Masarykova univerzita

Masarykova univerzita Přírodovědecká fakulta

BAKALÁŘSKÁ PRÁCE Dagmar Slováková

Bezpečnost platebních karet

Vedoucí bakalářské práce: prof. Ing. Jiří Dvořák, DrSc. Studijní program: Aplikovaná matematika Studijní obor: Matematika – ekonomie

2011

Poděkování Na tomto místě bych ráda poděkovala prof. Ing. Jiřímu Dvořákovi, DrSc. za cenné připomínky a odborné rady, které napomohly k vypracování této bakalářské práce.

Prohlášení Prohlašuji, že jsem bakalářskou práci „Bezpečnost platebních karet“ vypracovala samostatně pod vedením prof. Ing. Jiřího Dvořáka, DrSc. a uvedla v seznamu literatury všechny použité literární a jiné odborné zdroje.

V Brně, dne 31. května 2011

Dagmar Slováková

Název práce:

Bezpečnost platebních karet

Autor:

Dagmar Slováková

Ústav matematiky a statistiky Přírodovědecké fakulty, MU Vedoucí bakalářské práce:

prof. Ing. Jiří Dvořák, DrSc., Katedra financí, Ekonomicko – správní fakulta

Abstrakt Má bakalářská práce „Bezpečnost platebních karet“ přináší základní přehled o zabezpečení platebních karet a transakcí spojených s využíváním těchto karet. První část bakalářské práce se věnuje současnému stavu řešení zadané problematiky; přináší pohled do historie platebních karet, uvádí jejich typové rozdělení a bezpečnostní prvky, a také se věnuje podvodům s platebními kartami. Další část se zaměřuje na analýzu vybraných bank v České republice, především na pojištění platebních karet. Na závěr přináší návrh a zdůvodnění řešené problematiky týkající se průběhu karetních transakcí. Klíčová slova: platební karta, čip, pin, podvody, skimming

Title:

Payment Card Security

Author:

Dagmar Slováková

Department of Mathematics and Statistics, Faculty of Science, MU Supervisor:

prof. Ing. Jiří Dvořák, DrSc., Department of Finance, Faculty of Economics and Administration

Abstract My bachelor thesis "Payment card security" provides an overview of payment cards security and transactions associated with the use of these cards. The first part is concetrated on the current state of solution of a given issue, gives an insight into the history of credit cards, describes their types, safety features and payment card frauds. The next section focuses on the analysis of selected banks in the Czech Republic, especially the payment cards insurance. At the conclusion presents the design and justification of problems to be solved concerning payment card transactions. Keywords: payment card, chip, pin, frauds, skimming

Obsah Úvod .................................................................................................................................. 7 1 Systémové vymezení problému ..................................................................................... 9 2 Cíl práce ....................................................................................................................... 10 3 Informační zdroje ......................................................................................................... 10 4 Současný stav řešení zadané problematiky .................................................................. 11 4.1 Historie platebních karet ....................................................................................... 11 4.1.1 Počátek platebních karet ................................................................................ 11 4.1.2 Příchod bankovních karet............................................................................... 13 4.2 Technická definice platební karty ......................................................................... 15 4.3 Typy karet ............................................................................................................. 15 4.3.1 Debetní karta .................................................................................................. 15 4.3.2 Kreditní karta ................................................................................................. 16 4.3.3 Charge karta ................................................................................................... 17 4.4 Další typy platebních karet.................................................................................... 18 4.4.1 Virtuální internetová platební karta ............................................................... 18 4.4.2 Elektronická peněženka ................................................................................. 19 4.4.3 Bezkontaktní platební karty ........................................................................... 19 4.5 Bezpečnostní prvky na platebních kartách ............................................................ 20 4.5.1 Číslo karty ...................................................................................................... 20 4.5.2 Hologram ....................................................................................................... 22 4.5.3 Ultrafialové prvky .......................................................................................... 23 4.5.4 Podpisový proužek ......................................................................................... 23 4.5.5 Embosované znaky ........................................................................................ 24 4.5.6 Ceninový tisk a mikrotext .............................................................................. 24 4.5.7 Elektronické kódy .......................................................................................... 25 4.5.8 Magnetický proužek ....................................................................................... 26 4.5.9 Čip .................................................................................................................. 27 4.5.10 PIN ............................................................................................................... 28 3.5.11 Biometrické údaje ........................................................................................ 29 4.6 Systémová ochrana platebních karet ..................................................................... 30 4.6.1 Mezinárodní standardy ................................................................................... 30 4.6.2 Šifrování ......................................................................................................... 31 4.6.3 3-D Secure...................................................................................................... 31 4.7 Podvody s platebními kartami – Transakční členění ............................................ 32 4.7.1 Zneužití držitelem karty ................................................................................. 32

4.7.2 Zneužití osobou blízkou ................................................................................. 32 4.7.3 Zneužití osobou cizí ....................................................................................... 32 4.7.4 Zneužití nedoručené karty .............................................................................. 33 4.7.5 Platby na dálku ............................................................................................... 33 4.7.6 Podvodná žádost o kartu ................................................................................ 34 4.7.7 Zneužití obchodníkem.................................................................................... 34 4.8 Technické členění podvodů................................................................................... 34 4.8.1 Skimming ....................................................................................................... 34 4.8.2 Libanonská smyčka ........................................................................................ 36 4.8.3 Zneužití karty na internetu ............................................................................. 37 4.8.4 Phishing .......................................................................................................... 38 4.8.5 Pharming ........................................................................................................ 40 4.9 Bussiness model podvodů s platebními kartami ................................................... 41 4.9.1 Hacker ............................................................................................................ 41 4.9.2 Skimmer ......................................................................................................... 42 4.9.3 Phisher ............................................................................................................ 43 4.9.4 Černý trh ........................................................................................................ 43 4.9.5 Nákupčí, pokladník ........................................................................................ 44 4.9.6 Drop ............................................................................................................... 44 5 Analýza vybraných bank v ČR .................................................................................... 45 5.1 Československá obchodní banka, a. s. .................................................................. 46 5.2 Komerční banka, a.s. ............................................................................................. 48 5.3 Česká spořitelna, a.s. ............................................................................................. 50 6 Návrh a zdůvodnění řešené problematiky .................................................................... 53 6.1 Průběh karetní transakce ....................................................................................... 53 6.2 Průběh karetní transakce v systému 3-D Secure ................................................... 54 Závěr ............................................................................................................................... 57 Seznam použité literatury a pramenů .............................................................................. 58 Přílohy ............................................................................................................................. 62 Seznam použitých obrázků, tabulek a grafů ................................................................... 65 Rejstřík ............................................................................................................................ 66 Seznam zkratek ............................................................................................................... 67

Úvod Platební karta, jako bezhotovostní platební prostředek, se čím dál více stává součástí našeho života. Tento fakt potvrzují statistické údaje, podle kterých bylo v loňském roce vydáno 9,269 milionu platebních karet.1 Jejich hlavní funkcí jsou platby za zboží a služby a možnost vybrat hotovost z bankomatu, nebo také na pokladně v obchodě. Jako hlavní výhody při používání tohoto platebního instrumentu považuji vyšší bezpečnost oproti držení peněz v hotovosti, okamžitá dostupnost prostředků uložených na účtu (díky zvyšujícímu se počtu platebních terminálů v obchodních místech a počtu bankomatů) a v případě některých druhů platebních karet (kreditní, charge) čerpání úvěru. Avšak v mé bakalářské práci se zaměřuji i na způsoby zneužití platebních karet, které snižují jejich bezpečnost a jsou jednou z negativních stránek používání tohoto platebního prostředku, ale také na to, jak se těmto podvodům bránit. Bakalářská práce začíná výkladem historie a nejdůležitějších momentů při vývoji platebních karet. Čtenář získá představu o postupném zdokonalování platebních karet a jejich bezpečnostních prvcích. Následuje krátká technická definice platební karty, a poté se již zaměřuji na nejznámější typy karet, kterými jsou debetní, kreditní a charge karta. Ke každému typu je připojena definice a určení použití a je tedy zřetelně vysvětleno, pro kterou příležitost je vhodná která karta. Je připojen i krátký popis dalších, méně rozšířených typů platebních karet, které přednostně slouží k nákupům na internetu. Posledním typem je bezkontaktní platební karta; jedná se o nejmodernější typ karty, která podstatně urychlí platební transakce. Zajímavostí je, že její uvedení do provozu v České republice je plánováno na letošní rok 2011. V dalším oddíle se věnuji bezpečnostním prvkům na platebních kartách. Některé z nich jsou jistě široké veřejnosti známé, další ale mohou být pro někoho novinkou. Výčet prvků je zakončen biometrickými údaji, jejichž použití u platebních karet je teprve ve fázi testování. Následuje krátká kapitola o systémové ochraně platebních karet, ve které se zabývám mezinárodními standardy a šifrováním, včetně nejpoužívanějšího 3-D Secure, se kterým se již každý uživatel platební karty při internetových transakcích jistě setkal.

1

Profil ČR - Statistiky [online]. 2011 [cit. 2011-05-02]. Sdružení pro bankovní karty. Dostupné z WWW: .

7

V další části se zabývám podvody s platebními kartami, konkrétně transakčnímu členění. Jsou zde uvedeny různé způsoby zneužití karty v určitých fázích manipulace s kartou. Následuje technické členění podvodů, kde jsou popsány a vysvětleny nejčastější techniky a postupy používané při podvodech s platebními kartami, včetně zneužití karty na internetu. Poté je zde uveden business model podvodů; jedná se o rozdělení pozic podvodníků, od hackera a skimmera zjišťujícího údaje potřebné ke zneužití platební karty až po osoby manipulující se zcizenými prostředky. Další kapitola analyzuje vybrané banky v České republice, konkrétně jejich nabídku platebních karet a dalších doplňkových služeb, především pojištění platební karty. Poté je v návrhu a zdůvodnění řešené problematiky detailně vysvětlen průběh karetní transakce, a to i v systému 3-D Secure.

8

1 Systémové vymezení problému Z hlediska naplnění cílů zadané práce jsem vyjádřila systémově bankovní sektor jako součást budoucího elektronického podnikání (e-business) a jako jeden z podsystémů uvažuji právě elektronické bankovnictví. V tomto podsystému jsem definovala možné prvky, z nichž významným je v současné době právě platební karta. Na tomto prvku systému komplexního vyjádření elektronického obchodu jsem řešila otázku použití, bezpečnosti a pojištění. Tento model je vyjmut z celkového systému tak, aby uvažoval o vnitřním uspořádání jednotlivých vazeb v konstrukci a užití vybraných platebních karet u vybraných bank, a aby zároveň systémově splňoval požadavky celkového zaměření bezhotovostních plateb v nové ekonomice.

9

2 Cíl práce Cílem práce je přiblížit vývoj a současný stav platebních karet, především jejich bezpečnostních prvků. Dalším cílem je prozkoumat různé způsoby zneužití platebních karet a krátce vysvětlit, jak se jim vyvarovat. Práce by také měla obsahovat analýzu současného stavu platebních karet v českých bankách a zaměřit se především na pojištění platebních karet, které souvisí se zvýšením bezpečnosti tohoto platebního prostředku.

3 Informační zdroje Bezpečnost platebních karet je téma, které je často zpracováno v odborných článcích, publikacích, ale také na internetových serverech zaměřujících se na finance či bankovnictví. Mnohokrát se také v denním tisku objeví aktuální zprávy s varováním před zneužitím platebních karet. Informace jsem čerpala také z oficiálních stránek Sdružení pro bankovní karty. Sdružení klade velký důraz na bezpečnost platebních karet, a proto ustanovilo „Bezpečnostní výbor SBK“, který spolupracuje také s Policií ČR a přispívá ke snížení finančních ztrát z podvodů a osvětě veřejnosti. Veletrh Cartes je jedním z veletrhů zabývající se nejnovějšími trendy ve vývoji platebních karet. Místo konání je rozděleno na dvě teritoria – Asie, pro kterou se veletrh koná v Hong-Kongu, a Evropa, USA s veletrhem v Paříži, který byl naposledy uspořádán v prosinci 2010. K vyhledání informací o platebních kartách mi také pomohly mezinárodní webové stránky karetních asociaci a také stránky českých bank.

10

4 Současný stav řešení zadané problematiky 4.1 Historie platebních karet 4.1.1 Počátek platebních karet Technologie a vzhled platebních karet se vyvíjely podle technického pokroku ve světě. První platební karty samozřejmě nefungovaly ani nevypadaly tak, jak je známe dnes. Americká telefonní a telegrafní společnost Western Union Telegraph Company vydala v roce 1914 takzvané věrnostní karty, vyrobené z plechu a opatřené jménem držitele, které umožňovaly využívat služby společnosti, aniž by zákazník musel provést okamžitou platbu v hotovosti. Náklady uhradil držitel karty na konci měsíce na základě faktury vyúčtování za služby. Od tohoto roku se postupně začaly platební karty vyvíjet do dnešní podoby. Systém věrnostních platebních karet byl výhodný pro společnost, která kartu vydala, i pro zákazníka, který ji používal k placení služeb i zboží. Zákazník nemusel mít u sebe hotovost, proto často utratil větší částky, než kdyby platil v hotovosti a naopak pro společnost tkvěla výhoda v tom, že získala stálé klienty a zvýšily se její příjmy, proto začaly mít o vydávání věrnostních platebních karet zájem i další společnosti. Mezi ně patřily telegrafní, železniční, obchodní společnosti a v roce 1924 i první síť čerpacích stanic, společnost General Petroleum Corporation of California (dnes Mobil Oil). Systém „Charge it“ neboli „Připište mi to na účet“ nebo také známý jako „Buy now, pay later“ - „Nakupuj teď, plať později“ byl u zákazníků velice oblíbený a svým názvem nám napovídá, jak fungovaly platební karty ve svých počátcích. Po ověření totožnosti klienta a platnosti karty byl účet zaslán do účtárny, kde bylo poté zákazníkovi vystaveno měsíční vyúčtování. Aby platební karta nemohla být zcela jednoduše zneužita neoprávněným držitelem, bylo na kartě vyraženo jméno zákazníka a číslo karty, popřípadě zde bylo místo i pro podpisový vzor, který byl při platbě porovnán s podpisem na vystaveném platebním dokladu, nebo bylo ověřeno jméno na kartě předložením průkazu totožnosti. V roce 1915 se platba ještě zrychlila využitím mechanického snímače – imprinteru od americké firmy Addressograph. Tyto imprintery byly využívány na otisk údajů z plechového štítku na papírový doklad o prodeji. Vývoj byl zbrzděn Velkou hospodářskou krizí v 30. letech a 2. světovou válkou. Platební karty potřebovaly výraznou změnu, protože dosud jich musel mít 11

klient celou řadu, aby mohl zaplatit všude, kde častěji nakupoval. Věrnostní kartou mohl sice zaplatit v řetězcích obchodů, benzinových pump a hotelů, ale už ne napříč celým trhem. Tato nevýhoda byla odstraněna v roce 1950 založením společnosti Diners Club International a vydáním první platební karty, která byla univerzálně použitelná v různých obchodních místech. „Diners Club se stal prostředníkem mezi svými členy a obchodníky, kteří s ním uzavřeli smlouvu o přijímání jeho karet.“2 To vše díky jeho zakladatelům, Fracku McNamarovi a Ralphu Schneiderovi, které obtěžovalo používat několik věrnostních karet, popřípadě nosit sebou velkou hotovost. Společnost byla založena 28. ledna 1950, v únoru vlastnilo kartu 200 newyorských klientů, avšak na konci roku bylo vydáno díky velkému ohlasu přes 10000 karet. Samozřejmě se rozšiřovaly i místa použití platební karty - na začátku roku 1950 bylo možno zaplatit v 27 restauracích a 2 hotelech na Manhattanu a do roku 1951 již přijímalo kartu Diners Club 285 restaurací v New Yorku, Los Angeles, Bostonu a Miami. Toto rozšíření od východního po západní pobřeží USA bylo umožněno díky spojení Diners Club a podobného systému Dine and Sign, který založil McNamarův přítel, a po pár měsících jejich fungování se dohodli na spojení obou společností. V roce 1953 se díky rozšíření do Kanady stala karta Diners Club mezinárodní kartou.3 Systém placení byl podobný jako u prvních platebních karet – zákazník při platbě předložil svou Diners Club Identification Card, podepsal doklad o zaplacení a na konci každého měsíce uhradil všechny provedené transakce ve prospěch účtu klubu, proto lze nazvat tuto kartu Charge Card a obchodník nenese riziko případné nesolventnosti zákazníka, člena Diners Club. Novinkou byly poplatky. Obchodník, kterému se díky akceptování karet zvýšily tržby, hradí poplatky, které zčásti pokrývají provozní náklady. Jsou vybírány jako Merchant Discount Charge (srážka, provize) a odpovídají 5-7 % z částky nákupu. Dalším novým poplatkem, který byl zaveden, byl roční poplatek za vydání a vedení karty. 4 Klienti samozřejmě potřebovali vědět, v jakých obchodních místech mohou použít svou platební kartu, a proto byly vydávány brožurky se seznamem restaurací, 2

