MASARYKOVA UNIVERZITA Ekonomicko-správní fakulta Studijní obor: Podniková ekonomika a management
Modelování bezpečnostních rizik elektronického obchodu a elektronického bankovnictví Modeling of security risks of e-shop and e-banking Disertační práce
Školitel: prof. Ing. Jiří Dvořák, DrSc.
Autor: Ing. Gabriela Oškrdalová
Brno 2012
Abstrakt Předmětem disertační práce „Modelování bezpečnostních rizik elektronického obchodu a elektronického bankovnictví“ je analýza bezpečnostních rizik elektronického obchodu a elektronického bankovnictví v České republice. První kapitola pojednává o elektronickém obchodu. Druhá kapitola je věnována elektronickému bankovnictví. Třetí kapitola se zaměřuje na identifikaci a analýzu bezpečnostních rizik elektronického obchodu a elektronického bankovnictví a s nimi souvisejících základních typů podvodů, vč. vytvoření jejich modelů. Čtvrtá kapitola obsahuje doporučení pro spotřebitele/uživatele přispívající ke snížení výše bezpečnostních rizik souvisejících s nakupováním na internetu a používáním služeb elektronického bankovnictví. Poslední kapitola je věnována znalostem, dovednostem, chování, postojům a zkušenostem spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví v České republice, se zaměřením na bezpečnostní rizika související s nakupováním na internetu a s používáním služeb elektronického bankovnictví, a jejich významu.
Abstract The subject of the submitted thesis “Modeling of security risks of e-shop and e-banking” is an analysis of security risks of e-shop and e-banking in the Czech Republic. The first chapter deals with e-shop. The second chapter is devoted to e-banking. Within the third chapter I identify and analyze security risks of e-shop and e-banking and basic fraud types connected with them, including their models. The fourth chapter contains recommendations for consumers/users to reduce security risks connected with internet shopping and e-banking services using. The last chapter is devoted to knowledge, skills, behavior, attitudes and experience of consumers/users in the field of internet shopping and e-banking services in the Czech Republic, with a focus on security risks of internet shopping and e-banking services using, and their importance.
Klíčová slova Elektronický obchod, elektronické bankovnictví, internet, bezpečnostní rizika, kybernetická kriminalita
Keywords E-shop, e-banking, internet, security risks, cyber crime
Prohlašuji, že jsem disertační práci Modelování bezpečnostních rizik elektronického obchodu a elektronického bankovnictví vypracovala samostatně pod vedením prof. Ing. Jiřího Dvořáka, DrSc. a uvedla v ní všechny použité literární zdroje a jiné odborné zdroje v souladu s právními předpisy, vnitřními předpisy Masarykovy univerzity a vnitřními akty řízení Masarykovy univerzity a Ekonomicko-správní fakulty MU. V Brně dne 20. listopadu 2012 vlastnoruční podpis autora
Na tomto místě bych ráda poděkovala prof. Ing. Jiřímu Dvořákovi, DrSc. za cenné připomínky a odborné rady, kterými přispěl k vypracování mé disertační práce. Poděkování bych touto cestou ráda vyjádřila také Mgr. Marii Králové, Ph.D. za poskytnuté konzultace a pomoc při vyhodnocování realizovaného dotazníkového šetření. Poděkování rovněž patří všem, kteří se zúčastnili dotazníkového šetření prováděného v rámci této disertační práce.
