechny zmíněné metody platby vytváří elektronické položky, jen některé vytváří automatické položky. Je také rozdíl, jestli se budeme zabývat platebním systémem ČR nebo kterýmkoli jiným systémem. Elektronické peněženky nebo platby pomocí SMS sice elektronické položky vytvářejí, ale fungujují ve vlastním elektronickém platebním systému. Pro přehled jsem vytvořila následující tabulku. automatické elektronické položky platební terminály x platba mobilem - SMS x platba mobilem - m-banking (x)
platební systém ČR x x
MERKOW, Mark. Inside Electronic Commerce Modeling Language. [online]. 1999 [cit. 2015-04-12]. Dostupné z: http://www.ecommerce-guide.com/news/trends/article.php/159021/Inside-ElectronicCommerce-Modeling-Language.htm 61
33
platba mobilem - NFC platební brány elektronické peněženky internetové bankonvnictví
x x x (x)
x x x
Tab. č. 4 zdroj: Tvorby automatických položek v platebním systému ČR, vlastní zpracování
3 PROCES PŘENOSU ELEKTRONICKÝCH POLOŽEK Elektronické položky se přesouvají z jednoho bankovního účtu na druhý v různých formách. Jedno z nejrozšířenějších je využívání elektronického bankovnictví nebo použitím bankomatu, ale pro naše potřeby jsme se zaměřili pouze na přenos informací vzniklých automaticky. Samotná realizace transakce od počátku až po odepsání resp. připsání částky na účet se skládá obvykle ze dvou velkých fází – autorizace a zúčtování transakce62 a může trvat několik dní. Do procesu může vstupovat více institucí v závislosti na podmínkách platby.
3.1 AUTORIZACE Prvním krokem je platbu autorizovat. Všeobecně je autorizace proces odsouhlasení nějaké činnosti. Autorizace snižuje riziko transakce a na rozdíl od zúčtování je prováděna vždy v reálném čase. Každá čipová karta má seznam verifikace podle priorit nazývaný Cardholder Verfication Method (CVM). Je prvním bezpečnostním prvkem, se kterým se každý uživatel a obchodník setká při uskutečnění transakce. Jde o souhlas k uskutečnění platby. Vlastník karty nebo jiného zařízení bere na vědomí, že se uskutečňuje platba. Výjimkou může být uvalení exekuce a následné odčerpání peněz z účtu plátce bez jeho souhlasu, popřípadě zplnomocnění jiné osoby s nakládání peněžních prostředků. Proces se může u různých typů obchodníků lišit, ale má společné prvky. Ověření souhlasu je realizováno ve dvou větších fázích. Identifikace držitele karty nebo jiného zařízení a možnost platby z účtu držitele. Pro upřesnění, fáze ověření uživatele se nazývá autentizace a až následný souhlas se nazývá autorizace. Identifikace držitele obvykle probíhá ověřením podpisu na kartě a účtence, popřípadě je možné vyžádat si identifikační doklad. Zkontroluje se jméno a platnost karty. Autentizace u platby s využitím terminálu je bezpečnější než u platby na internetu, kde se obvykle ověřují data z karty. Kromě okamžité kontroly držitele může být provedena kontrola pomocí kódu, obvykle zadávání pinu. V případě neúspěšné autentizaci, je možné zavolat do zúčtovacího centra a následně autentizaci provést. Jedná se ale o nestandardní postup. Autorizace musí být provedena pro každou transakci zvlášť bez ohledu časového intervalu mezi platbami63. Pokud je nastaven trvalý příkaz k úhradě, je nutné v průběhu
TŮMOVÁ, Věra. Proč se útrata kartou odepíše z účtu až za několik dnů. [online]. 2009 [cit. 2015-04-14]. Dostupné z: http://www.penize.cz/internetbanking/53605-proc-se-utrata-kartou-odepise-z-uctu-az-zanekolik-dnu 62
34