MARVANOVÁ, Marie, SCHLOOSSBERGER, Otakar a kol.. Platební styk. 2. dopl. vyd..Praha : Bankovní institut, a.s., 1998. 278 s. 3 JUŘÍK, Pavel. Platební karty - Velká encyklopedie 1870-2006. 1. vyd. Praha : Grada Publishing, a.s., 2006. 296 s. ISBN 80-247-1381-0. 4 JUŘÍK, Pavel. Platební karty - Velká encyklopedie 1870-2006. 1. vyd. Praha : Grada Publishing, a.s., 2006. 296 s. ISBN 80-247-1381-0.

12

které však rychle přibývaly a aktualizace seznamu probíhala pomocí inzerátů v tisku a nakonec začala společnost vydávat vlastní časopis, který pravidelně vycházel a informoval držitele karty o změnách. Karta nemá žádné bezpečnostní prvky, k ověření slouží pouze jméno a příjmení na kartě a podpis držitele, je vyrobena z tvrdého papíru. Ačkoliv se Diners Club ve svých začátcích potýkal s vysokými ztrátami, počet držitelů karet rostl v 50. letech exponenciálně. To vše díky reklamě a akvizicím konkurenčních organizací a klubů.

4.1.2 Příchod bankovních karet Americké banky samozřejmě nechtěly zůstat pozadu ve vývoji platebních karet a navíc v nich viděly možnost získat nové zdroje příjmů v podobě poplatků za kartu (poskytování spotřebních úvěrů). V roce 1951 vydala The Franklin National Bank první bankovní kartu. Na rozdíl od karet Diners Club byl určen horní limit úvěru. Postupně se přidávaly další americké banky, avšak mnohé z nich nebyly úspěšné a projekt s platebními kartami jim přinesl obrovské ztráty. Roku 1957 byl Diners Club stále úspěšnější než banky. „Konec 50. let 20. století, konkrétně rok 1958, přinesl na trhu platebních karet ve Spojených státech významné změny, protože byly spuštěny 3 velké projekty: nová Charge Card Carte Blanche hotelové společnosti Hilton, giganta na trhu cestovních šeků American Express a kreditní karta Bank Americard, největší americké banky Bank of America.“5 American Express i Bank of America si před spuštěním projektu nechali vypracovat důkladné analýzy trhu platebních karet a zvažovaly pro a proti zavedení svých bankovních platebních karet. American Express nejdříve uvažoval o zakoupení akcií Diners Club, ale nakonec se rozhodla vydat vlastní platební karty. Již v roce 1959 byly platební karty vyrobeny z plastu, aby se předešlo padělání, měly větší odolnost a placení bylo jednodušší díky imprinterům. Prodavač pomocí těchto snímačů okopíroval na prodejní doklad údaje z karty, které byly vyražené reliéfním písmem, a z identifikačního štítku připevněného na imprinteru.6

5

JUŘÍK, Pavel. Platební karty - Velká encyklopedie 1870-2006. 1. vyd. Praha : Grada Publishing, a.s., 2006. 46 s. ISBN 80-247-1381-0. 6 JUŘÍK, Pavel . Encyklopedie platebních karet : historie, současnost a budoucnost peněz a platebních karet . 1. vyd. Praha : Grada Publishing, a.s., 2003. 312 s. ISBN 80-247-0685-7.

13

Jako první použila tuto technologii Bank of America. Diners Club zavedla plastové platební karty roku 1961. Bank of America měla samozřejmě cestu usnadněnou i tím, že byla v té době největší a nejúspěšnější bankou a vedoucí bankou ve spotřebitelských úvěrech. V roce 1966 poskytla Bank of America licenci na vydávání Bank Americard ostatním americkým a zahraničním bankám. „Tím byl položen základ dnešního mezinárodního bankovního systému VISA.“7 Tato asociace vznikla roku 1977 pod jménem VISA International. Historie dnešního MasterCard sahá až do roku 1966, kdy konkurenti Bank of America vytvořili v Kalifornii Interbank Card Association (ICA). Nejdříve používala asociace název Master Charge a až v roce 1979 se přejmenovala na Master Card. Roku 1968 se členem organizace stala mexická Banco Nacional De Mexiko (jako první neamerická banka) a později i evropská asociace Eurocard International. Banky se však nevyhnuly problémům se zneužíváním karet. Karty byly klientům zasílány poštou a šířily se případy vykrádání poštovních zásilek. Často se jednalo o nevyžádané karty, o které neměli klienti zájem. „Odhaduje se, že do roku 1970 rozeslaly americké banky okolo 100 milionů nevyžádaných kreditních karet.“8 Některé z nich adresáti vyhodili. Tyto vyhozené karty však také mohly být nálezcem zneužity. Roku 1970 byl však podepsán prezidentem Nixonem zákon, který zakazoval zasílat nevyžádané kreditní karty. Karty však byly ve velkém padělány i kradeny a banky tomu ještě nedokázaly dostatečně zabránit. Změna přišla až se zavedením magnetického proužku a PINu9. Rozšiřování bankovních platebních karet neprobíhalo jen na území USA, ale v roce 1963 vznikla v Japonsku společnost Japan Credit Bureau (JCB), která se stala napodobitelem American Express (zabývala se finančními a cestovními službami). Do Evropy se dostal Bank Americard v roce 1966 přes Barclay Bank ve Velké Británii. Ve Švédsku byla vytvořena v roce 1964 společnost Eurocard. Byla založena bankovní skupinou Wallenbarg. „O rok později se z ní stala holdingová společnost

7

MARVANOVÁ, Marie, SCHLOOSSBERGER, Otakar a kol.. Platební styk. 2. dopl. vyd..Praha : Bankovní institut, a.s., 1998. 279 s. 8 JUŘÍK, Pavel. Platební karty - Velká encyklopedie 1870-2006. 1. vyd. Praha : Grada Publishing, a.s., 2006. 67 s. ISBN 80-247-1381-0. 9 Personal Identification Number

14

Eurocard International se sídlem v Bruselu, která pak v roce 1968 uzavřela strategické partnerství s americkým systémem Master Charge (dnes MasterCard).“10

4.2 Technická definice platební karty „Platební karta je druhem identifikačních dokladů. Rozměry a fyzikální vlastnosti identifikačních karet stanoví mezinárodní norma ISO 3554.“11 Standardní rozměr je 85,6 x 54 x 0,76 mm a je vyrobena ze tří vrstev netoxického PVC. Umístění a funkce jednotlivých bezpečnostních prvků na kartě bude popsáno v podkapitole Bezpečnostní prvky na platebních kartách.

4.3 Typy karet Podle druhu zúčtování transakcí lze platební karty rozdělit na tyto typy: 4.3.1 Debetní karta Tyto platební karty jsou přímo vázány na běžný účet klienta, a ten proto může využít pouze peníze, které jsou k dispozici na účtu. Pojem debetní však znamená také to, že majitel karty může využít více peněžních prostředků než vlastních a jít „do mínusu“. Banka mu v tomto případě poskytuje krátkodobý kontokorentní úvěr do určitého limitu za předem stanovených podmínek. Debetní karta má široké použití, především výběry v hotovosti z bankomatů, na přepážkách bank, cash back12, placení za zboží a služby v obchodních místech vybavených platebními terminály a internetové platby. Platby a výběry jsou okamžitě strhávány z účtu, popřípadě s několikadenním zpožděním. Banky si za své služby účtují různé poplatky, v případě debetních karet se jedná o poplatky za vedení karty, výběry z bankomatů (především z bankomatů u jiné banky) nebo poplatky za vydání náhradní karty po odcizení či ztrátě. Debetní karta je jednou z nejmladších platebních karet (pokud uvažujeme i nejnovější virtuální karty, elektronickou peněženku, které jsou nejmodernější) a 10

JUŘÍK, Pavel. Svět platebních karet. 1. vyd. Praha : RADIX, spol. s.r.o., 1995. 10 s. ISBN 80901853-1-2. 11 JUŘÍK, Pavel. Svět platebních a identifikačních karet. 1. vyd. Praha : Grada Publishing, spol. s.r.o., 1999. 37 s. ISBN 80-7169-759-1. 12 Výběr hotovosti přímo na pokladnách v obchodech za určitých podmínek

15

zavedení těchto karet je spojováno s nástupem bankomatů. Poprvé ji vydala Arizon Bank v roce 1974 a ve svých začátcích se nesetkala s velkým ohlasem, protože lidé ji považovali za náhradu šeků, u kterých se však nemusel platit transakční poplatek. Díky rozšíření autorizačních systémů mohla asociace VISA a MasterCard zavést debetní karty, které ve vývoji navázaly na kreditní karty a charge karty. V 80. letech byl tento platební prostředek rozšířen mezi širokou veřejnost. „V roce 1983 VISA vydala VISA Check Card, kartu fungující jako šek a později ještě 3 debetní karty: VISA Debit, Electron a Interlink.“13 MasterCard přišla v roce 1988 s debetními kartami MasterMoney a Master Debit a v roce 1991 byla uvedena na americký trh elektronická debetní karta Maestro. Živnostenská banka byla první bankou, která začala u nás vydávat platební karty. V roce 1988 poskytla k tuzexovému účtu dispoziční kartu, která je jakousi formou debetní karty.

4.3.2 Kreditní karta Kreditní karta je propojená s revolvingovým úvěrem14, tedy na rozdíl od debetní karty nepotřebuje mít držitel karty celou potřebnou částku na účtu a vlastně utrácí peníze banky, která na konci zúčtovacího období vystaví výpis s dlužnou částkou. Je možné uhradit celou výši dluhu, nebo splácet postupně jen její část, avšak v tomto případě navýšenou o úrok. Pokud klient do určitého data splatí celý úvěr, jedná se o takzvané bezúročné období. Rozdíl mezi debetní a kreditní kartou je proto v tomto ohledu zřejmý. Kreditní karty jsou určeny především k bezhotovostním platbám. Banka však umožňuje i výběr hotovosti z bankomatu, na přepážce banky nebo i cash back, avšak na tyto transakce se nevztahuje bezúročné období15 a ze sumy, která je vybrána kreditní kartou, se platí úrok už od prvního dne a je také účtován poplatek za výběr. Klient může čerpat úvěr do předem daného úvěrového limitu, který je při vydání kreditní karty určen bankou, či jinou nebankovní institucí, a to podle bonity žadatele o kartu. Banka se totiž při vydání kreditní karty vystavuje úvěrovému riziku, a protože chce toto riziko co nejvíce eliminovat, zjistí si o klientovi předpokládanou

13

Historie platebních karet [online]. 27. 10. 2010 [cit. 2011-05-02]. Wikipedie, Otevřená encyklopedie. Dostupné z WWW: . 14 Úvěr, který může majitel karty postupně splácet a zároveň dále čerpat finanční prostředky 15 ČSOB, Poštovní spořitelna, Komerční banka a mBank ponechávají bezúročné období i na výběry hotovosti

16

schopnost úvěr splácet (jeho bonitu). Bonita se posuzuje především podle trvalého příjmu žadatele, věku, dosaženého vzdělání, počtu vyživovaných dětí atd. První univerzální platební karty vydané společností Diners Club jsou z dnešního hlediska označované spíše za charge karty. Rozvoj bankovních karet16 nastal po nástupu bank na trh platebních karet na konci 40. a na začátku 50. let 20. století. I menší obchodníci mohli nabízet své zboží na úvěr, protože banka poskytovala potřebný kapitál a nesla kreditní riziko. Projekt Bank Americard, spuštěný roku 1958, byl první univerzální úvěrovou platební kartou s revolvingovým úvěrem, a tedy první kreditní kartou, tak jak ji známe dnes. Tím, jak vzrostl počet používaných kreditních karet v 80. a 90. letech v USA, zvýšilo se i zadlužení průměrné domácnosti. U nás se první kreditní karty kvůli politické izolovanosti východního bloku objevily až roku 1998 a s jejich vydáváním začala jako první Česká spořitelna. Avšak až roky 2001 a 2002 jsou označovány za skutečný nástup kreditních karet u nás.17

4.3.3 Charge karta Charge karty by se daly přirovnat ke kartám kreditním. Vlastník karty nepotřebuje mít na účtu dostatek financí, ale nakupuje na dluh. V případě charge karty však není z čerpané částky placen žádný úrok. Na konci měsíce zašle banka výpis provedených transakcí a daná částka musí být uhrazena do určitého data a to v plné výši, bez navýšení o úroky. Banka tedy poskytuje úvěr zdarma, avšak tento produkt je nabízen pouze vybraným klientům, kteří mají vysokou bonitu, proto není určen limit měsíčních výdajů. Jak už bylo zmíněno, první platební karty společnosti Diners Club byly právě tyto charge karty. I v ČR začal jako první v roce 1998 nabízet svou charge kartu Diners Club.

16

Ne však stále kreditní karty v dnešním významu Kreditní karta [online]. 30.5.2011 [cit. 2011-05-30]. Wikipedie, Otevřená encyklopedie. Dostupné z WWW: . 17

17

Počet vydaných karet v roce 2010 303 565 1 564 430

debetní kreditní charge 7 400 919

Graf č. 1: Počet čet vydaných karet v ČR v roce 2010 Zdroj: vlastní zpracování podle údajů údaj 18 Nejčastěji ji vydávanou platební kartou v roce 2010 byla karta debetní, debetní následovaná kreditní a charge kartou.