vlastnoruční podpis autora
Obsah OBSAH ......................................................................................................................................5 ÚVOD .........................................................................................................................................7 CÍL PRÁCE A POUŽITÉ METODY VĚDECKÉ PRÁCE ...............................................13 1
ELEKTRONICKÝ OBCHOD.......................................................................................24 1.1 B2C ELEKTRONICKÉ PODNIKÁNÍ A ELEKTRONICKÉ OBCHODOVÁNÍ .............................24 1.1.1 Výhody a nevýhody elektronického obchodování B2C .....................................25 1.1.2 Zákazníci internetových obchodů .......................................................................27 1.1.3 Objekty nákupů v internetových obchodech ......................................................28 1.1.4 Způsob platby za zboží a služby objednané přes internet ...................................29 1.1.5 Nakupování přes internet v České republice ......................................................30
2
ELEKTRONICKÉ BANKOVNICTVÍ.........................................................................42 2.1 PLATEBNÍ KARTY ........................................................................................................44 2.1.1 Výhody a nevýhody platebních karet pro držitele a obchodníky .......................44 2.1.2 Druhy platebních karet........................................................................................47 2.1.3 Vzhled, náležitosti a základní ochranné prvky platebních karet ........................50 2.1.4 Možnosti použití platebních karet.......................................................................51 2.2 PHONE BANKING .........................................................................................................60 2.3 GSM BANKING ............................................................................................................61 2.4 INTERNET BANKING .....................................................................................................62 2.5 HOMEBANKING ...........................................................................................................62 2.6 WAP BANKING ...........................................................................................................63 2.7 ELEKTRONICKÉ BANKOVNICTVÍ V ČESKÉ REPUBLICE .................................................63
3 BEZPEČNOSTNÍ RIZIKA ELEKTRONICKÉHO OBCHODU A ELEKTRONICKÉHO BANKOVNICTVÍ ..........................................................................68 3.1 BEZPEČNOST A DŮVĚRA VE SVĚTĚ ELEKTRONICKÉHO OBCHODU A ELEKTRONICKÉHO BANKOVNICTVÍ ......................................................................................................................68 3.2 PODVODY V OBLASTI ELEKTRONICKÉHO OBCHODU A ELEKTRONICKÉHO BANKOVNICTVÍ ......................................................................................................................75 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 3.2.10 3.2.11 3.2.12
Libanonská smyčka.............................................................................................75 Skrytá kamera .....................................................................................................80 Dotekové senzory ...............................................................................................81 Padělky platebních karet .....................................................................................83 Skimming ............................................................................................................83 Phishing ..............................................................................................................89 Pharming .............................................................................................................94 Spoofing ..............................................................................................................98 Trashing ..............................................................................................................99 Prostá krádež či ztráta platební karty a/nebo citlivých údajů a jejich zneužití .102 Phreaking, hacking, cracking ............................................................................105 Další hrozby v elektronickém světě ..................................................................107