každé pravidelné transakce provádět i autorizaci. Přesný postup autorizace se odvíjí od smlouvy, obvykle rámcové smlouvy. Plátce a poskytovatel služeb se musí dohodnout na postupu autorizace, jestli bude provedena před transakcí nebo i po transakci. Výjimkou jsou bezkontaktní platby, pokud je provedena platba do určitého limitu není potřeba autorizace. Existují dva způsoby zpracování autorizace – elektronická a hlasová. Nadlimitní operaci odsouhlasuje clearingové centrum banky plátce. Provádí se nejen při nadlimitních transakcí, ale i když existuje podezření, že by se mohlo jednat o podvodnou transakci. Zároveň je nutné kontaktovat vydavatele karty a ověřit její pravost. Provádí se v případě, že není možné zajistit elektronickou autorizaci, např. terminál pracuje v režimu offline. Na druhou stranu je v okamžiku spuštění transakce jednodušší elektronická autorizace. Realizuje se prostřednictvím bankomatu, elektronického platebního systému nebo autorizační centrály zpracovatele transakce. 64 Informace je přenášena údaji z magnetického proužku nebo čipu karty v zašifrovaném formátu. O autorizaci můžeme říct, že je buď negativní, nebo pozitivní V případě, že se kontroluje pouze autorizační limit (denní, týdenní…) jedná se o negativní autorizaci. Neprovádí se přímo tedy proti zůstatku na účtu. Ještě je důležité zkontrolovat platnost karty u karetní asociace. Ověřuje se stoplist, jestli karta nebyla odcizená nebo zneužitá. U pozitivní autorizace se kromě bezpečnostních prvků ověřuje krytí transakce. Vyžaduje ale vyšší poplatky spojené s autorizačními centry a telekomunikačními společnostmi. V dnešní době však pozitivní autorizace převládá z důvodu bezpečnosti. Záložním zdrojem autorizace je autorizace na stand-in limity. V rámci jednotlivých karetních asociací a jejich prefixů (částí čísla karty jednoznačně rozlišujících typ dané karty) a rangů (částí číselné řady v rámci daného prefixu) 65 se ověřují limity jednotlivých asociací, nastaveny z jejich autorizačního centra. Záložním je především z důvodu bezpečnosti, protože se nedotazuje na zůstatek na účtu plátce a je užívám při výpadku komunikace. Místem autorizace je autorizace u karetní společnosti. V případě, že autorizaci provádí vydavatelská banka, bavíme se o issuer on-line autorizaci. Informaci zpracovává banka, která zároveň musí uvnitř vyvolat otázku na karetní asociaci, jestli je karta pravá. Ověřuje všechny možné prvky a právě proto je rozšířenější než autorizace se stand-in limity. Banky tedy poskytují autorizační odpověď namísto karetní společnosti nebo jejího zúčtovacího centra. V případě použití elektronické platební karty (VISA Electron66, MasterCard Electronic) je nutná online autorizace. Tyto karty nelze do terminálu vložit ručně pomocí klávesnice z bezpečnostních důvodů. Obvykle mají stanoveny nižší autorizační limit a jejich cena SCHLOSSBERGER, Otakar. Platební služby. 1. vyd. Praha: Management Press, 2012, 325 s. ISBN 9788072612383., s. 111 64 SCHLOSSBERGER, Otakar. Platební služby. 1. vyd. Praha: Management Press, 2012, 325 s. ISBN 9788072612383., s. 209 65 SCHLOSSBERGER, Otakar. Platební služby. 1. vyd. Praha: Management Press, 2012, 325 s. ISBN 9788072612383., s. 110 66 Druhy Visa karet. [online]. [cit. 2015-04-14]. Dostupné z: http://www.visa.cz/osobni-karty/vyberte-sivasi-visa-kartu/druhy-visa-karet 63
35
pořízení a blokace je nižší než u embosovaných karet. Autorizace je u této karty bezpečnější, protože karta nemůže být zneužita imprinterem a její blokace při zcizení je téměř stoprocentní. Autorizační centrum zpracovává informace, které dostane od klienta/obchodníka. Ověřuje se, jestli karta obsahuje veškeré náležitosti a bezpečností prvky. Kontrola se provádí buď na místě, ale při použití elektronického platebního terminálu je provedena i elektronicky. Magnetický proužek, čip a platnost karty je základní kontrola pravosti. Některé karty jsou vydávány jen pro určité země a nemusí být akceptovány v zahraničí. Druhým krokem je ověření platební karty u vydavatele platebních karet v dané mezinárodní asociaci. Každá karta má číselný kód tzv. prefixy a ty jsou zaslány karetní asociaci na kontrolu. Service code platební karty slouží o ověření, jestli je platební prostředek platný vnitrostátně nebo mezinárodně.67 Karta může být určena pouze pro elektronické transakce nebo pouze pro imprintery. Kód se nachází jak na magnetickém proužku, tak v čipu karty a pro hybridní karty je