4.4 Další typy platebních karet 4.4.1 Virtuální internetová platební karta Ve spojitosti s používáním platebních karet při platbě na internetu je potřeba pot zmínit také virtuální platební karty, které nejsou dnes však tak rozšířené, rozší protože zabezpečení plateb s platebními kartami již dosáhlo vysoké úrovně. úrovně Pokud ale někdo stále nevěří bezpečnosti čnosti 3-D 3 Secure, má možnost od banky získat 16 místné mí číslo karty, datum platnosti a CVC2 kód v papírové nebo jiné podobě. ě. Tato platební karta slouží pouze k platbám na internetu, nelze s ní proto zaplatit jako s klasickou plastovou kartou v obchodě obchod nebo vybrat hotovost v bankomatu. V České republice nabízí ízí možnost využití virtuální platební karty například společnost společ Cetelem. Pro každou transakci zašle prostřednictvím prost ednictvím SMS zákazníkovi jedinečnou jedine číselnou kombinaci data expirace a CVC2 kódu. Komerční ní banka vydává virtuální kartu EE card od VISA nebo MasterCard, MasterC která má platnost 3 roky.

18

Profil ČR, Statistiky [online]. 2011 [cit. 2011-05-02]. 2011 02]. Sdružení pro bankovní karty. Dostupné z WWW: .

18

4.4.2 Elektronická peněženka Je další způsob platby na internetu, kde se nemusí zadávat údaje přímo z karty a tím je transakce bezpečnější. Klient si do elektronické peněženky pošle pouze tolik peněz, kolik potřebuje na běžné platby, například jen v řádu stovek korun, takže nehrozí, že v případě zneužití přijde o veškerý objem finančních prostředků na účtu. Jednou z nejznámějších celosvětově používaných elektronických peněženek je PayPal, který byl založen roku 1998 v USA a v roce 2002 odkoupen společností eBay, protože 50 procent uživatelů eBay platilo přes PayPal. PayPal dnes působí na 194 trzích a účet může být veden ve 24 měnách včetně české koruny. V České republice byla v roce 2008 spuštěna elektronická peněženka PaySec. Tento platební systém provozuje ČSOB19.

4.4.3 Bezkontaktní platební karty Bezkontaktní platební karta je nejmodernějším typem karty, která podstatně urychlí platební transakce. Na rozdíl od karet s čipem nebo magnetickým proužkem ji není nutné vkládat do platebních terminálů, ale pouze se přiblíží ke čtečce. Pokud platba nepřesáhne 500 Kč/20 Euro, není potřeba zadávat PIN, proto je primárně určena ke každodenním drobným nákupům. Společnost MasterCard vlastní licenci k bezkontaktní technologii PayPass. Společnost VISA tuto licenci pouze využívá a pod svým jménem ji prezentuje pod názvem payWave.20 V Evropě byl program PayPass spuštěn roku 2006. V roce 2010 je jich vydáno přes 320 milionů a pro letošní rok 2011 se očekává rychlý růst v této oblasti vývoje platebních karet. Na Slovensku byl projekt PayPass spuštěn už v roce 2008, čímž zcela předběhl vývoj v České republice, kde se zavedení technologie na trh plánuje až na letošní rok 2011. Karty s technologií PayPass bude možno pořídit v ČSOB, Komerční bance a České spořitelně. Bezkontaktní platby neprobíhají pouze s platebními kartami, ale byly vyvinuty speciální hodinky s bezkontaktním čipem. Novinkou, která už na Slovensku byla představena, je dárková karta - nálepka, předplacená na určitou částku.

19

Československá obchodní banka, a.s. Bezkontaktní platební karty PayPass™ a payWave™ [online]. 2010 [cit. 2011-05-02]. Měšec.cz. Dostupné z WWW: .

20

19

„Existuje několik úrovní zabezpečení, díky nimž jsou transakce PayPass a payWave velmi bezpečným způsobem platby: •

Jelikož zákazník nemusí kartu vydat z ruky, může po celou dobu transakce dohlížet na její průběh.

•

Aby bylo možné kartu přečíst, je nutné ji přiložit velmi blízko ke snímači – obvykle do vzdálenosti dvou až pěti centimetrů – to prakticky vyloučí možnost čtení jiným zařízením.

•

Karta s bezpečnostním čipem a zabudovanou rádiovou anténou poskytuje zákazníkům výhody vyspělé technologie srovnatelné s technologií běžných čipových karet (Chip-and-PIN).“21

4.5 Bezpečnostní prvky na platebních kartách Bezpečnostními prvky na klasické platební kartě jsou logo banky, EMV čip, číslo platební karty, logo vydavatele, platnost, jméno majitele karty, magnetický proužek, hologram, embosované znaky, ultrafialové prvky, podpisový proužek, kód CVV/CVC, ale novinkou jsou také různé biometrické údaje. Zadní strana karty je často doplněna o několik důležitých doplňujících informací. Jedná se o adresu vydavatele karty pro případné nálezce a telefonní číslo klientské linky.

4.5.1 Číslo karty Číslo platební karty je jedním ze základních ochranných prvků. Číslo karty spojuje klienta s konkrétním účtem a může být ověřeno přes Luhnův algoritmus. Od konce 90. let 20. století až dodnes jsou všechny čísla karet generovány přes tento algoritmus. Je to jednoduchý algoritmus, který slouží pouze k ověření platnosti karty a nesnaží se být zabezpečovacím algoritmem, jeho úkolem je pouze detekce náhodných chyb.

21

Bezkontaktní platební karty PayPass™ a payWave™ [online]. 2010 [cit. 2011-05-02]. Měšec.cz. Dostupné z WWW: .

20

ISO/IEC 7812 je jednou z norem, které slouží k popisu parametrů identifikačních karet a specifikuje systém číslování pro identifikaci vydavatele karet, Luhnův algoritmus je také její součástí. Prvních šest číslic se podle této normy nazývá Issuer Identification Number22. Dříve Bank Identification Number23, dnes však karty vydávají i jiné finanční společnosti, nejen banky. Na základě těchto šesti čísel je možné určit zemi vydavatele, typ a vydavatele karty. Další číslice na kartě určují číslo účtu, s kterým je karta propojena a poslední číslicí je Check digit24. Právě podle ní se ověřuje Luhnův algoritmus (mod 10).

Obrázek č. 1: Popis čísla karty

Zdroj: vlastní zpracování 25 Tabulka č. 1: Příklad identifikačních čísel vydavatele karet Vydavatel karty

Id. číslo vydavatele

Délka čísla karty

American Express

34xxxx, 37xxxx

15

Diners Club Carte Blanche

300xxx-305xxx

14

Diners Club International

36xxx

14

MasterCard

51xxxx-55xxxx

16

22

Identifikační číslo vydavatele karty Identifikační číslo banky 24 Kontrolní číslice 25 Platební karty [online]. 2009 [cit. 2011-05-02]. Fio družstevní záložna a její internetové bankovnictví. Dostupné z WWW: . 23

21

4xxxxx

VISA

16

Zdroj: poznámka 26

Číslo karty může být natištěno embosovaným (reliéfním) písmem, vyraženo do hloubky, nebo pouze vytištěno. Platební karty s reliéfním písmem mají na rozdíl od tištěných karet tu výhodu, že s nimi lze platit i u obchodníků, kteří nemají elektronický terminál, ale pouze tzv. imprinter (žehličku), kterou vytiskne údaje z karty na doklad, který předloží zákazníkovi k podepsání. V ČR je však už pouze 7145 provozoven (z celkových 65293 provozoven s terminály) vybavených jen imprintery. Číslo platební karty je u karet VISA vytištěno reliéfním písmem, které musí mít vždy stejnou velikost a tvar. Dnešní VISA karty však už nemusí být embosované. Hned pod číslem karty vlevo je vytištěno plochým písmem jeho první čtyřčíslí. Toto čtyřčíslí je i u karet VISA Electron, které však mají číslo karty vytištěno pouze plochým písmem. Na karty MasterCard je číslo platební karty také vyraženo reliéfním písmem a první čtyřčíslí je vlevo pod tímto číslem. U karet Maestro můžou být číslo karty, jméno držitele a datum platnosti vytištěny i na zadní straně, avšak písmo je stejně jako u VISA Electron neembosované.

4.5.2 Hologram Stejně jako bankovky i platební karty potřebují vizuální bezpečnostní prvky, díky kterým se dá odhalit plagiát pouhým pohledem. Hologram je dvou nebo třírozměrný obraz, který se mění při pohybu karty. „Princip hologramu byl objeven už v roce 1947, ale teprve v 60. letech po objevu laseru, byly překonány technické překážky při aplikaci hologramu.“27 V 70. letech byl vyvinut postup pro masovou výrobu a v roce 1983 společnost MasterCard aplikovala hologram na své platební karty. Na kartách VISA se hologram objevil o rok později a společnosti American Express, Diners Club a JCB ho na své karty

26

Bank card number [online]. 2.5.2011 [cit. 2011-05-02]. Wikipedia, The Free Encyclopedia. Dostupné z WWW: . 27 JUŘÍK, Pavel . Encyklopedie platebních karet : historie, současnost a budoucnost peněz a platebních karet . 1. vyd. Praha : Grada Publishing, a.s., 2003. 230 s. ISBN 80-247-0685-7.

22

implementovali až koncem 90. let. Hologram je na platební kartu upevňován metodou Hot Stamping, při níž je zalisován do povrchu karty. Z důvodu zdokonalování fyzické bezpečnosti MasterCard několikrát změnil vzor svého hologramu. Na dnešních hologramech se vyskytují dvě propojené polokoule, v pozadí se objevuje nápis „MasterCard“ a zároveň jsou polokoule lemovány mikrotextem „MC“. Nový design karet nabízí umístit hologram buď na přední stranu platební karty, nebo na zadní stranu vedle podpisového proužku, ale také lze použít hologram jako magnetický proužek (tzv. HoloMag tape). V září 2005 VISA změnila design svých karet. Ze začátku byl hologram s letící holubicí, která představuje mezinárodní symbol míru, umístěn na přední straně, zpravidla pod posledními čtyřmi číslicemi platební karty. Nový standard stejně jako u karet MasterCard dovoluje umístění hologramu na přední i zadní straně.

4.5.3 Ultrafialové prvky Další velmi účinnou ochranou na platebních kartách jsou ultrafialové prvky, které se objeví pod ultrafialovým světlem. Jedná se buď o znak asociace na přední straně karty, nebo o její název v podpisovém proužku. U karet VISA se na přední straně ve středu karty objeví letící holubice, avšak na novějších kartách VISA je holubice nahrazena malým písmenem V umístěným pod logem asociace. Stejný ultrafialový znak je i na kartách VISA Electron. Na kartách MasterCard jsou ultrafialovým inkoustem vytištěna písmena MC a to ve spodní části přední strany karty (u karet MasterCard Electronic jsou uprostřed karty). Karty Diners Club jsou na přední straně vybaveny modrým světelkujícím znakem DC (ve tvaru rozděleného kruhu), který je také viditelný pouze pod UV světlem.

4.5.4 Podpisový proužek Všechny platební karty, s magnetickým proužkem i čipové, jsou opatřeny podpisovým proužkem. Pokud se jedná o kartu s magnetickým proužek, je podpis držitelem karty bezpodmínečný, protože transakce je ověřována pouze na základě podpisového vzoru na kartě a platební karta bez podpisu je považována za neplatnou.

23

Avšak i čipová karta musí být majitelem karty podepsána, protože pokud bude provádět transakci u obchodníka, který dosud není vybaven čipovou technologií, tak platba proběhne přes magnetický proužek. Podpisový proužek je vyroben ze speciálního materiálu, díky kterému jsou odhalitelné jakékoliv změny původního podpisu. Viditelný vzor opakujícího se slova VISA na podpisovém proužku platebních karet VISA je nepovinný, ale ultrafialový podtisk musí být na všech kartách. Délka podpisového proužku není stanovena a liší se podle typu karty. Může být na něm také umístěno poslední čtyřčíslí čísla karty, které je uvedeno na přední straně karty. U karet MasterCard je na podpisovém proužku mnohobarevně vytištěn pod úhlem 45° opakující se název asociace. Stejně jako u karet VISA jsou na nich poslední 4 číslice čísla karty, avšak od června 2006 nejsou pouze přípustné, ale vyžadované.

4.5.5 Embosované znaky Embosované znaky jsou také další překážkou pro padělatele platebních karet. Jedná se o jednoduché znaky (písmena, symboly, číslice), které jsou působením tepelného zdroje vytlačeny do platební karty. Na nových kartách VISA vydávaných od roku 2005 se už embosovaný znak nevyskytuje. Starší karty VISA, platné do 2011, mají vedle data vypršení platnosti karty se zvláštním sklonem vyraženo písmeno V („letící V“). Karty MasterCard od roku 2006 také upustily od tohoto bezpečnostního prvku, avšak na starší verzi karet se může za datem vypršení platnosti vyskytovat vyražená dvojice písmen MC.

4.5.6 Ceninový tisk a mikrotext Přesný ceninový tisk designu karty a tisk mikrotextů na kartu (například na logu VISA) jsou další ochranou proti padělání platebních karet.28

28

JUŘÍK, Pavel. Svět platebních a identifikačních karet. 1. vyd. Praha : Grada Publishing, spol. s.r.o., 1999. 248 s. ISBN 80-7169-759-1.

24

4.5.7 Elektronické kódy Bezpečnostní kód karty je dalším zabezpečením proti zneužití platební karty. Tento kód je generován zašifrováním PAN29 (číslo karty), servisního kódu, data expirace a CVK30 a nakonec decimalizován. Na kartách MasterCard se začaly tyto bezpečnostní kódy objevovat už v roce 1997, VISA je zavedla v roce 2001. Názvy kódů se liší podle vydavatele karty, ale také podle toho, jestli jsou datovým prvkem v magnetickém proužku, nebo vytištěny přímo na kartě. „Datový prvek v magnetickém proužku

karty využívá

bezpečného

kryptografického procesu k ochraně integrity dat v proužku a odhaluje jakékoliv pozměnění nebo padělání.“31 Zde uvádím jednotlivé označení elektronických kódů pro různé vydavatele karet: •

„CAV (Card Attestation Value) – Hodnota ověření karty (platební karty JCB),

•

CVC (Card Validation Code) - Kód ověření platnosti karty (MasterCard),

•

CVV (Card Validation Value) - Hodnota ověření karty (VISA, Discover),

•

CSC (Card Security Code) - Bezpečnostní kód karty (American Express).“32

Druhý typ kódu nebo hodnoty je vytištěn přímo na platební kartě. Tento trojmístný kód je umístěn na zadní straně karty na konci podpisového proužku. U karet MasterCard byla tato tři čísla umístěna přímo na podpisovém proužku, od roku 2006 je požadováno, aby byla vytištěna v přiléhajícím bílém obdélníku. Na nových kartách VISA může být kód buď v podpisovém proužku, nebo mimo něj v bílém obdélníku. Pro platební karty American Express je čtyřmístný, neembosovaný a nachází se na přední straně nad číslem karty. Držitel karty musí při internetových, telefonních, poštovních a dalších transakcích, u kterých nemusí být fyzicky přítomna platební karta, sdělovat tento identifikační prvek, aby se předešlo případnému zneužití. 29

Primary Account Number Card Verification Key 31 PCI Security Standards Council. Výkladový slovník [online]. 2010 [cit. 2011-05-02]. PCI Standard . Dostupné z WWW: . 32 PCI Security Standards Council. Výkladový slovník [online]. 2010 [cit. 2011-05-02]. PCI Standard . Dostupné z WWW: . 30

25

Přehled kódů druhého typu: •

„CID – Identifikační číslo karty (platební karty American Express a Discover),

•

CAV2 – Hodnota ověření karty 2 (JCB),

•

CVC2 – Kód ověření platnosti karty 2 (MasterCard),

•

CVV2 – Hodnota ověření karty 2 (VISA).“33

4.5.8 Magnetický proužek Magnetický proužek by se dal přirovnat k magnetickému pásku kazety. Je používán jako nosič dat klienta a slouží k urychlení platební transakce. „Byl vynalezen již roku 1878, ale až v roce 1968 ho společnost IBM dokázala aplikovat tak, aby byl schopen nést statická data o klientovi na prvních dvou stopách a dále přepisovatelná data, jako např. zůstatky na kontě a provedené transakce, na třetí stopě.“34 Air Travel Card byla první kartou s magnetickým proužkem. Metodou zvanou Hot Stamping byl proužek umístěn na zadní stranu karty a v případě Air Travel Card znamenalo toto technické zlepšení rychlejší placení letenek na letišti. Do dubna 1973 bylo zabezpečeno magnetickým proužkem 85% bankovních karet, jelikož tato nová technologie byla považována za levnou a spolehlivou.35 Magnetický proužek ve značné míře zamezil podvodným transakcím a zvýšil bezpečnost platebních karet. Magnetický proužek je mezinárodní normou ISO rozdělován na tři stopy: „Stopa I: •

slouží pro vnitrostátní a mezinárodní off-line i on-line transakce,

•

rozsah 79 alfanumerických znaků – umožňuje pouze čtení dat,

•

obsahuje jméno držitele karty a stejné údaje jako stopa II.