4 DOPORUČENÍ PRO SPOTŘEBITELE/UŽIVATELE PŘISPÍVAJÍCÍ K OMEZENÍ VÝŠE BEZPEČNOSTNÍCH RIZIK SOUVISEJÍCÍCH S NAKUPOVÁNÍM NA INTERNETU A S POUŽÍVÁNÍM SLUŽEB ELEKTRONICKÉHO BANKOVNICTVÍ ................................................................................................................118
4.1 4.2
ZÁSADY BEZPEČNÉHO POUŽÍVÁNÍ INTERNETU PRO UŽIVATELE .................................120 DOPORUČENÍ PRO SPOTŘEBITELE PŘISPÍVAJÍCÍ K OMEZENÍ VÝŠE BEZPEČNOSTNÍCH RIZIK SOUVISEJÍCÍCH S NAKUPOVÁNÍM NA INTERNETU.........................................................129 4.3 DOPORUČENÍ PRO UŽIVATELE PŘISPÍVAJÍCÍ K OMEZENÍ VÝŠE BEZPEČNOSTNÍCH RIZIK SOUVISEJÍCÍCH S POUŽÍVÁNÍM SLUŽEB ELEKTRONICKÉHO BANKOVNICTVÍ ..........................139 4.3.1 Doporučení pro držitele platebních karet přispívající k omezení výše bezpečnostních rizik souvisejících s jejich používáním .................................................139 4.3.2 Doporučení pro klienty používající systémy elektronické komunikace s bankou přispívající k omezení výše bezpečnostních rizik souvisejících s jejich používáním ....152
5 ZNALOSTI, DOVEDNOSTI, CHOVÁNÍ, POSTOJE A ZKUŠENOSTI SPOTŘEBITELŮ/UŽIVATELŮ V OBLASTI NAKUPOVÁNÍ NA INTERNETU A SLUŽEB ELEKTRONICKÉHO BANKOVNICTVÍ V ČESKÉ REPUBLICE .............158 5.1
VÝSLEDKY VÝZKUMŮ BEZPEČNOSTNÍ A FINANČNÍ GRAMOTNOSTI OBČANŮ ČESKÉ REPUBLIKY ...........................................................................................................................159 5.2 ZNALOSTI, DOVEDNOSTI, CHOVÁNÍ, POSTOJE A ZKUŠENOSTI SPOTŘEBITELŮ/UŽIVATELŮ V OBLASTI NAKUPOVÁNÍ NA INTERNETU A SLUŽEB ELEKTRONICKÉHO BANKOVNICTVÍ V ČESKÉ REPUBLICE – REALIZOVANÝ VÝZKUM....................................................................161
5.2.1 Popisné statistiky vztahující se k jednotlivým otázkám dotazníku...................164 5.2.2 Vyhodnocení úrovně gramotnosti respondentů v oblasti nakupování na internetu a služeb elektronického bankovnictví (popisné statistiky vztahující se ke skupinám otázek) 197 5.2.3 Ověření formulovaných hypotéz ......................................................................210 ZÁVĚR ..................................................................................................................................251 SEZNAM POUŽITÉ LITERATURY A DALŠÍCH PRAMENŮ ....................................264 RESUMÉ V ANGLIČTINĚ .................................................................................................277 SEZNAM ZKRATEK ..........................................................................................................279 SEZNAM VYOBRAZENÍ ...................................................................................................281 SEZNAM PŘÍLOH...............................................................................................................285
Úvod Elektronický svět, svět, který je dnes nedílnou součástí života lidí ve vyspělých zemích. Svět, který nabízí nové možnosti a příležitosti fyzickým i právnickým osobám. Svět, který spoustu věcí a jejich chápání lidmi změnil. Svět, který je pro některé z nás fascinující, jiné naopak děsí. Svět, jehož rozvoj úzce souvisí s rozvojem informačních a telekomunikačních prostředků a technologií, které rozšiřují, mění možnosti lidstva. Svět téměř nekonečných možností - svět, který nám umožňuje bez opuštění našeho příbytku virtuálně navštívit přednášku na vysoké škole, vyhledat a objednat si dovolenou, udělat běžný nákup, popovídat si s přáteli, porovnat ceny elektrického spotřebiče, který zamýšlíme koupit, zadat příkaz k úhradě atd., to vše v zásadě 24 hodin denně, sedm dní v týdnu, kdekoliv na světě a mnohdy i s nižšími náklady ve srovnání s „tradičním“ způsobem. Elektronický svět je dnes součástí našich životů, ať si to