nutné použít čip. Nedílnou kontrolou je zadávání pinu, pokud částka překročí autorizační limit a v určitých případech i podpis na účtence. Autorizační mechanismus se uplatňuje tedy u výrobce karet, tak i u vydavatele karet. U výrobce je nastaven časový limit (částka, která je možná za určité období čerpat)68 a u vydavatele karet může být nastaven absolutní autorizační limit. Ihned po autorizaci jsou limity sníženy o příslušnou částku autorizačním centrem banky (karetní asociace). Celý proces trvá několik vteřin, pokud je transakce uskutečněna elektronicky. U telefonického ověření se doba může prodloužit o pár minut. Tento proces neznamená, že částka byla odeslána. To se děje až v průběhu zúčtování, které může trvat i několik dní. Pokud se platba uskutečňuje na internetu, autorizace je značně omezena. Ověřuje se číslo karty u výrobce karet spolu s CVC2 nebo CVV2 kódem. Pokud je použita karta při 3D secure zabezpečení, je navíc nutné zadat vygenerovaný kód z SMS. V případě mobilních plateb se zadává obvykle heslo a součástí autentizace je už samotné držení mobilu. V závěrečné fázi by měla být odeslána informace o výsledku autorizace - jestli je možné transakci provést nebo nikoli. Pokud je schválena, následuje zúčtování a vypořádání transakce. V případě zamítnutí je transakce zrušena a pro více informací může být voláno na vydavatelskou banku. Například po překročení autorizačního limitu se obvykle zobrazí na displeji informace o zavolání autorizačnímu centru banky. Následně se postupuje podle instrukcí a je identifikován držitel karty. Obchodník má právo kartu zabavit na základě instrukcí z terminálu a žádat o jiný způsob úhrady69. Děje se tak, SCHLOSSBERGER, Otakar. Platební služby. 1. vyd. Praha: Management Press, 2012, 325 s. ISBN 9788072612383., s. 110 68 Platební karty: jednoduché a účinné rady a tipy. [online]. 2007 [cit. 2015-04-14]. DOI: Platební karty: jednoduché a účinné rady a tipy. Dostupné z: http://www.penize.cz/platebni-karty/18568-platebnikarty-jednoduche-a-ucinne-rady-a-tipy 69 Manuál pro obchodníky - Přijímající platby prostřednictvím platebních karet. [online]. 2014 [cit. 2015-0414]. Dostupné z: http://www.csob.cz/WebCsob/Firmy/Podnikatele/Platebni-karty/csob-manual-proobchodniky-140101.pdf ., s. 48 67
36
pokud je karta hlášena jako kradená. Velmi vzácně se nemusí najít shoda mezi embosovanou kartou a účtem nebo magnetickým proužkem. Jestliže se nenajde shoda ani při druhém pokusu, je možné, že karta byla pozměněna a je vhodné zavolat na autorizační centrum, popřípadě kartu zabavit. 3.1.1 RIZIKA AUTENTIZACE A AUTORIZACE Vybrat vhodné metody autentizace a autorizace může být obtížné. Je nutné znát podmínky, za kterých je autentizace, autorizace prováděna. Vzhledem k citlivosti údajů spojených s platebními prostředky, které mohou vést až ke krádeži identity, je proces vícefaktorový, tzn., ověřuje se více informací, různými způsoby, a tím se riziko diversifikuje. Banky investují nemalé prostředky do ochrany proti rizikům a zvyšování bezpečnosti. Platební služby jsou vymezeny zákonem a podle něj se vytváří postup autorizace. Existují ale různé přístupy v závislosti, jestli je osoba spotřebitelem nebo obchodní společnostní či právnickou osobou. Není to však nutností. 70 Podmínky se liší v následujících bodech. Poplatky za platební transakce jsou v režii vydavatelské banky a může smlouvu nastavit každému obchodníkovi nastavit zvlášť ve smlouvě o akceptaci karet. Charakteristickým rysem je předávání informací. Banka a její klient mají nastavenou komunikační cestu v případě informování o změnách i platebních transakcí. Mohou to být výpisy z účtu zasílány poštou, elektronicky nebo osobní komunikace mezi zodpovědnými osobami. Je možné nastavit vrácení autorizované transakce a zároveň lhůty pro vrácení neautorizované platební transakce apod.. Tyto „výjimky“ se zavedly pro zvýšení ochrany spotřebitele jako slabší strany ve smluvním vztahu. Běžný