Stopa II: •

slouží pro vnitrostátní i mezinárodní on-line transakce,

•

rozsah 40 numerických znaků – umožňuje pouze čtení dat,

33

PCI Security Standards Council. Výkladový slovník [online]. 2010 [cit. 2011-05-02]. PCI Standard . Dostupné z WWW: . 34 Historie platebních karet [online]. 27. 10. 2010 [cit. 2011-05-02]. Wikipedie, Otevřená encyklopedie. Dostupné z WWW: . 35 JUŘÍK, Pavel. Platební karty - Velká encyklopedie 1870-2006. 1. vyd. Praha : Grada Publishing, a.s., 2006. 296 s. ISBN 80-247-1381-0.

26

•

obsahuje číslo karty (PAN), termín platnosti, servisní kódy, bezpečnostní údaje.

Stopa III: •

slouží pouze pro vnitrostátní off-line provoz,

•

rozsah 107 alfanumerických znaků – umožňuje čtení i zápis dat,

•

norma ISO dává vydavateli karty určitou volnost při využití této stopy (bankovní účely).“36

Mezinárodní norma ISO 7811 také definuje, jaké jsou vlastnosti a pozice magnetického proužku na kartě.

4.5.9 Čip V posledních letech se čím dál častěji používá platební karta s čipem, protože na rozdíl od magnetického proužku jsou údaje o klientovi v čipu zakódovány, a proto jsou obtížněji napadnutelné. Další nevýhodou magnetického záznamu je jeho omezená kapacita (1288 bitů); čipová karta dokáže uchovat více dat. „Za otce čipových karet je považován Francouz Roland Moreno.“37 Roku 1974 vytvořil „elektronický prsten“, který měl být použit při platbách. Fungoval sice na principu, který je nám znám z dnešních čipových karet, ale bankám se nelíbil formát tohoto čipu, proto požadovaly implementovat čip do platebních karet. Postupným vývojem se zmenšovala velikost čipu a zvětšovalo se množství dat, které bylo možno na čip zapsat. Moreno začal spolupracovat s Michelem Ugonem, vedoucím vývojového centra firmy Bull. Spolu vyvinuli potřebnou technologii, která by umožnila použít mikročip na platebních kartách, a v roce 1975 vyrobili prvních sedm kusů. Samozřejmě také vytvořili výdejní automat, který by akceptoval čipové karty. Po odkoupení licence na čipové karty od Morenovy společnosti Innovatron v roce 1976 vyvinula firma Bull novou technologii TAB38, která umožnila vyrábět čipy ve velkém množství, hlavně díky zrychlení a zkvalitnění výroby a snížení nákladů. Michel Ugon vyvíjel stále dokonalejší čipové technologie. Například v roce

36

JUŘÍK, Pavel. Svět platebních karet. 1. vyd. Praha : RADIX, spol. s.r.o., 1995. 15 s. ISBN 80901853-1-2. 37 Historie platebních karet [online]. 27. 10. 2010 [cit. 2011-05-02]. Wikipedie, Otevřená encyklopedie. Dostupné z WWW: . 38 Tape Automatic Bonding

27

1978 vytvořil první samoprogramovatelný jednočipový mikroprocesor - SPOM39, který byl určený pro bankovní karty. 80. léta byla obdobím vývoje čipových karet, probíhaly také testy v USA, Japonsku, Německu, Francii a dalších zemích. Hlavním průkopníkem v používání této nové technologie byla Francie, kde byl vývoj podpořen i finanční pomocí od francouzské vlády. Testy na čipové karty byly úspěšné, a proto v roce 1992 přešly francouzské banky na technologii hybridních karet. V dnešní době je platební karta s čipem téměř samozřejmostí, protože od ledna 2005 musí být všechny platební karty podle standardu EMV vybaveny čipem. Dále se všechny platební karty řídí normou 7816, která definuje účel a umístění kontaktů čipových karet.

4.5.10 PIN PIN je čtyřmístné (popřípadě šestimístné) bezpečnostní číslo, používané při výběrech z bankomatů a při platebních transakcích. PIN zná pouze majitel karty a zadává ho systému k autentizaci při každém použití karty. „Již první bankomatové karty, které měly podobu plastových děrných štítků, byly zabezpečeny tak, že k ověření totožnosti majitele používaly PIN.“40 Zabezpečení těmito PIN kódy bylo však velmi primitivní. PIN byl zakódován v děrném štítku nebo magnetickém proužku karty. Pro padělatele karet byl algoritmus, kterým byl PIN na začátku 70. letech zakódovaný, pouze malou překážkou. K vytváření PIN se proto musela začít používat kryptologie, která byla doposud používána k zašifrování utajených informací. Vzniklo několik technologií k šifrování PIN kódu, které využívaly různé banky a výrobci bankomatů. Ke sjednocení došlo roku 1979 díky společnosti IBM41, která přinesla vhodné řešení – mezinárodně použitelný způsob vytváření i ověřování PIN – Data Encryption Standard (DES).42 VISA byla v roce 1980 první, kdo zavedl standard DES, následovaná MasterCard a dalšími. Dnes se však používá bezpečnější 3DES.

39

Self Programable One-chip Microcomputer JUŘÍK, Pavel. Platební karty - Velká encyklopedie 1870-2006. 1. vyd. Praha : Grada Publishing, a.s., 2006. 152 s. ISBN 80-247-1381-0. 41 International Business Machines Corporation 42 JUŘÍK, Pavel. Platební karty - Velká encyklopedie 1870-2006. 1. vyd. Praha : Grada Publishing, a.s., 2006. 296 s. ISBN 80-247-1381-0. 40

28

Chip and PIN je značka, která byla přijata bankovním odvětvím ve Velké Británii a Irsku při zavádění EMV čipových karet. V jiných částech světa byl však PIN používán ještě před zavedením EMV. Na začátku používání čipových karet ve Velké Británii nebylo zadávání PINu při platbě nebo výběru z bankomatu povinné. Banky sice zabránily výrobě padělků, ale nemohly čelit zneužívání odcizených a ztracených karet. V roce 2002 se proto rozhodly zavést PIN a vybavit všechny obchody potřebnými terminály s klávesnicemi.43 Chip and PIN byl nejprve vyzkoušen v roce 2003 v Northamptonu v Anglii a 2004 byl projekt spuštěn celonárodně. Od zavedení Chip and PIN není možné klonovat čip a tyto platební karty jsou velmi dobře zabezpečené. Toto zabezpečení však není stoprocentní a dosud se objevilo několik zpráv o objevení trhlin v komunikačním protokolu, a proto je možné oklamat platební terminál a zadat jakýkoliv PIN. PIN je generovaný na základě PAN za pomoci PGK44 a zašifrované pomocí 3DES. Banky však začínají umožňovat změnu PINu majitelem karty. Mezinárodní standard ISO 9564 umožňuje délku PINu 4-12 číslic, ale dodává: „Z důvodů vhodnosti k použití, přidělený numerický PIN by neměl svou délkou převyšovat šest číslic.“.45 V bankovnictví se však nejčastěji používá 4 číselný PIN.

3.5.11 Biometrické údaje Biometrie je metoda autentizace, založena na jedinečnosti každého člověka. Pokud se v budoucnu tato metoda rozšíří i na oblast platebních karet, bude ji možno považovat za nejefektivnější metodu autorizace při platbě kartou. Mezi biometrické metody či prvky patří fotografie, otisk prstu, grafologický rozbor podpisu, rozbor hlasu a záznam sítnice oka.

43

JUŘÍK, Pavel. Platební karty - Velká encyklopedie 1870-2006. 1. vyd. Praha : Grada Publishing, a.s., 2006. 296 s. ISBN 80-247-1381-0. 44 PIN generační klíč 45 Personal identification number [online]. 20.2. 2011 [cit. 2011-05-02]. Wikipedia, The Free Encyclopedia. Dostupné z WWW: .

29

4.6 Systémová ochrana platebních karet 4.6.1 Mezinárodní standardy Jak už bylo zmíněno, první čipová bankovní karta byla vydána ve Francii. Všechny „modré karty“ se značkou CB46 byly do roku 1992 nahrazovány novými kartami s čipem, ale také stále s magnetickým proužkem.47 Standard pro takový druh karet se nazýval „B0“ a pro karty s kombinací magnetického proužku a čipu se používá označení „hybridní“. Magnetický proužek zůstal na platební kartě z důvodů plateb v zahraničí, čip měl být použit pro tuzemské platby. Mezi léty 1987 až 2000 klesl ve Francii počet podvodů s platebními kartami téměř desetkrát. Velké množství padělaných karet a podvodů ve Velké Británii vedly v roce 1997 britské banky k vydání prvních bankovních karet vyrobených podle standardu EMV. EMV je mezinárodní standard, jehož zkratka sestává z prvních písmen Europay, MasterCard, VISA a zaručuje vzájemnou kompatibilitu platebních terminálů a bankomatů. Mezinárodní asociace stanovily termín 1.1. 2005, jako den, od kterého musí být platební karty používané v Evropě vybaveny čipem a splňovat standard EMV, jinak se přesouvá odpovědnost za zneužití karet na banky (tzv. lability shift). VISA Electron a Maestro Komerční banky byly v roce 2002 první čipové karty se standardem EMV, které byly v ČR vydány. ČSOB byla v roce 2003 v pořadí druhou českou bankou. Standard, který se zabývá zabezpečením dat v oblasti platebních karet, se nazývá PCI-DSS (Payment Card Industry Data Security Standard) a je zpracován organizací PCI Security Standard Council, která byla založena společnostmi American Express, Discover Financial Services, JCB International, MasterCard Worldwide a VISA Inc. International a její standardy jsou povinné pro společnosti zpracovávající data kreditních karet.48

46

Carte Bleue JUŘÍK, Pavel . Encyklopedie platebních karet : historie, současnost a budoucnost peněz a platebních karet . 1. vyd. Praha : Grada Publishing, a.s., 2003. 312 s. ISBN 80-247-0685-7. 48 Shoda se standardem PCI-DSS a řešení ZOOM QM Suite [online]. 2011 [cit. 2011-05-11]. ZOOM International. Dostupné z WWW: . 47

30

4.6.2 Šifrování „Z důvodu bezpečnosti byl vyvinut systém šifrování s názvem 3DES a od roku 2005 je používán i systém RSA.“49 3DES (také TDES, Triple DES) je jeden z algoritmů, který se používá k zašifrování dat na čipových kartách. „Triple DES je bloková šifra založená na šifrování Data Encryption Standard (DES), které aplikuje třikrát a tak zvyšuje její odolnost proti prolomení.“50 Rychlý vývoj v oblasti počítačové techniky v 90. letech si vyžádal zavedení asymetrických šifrovacích metod, jako je například RSA, která je při dostatečné délce klíče téměř neprolomitelná, proto je považována za bezpečnější než 3DES šifra.

4.6.3 3-D Secure Systém 3-D Secure byl vyvinut společností VISA v roce 2001 ke zlepšení bezpečnosti při internetových platbách platební kartou a k rozšíření elektronické komerce. 3-D Secure je nabízen společností VISA pod označením Verified by VISA a MasterCard jako MasterCard SecureCode. Přenos dat je zajištován prostřednictvím zabezpečeného protokolu HTTPS (HTTP protokol doplněný o SSL šifrování). Většina platebních bran využívá tento systém, protože zajišťuje bezpečnost tím, že se údaje o platební kartě nedostanou k obchodníkovi, ale komunikace při platbě probíhá přímo s bankou. Při on-line platbě si zákazník zvolí druh platební karty, kterou chce zaplatit. Poté je přesměrován na stránku, kterou zprostředkovává banka, takže údaje o platbě jdou zcela mimo obchodníka, který dostane pouze informaci o tom, zda platba proběhla úspěšně či nikoliv. Na zabezpečené stránce zadává zákazník číslo karty, datum expirace a CVC2/CVV2 kód. V České republice je provozováno několik internetových platebních bran, které podporují systém 3-D Secure. Banka mBank umožňuje platbu přes platební bránu s názvem mPeníze, dále lze platit přes platební brány PayU, GoPay a další.

49

Acquiring [online]. 31. 5. 2010 [cit. 2011-05-02]. Wikipedie, Otevřená encyklopedie. Dostupné z WWW: . 50 Triple DES [online]. 3. 1. 2011 [cit. 2011-05-02]. Wikipedie, Otevřená encyklopedie. Dostupné z WWW: .

31

4.7 Podvody s platebními kartami – Transakční členění „Široké používání platebních karet vzbudilo zájem podvodníků již v 60. letech a zejména pak od poloviny 80. let.“51 Spolu s vývojem platebních karet, především ochranných prvků a možností používání, se rozvíjejí nové způsoby a technologie podvodů.

4.7.1 Zneužití držitelem karty Majitel karty nahlásí bance zneužití platební karty, ačkoliv tyto transakce nebo výběry z bankomatu provedl sám a následně je popírá. Jedná se o takzvanou fiktivní krádež. Za zneužití platební karty jeho držitelem se považuje i jeho platební neschopnost a následné nesplácení využitých finančních prostředků. Banky se snaží těmto úvěrovým ztrátám vyhnout důsledným prověřením bonity klienta52 a tím snížit riziko nesplácení úvěru.

4.7.2 Zneužití osobou blízkou Platební kartu můžou zneužít i blízcí příbuzní, přátelé nebo spolupracovníci držitele karty. Zneužití karty je pro ně jednodušší, protože se pohybují v blízkém okolí držitele a mají jednodušší možnost, při nedostatečné obezřetnosti majitele karty, zjistit PIN.