uvědomujeme nebo ne, ať si to přejeme či nikoliv. Není však pouze světem nových příležitostí, ale i hrozeb. Elektronický svět je dnes často spojován s internetem, jeho rozvojem a rozšiřováním. Podle výzkumu TNS Digital Life1 je internet v současné době celosvětově nejčastěji využívaným médiem, které poráží i televizi a tisk (digitální média využívalo každý den 61 % respondentů, zatímco televizi pouze 54 %, rádio 36 %, noviny 32 % a časopisy 14 % z celkem 50 tisíc dotázaných)2. Položme si v této souvislosti tedy otázku, kolik je dnes na světě uživatelů této sítě sítí. Odpovědi na tuto a další otázky nabízí např. statistiky Internet World Stats (www.internetworldstats.com). Z tabulky č. 1 můžeme vyčíst, že v současné době používá internet na celém světě již více než dvě miliardy uživatelů (2 267 233 742 uživatelů k 31. prosinci 2011), což představuje přibližně 32,7 % populace. Srovnáme-li aktuální počet uživatelů s počtem uživatelů internetu na konci roku 2000, kdy internet používalo „pouze“ něco málo přes 360 milionů lidí, můžeme konstatovat, že mezi lety 2000 (31. prosinec) a 2011 (31. prosinec) vzrostl počet uživatelů internetu o více než 528 %, což potvrzuje názory předpovídající elektronickému světu velký rozmach a poukazuje na potenciál, který se zde pro jednotlivé subjekty nabízí. Pokud jde o rozložení uživatelů internetu v jednotlivých regionech světa, největší počet uživatelů na světě je v Asii (44,8 % všech uživatelů), která je následována Evropou (22,1 %), a na třetím místě se nachází Severní Amerika (12,0 %). 1
Viz http://2010.tnsdigitallife.com/. Handl, J. Šest typů uživatelů internetu. Který jste vy a co s nimi?. Tyinternety.cz [on-line]. [cit. 7. října 2011]. Dostupné na WWW:
; TNS Digital Life: The Digital Landscape. TNS Digital Life [on-line]. [cit. 7. října 2011]. Dostupné na WWW: . 2
7
Na druhém konci žebříčku se umístila Austrálie a Oceánie (1,1 %), Blízký východ (3,4 %) a Afrika (6,2 %). Tabulka č. 1: Uživatelé internetu na světě (prosinec 2011) World Regions
Population ( 2011 Est.)
Internet Users Dec. 31, 2000
Internet Users Latest Data
Africa
1,037,524,058
4,514,400
139,875,242
Asia
3,879,740,877 114,304,000 1,016,799,076
Growth 20002011
13.5 % 2,988.4 %
Users % of Table 6.2 %
26.2 %
789.6 %
44.8 %
61.3 %
376.4 %
22.1 %
35.6 % 2,244.8 %
3.4 %
Europe
816,426,346 105,096,093
Middle East
216,258,843
3,284,800
77,020,995
North America
347,394,870 108,096,800
273,067,546
78.6 %
152.6 %
12.0 %
Latin America / Caribbean
597,283,165
18,068,919
235,819,740
39.5 % 1,205.1 %
10.4 %
35,426,995
7,620,480
23,927,457
67.5 %
214.0 %
WORLD TOTAL 6,930,055,154 360,985,492 2,267,233,742
32.7 %
528.1 % 100.0 %
Oceania / Australia
500,723,686
Penetration (% Population)
1.1 %
Zdroj: INTERNET WORLD STATS: World Stats. Internet World Stats [on-line]. [cit. 19. srpna 2012]. Dostupné na WWW: ; upraveno.
Zaměříme-li svou pozornost na Evropu, pak z výše uvedené tabulky můžeme vyčíst, že k 31. prosinci
2011
dosáhl
celkový
počet
uživatelů
internetu
v Evropě
více
než
500 milionů (500 723 686), což představuje přibližně 61 % obyvatelstva. Pokud jde o růst mezi lety 2000 (31. prosinec) a 2011 (31. prosinec), tak při počtu 105 096 093 uživatelů internetu na konci roku 2000 se jednalo za sledované období o nárůst více než 376 %. Co se týče jednotlivých zemí, pak zemí s největším počtem uživatelů internetu je Německo s 67,4 miliony uživatelů (což představuje 82,7 % obyvatelstva), na druhém místě se nachází Rusko s 61,5 miliony uživatelů (44,3 % obyvatelstva) a na třetím místě Velká Británie s 52,7 miliony uživatelů (84,1 % obyvatelstva). Země s nejvyšším zastoupením uživatelů internetu v obyvatelstvu jsou Island (97,8 %), Norsko (97,2 %) a Švédsko (92,9 %).3 Podrobněji viz příloha č. 1. Pokud jde o Českou republiku, tak na konci roku 2011 zde dle Internet World Stats bylo 7 220 732 uživatelů internetu, což představuje necelých 71 % obyvatelstva země4, 5 (podrobné 3
Internet World Stats: Europe Stats. Internet World Stats [on-line]. [cit. 19. srpna 2012]. Dostupné na WWW: . 4 Internet World Stats: Europe Stats. Internet World Stats [on-line]. [cit. 19. srpna 2012]. Dostupné na WWW: .