uživatel odborníkem v oblasti finančních služeb a proto nemusí být vždy se vším seznámeni. Blokace platební karty může být upravena smlouvou mezi bankou klientem. Zabavení, blokace se děje při ztrátě, odcizení nebo zneužití. Pokud se blokace neuskuteční a platba se uskuteční, nebude platební karta řádně autorizována. Malé platby nejsou podrobeny podrobné autorizaci a například u bezkontaktních plateb se nemusí za určitých podmínek udávat pin a ani podpis. Proto je identifikace podvodníka obtížnější. Přesto tuto oblast lze v rámcové smlouvě vyčlenit a přistoupit k ní zvlášť. V ČR autorizaci zajišťuje několik center. Banky si mohou vytvořit vlastní autorizační centrum, které následně vytvoří podklady pro zúčtování transakcí, nebo budou tuto službu outsoursovat. Největší společností zabývající se autorizací v ČR je Global Payments Europe, která zastřešuje většinu bank. Např. Česká spořitelna používá vlastní systém. V případě, že bankovní autorizační centrum nemůže z nějakého důvodu rozhodnout o transakci, kontaktuje vydavatele karty a ověří její pravost a limity výběru. Autorizace se provádí nezávisle, jestli je transakce vnitrobankovní nebo mimobankovní
SCHLOSSBERGER, Otakar. Platební služby. 1. vyd. Praha: Management Press, 2012, 325 s. ISBN 9788072612383., s. 203 70
37
3.2 ZÚČTOVÁNÍ Druhý krok po autorizaci je zúčtování položek. Vypořádání účtů jednotlivých transakcí může trvat i několik dnů. Hraje zde roli mnoho faktorů. Na rozdíl od autorizace je nutné rozlišit, jestli se jedná o vnitrobankovní nebo mimobankovní platby. V případě vnitrobankovních plateb je vypořádání v rámci systému banky v jejím zúčtovacím centru. Tyto transakce bývají zpracovány rychleji, neboť není nutné zúčtování v CERTIS. Zúčtování se děje v určité časové lhůtě. U vnitrobankovního styku se transakce musí vypořádat ještě tentýž pracovní den, ale v mezibankovním styku se jedná o lhůt tří dnů a příkaz k inkasu dokonce do 5 pracovních dnů. 71 Tyto lhůty jsou pro převod pouze v české měně. V případě chybně zaúčtované položky (klient ji neodsouhlasil) je banka povinna vytvořit opravné zúčtování a lze ji provést do tří měsíců od vzniklé chyby. V následujícím kroku se předávají informace mezi bankou a zúčtovací institucí CERTISem. V předem stanoveném formátu si účastníci systému připraví soubor dat pro zúčtování transakcí. Obsahuje informaci, zdali jsou transakce prioritní nebo neprioritní, je zajištěn elektronickým podpisem nebo značkou. Tyto dvě strany komunikují prostřednictvím systému AMOS 72 , webové aplikace. Umožňuje zobrazit veškeré transakce ve frontě, zobrazit výpisy, archiv, plnění PMR, veškerou dokumentaci a zadržené položky ve frontě. Existují dva typy datových souborů, vstupní odeslány účastníky a výstupní odeslány CERTISem. Obvykle jsou tyto soubory zašifrovány. Datové soubory se mohou předat i na fyzickém nosiči nebo papírových tiskopisech ČNB. Jednotlivé transakce jsou zúčtovány na základě časového harmonogramu a ke každé transakci je přiřazen originální symbol, pod kterým je platba evidována. V případě nedostatku peněžních prostředků se zadrží transakce ve frontě a zúčtují se až po obdržení dostatku peněz, popřípadě mohou být zamítnuty. V této chvíli jsou započítány poplatky pro banky za jednotlivé transakce. Jejich cena závisí na dohodě s CERTISem. Před denní uzávěrkou jsou transakce dražší a cena také závisí od objemu transakcí. Každá z bank má otevřené loro a nostro účty a po vypořádání se promítne transakce právě na tyto účty. Banka obchodníka obdrží částku na svůj loro účet a následně přerozdělí peněžní prostředky svým klientům podle platebních symbolů. A tímto posledním krokem je proces zúčtování dokončen. 3.2.1 CERTIS Při mimobankovním styku v ČR je nutno využít zúčtovací instituce a již bylo zmíněno, že jediným takovým centrem je CERTIS. Je důležitou finanční institucí při zpracování elektronických položek.73 Transakce v rámci jedné banky se zúčtovávají v zúčtovacím Zákon č. 124/2002 sb. O převodech peněžních prostředků, elektronických platebních prostředcích a platebních systémech In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 2015-04-01]. 72 SCHLOSSBERGER, Otakar. Platební služby. 1. vyd. Praha: Management Press, 2012, 325 s. ISBN 9788072612383., s. 201 73ČNB Výroční zpráva 2013 [online]. 2014 [cit. 2015-04-14]. ISBN 978-80-87225-50-9. Dostupné z: https://www.cnb.cz/miranda2/export/sites/www.cnb.cz/cs/o_cnb/hospodareni/vyrocni_zpravy/downl oad/vyrocni_zprava_2013.pdf 71