4.7.3 Zneužití osobou cizí Ke zneužití cizí osobou dochází kvůli ztrátě nebo ukradení platební karty a pro vydavatele to znamená největší ztráty. Majitel karty by měl ztrátu/ukradení co nejdříve nahlásit své bance, čímž na ní přenáší odpovědnost za případné zneužití karty. Od listopadu 2009 platí nový zákon, který mění podmínky při ztrátě nebo odcizení karty. Banka musí proplatit klientovi část škody způsobené podvodníkem před nahlášením a následnou blokací. Majitel karty ponese odpovědnost za ztrátu do 51

JUŘÍK, Pavel. Platební karty - Velká encyklopedie 1870-2006. 1. vyd. Praha : Grada Publishing, a.s., 2006. 201 s. ISBN 80-247-1381-0. 52 Schopnost splácet poskytnutý úvěr

32

výše 150 Eur a případnou vyšší částku doplatí banka. Po nahlášení chybějící karty nese veškerou zodpovědnost banka. Neplatí to však u autorizovaných transakcí, při kterých je nutné zadávat PIN. V tomto případě ztrácí klient nárok na odškodnění, protože neprovedl dostatečné opatření proto, aby cizí osoba nezjistila PIN karty. To je označováno jako hrubá nedbalost. Neplatí to u organizovaných podvodů, například skimmingu. Další výraznou změnou je zrušení poplatku za blokaci karty. Stoplistace, která se týká embosovaných karet, a při které je nutné zcela zrušit platnost karty a zařadit na mezinárodní stoplist, aby nemohla být použita při neověřených transakcích, stála před změnou zákona až 2000 Kč (například u ČSOB, Komerční banky). Blokace, která znemožní okamžitě používání karty a provádí se u elektronických platebních karet, byla zpoplatněna nejčastěji částkou 200 Kč (například ČSOB, Česká spořitelna). Toto zrušení poplatku by mělo majitele karet donutit k včasnému nahlášení chybějící karty. Zkrácení doby převodu peněz mezi účty klientů různých bank by také mělo přispět k včasnému odhalení podvodných transakcí. Tato doba se podle zákona zkracuje o jeden den a převod peněz mezi účty nesmí trvat déle než dva dny.

4.7.4 Zneužití nedoručené karty Banky zasílají klientům platební karty Českou poštou, PIN v jiné zásilce a v jiný den. Po doručení musí klient kartu nejprve aktivovat, což snižuje riziko zneužití karty před doručením zásilky pravému majiteli. Banky však nabízejí osobní převzetí karty a PINu na svých pobočkách.

4.7.5 Platby na dálku Zneužití platební karty při platbě na dálku (Mail order/ Telephone order) je možné díky tomu, že k platbě není potřeba fyzická přítomnost karty. Číslo karty a datum expirace jsou sdělovány buď písemně, nebo ústně podle toho, jestli je platba realizována pomocí telefonu, faxu nebo emailu. Jelikož je platba na dálku neautorizovaná, tak při ztrátě/odcizení banka nahrazuje finanční ztrátu od 150 Euro.

33

4.7.6 Podvodná žádost o kartu Podvodná žádost o platební kartu může být provedena po zcizení identity, což znamená, že pachatel zneužije ztracený/ukradený občanský průkaz či jiné doklady totožnosti. V České republice nejde o rozšířený podvod, protože jednotlivé banky mají svá opatření, jak předejít vydání platební karty neoprávněnému držiteli.

4.7.7 Zneužití obchodníkem Jedním z podvodů ze strany obchodníka je poznamenání si údajů z platební karty, které pak použije k platbám na internetu, při kterých stačí zadat pouze číslo platební karty, datum platnosti a elektronický kód. Obchodník může také zkopírovat údaje z magnetického proužku karty. K tomu využívá zařízení, kterým „projede“ platební kartu, nebo speciálně upravené platební terminály. Tato nelegální činnost se nazývá skimming. Při platbě embosovanou platební kartou (pouze pokud je použit imprinter) může dojít k riziku vícenásobné transakce či upravování prodejních dokladů. Vícenásobnou transakci může provést vyhotovením bianko (nevyplněné) kopie platební karty, kde poté vyplní částku platby a zfalšovaný podpis. Obchodník, který musí vyhotovit otisky na 3 prodejní doklady, z nichž je jeden předán zákazníkovi, jeden si obchodník nechává pro své vyúčtování a poslední zasílá k zúčtování bance, může upravit finanční částku na dokladech, který si ponechává a odevzdává bance. V případě, že si zákazník uschoval prodejní doklad, má jasný důkaz o nelegální činnosti obchodníka, v opačném případě se dostává do situace důkazní nouze a s reklamací může mít značné potíže. Prevencí proti zneužití platební karty obchodníkem je neztrácet kartu z dohledu a sledovat průběh transakce.

4.8 Technické členění podvodů 4.8.1 Skimming Při tzv. skimmingu dochází ke kopírování údajů z magnetického proužku platební karty. Nejčastěji jsou k tomu používána zařízení, která jsou nainstalována přímo na bankomat. Jak už bylo zmíněno, kopii dat z magnetického proužku může provést

34

také obchodník (například při platbě v restauraci, hotelu). Název je odvozen od slova „to skim“, což ve volném překladu zmanená „sebrat smetanu“, v tomto případě dostat z platební karty to nejlepší pro padělatele. Předpokládá se, že skimming zaměřený na čipové karty se stane atraktivním cílem pro podvodníky, kteří se budou snažit překonat bezpečnostní překážky. K získání bezpečnostního kódu PIN připevní podvodníci miniaturní kamery nad klávesnici a snímají pohyby prstů. Dále můžou použít dotykové klávesnice, které jsou umístěny přímo na klávesnici bankomatu, případně PIN odpozorují. Okopírované údaje z karty jsou uložené buď přímo ve skimmovacím zařízení a následně přeneseny například do notebooku, nebo jsou okamžitě odesílána pomocí bezdrátové technologie přenosu dat. Následuje výroba padělku karty, buď nahráním dat na jakoukoliv platební kartu, která je použita při platbě v obchodě, nebo na tzv. „bílý plast“53, pro výběry z bankomatů. Držitel karty přitom často vůbec netuší, že vložil kartu do bankomatu vybaveného skimmovacím zařízením. Jedinou ochranou je dobrá znalost vzhledu bankomatu, avšak skimmovací nástavce, které používají pachatelé, jsou vyrobena přesně po vzoru těch originálních. Banky se snaží ochránit své klienty instalováním antiskimmovacích nástavců na vstupní štěrbiny, které by měly zamezit montáži kopírovacího zařízení, avšak ani tato ochrana není stoprocentní. Proti prozrazení PINu přes kamery na bankomatech se dá chránit velice jednoduše – při zadávání PINu si zakrýt ruku druhou rukou. První skimmovací zařízení bylo použito už v 90. letech, v České republice se objevilo v roce 2001. V roce 2005 a 2006 nebyla skimmovací zařízení tak těžko rozpoznatelná jako dnes a právě tomu odpovídá nízký počet provedených skimmování v České republice z důvodu jejich rychlých odhalení. V roce 2007 se tento počet výrazně zvýšil. Na této činnosti se podílely především rumunské zločinecké gangy.54 V červenci roku 2010 byly například napadeny bankomaty České spořitelny a banka musela zablokovat 200 karet. Při dalších útocích v roce 2010 na bankomaty byla data zneužita okamžitě, vyrobeny padělky, a ty pak byly použity k výběrům finančních

53

Bílá platební karta, opatřená magnetickým proužkem. Je k sehnání jako běžný spotřební materiál. HRADECKÝ, Michal. Skimming v ČR [online]. 2011 [cit. 2011-05-02]. Padělání peněz a skimming. Dostupné z WWW: . 54

35

hotovostí, především v mimoevropských zemích (např. Peru, Dominikánská republika, Keňa, Maroko, Austrálie, Kanada a USA).55

Počet skimmování

Statistický přehled počtu skimmování na území ČR za období 1.1.2005 do 31.12.2010 100 90 80 70 60 50 40 30 20 10 0

94 69 21

19

2005

2006

2007

2008

52

50

2009

2010

Roky

Graf č. 2: Statistický přehled počtu skimmování na území ČR za období 1.1.2005 do 31.12.2010 Zdroj: vlastní zpracování podle údajů 56

4.8.2 Libanonská smyčka Libanonská smyčka je primitivní předchůdce skimmingu. Tato trestná činnost však nespočívá v kopírování údajů, ale pachatel tímto způsobem zcizí platební kartu. Do bankomatu zasune a nenápadně zafixuje proužek ustřižené magnetofonové nebo podobné pásky a tím způsobí, že se platební karta nedostane do bankomatu a majitel jí nemá ani možnost vytáhnout. Pachatelé však potřebují znát také PIN, proto využívají důvěřivosti postiženého a ten na radu pachatele zadá PIN. Poté majitele karty odchází nahlásit vadu bankomatu, či je jiným způsobem odlákán od bankomatu a pachatel má možnost kartu vytáhnout. 55

Plíživé nebezpečí - Skimming [online]. Praha : 11.2.2011 [cit. 2011-05-02]. Policie České republiky. Dostupné z WWW: . 56 SKIMMING [online]. 2011 [cit. 2011-05-02]. Policie ČR. Dostupné z WWW: .

36

Ochrana ze strany majitele karty je v tomto případě jednoduchá. Dostatečná obezřetnost – nezadávat před cizím člověkem PIN a neopouštět bankomat se zaseknutou platební kartou. Tento způsob krádeže platebních karet se už v České republice nevyskytuje, protože banky zavedly dostatečnou ochranu (ochranné adaptéry).

Hradecká lišta je další ze způsobů nezákonných manipulací s bankomaty. Na rozdíl od Libanonské smyčky neukradne pachatel platební kartu, ale přímo hotovost vydanou bankomatem. Používá k tomu lištu nebo nástavec, který je z druhé strany opatřen samolepkou, a tu upevní na otvor pro výdej hotovosti. Poté čeká, až se daný člověk od bankomatu vzdálí a lištu odnese i s penězi. Tento způsob krádeže je pojmenován podle případu v Hradci Králové z roku 2008. Další možnosti odcizení platební karty se vyskytují velice zřídka. Jedná se například o upevnění falešného předního krytu bankomatu na originální kryt. Mezi nimi se platební karta zasekne. Dalším velice nepravděpodobným, finančně náročným způsobem je instalace falešného bankomatu, který je věrnou kopií pravých bankomatů. Vydává hotovost, uskutečňuje požadované aplikace, avšak zaznamenává údaje z platebních karet a PIN.

4.8.3 Zneužití karty na internetu I přesto, že jsou už několik let internetové platby zabezpečeny systémem 3-D Secure a jinými, stále hodně lidí tomuto způsobu platby nedůvěřuje. Avšak díky 3-D Secure je zneužití údajů z karty obchodníkem, či hackerem vyloučeno, protože platba probíhá pouze mezi majitelem karty a bankou a stránky, na kterých je nutno zadat informace z karty, jsou dostatečně zabezpečeny. Ztrátě dat na internetu se lze jednoduše vyhnout používáním takto zabezpečených stránek. Určité riziko je však při placení u internetových obchodníků z USA, Asie i jiných. Své stránky nemají často dostatečně zabezpečené a zkušení hackeři se můžou nabourat do databází jejich klientů57 a získat tak potřebná data. Dosvědčuje to i poslední velký případ hromadné krádeže dat ze zákaznických účtů v internetové

57

Označováno jako Database hacking

37

herní síti PlayStation Network. Společnost doporučovala klientům zablokování svých platebních karet.

4.8.4 Phishing U phishingu dochází ke zneužití emailové pošty a především důvěřivosti a neznalosti klientů bank. Phishing je jedna z variant sociálního inženýrství, které je postavené na manipulaci s lidmi. Název je odvozen z anglického slova „fishing“ neboli rybaření. Toto výstižné označení odpovídá i podstatě phishingu. Podvodníci hromadně rozešlou emaily klientům finančních institucí, jejichž seznam se jim podařilo nějakým způsobem získat, a čekají, kdo se na podvodné emaily „chytí“. Emaily i formuláře pro vyplnění údajů jsou vytvořeny tak, aby na první pohled vypadaly jako oficiální zprávy a stránky banky, nebo také některé z karetních asociací, která se na ně obrací s určitou výzvou. Podnětů, jak z klientů vylákat citlivé údaje, může být mnoho. Například v emailu stojí, že banka potřebuje ověřit správnost hesla do internetového bankovnictví, potvrdit příjem určité finanční částky na účet a takto podvodník vyláká z postiženého číslo karty, přihlašovací údaje nebo i PIN. Zjištěné údaje se nejčastěji prodávají na černých trzích na internetu. Obrana je proti tomuto nelegálnímu jednání prostá – na takové emaily nereagovat, protože banka či karetní asociace nikdy nebude požadovat potvrzování bezpečnostních údajů přes email. V roce 2006 se v České republice objevil první phishingový email, který byl rozeslán klientům Citibank. Obětmi phishingu se stávali i klienti z České spořitelny, nejčastěji v roce 2008. Stovky klientů prozradili údaje ke svým platebním kartám, mnozí včetně čísla PIN. U 10% karet došlo k reálným podvodným transakcím v zahraničí. Podvodníci mnohokrát rozesílají emaily náhodně, takže se může i stát, že email od určité banky přijde člověku, který jeho klientem vůbec není. Vhishing je forma phishingu, avšak provozovaná přes telefon.

Phishingový email Tento email z 2008 využívá toho, že klienti bank už o phishingu získali nějaké informace a snaží se působit věrohodně. Podvodný email lze odhalit podle toho, že je uveden odkaz, který má webovou adresu shodnou se stránkami banky, ale ve skutečnosti se při kliknutí otevře podvržená stránka. 38

České phishingové emaily z roku 2006 měly spoustu gramatických a stylistických chyb a byly přeloženy automatickým překladačem z angličtiny či ruštiny. V tomto případě je už email lépe zpracován. Obrázek č. 2: Příklad phishingového emailu

Zdroj: poznámka 58 Podvržená stránka má doménu .jp, tedy Japonsko, v žádném případě se tedy nejedná o oficiální stránku banky.

58

HOLČÍK, Tomáš. Česká spořitelna: phishing na druhou [online]. 11. 3. 2008 [cit. 2011-05-02]. Živě.cz. Dostupné z WWW: .

39

Obrázek č. 3: Podvržená stránka České spořitelny

Zdroj: poznámka 59

4.8.5 Pharming Pharming je obdobou phishingu, avšak jeho cílem je přesměrování z oficiálních stránek banky na falešné webové stránky. Existují dva způsoby pharmingu. Jeden způsob spočívá v napadení DNS60 serveru a jeho hierarchické struktury. Poté, co klient zadá webovou adresu, se mu nezobrazí požadovaná stránka, ale je přesměrován na stránku vytvořenou podvodníkem, která však vypadá naprosto stejně. Druhá varianta pharmingu spočívá v napadení jednotlivých počítačů virem (například trojským koněm) a ten změní soubor hosts, který obsahuje IP adresy a výsledný efekt je stejný jako v prvním případě. Vir může být naprogramován i tak, 59

POLZER, Jan. Česká spořitelna a phishing – kdy už to skončí? [online]. 12. 3. 2008 [cit. 2011-0502]. Maxiorel. Dostupné z WWW: . 60 DNS (Domain Name System) je hierarchická databáze, která udržuje seznam internetových domén a příslušných DNS adres

40

že vyčkává, až oběť provede nějakou platbu platební kartou a takto podvodník získá veškeré údaje pro zneužívání karty přes internet. Pharmingu mohou zabránit různé antivirové programy, které jej včas odhalí.