38
centru dané banky a informace o transakci „neopouští“ banku. Instituce vznikla v roce 1992 a bylo následně po rozdělení Československa následnickou organizací v ČR. Hlavním úkolem je zúčtování transakci mezibankovních plateb v českých korunách. Účty u této organizace jsou tvořeny z povinných rezerv, které banka musí tvořit pod dohledem ČNB. Z jednotlivých transakcí si CERTIS účtuje poplatky a jejich snahou je vyhnout se přetížení systému především na konci zúčtovacího dne, což je 16:00. Právě proto jsou expresní transakce zpoplatněny vyšší částkou než běžné. Základními principy systému CERTIS jsou74
brutto vypořádání v reálném čase ( RTGS);
vypořádání mezibankovních plateb v českých korunách bez ohledu na částku i bez ohledu na to, zda tyto platby byly iniciovány přímo příkazem klienta bance nebo nepřímo jako výsledek karetních operací, případně operací na burze;
vypořádání v penězích centrální banky probíhá na účtech mezibankovního platebního styku vedených v ČNB (které slouží zároveň jako účty povinných minimálních rezerv);
přímá účast bank a úvěrních a spořitelních družstev;
přímé bilaterální vztahy mezi centrálou dané banky/úvěrního a spořitelního družstva a CERTIS;
neodvolatelnost položek akceptovaných systémem;
zpracování různých typů transakcí;
nekryté platby nejsou ani realizovány ani odmítnuty, ale drženy ve frontě (se dvěma stupni priority);
na účtech mezibankovního platebního styku není povoleno debetní saldo;
Banky mohou získat od ČNB bezúročný plně kolateralizovaný vnitrodenní úvěr v podobě cenných papírů, pokud jsou členy SDK.75 Tím mohou získat dostatečnou likviditu pro zúčtování. Těchto služeb je možné využít v době od 8:30 do ukončení účetního dne systém CERTIS v 16:00. Pokud by banky nestihli dluh během dne splatit (vnitrodenní úvěr), je možné zřídit kolateralizovaný úvěr přes noc. Zástavou jsou cenné papíry, které se přesunou na účet ČNB a jsou vedeny jako úvěr přes noc (overnight)76. Oproti korespondečnímu systému odpadá starost obstarávat si vzájemné účty v bankách. Všechny jsou napojeny do CERTISu a tím se snižují administrativní náklady. se zadá požadavek na clearing, v tu chvíli vzniká elektronická položka, která v sobě nese informaci o finanční transakci. Popis systému CERTIS. [online]. [cit. 2015-04-14]. Dostupné z: http://www.cnb.cz/cs/platebni_styk/certis/certis_popis.html 75 Systém krátkodobých dluhopisů – zajišťuje evidenci cenných papírů 76JÍLEK, Josef. Finance v globální ekonomice. 1. vyd. Praha: Grada Publishing, c2013, 660 s. ISBN 9788024738932. s. 591 74
39
Následující dva grafy znázorňují, kolik položek CERTIS musí zajistit a v jakém množství.
Graf č. 1 zdroj: ČNB Výroční zpráva 2013, Průměrný denní počet položek [online]. 2014 [cit. 2015-04-14]. ISBN 978-80-87225-50-9. Dostupné z: https://www.cnb.cz/miranda2/export/sites/www.cnb.cz/cs/o_cnb/hospodareni/vyroc ni_zpravy/download/vyrocni_zprava_2013.pdf str. 34
40
Graf č. 2 zdroj: ČNB Výroční zpráva 2013, Průměrné denní obraty [online]. 2014 [cit. 2015-04-14]. ISBN 978-80-87225-50-9. Dostupné z: https://www.cnb.cz/miranda2/export/sites/www.cnb.cz/cs/o_cnb/hospodareni/vyroc ni_zpravy/download/vyrocni_zprava_2013.pdf str. 34 V ČR jsou domácí platby prováděny jedním platebním systémem (u mezibankovních plateb) a je založen na okamžitém hrubém vypořádán. Je provozován pod záštitou ČNB a je nezbytnou součástí platebního systému ČR.
41
ZÁVĚR Elektronické platby se neustále rozvíjí a zcela jistě ještě nějakou dobu budou. Je to dáno také tím, že na trhu se objevují nová zařízení, která se používají k běžnému životu ať už tablety nebo mobilní telefony. Stále vznikají nové možnosti plateb, čehož se chopili například telefonní operátoři. Právě v oblasti mobilních plateb je velký potenciál růstu už jen z důvodu, že každý v ČR vlastní telefon. Přesto v ČR dominuje v oblasti bezhotovostních plateb platební karta. Její použití se však rozšiřuje a akceptačních míst rok od roku stoupá. Kromě kamenných obchodů je možné platit častěji na internetu a to nejen převodem, ale přímo kartou, kdy se transakce projeví okamžitě na účtu plátce. Přesto většina e-shopů v ČR je schopná přijímat karty jen společností VISA a MC. Informace vznikají trochu jiným způsobem, pokud je platba uskutečněna na internetu nebo přes platební terminál avšak následné zúčtování je v zásadě stejný proces. Velký vliv mají karetní asociace, které neustále vytváří nová pravidla pro platební styk uskutečněný kartou. Snahou je zamezit různým podvodům, manipulaci s citlivými informacemi a odcizení peněz z účtu. Nejdůležitějšími certifikáty a standardy v této oblasti jsou EMV standard čipových karet, PCI DSS standard platebních karet, PA DSS standard platebních aplikací, 3D Secure zabezpečení plateb na internetu. Informace jsou šifrovány obvykle přes XML soubory a jejich zobrazení je možné pouze pomocí klíčů – KPI. Trendem posledních let je bezkontaktní platba. Velmi jednoduché užití a rychlost transakce je značnou výhodou a důvodem pro její oblíbenost. Technologie se promítá nejen do karet, ale např. do mobilů, známé často pod NFC platbou. V ČR se specializuje relativně málo firem na oblast platby mobilem, tabletem a je tu tedy velký potenciál pro růst smartbankingu. Všechny zmíněné možnosti vytváří elektronické položky, ale každá dovolí vznik za jiných podmínek (někdy musí být platba online, někdy stačí off-line) a za jiné autorizace (PIN, podpis, SMS kód…), výsledek je ovšem stejný – buď je transakce autorizována, nebo není schválena. Většina bank v ČR si autorizační služby objednává u jiné instituce než banky. Tou je GPE. V závislosti na platebním prostředku a částce se volí vhodný typ autorizace Velká většina vytváří i automatické položky, ale některé (internetové a mobilní bankovnictví) musí zvolit volbu platby a mít nastaveny šablony, aby byl uskutečněn jistý druh automatické položky. Také všechny zmíněné metody se neuskutečňují v platebním systému ČR. Zúčtování transakcí v platebním systému ČR musí vždy u mimobankovních transakcí probíhat přes clearingové centrum CERTIS.V případě dobití elektronických peněženek, platby pomocí SMS, platby probíhají v odděleném platebním systému a za jeho správu odpovídá provozovatel. Jediná transakce, která probíhá v rámci platebního systému ČR je dobíjení e-peněženky. Může to být pokaždé, když se uskuteční platba přes e-peněženku nebo jednorázově se předplatí kredit a následující platby jsou vypořádány ve svém platebním systému. 42
Bezhotovostní platební styk nabývá na významu a stále je prostor pro růst objemu plateb. Rozvoj nastává ve všech úrovních. Instituce se přizpůsobují elektronické komunikaci. Klienti kupují nová zařízení, která se stávají součástí jejich životů a zde se vytváří nové možnosti plateb. V momentální době je vysoké očekávání od plateb mobilem a je jasné, že se trh bude teprve postupně naplňovat. Nový EMV certifikát dává do nové roviny platební karty, kdy bude každá nově vydaná, s čipem, což zvýší důvěru v bezhotovostní platební styk a je možné, že následně zvýší jejich počet. Automatické elektronické položky, tedy „předgenerované“ údaje o příjemci, jsou rychlejší pro uskutečnění platby a je možné, že právě ty prostředky, které je vytváří, budou stále častěji využívány.
43
SEZNAM POUŽITÝCH ZDROJŮ
BÖHM, Jiří. Češi rádi platí kartou, vybavenost obchodů terminály je však stále nízká. [online]. 2015 [cit. 2015-04-12]. Dostupné z: http://www.cianews.cz/cs/1319507-cesi-radi-plati-kartou-vybavenostobchodu-terminaly-je-vsak-stale-nizka
BONNER, Enda. Implementing the Payment Card Industry (PCI) Data Security Standard (DSS). Telkomnika [online]. 2011, roč. 9, č. 2, s. 365-376 [cit. 2015-0415].
Česká republika. Profil ČR [online].. 2014, s. 13 [cit. 2015-04-14].. Dostupné z: http://profily.cardzone.cz/cr/profil_cr.pdf
ČNB Výroční zpráva 2013 [online].. 2014 [cit. 2015-04-14].. ISBN 978-80-8722550-9. Dostupné z: https://www.cnb.cz/miranda2/export/sites/www.cnb.cz/cs/o_cnb/hospodaren i/vyrocni_zpravy/download/vyrocni_zprava_2013.pdf
DE MEIJER, Carlo R. W. The increasing adoption of mobile payments in Europe -and remaining challenges to growth. Journal of Payments Strategy [online].. 2011, roč. 5, č. 3, s. 273-288 [cit. 2015-04-14]..