4.9 Bussiness model podvodů s platebními kartami Hodnota finanční odměny či nebezpečnosti závisí na tom, v které pozici následujícího obrázku se podvodník nachází.

Obrázek č. 4: Bussiness model podvodů

Černý trh, překupník

Hacker, skimmer, v/phisher, thief

Nákupčí, „pokladní“

„drop“ Zdroj: vlastní zpracování podle 61 Černý trh funguje stejně jako klasický trh. Nabídka se odvíjí od poptávky, ceny jsou konkurenceschopné a prodejci nabízí mnohokrát i množstevní slevy při odběru většího množství karet či dat. Podvodů s platebními kartami bude stále přibývat, protože pro podvodníky je to relativně snadná cesta k výdělku.

4.9.1 Hacker Úkolem hackera je získat údaje o platebních kartách. Hacker má dobré znalosti fungování systému a dokáže je využít ke svým účelům, například proniknutí do databází společností (případ z konce dubna 2011). Tato pozice je středně nebezpečná 61

TUREK, Rastislav. Podvody s platobnými kartami: exkurzia po svete internetovej mafie [online]. 14.2.2010 [cit. 2011-05-02]. Synopsi blog. Dostupné z WWW: .

41

a tomu i odpovídají nižší částky za získané informace o kartách; záleží také na množství dodatečných informací (aktuální zůstatek na účtu, údaje o majiteli karty). Tabulka č. 2: Cena získaných údajů přes hackera v roce 2010 Původ platební karty

Typ platební karty

Základní cena*

USA

kreditní

$1 - $25

USA

debetní

$0.3 - $15

62

kreditní

$3 - $50

UK

debetní

$3 - $25

Ostatní státy EU63

kreditní

$5 - $50

Ostatní státy EU

debetní

$3 - $50

UK

*Cena za PIN je u všech kategorií +$10 - $30 Zdroj: vlastní zpracování podle 64

4.9.2 Skimmer Skimmer infikuje bankomaty a platební terminály a jeho prací je dostat informace z magnetického proužku nebo čipu. Je to velmi nebezpečná pozice, protože skimmer, jak už bylo zmíněno, přichází do kontaktu s majitelem karty. Hodnota okopírované karty závisí také na tom, z jakého zdroje pochází (hotel, restaurace, bankomat). Tabulka č. 3: Cena získaných údajů přes skimmera v roce 2010 Původ platební karty

Typ platební karty

Cena (když je znám

Cena (když

zůstatek)

zůstatek není znám)

USA

kreditní

3 – 10% ze zůstatku

$25 - $500

USA

debetní

3 – 10% ze zůstatku

$25 - $200

UK

kreditní

3 – 15% ze zůstatku

$50 - $500

UK

debetní

3 – 15% ze zůstatku

$25 - $250

Ostatní státy EU

kreditní

3 – 15% ze zůstatku

$50 - $500

Ostatní státy EU

debetní

3 – 15% ze zůstatku

$25 - $250

Zdroj: vlastní zpracování podle

65

62

the United Kingdom Evropská unie 64 TUREK, Rastislav. Podvody s platobnými kartami: exkurzia po svete internetovej mafie [online]. 14.2.2010 [cit. 2011-05-02]. Synopsi blog. Dostupné z WWW: . 63

42

4.9.3 Phisher K získání informací využívá phisher sociálního inženýrství. Je to nízce nebezpečná pozice, protože veškerou práci provádí od počítače. Pro phishera jsou cenné jakékoliv informace, nejenom o platebních kartách. Jedná se o účty na Rapidshare, Facebooku, různá herní konta apod. Procento úspěchu získání těchto informací se odvíjí od kvality zpracování phishingového emailu nebo webové stránky. Průměrně je však úspěšných 0,001% odeslaných emailů. Pokud phisher získá všechny dodatečné informace, jedná se o tzv. Fullz (datum narození, rodné jméno matky – především použitelné v USA).

Obrázek č. 5: Procentní zastoupení zemí, ve kterých jsou umístěny phishingové stránky

Zdroj: poznámka 66

4.9.4 Černý trh Černý trh je místem, kde mají podvodníci možnost hledat kupce a prodávat získaná data. Většinou se jedná o fóra, IRC, SILC chat atd.

65

TUREK, Rastislav. Podvody s platobnými kartami: exkurzia po svete internetovej mafie [online]. 14.2.2010 [cit. 2011-05-02]. Synopsi blog. Dostupné z WWW: . 66 Phishing [online]. 1.1.2010 [cit. 2011-05-02]. Brainfoldb4u's Blog. Dostupné z WWW: .

43

4.9.5 Nákupčí, pokladník Kartu používají k nákupům zboží přes internet. Musí mít dobré znalosti bezpečnosti internetových platebních bran a eshopů. Před použitím platební karty si však nejprve musí ověřit, zda je karta použitelná, nezablokovaná. Carding je termín, který se používá pro proces ověření platnosti platební karty. Nejčastěji se tak děje na internetových stránkách, které mají tzv. real-time zpracování transakcí, například charitativní dary a příspěvky organizacím. Carding se používá při ověřování karet získaných skimmingem nebo phishingem a jedná se o malé částky.

4.9.6 Drop Úkolem tohoto člověka je přebírat objednané zboží nebo vybírat peníze z okopírovaných karet. Je to velmi nebezpečná pozice, protože přichází do reálného kontaktu s kartou, zbožím nebo penězi. Podvodníci musí z platební karty získat peníze co nejrychleji, jinak hrozí, že karta bude zablokována.

44

5 Analýza vybraných bank v ČR Jak už bylo v textu zmíněno, platební karty se začaly v České republice akceptovat a vydávat s velkým zpožděním oproti ostatním státům. První platba platební kartou Diners Club proběhla v roce 1968 (roku 1965 se začala akceptovat v pobočkách Čedoku) a až v roce 1988 byla Živnostenskou bankou vydána první karta. Zájem o platební karty v ČR každým rokem roste, což dokládají i statistická data. Oproti roku 2000 vzrostl počet karet do 2010 více než na dvojnásobek. V roce 2010 proběhlo 224 409 914 transakcí platebními kartami u obchodníků, přičemž celkový objem transakcí byl 203 591 130 tisíc Kč.67

Počet vydaných karet

Počet vydaných karet v ČR v letech 20002010 10 000 000 9 000 000 8 000 000 7 000 000 6 000 000 5 000 000 4 000 000 3 000 000 2 000 000 1 000 000 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 Roky

Graf č. 3: Počet vydaných karet v ČR v letech 2000-2010 Zdroj: vlastní zpracování podle dat 68 Největší podíl na vydaných platebních kartách má společnost VISA, především její karty VISA Electron. Následovaná je platebními kartami MasterCard. Nejmenší podíl mají karty Diners Club. Tato společnost na českém trhu nabízí prestižní charge karty.

67

Profil ČR - Statistiky [online]. 2011 [cit. 2011-05-02]. Sdružení pro bankovní karty. Dostupné z WWW: . 68 Profil ČR - Statistiky [online]. 2011 [cit. 2011-05-02]. Sdružení pro bankovní karty. Dostupné z WWW: .

45

Vydané karty v roce 2010 0%

3% 23%

43%

MC 1%

MC Electron Maestro VISA

14%

VISA Electron DC Ostatní

16%

Graf č. 4: Počet čet vydaných karet v ČR v roce 2010 podle karetních asociací Zdroj: vlastní zpracování podle 69

5.1 Československá eskoslovenská obchodní banka, a. s. Československá eskoslovenská obchodní banka, banka a.s. (dále ČSOB) je bankou univerzální a byla byl založena v roce 1964. Zřízena Zř byla jako banka státní za účelem poskytování služeb v oblasti financování zahraničního zahrani obchodu a volnoměnových nových operací, v roce 1999 byla privatizována a dnes je jejím majoritním vlastníkem belgická KBC Bank. Tato banka působí v oblasti českého retailového bankovnictví (zaměř zaměřeno na fyzické osoby) pod dvěma ěma obchodními značkami zna – ČSOB SOB a Poštovní spořitelna.70 ČSOB SOB poskytuje osobní a firemní platební karty, jak od společnosti spole VISA, tak i MasterCard. V její nabídce se vyskytují mezinárodní debetní karty MasterCard Standard, MasterCard Gold, VISA Electron, Electron, VISA Classic, VISA Gold, VISA Classic Student, VISA Electron Baby, Baby které jsou všechny až na VISA Electron Electro a VISA Electron Baby embosované. emboso S kartami je možno platit u obchodníků, obchodník na internetu,, vybírat hotovost v bankomatech, na přepážkách bank, směnáren, určitých obchodních místech (s VISA Electron Baby lze pouze vybírat z bankomatů). bankomat 69

Profil ČR - Statistiky [online]. 2011 [cit. 2011-05-02]. 02]. Sdružení pro bankovní karty. Dostupné z WWW: . 70 O společnosti ČSOB [online]. 2010 [cit. 2011-05-12]. ČSOB. Dostupné z WWW: .

46

Mezi kreditní karty ČSOB patří MasterCard Standard a MasterCard Gold, které poskytují 55 denní bezúročné období. Fyzické osoby mají u ČSOB možnost získat prestižní úvěrovou kartu Diners Club s měsíčním bezúročným obdobím, která majitelům poskytuje speciální služby a především výhody oproti ostatním platebním kartám (komplexní cestovní pojištění, vystavení náhradní karty kdekoliv na světě). Mezi firemní debetní karty patří MasterCard Standard, MasterCard Gold, VISA Electron, VISA Classic a VISA Gold. MasterCard Business a VISA Business jsou vystavovány pouze pro podnikatele a při jejich vyřizování je automaticky v bance sjednáno pojištění léčebných výloh při cestách do zahraničí (varianta Exclusive) a právní ochrana pro řidiče motorového vozidla. Firemní kreditní karta je pojmenována Kreditní karta pro podnikatele a patří zde MasterCard Business (neembosovaná) a MasterCard Gold s 45 denním bezúročným obdobím a limitem až do 500 tisíc korun. Ke všem platebním kartám ČSOB si může držitel karty sjednat pojištění. Jedno z pojištění se týká ztráty a krádeže platební karty. Zahrnuje také pojištění krádeže hotovosti do dvou hodin od vybrání, ztráty osobních dokladů či klíčů, které byly odcizeny nebo ztraceny společně s platební kartou, a také ochrání peníze 120 hodin před nahlášením ztráty nebo odcizení. U ČSOB se však pojištění nevztahuje na transakce s použitím PINu (autorizované transakce).71 Tabulka č. 4: Varianty a ceny pojištění platebních karet ČSOB Varianta

Limit pojistného

Roční limit

plnění při odcizení

pojistného plnění

hotovosti

Roční pojistné (jednorázové)

Basic

do 15 000 Kč

2 000 Kč

150 Kč

Classic

do 50 000 Kč

5 000 Kč

460 Kč

Super

do 85 000 Kč

10 000 Kč

800 Kč

Premium

do 150 000 Kč

15 000 Kč

1 080 Kč

Extra

do 200 000 Kč

20 000 Kč

1 300 Kč

Zdroj: poznámka 72

71

Pojištění ztráty - krádeže platební karty [online]. 2010 [cit. 2011-05-25]. ČSOB. Dostupné z WWW: . 72 Varianty pojištění [online]. 2010 [cit. 2011-05-12]. ČSOB. Dostupné z WWW: .

47

Dále lze k platebním kartám sjednat pojištění pro cesty do zahraničí (i rodinné varianty), které platí po celou dobu platnosti karty a nemusí se před cestou do zahraničí aktivovat. Sjednáním pojištění právní ochrany pro řidiče motorových vozidel získá majitel karty možnost pomoci při neočekávaných právních a vyjednávacích komplikacích souvisejících s řízením motorového vozidla.73

5.2 Komerční banka, a.s. Komerční banka (dále KB) je akciovou společností vlastněnou evropskou finanční skupinou Société Générale. KB byla založena roku 1990 jako státní instituce a v roce 2002 přeměněna na akciovou společnost. Ke konci března roku 2011 měla Komerční banka 1 583 000 klientů.74 Komerční banka rozděluje klienty do pěti skupin: občané, mládež a studenti, firmy s obratem pod 60 milionů a firmy s obratem nad 60 milionů. Pro občany nabízí Komerční banka debetní karty: embosovanou kartu VISA nebo MasterCard, které lze použít k platbám v obchodech i na internetu, k výběrům hotovosti v bankomatech, na přepážkách bank i v určitých obchodních místech. K Dětskému kontu je vystavována Prima karta (VISA Electron, Maestro), která je elektronická a slouží k výběrům v bankomatech a platbám za služby mobilních operátorů. Další debetní kartou je UNIkarta, která propojuje identifikační kartu ISIC s platební kartou Maestro, avšak vydává se pouze studentům a zaměstnancům určitých vysokých škol v ČR. Zlatá karta VISA/MasterCard je prestižní debetní kartou pro náročné zákazníky. Mezi kreditní karty pro občany patří Modrá kreditní karta VISA, která je embosovaná a je vydávána klientům Modré pyramidy stavební spořitelny. VISA Electron je kartou elektronickou s 45 denním bezúročným obdobím a až 60 tisícovým úvěrovým limitem. A karta a Lady karta (obě MasterCard a embosované) jsou kreditní karty s nadstandardními službami a výhodami. Tyto karty poskytují 73

Pojištění právní ochrany pro řidiče motorových vozidel - D.A.S. [online]. 2010 [cit. 2011-05-12]. ČSOB. Dostupné z WWW: . 74 Skupina Komerční banky vykázala za první čtvrtletí roku 2011 čistý zisk 3 376 milionů Kč [online]. 5. 5. 2011 [cit. 2011-05-15]. Komerční banka. Dostupné z WWW: .

48

například doplňková pojištění (pojištění zakoupeného zboží, storna vstupenek a jiné) a slevy v partnerských sítích obchodů. Prestižní Platinum MasterCard je také kreditní karta, ke které jsou nabízeny doplňkové služby a jiné výhody.75 Firmám s obratem pod 60 milionů korun i nad 60 milionů korun jsou nabízeny debetní karty Karta Dynamic (VISA Electron), Profi karta, Stříbrná firemní karta a Zlatá firemní karta (embosované, VISA nebo MasterCard). Firemní karta Prestige je pouze pro firmy s obratem nad 60 milionů a pro veřejnou správu. Je to karta embosovaná, od společností VISA nebo MasterCard a nabízí komplexní pojistnou ochranu. Kreditní karta MasterCard je také pro firmy s obratem pod i nad 60 milionů korun, stejně jako charge karta Diners Club Road Account, která slouží k platbám elektronického mýtného a je velmi výhodná pro firmy s pravidelnými přejezdy ČR, Rakouska a Slovenska.76 Diners Club Corporate Card je embosovaná karta, určena podnikům, podnikatelům a municipalitám splňující podmínky pro obdržení úvěru a je užitečná pro řízení a kontrolu firemních výdajů.77 Komerční banka nabízí několik druhů pojištění – autopojištění, cestovní pojištění, dětské životní pojištění Brouček, pojištění Merlin, Merlin Profi, Patron (úrazové pojištění), Patron Profi, pojištění majetku, pojištění schopnosti splácet k hypotečnímu úvěru KB a několik spořících životních pojištění. K platebním kartám se vydává pojištění Merlin, Merlin Profi, Patron, Patron Profi a různá cestovní pojištění. Pojištění Merlin lze sjednat ke všem osobním účtům KB a kromě ochrany platební karty zahrnuje pojistnou ochranu osobních dokladů, klíčů, vztahuje se také na krádež a následné zneužití mobilního telefonu, krádež či poškození zboží, které bylo zaplaceno kartou KB a krádež hotovosti vybrané kartou KB. Pokud si klient banky sjedná toto pojištění, je ochráněn proti neoprávněným karetním transakcím, které byly provedeny před stoplistací a je mu zaručena nulová spoluúčast na škodě.78

75

Platební karty [online]. 2010 [cit. 2011-05-25]. Komerční banka. Dostupné z WWW: . 76 Diners Club Road Account [online]. 2010 [cit. 2011-05-25]. Komerční banka. Dostupné z WWW: . 77 Diners Club Corporate Card [online]. 2010 [cit. 2011-05-25]. Komerční banka. Dostupné z WWW: . 78 Merlin [online]. 2010 [cit. 2011-05-15]. Komerční banka. Dostupné z WWW: .

49

Tabulka č. 5: Limity pojistného plnění – pojištění Merlin Druh pojistného plnění Zneužití karty třetí osobou - platby kartou

Limit pojistného plnění 30 000 Kč

- za výběry kartou KB nebo z bankomatů KB

10 000 Kč

- výběry kartami jiných bank z bankomatů jiných bank

5 000 Kč

Krádež hotovosti v době do 48 hodin od výběru nebo výběr pod hrozbou fyzického násilí

5 000 Kč

Ztráta nebo krádež klíčů spolu s kartou

5 000 Kč

Ztráta nebo krádež dokladů spolu s kartou

1 000 Kč

Náklady na pořízení nového mobilního telefonu

3 000 Kč

Náklady na volání a zasílání SMS/MMS v době do 48 hod. od odcizení mobilního telefonu Náklady na náhradu nebo opravu zboží zakoupeného kartou KB

5 000 Kč

20 000 Kč

Roční pojistné – pro prvního pojištěného

276 Kč

– pro druhého pojištěného ke stejnému účtu KB

192 Kč

Zdroj: poznámka 79 Firmám nabízí Komerční banka pojištění Profi Merlin. Profi Merlin na rozdíl od pojištění Merlin pojišťuje i tržbu nesenou na pobočku KB pověřenou osobou a v případě krádeže poskytne odškodnění.

5.3 Česká spořitelna, a.s. V roce 1825 zahájil činnost předchůdce České spořitelny a.s. (dále Česká spořitelna), Spořitelna česká – první spořitelna na českém území. V roce 1992 vznikla akciová společnost Česká spořitelna a ta je od roku 2000 členem Erste Bank Group, která je nyní jejím většinovým akcionářem. Česká spořitelna je s 5 265 097 klienty největší českou bankou. Několikrát byla zvolena jako Banka roku.

79

Pojištění pro případ zneužití karet – Merlin – Popis [online]. 2011 [cit. 2011-05-15]. KB Pojišťovna. Dostupné z WWW: .

50

Tato banka nabízí debetní, kreditní, charge i služební předplacené karty od společností VISA i MasterCard. K osobním účtům lze získat karty debetní – VISA Electron (pouze k účtu Junior), VISA Classic Partner, VISA Gold a VISA Gold Partner, které jsou všechny až na VISA Electron embosované. Tyto karty (mimo VISA Electron) poskytují klasické služby – výběr z bankomatů, přepážek bank, obchodních míst (cash back), bezhotovostní platby a platby na internetu. Ke kartě VISA Gold je navíc automaticky sjednáno pojištění s programem P60 a cestovní pojištění. Chytrá karta České spořitelny od MasterCard (vydávaná i ke studentským účtům) patří mezi karty kreditní a mezi její přednosti patří možnost nastavení služeb podle vlastního výběru (splátkové prázdniny, nastavení výše měsíčních splátek) a automatické pojištění nákupu před krádeží a poškozením. Bezúročné období je 40-55 dnů podle počtu volitelných služeb.80 Podnikatelům, malým firmám a velkým firmám jsou nabízeny debetní karty – VISA Business, VISA Business Plus a VISA Business Gold, které jsou embosované. Pro velké firmy a finanční instituce jsou určeny charge karty – VISA Business Charge, VISA Gold Charge, s přívlastkem „pro komerční klientelu“. Pro menší podniky je určena kreditní karta Kredit+ MasterCard Business, která je elektronická s bezúročným obdobím až 50 dnů. Dále všem firmám a institucím nabízí Česká spořitelna Maestro služební předplacené karty, které nemají vazbu na běžný účet, a zaměstnavatel získává jednoduchou kontrolu nad výdaji zaměstnanců. K platebním kartám lze sjednat doplňkové služby. Jedná se o cestovní pojištění a pojištění karty a osobních věcí. Cestovní pojištění k Osobnímu účtu zahrnuje pojištění léčebných výloh, úrazové pojištění, pojištění odpovědnosti za škodu způsobenou jiné osobě, pojištění zavazadel, pojištění zpoždění letu a zpoždění zavazadel, avšak netýká se pojistných událostí vzniklých na území České republiky.81 K ostatním kartám nabízí Česká spořitelna tři varianty cestovního pojištění – Comfort, Exclusive a Gold. Pojištění karty a osobních věcí je sjednáno na přání klienta ke všem mezinárodním platebním kartám, držitelé „zlatých“ karet jsou pojištěni automaticky (kromě VISA Gold Partner). Stejně jako u ostatních bank pojištění zahrnuje 80

Chytrá karta ČS [online]. 2011 [cit. 2011-05-25]. Česká spořitelna. Dostupné z WWW: . 81 Cestovní pojištění k Osobnímu účtu ČS [online]. 2010 [cit. 2011-05-15]. Česká spořitelna. Dostupné z WWW: .

51

neoprávněné transakce s ukradenou nebo ztracenou kartou, avšak vztahuje se i na autorizované transakce, kde je nutné zadat PIN, dále je pojištěna hotovost vybraná kartou a osobní věci (peněženka, klíče atd.), avšak pouze ty, které byly ztraceny spolu s platební kartou.82

Tabulka č. 6: Varianty a ceny pojištění karet České spořitelny Varianta

Neoprávněné

Odcizení

Sdružený limit

Roční

karetní transakce

hotovosti v Kč

pro osobní věci

pojistné

v Kč P10

10 000 Kč

10 000 Kč

20 000 Kč

170 Kč

P30

30 000 Kč

10 000 Kč

25 000 Kč

320 Kč

P60

60 000 Kč

10 000 Kč

30 000 Kč

480 Kč

P90

90 000 Kč

15 000 Kč

35 000 Kč

780 Kč

Zdroj: poznámka 83

82

Pojištění karty a osobních věcí [online]. 2010 [cit. 2011-05-15]. Česká spořitelna. Dostupné z WWW: . 83 Pojištění karty a osobních věcí [online]. 2010 [cit. 2011-05-15]. Česká spořitelna. Dostupné z WWW: .

52

6 Návrh a zdůvodnění řešené problematiky 6.1 Průběh karetní transakce Průběh karetní transakce lze rozdělit do tří základních fází. Tou první je autorizace, druhou fází je zpracování transakce v clearingovém centru a poslední je zaúčtovaní transakce na účty obou zúčastněných stran (zákazník, obchodník). Předpokladem k rychlému průběhu transakce je spolehlivá telekomunikační síť, která spojuje jednotlivé zařízení s autorizačními centry vydavatelských a zpracovatelských bank. Pro tuzemské transakce funguje v České republice Clearingové centrum České národní banky, kde má každá banka založen svůj účet vedený v Kč. Transakce probíhá následovně: 1. držitel karty předá obchodníkovi kartu k platbě, který ověří ochranné prvky na kartě, 2. příjemce karty provede pomocí autorizačního systému ověření platnosti karty a zda má držitel karty na účtu dostatečné finanční prostředky, 3. zúčtovací banka obchodníka přijímá informace o prováděné transakci, 4. pokud není banka obchodníka shodná s bankou držitele karty, je transakce předána k úhradě clearingovému a zúčtovacímu centru, 5. nostro účet banky vydavatele karty je zatížen danou částkou, 6. účet držitele karty je zatížen částkou transakce.84

Rad jak předejít zneužití platební karty bylo v předchozím textu uvedeno několik. Především je potřeba chránit PIN – nikomu jej nesdělovat a v žádném případě si nezapisovat PIN na kartu nebo na místa, které by při ztrátě peněženky vedly k jeho prozrazení. Karetní transakce se stávají nejenom bezpečnějšími, ale i rychlejšími. V letošním roce 2011 budou v České republice představeny bezkontaktní platební karty, s kterými bude proces placení urychlen natolik, že při platbě do 500 Kč nebude nutné zadávat PIN. Díky tomu se placení kartou stane rychlejším, jednodušším a pohodlnějším způsobem, než jak je tomu u platby v hotovosti.

84

JUŘÍK, Pavel. Svět platebních a identifikačních karet. 1. vyd. Praha : Grada Publishing, spol. s.r.o., 1999. 248 s. ISBN 80-7169-759-1.

53

6.2 Průběh karetní transakce v systému 3-D Secure Jak už bylo řečeno, platba platební kartou na internetu je v systému 3-D Secure bezpečnější, protože údaje o kartě nepředává zákazník obchodníkovi, ale data jsou sdělována přes zabezpečený protokol HTTPS přímo bance.

Průběh transakce na internetu: 1. Zákazník po vybrání zboží nebo služby u obchodníka požádá o zaplacení platební kartou, 2. žádost o platbu je poslána zpracovatelské bance (např. ČS, ČSOB), 3. proběhne odsouhlasení platby mezi obchodníkem a zpracovatelskou bankou 4. zpracovatelská banka zašle dotaz do kartové společnosti (VISA, MasterCard) a ta potvrdí zařazení držitele karty do systému 3-D Secure, 5. zpracovatelská banka zasílá žádost o autentizaci do vydavatelské banky, 6. držitel karty vyplní všechny požadované bezpečnostní údaje (číslo karty, datum platnosti a elektronický kód), 7. vydavatelská banka potvrdí bezpečnostní údaje a přes prohlížeč držitele karty zasílá odpověď zpracovatelské bance, 8. pokud je autentizace úspěšná, probíhá dále platba jako běžná platební transakce, 9. obchodník je informován o výsledku transakce a ten jej následně sdělí držiteli karty.85

85

3D-Secure - Schéma [online]. 2006 [cit. 2011-05-25]. Česká spořitelna. Dostupné z WWW: .

54

Obrázek č. 6: Průběh platby kartou přes systém 3-D Secure

Zdroj: poznámka 86

Jak už bylo zmíněno, při provádění platby je požadováno číslo karty, datum expirace, CVC2 nebo CVV2.

86

3D-Secure - Schéma [online]. 2006 [cit. 2011-05-25]. Česká spořitelna. Dostupné z WWW: .

55

Obrázek č. 7: Platba přes platební bránu GP webpay

Zdroj: provádění vlastní platby Díky logům Verified by VISA, MasterCard SecureCode a 3D secure payment zákazník provádějící platbu pozná, že se nemusí obávat zneužití karty a údaje z karty sděluje pouze bance přes zašifrovaný protokol HTTPS. Ke zvýšení bezpečnosti karty lze u většiny bank aktivovat zasílání oznámení (sms nebo email) o provedených transakcích, popřípadě lze zablokovat internetové transakce a povolit je pouze před jednotlivými platbami.

56

Závěr Držení platební karty je podstatně bezpečnější, než s sebou neustále nosit peněžní hotovost. Mnoho lidí má na svých bankovních účtech uloženy veškeré životní úspory a platební karta je jediným prostředníkem mezi uloženými penězi a okolním světem, kde by bylo možné neopatrným zacházením s kartou o tyto finanční prostředky přijít. Proto neustále dochází ke zdokonalování bezpečnostních prvků karet. V současné době je nejbezpečnějším řešením čipová technologie. Biometrické prvky, které byly v textu zmíněny, by mohly být budoucností při běžné platbě platební kartou a místo zadávání PINu bychom pouze přiložili prst a platební terminál by provedl autentizaci platby. Pay by Touch je jedna ze společností, které pokračují ve vývoji řešení biometrických platebních systémů. V mé bakalářské práci je popsáno několik typů platebních karet. Zvolila jsem klasické dělení podle druhu zúčtování transakcí, zmínila jsem se o kartách, které jsou v dnešní době používané při internetových platbách a o bezkontaktních platebních kartách, které se v České republice začnou rozšiřovat od letošního roku 2011, avšak možností dělení platebních karet je daleko více. Například podle druhu záznamu na kartě se v textu vyskytly embosované, magnetické a čipové karty, ale existují také karty laserové, které se však v bankovnictví dosud nerozšířily a s jejich zavedením se ani nepočítá. Nebo je také možné karty dělit podle rozsahu použití. V kapitole o zneužití platebních karet jsem se snažila zahrnout všechny způsoby, jakými by karty mohly být zneužity podvodníky, a tyto způsoby co nejpřesněji popsat. Tak by měl čtenář získat přehled o možných nedostatcích v bezpečnosti karet. Pokud je však platební karta zneužita, je výhodné mít sjednané pojištění platebních karet, díky kterému klient banky získá peníze zpět, u České spořitelny i v případě autorizovaných transakcí. V kapitole Analýza vybraných bank v ČR jsem se zaměřila především na pojištění platebních karet k běžným účtům. V dnešní době už by pro nikoho neměl být problém získat platební kartu. To dosvědčují i bankovní účty s kartami, vydávané především dětem (Dětské konto od KB, VISA Electron Baby od ČSOB nebo Junior od České spořitelny), nebo také nízké popřípadě žádné poplatky za vydání a vedení platební karty k účtu. A protože jsou platební karty čím dál více používané, tím větší požadavky se kladou na jejich bezpečnost.

57

Seznam použité literatury a pramenů Knižní díla: [1]

JUŘÍK, Pavel . Encyklopedie platebních karet : historie, současnost a budoucnost peněz a platebních karet . 1. vyd. Praha : Grada Publishing, a.s., 2003. 312 s. ISBN 80-247-0685-7.

[2]

JUŘÍK, Pavel. Platební karty - Velká encyklopedie 1870-2006. 1. vyd. Praha : Grada Publishing, a.s., 2006. 296 s. ISBN 80-247-1381-0.

[3]

JUŘÍK, Pavel. Svět platebních a identifikačních karet. 1. vyd. Praha : Grada Publishing, spol. s.r.o., 1999. 248 s. ISBN 80-7169-759-1.

[4]

JUŘÍK, Pavel. Svět platebních karet. 1. vyd. Praha : RADIX, spol. s.r.o., 1995. 144 s. ISBN 80-901853-1-2.