Druhy Visa karet. [online].. [cit. 2015-04-14].. Dostupné z: http://www.visa.cz/osobni-karty/vyberte-si-vasi-visa-kartu/druhy-visa-karet
GREGOR, Pavel. MasterCard představila vizi online plateb bez hesel. [online].. 2014 [cit. 2015-04-15].. Dostupné z: http://www.rmol.cz/novinky/mastercardpredstavila-vizi-online-plateb-bez-hesel
GUÉRIN, Jacques. Four key benefits of mobile POS in emerging markets. [online].. 2014 [cit. 2015-04-14].. Dostupné z: http://mobilesolutions.ingenico.com/blog/four-key-benefits-of-mobile-pos-in-emergingmarkets/
JUŘÍK, Pavel. Platební karty: ilustrovaná historie placení. 1. vyd. Praha: Libri, 2012, 204 s. ISBN 9788072774982
JUŘÍK, Pavel. Platební karty :velká encyklopedie 1870-2006. 1. vyd. Praha: Grada, 2006. 296 s. ISBN 80-247-1381-0.
KERNER, Sean Michael. EMV Among the Missing Pieces of PCI DSS 3.0. EWeek [online].. 2014, s. 1-1 [cit. 2015-04-14].. http://www.eweek.com/security/emvamong-the-missing-pieces-of-pci-dss-3.0.html
KLUFA, Dr. Ing. František, JUDr. Ph.D. Petr SCHOLZ a JUDr. Michaela KOZLOVÁ. [online].. s. 42 [cit. 2015-04-14].. Podvody v oblasti bezhotovostních plateb v ČR (studie). Dostupné z: http://www.finarbitr.cz/download/137_cs_a5_bezhotovostni_podvody.pdf 44
KROPÍK, Lukáš. Rok 2015 bude pro mobilní platby zlomový. [online].. 2015 [cit. 2015-04-12].. Dostupné z: http://www2.deloitte.com/cz/cs/pages/aboutdeloitte/articles/cze-rok-2015-pro-mobilni-platby-zlomovy.html
MACHOVÁ, Barbora. Tisková zpráva: Platební brána PayU v ČR roste, ve fiskálním roce 2013/2014 dosáhla obratu 3,76 miliardy korun. [online].. 2014 [cit. 2015-0412].. Dostupné z: http://www.payu.cz/sites/czech/files/pdf/Fisk%C3%A1ln%C3%AD%20v%C3 %BDsledky%20PayU%20v%20%C4%8CR.pdf
Manuál pro obchodníky - Přijímající platby prostřednictvím platebních karet. [online].. 2014 [cit. 2015-04-14].. Dostupné z: http://www.csob.cz/WebCsob/Firmy/Podnikatele/Platebni-karty/csob-manualpro-obchodniky-140101.pdf
MEJSTŘÍK, Michal, Magda PEČENÁ a Petr TEPLÝ. Základní principy bankovnictví. 1. vyd. V Praze: Karolinum, 2008, 627 s. ISBN 9788024615004.
MERKOW, Mark. Inside Electronic Commerce Modeling Language. [online].. 1999 [cit. 2015-04-12].. Dostupné z: http://www.ecommerceguide.com/news/trends/article.php/159021/Inside-Electronic-CommerceModeling-Language.htm
Mobito - peníze v mobilu. [online]. [cit. 2015-03-30]. Dostupné z: https://www.mobitoplatito.cz/
Parametry a struktura smard card. http://www.cardwerk.com/smartcards/smartcard_standard_ISO7816-3.aspx. [online]. [Cit. 2015-13-04].
Platební karty: jednoduché a účinné rady a tipy. [online].. 2007 [cit. 2015-04-14].. Dostupné z: http://www.penize.cz/platebni-karty/18568-platebni-kartyjednoduche-a-ucinne-rady-a-tipy
Pokyny pro provádění transakcí platebními kartami. 62 s. 2014 [cit. 2015-04-14]. Dostupné z: https://www.kb.cz/file/cs/o-bance/dokumenty-ke-stazeni/kb20121218-pokyny-pro-provadeni-transakci-platebnimikartami.pdf?4c4596fbf0dd5d0e9772c44428b03f7a
Popis systému CERTIS. In: [online].. [cit. 2015-04-12].. Dostupné http://www.cnb.cz/cs/platebni_styk/certis/certis_popis.html#bod03
Press release - Payment Statistics for 2013. [online].. 2014, s. 5 [cit. 2015-04-12].. Dostupné z: http://www.ecb.europa.eu/press/pdf/pis/pis2013.pdf?06ec75f7173136eb1186 fc5c1e3b2d89
REVENDA, Zbyněk. Peněžní ekonomie a bankovnictví. 5. aktualiz. vyd. Praha: Management Press, 2012, 423 s. ISBN 9788072612406. 45
z:
Sdružení pro bankovní karty. [online]. [cit. 2015-03-30]. Dostupné z: http://www.bankovnikarty.cz/pages/czech/main.html
SCHLOSSBERGER, Otakar a Ladislav HOZÁK. Elektronické platební prostředky. 1. Vyd. Praha: Bankovní institut vysoká škola, 2005, 276 s. ISBN 8072650734
SCHLOSSBERGER, Otakar. Platební služby. 1. vyd. Praha: Management Press, 2012, 325 s. ISBN 9788072612383
SCHLOSSBERGER, Otakar a Marcela SOLDÁNOVÁ. Platební styk. 3. přeprac. a dopl. vyd. Praha: Bankovní institut, 2007. 435 s. ISBN 9788072651078.