[5]

MARVANOVÁ, Marie, SCHLOOSSBERGER, Otakar a kol.. Platební styk. 2. dopl. vyd..Praha : Bankovní institut, a.s., 1998. 376 s.

Internetové zdroje: [6]

3D-Secure - Schéma [online]. 2006 [cit. 2011-05-25]. Česká spořitelna. Dostupné

z

WWW:

. [7]

Acquiring [online]. 31. 5. 2010 [cit. 2011-05-02]. Wikipedie, Otevřená encyklopedie.

Dostupné

z

WWW:

. [8]

Bank card number [online]. 2.5.2011 [cit. 2011-05-02]. Wikipedia, The Free

Encyclopedia.

Dostupné

z

WWW:

. [9]

Bezkontaktní platební karty PayPass™ a payWave™ [online]. 2010 [cit. 2011-05-02].

Měšec.cz.

Dostupné

z

WWW:

. [10] Cestovní pojištění k Osobnímu účtu ČS [online]. 2010 [cit. 2011-05-15]. Česká

spořitelna.

Dostupné

z

WWW:

.

58

[11] Diners Club Corporate Card [online]. 2010 [cit. 2011-05-25]. Komerční banka. Dostupné z WWW: . [12] Diners Club Road Account [online]. 2010 [cit. 2011-05-25]. Komerční banka. Dostupné z WWW: . [13] Historie platebních karet [online]. 27. 10. 2010 [cit. 2011-05-02]. Wikipedie,

encyklopedie.

Otevřená

Dostupné

z

WWW:

. [14] HOLČÍK, Tomáš. Česká spořitelna: phishing na druhou [online]. 11. 3. 2008

[cit.

2011-05-02].

Živě.cz.

Dostupné

z

WWW:

<

http://www.zive.cz/bleskovky/ceska-sporitelna-phishing-na-druhou/sc-4-a140704/default.aspx>. [15] HRADECKÝ, Michal. Skimming v ČR [online]. 2011 [cit. 2011-05-02]. Padělání peněz a skimming. Dostupné z WWW: . [16] Chytrá karta ČS [online]. 2011 [cit. 2011-05-25]. Česká spořitelna. Dostupné z WWW: . [17] Luhnův algoritmus [online]. 2011 [cit. 2011-05-25]. Wikipedie, Otevřená encyklopedie.

Dostupné

z

WWW:

. [18] Merlin [online]. 2010 [cit. 2011-05-15]. Komerční banka. Dostupné z WWW:


bezpeci/merlin.shtml>. [19] O společnosti ČSOB [online]. 2010 [cit. 2011-05-12]. ČSOB. Dostupné z WWW:


CSOB/Stranky/default.aspx>. [20] PCI Security Standards Council. Výkladový slovník [online]. 2010 [cit. 2011-05-02].

PCI

Standard

.

Dostupné

z

WWW:

. 59

[21] Personal identification number [online]. 20.2. 2011 [cit. 2011-05-02]. Wikipedia,

The

Free

Encyclopedia.

Dostupné

z

WWW:

. [22] Phishing [online]. 1.1.2010 [cit. 2011-05-02]. Brainfoldb4u's Blog. Dostupné

z

WWW:

<

https://brainfoldb4u.wordpress.com/2010/01/01/phishing/>. [23] Platební karty [online]. 2009 [cit. 2011-05-02]. Fio družstevní záložna a její

internetové

bankovnictví.

Dostupné

z

WWW:

. [24] Platební karty [online]. 2010 [cit. 2011-05-25]. Komerční banka. Dostupné z

WWW:


karty/index.shtml>. [25] Plíživé nebezpečí - Skimming [online]. Praha : 11.2.2011 [cit. 2011-05-02]. Policie České republiky. Dostupné z WWW: . [26] Pojištění karty a osobních věcí [online]. 2010 [cit. 2011-05-15]. Česká spořitelna.

Dostupné

z

WWW:

. [27] Pojištění právní ochrany pro řidiče motorových vozidel - D.A.S. [online]. 2010

[cit.

ČSOB.

2011-05-12].

Dostupné

z

WWW:

. [28] Pojištění pro případ zneužití karet – Merlin – Popis [online]. 2011 [cit. 2011-05-15]. KB Pojišťovna. Dostupné z WWW: . [29] Pojištění ztráty - krádeže platební karty [online]. 2010 [cit. 2011-05-25]. ČSOB.

Dostupné

z

WWW:


karty/Stranky/Pojisteni-ztraty-platebni-karty.aspx>. 60

[30] POLZER, Jan. Česká spořitelna a phishing – kdy už to skončí? [online]. 12. 3. 2008 [cit. 2011-05-02]. Maxiorel. Dostupné z WWW: < http://www.maxiorel.cz/ceska-sporitelna-phishing-kdy-uz-skonci >. [31] Profil ČR, Statistiky [online]. 2011 [cit. 2011-05-02]. Sdružení pro bankovní

karty.

Dostupné

z

WWW:

. [32] Shoda se standardem PCI-DSS a řešení ZOOM QM Suite [online]. 2011 [cit.

2011-05-11].

ZOOM

International.

Dostupné

z

WWW:

. [33] SKIMMING [online]. 2011 [cit. 2011-05-02]. Policie ČR. Dostupné z WWW: . [34] Skupina Komerční banky vykázala za první čtvrtletí roku 2011 čistý zisk 3 376 milionů Kč [online]. 5. 5. 2011 [cit. 2011-05-15]. Komerční banka. Dostupné

z

WWW:


centrum/informace-z-trhu/obcane/skupina-komercni-banky-vykazala-zaprvni-ctvrtleti-roku-2011-cisty-zisk-3-376-milionu-kc-1238.shtml>. [35] Triple DES [online]. 3. 1. 2011 [cit. 2011-05-02]. Wikipedie, Otevřená encyklopedie.

Dostupné

z

WWW:

. [36] TUREK, Rastislav. Podvody s platobnými kartami: exkurzia po svete internetovej mafie [online]. 14.2.2010 [cit. 2011-05-02]. Synopsi blog. Dostupné

z

WWW:


platobnymi-kartami-exkurzia-po-svete-internetovej-mafie>. [37] Varianty pojištění [online]. 2010 [cit. 2011-05-12]. ČSOB. Dostupné z WWW:


ztraty-kradeze-platebni-karty/Stranky/Varianty-pojisteni.aspx>.

61

Přílohy Příloha č. 1 Kontrolní Luhnův algoritmus „Vstupem algoritmu je ověřované číslo platební karty, k němuž je na pravý konec přidána kontrolní číslice. Ověření probíhá ve třech krocích: 1. Pro každou druhou číslici (bráno zprava, tedy se netýká kontrolní číslice) spočítáme její dvojnásobek. 2. Ciferné součty získaných dvojnásobků sečteme se zbývajícími číslicemi. 3. Pokud nám vyšel výsledek končící nulou (tedy číslo, jehož zbytek po dělení 10 je nula), původní číslo prošlo testem, jinak jím neprošlo.“87

Obrázek č. 8: Příklad výpočtu Luhnova algoritmu

Zdroj: poznámka 88

1. 7x2=14; 1x2=2; 8x2=16; 8x2=16; 4x2=8; 6x2=12; 5x2=10 2. 8+(1+4)+2+6+(1+6)+(1+6)+7+8+4+(1+2)+2+1=60 3. Číslo 60 je dělitelné 10, číslo platební karty je tedy platné.

Příloha č. 2 Major Industry Identifier (Identifikátor hlavního odvětví) 87

Luhnův algoritmus [online]. 2011 [cit. 2011-05-25]. Wikipedie, Otevřená encyklopedie. Dostupné z WWW: . 88 Platební karty [online]. 2009 [cit. 2011-05-02]. Fio družstevní záložna a její internetové bankovnictví. Dostupné z WWW: .

62

•

0 – pro budoucí přidělení hospodářským sektorům

•

1 – letecké společnosti

•

2 – letecké společnosti a budoucí přidělení

•

3 – Travel and Entertainment Cards (American Express, Diners Club, Carte Blanche)

•

4 – bankovnictví a finanční odvětví (VISA)

•

5 – bankovnictví a finanční odvětví (MasterCard)

•

6 – obchod a bankovnictví (Maestro, Discover Card)

•

7 – petrochemie

•

8 – zdravotnictví, telekomunikace a budoucí přidělení

•

9 – vyhrazeno pro přidělení národními normalizačními orgány89

Příloha č. 3 Informační zdroje [1]

DVOŘÁK, Petr. Komerční bankovnictví pro bankéře a klienty. 2. vydání, Praha : Linde Praha, a.s., 2001. 471 s. ISBN 80-7201-310-6.

[2]

PŘÁDKA, Michal; KALA, Jan. Elektronické bankovnictví : rady a tipy. 1. vyd. Praha : Computer Press, a.s., 2000. 166 s. ISBN 80-722-6328-5.

[3]

Čo znamenajú čísla na platobnej karte? [online]. 04.01.2009 [cit. 2011-0505].

Internetový

portál

FMG.sk.

Dostupné

z

WWW:

. [4]

CHVÁTAL, Dalibor. Novinky v platebních kartách v roce 2011 (fotoreportáž) [online]. 29. 12. 2010 [cit. 2011-05-05]. Měšec.cz. Dostupné z WWW: .

[5]

CHVÁTAL, Dalibor. Rizika platebních karet [online]. 26. 6. 2008 [cit. 2011-05-05].

Měšec.cz.

Dostupné

z

WWW:

. [6]

SADOVSKÝ, Dalibor; SUCHÁNEK, Jaroslav . Platební karty a možnosti jejich zneužití [online]. 2004 [cit. 2011-05-05]. Časopisy - internetové

89

Bank card number [online]. 4.5.2011 [cit. 2011-05-04]. Wikipedia, The Free Encyclopedia. Dostupné z WWW: .

63

stránky resortních a partnerských tiskovin včetně nakladatelství Themis. Dostupné

z

WWW:

. [7]

Sdružení českých spotřebitelů. Podvody v e-bankovnictví [online]. 2009 [cit.

2011-05-05].

Prevencepodvodu.cz.

Dostupné

z

WWW:

. [8]

VICHEREK, Roman. Padělání a pozměňování platebních karet z trestněprávního

hlediska

www.juristic.cz.

[online]. Dostupné

14.9.2004

[cit. z

2011-05-05]. WWW:

. [9]

ZATLOUKAL, Jiří. Bezpečnostní rizika pro vaše platební karty I [online]. 11.10.2007 [cit. 2011-05-05]. FinExpert.cz: osobní finance. Dostupné z WWW:


karty-i>.

64

Seznam použitých obrázků, tabulek a grafů

Obrázek č. 1: Popis čísla karty ................................................................................... 21 Obrázek č. 2: Příklad phishingového emailu ............................................................. 39 Obrázek č. 3: Podvržená stránka České spořitelny .................................................... 40 Obrázek č. 4: Bussiness model podvodů.................................................................... 41 Obrázek č. 5: Procentní zastoupení zemí, ve kterých jsou umístěny phishingové stránky ........................................................................................................................ 43 Obrázek č. 6: Průběh platby kartou přes systém 3-D Secure ..................................... 55 Obrázek č. 7: Platba přes platební bránu GP webpay ................................................ 56 Obrázek č. 8: Příklad výpočtu Luhnova algoritmu .................................................... 62

Tabulka č. 1: Příklad identifikačních čísel vydavatele karet...................................... 21 Tabulka č. 2: Cena získaných údajů přes hackera v roce 2010 .................................. 42 Tabulka č. 3: Cena získaných údajů přes skimmera v roce 2010 .............................. 42 Tabulka č. 4: Varianty a ceny pojištění platebních karet ČSOB................................ 47 Tabulka č. 5: Limity pojistného plnění – pojištění Merlin ........................................ 50 Tabulka č. 6: Varianty a ceny pojištění karet České spořitelny ................................. 52

Graf č. 1: Počet vydaných karet v ČR v roce 2010 .................................................... 18 Graf č. 2: Statistický přehled počtu skimmování na území ČR za období 1.1.2005 do 31.12.2010 .................................................................................................................. 36 Graf č. 3: Počet vydaných karet v ČR v letech 2000-2010 ........................................ 45 Graf č. 4: Počet vydaných karet v ČR v roce 2010 podle karetních asociací ............ 46

Seznam příloh Příloha č. 1 Kontrolní Luhnův algoritmus ................................................................ 62 Příloha č. 2 Major Industry Identifier (Identifikátor hlavního odvětví) ..................... 62 Příloha č. 3 Informační zdroje.................................................................................... 63 65

Rejstřík bezkontaktní ...................................................... 19

3

čipová ............................. 20, 23, 26, 27, 28, 29, 34 debetní ................................. 15, 18, 41, 45, 46, 49

3-D Secure ....................................................18, 30, 36

embosovaná ............................... 22, 32, 33, 45, 49 charge ......................... 7, 12, 13, 15, 16, 18, 44, 49

C

kreditní ........... 7, 13, 14, 15, 17, 18, 30, 41, 46, 49 cash back......................................................15, 16, 50

Komerční banka ............................... 19, 29, 32, 47, 49

Č

M

Česká spořitelna ............. 17, 19, 32, 34, 37, 39, 49, 50

Maestro ..................................... 16, 22, 29, 47, 50, 61

čip 19, 23, 26, 27, 28, 29, 41

magnetický proužek 14, 19, 20, 22, 23, 24, 25, 26, 27, 33, 41

ČSOB ................................................ 19, 29, 32, 45, 46

MasterCard ..14, 15, 19, 21, 22, 23, 24, 25, 29, 30, 44, 45, 46, 47, 49, 61

D Diners Club ....12, 13, 16, 17, 21, 22, 23, 44, 46, 48, 61

P

E

PayPass ................................................................... 19 payWave ................................................................. 19

EMV ....................................................... 20, 27, 28, 29

pharming................................................................. 39 phishing .......................................................37, 39, 42

H

PIN .......... 14, 19, 20, 27, 28, 31, 32, 34, 35, 37, 41, 50

hologram........................................................... 20, 22

S

I

skimming ................................................ 32, 33, 35, 43

imprinter ................................................ 11, 13, 21, 33

V

K

VISA .. 14, 15, 19, 21, 22, 23, 24, 25, 28, 29, 44, 45, 48, 50, 61

karta

Electron ........ 16, 22, 23, 29, 44, 45, 46, 47, 48, 49

66

Seznam zkratek CAV – Card Attestation Value CB – Carte Bleue CID – Card Identification CSC – Card Security Code CVC – Card Validation Code CVK – Card Verification Key CVV – Card Validation Value ČR – Česká republika ČSOB - Československá obchodní banka, a.s. DC – Diners Club DES – Data Encryption Standard DNS – Domain Name System EMV – Europay/MasterCard/VISA EU – Evropská unie HTTPS - Hypertext Transfer Protocol Secure IBM – International Business Machines Corporation ICA – Interbank Card Association IP – Internet Protocol ISO - International Organization for Standardization JCB – Japan Credit Bureau KB – Komerční banka MC – MasterCard 67

PAN – Primary Account Number PCI-DSS - Payment Card Industry Data Security Standard PGK – PIN generační klíč PIN – Personal Identification Number PVC – Polyvinylchlorid SPOM – Self Programable One-chip Microcomputer TAB – Tape Automatic Bonding UK – the United Kingdom USA – United States of America UV – Ultra Violet VISA - Visa International Service Association

68