Slovník kartové terminologie. [online].. [cit. 2015-04-14].. Dostupné http://www.csas.cz/banka/nav/podnikatele-firmy-a-instituce/neziskoveorganizace/maestro-sluzebni-cestovni/slovnik-kartove-terminologied00011839
z:
Slovník pojmů - P. [online].. [cit. http://www.cnb.cz/cs/obecne/slovnik/p.html
z:
Standard EMV - specifikace. http://www.emvco.com/specifications.aspx. [online]. [Cit. 2015-04-07]..
TŮMOVÁ, Věra. Proč se útrata kartou odepíše z účtu až za několik dnů. [online].. 2009 [cit. 2015-04-14].. Dostupné z: http://www.penize.cz/internetbanking/53605-proc-se-utrata-kartou-odepise-zuctu-az-za-nekolik-dnu
Výkladová stanoviska k vybraným ustanovením zákona o platebním styku. [online].. 2013 [cit. 2015-04-12].. Dostupné z: https://www.cnb.cz/miranda2/export/sites/www.cnb.cz/cs/platebni_styk/prav ni_predpisy/vykladova_stanoviska/download/vykladova_stanoviska_zakona_o_p lat_styku_k_20121024.pdf
Zákon č. 284/2009 Sb., o platebním styku, část II. In: ASPI [právní informační systém].. Wolters Kluwer ČR [cit. 2015-04-01]..
Zákon č. 337/1992 o omezení plateb v hotovosti a o změně zákona Sb., o správě daní a poplatků, ve znění pozdějších předpisů; Zákon č. 254/2004 o omezení plateb v hotovosti Sb. In: ASPI [právní informační systém].. Wolters Kluwer ČR [cit. 2015-04-01].
46
2015-04-12]..
Dostupné
SEZNAM GRAFŮ Graf č. 1 zdroj: ČNB Výroční zpráva 2013, Průměrný denní počet položek [online]. 2014 [cit. 2015-04-14]. ISBN 978-80-87225-50-9. Dostupné z: https://www.cnb.cz/miranda2/export/sites/www.cnb.cz/cs/o_cnb/hospodareni/vyroc ni_zpravy/download/vyrocni_zprava_2013.pdf ., s. 34 Graf č. 2 zdroj: ČNB Výroční zpráva 2013, Průměrné denní obraty [online]. 2014 [cit. 2015-04-14]. ISBN 978-80-87225-50-9. Dostupné z: https://www.cnb.cz/miranda2/export/sites/www.cnb.cz/cs/o_cnb/hospodareni/vyroc ni_zpravy/download/vyrocni_zprava_2013.pdf ., s. 34
SEZNAM SCHÉMAT Schéma . č. 1 zdroj: Účastníci platebníhho systému, vlastní zpracování Schéma č. 2 zdroj: Proces přenosu dat pomocí POS, vlastní zpracování Schéma č. 3 zdroj: Schéma platební brány, vlastní zpracování
SEZNAM TABULEK Tab. č. 1 zdroj: Výkladová stanoviska k vybraným ustanovením zákona o platebním styku. [online]. 2013 [cit. 2015-04-12]. Dostupné z: https://www.cnb.cz/miranda2/export/sites/www.cnb.cz/cs/platebni_styk/pravni_pre dpisy/vykladova_stanoviska/download/vykladova_stanoviska_zakona_o_plat_styku_k_2 0121024.pdf Tab. č. 2 zdroj: Počet vydaných karet v ČR, vlastní zpracování Tab. č. 3 zdroj: Počet akceptačních míst v ČR, vlastní zpracování Tab. č. 4 zdroj: Tvorby automatických položek v platebním systému ČR, vlastní zpracování
47