8
informace o sociodemografické struktuře uživatelů internetu v České republice přináší příloha č. 26). Představu o dynamice rozvoje používání internetu v České republice lze získat z výsledků studie Internet Monitor (součást výzkumu Mediaprojekt realizovaného Sdružením GfK – TN Sofres – STEM/MARK pro Sdružení komunikačních a mediálních organizací) za 2. čtvrtletí roku 2001, z níž vyplývá, že přístup k internetu v tomto období mělo 25,7 % obyvatel České republiky ve věku od 12 do 79 let, což v absolutním vyjádření představovalo 2 198 000 osob.7 Na základě výše uvedeného můžeme konstatovat, že počet uživatelů internetu celosvětově dlouhodobě roste a internet se dle výsledků studií stává nedílnou součástí života řady z nás, a to se všemi pozitivy i negativy, které jsou s ním spojeny8. Obrátíme-li svou pozornost k uživatelům internetu, můžeme si klást otázky „jací lidé to jsou?“, „co na internetu dělají?“, „co pro ně internet znamená?“, „jak často ho používají?“ apod. Společnost TNS na základě svého výzkumného projektu Digital Life vymezila šest základních způsobů využívání internetu a celkového přístupu k digitálnímu světu, který nám na tyto a podobné otázky nabídne odpovědi. Uživatele je možné rozdělit do těchto kategorií:9 - Influencers – uživatelé, pro které je internet nedílnou součástí jejich života, k internetu se připojují často a odkudkoliv. Influencers jsou mladí, internet využívají kdykoliv a odkudkoliv a často se připojují i prostřednictvím mobilních telefonů. Jedná se o uživatele, kteří blogují a využívají sociální sítě, ve kterých mají mnoho přátel. Influencers rovněž často prostřednictvím internetu nakupují, dokonce i prostřednictvím již zmíněných mobilních telefonů. Pro tyto uživatele je rovněž typické přání, aby jim naslouchalo co možná nejvíce 5
Výzkum sociodemografie návštěvníků internetu v České republice Sdružení pro internetovou reklamu SPIR a NetMonitor za měsíc prosinec 2011 (NetMonitor: SPIR NetMonitor Výzkum sociodemografie návštěvníků internetu v České republice : Prosinec 2011. NetMonitor [on-line]. [cit. 19. srpna 2012]. Dostupné na WWW: ) uvádí velikost internetové populace České republiky menší, a to ve výši 6 291 356. Rozdíl v uváděném počtu osob v jednotlivých výzkumech je dle mého názoru možné vysvětlit jinou metodikou. 6 Další informace pro jednotlivá období je možné nalézt na www stránkách NetMonitor v sekci Veřejné výstupy (http://www.netmonitor.cz/verejne-vystupy). 7 E-komerce.cz: Internet Monitor – Penetrace Internetu v ČR je 25,7 %. E-komerce.cz [on-line]. [cit. 14. října 2011]. Dostupné na WWW: . 8 Některé studie dokonce přichází s tím, že někteří uživatelé internetu jsou již na užívání této sítě závislí. V této souvislosti můžeme zmínit např. studii Hanse-Jürgena Rumora z univerzity v Lübecku pro berlínské ministerstvo zdravotnictví. Podrobněji viz Česká televize: Půl milionu Němců se nedokáže odpojit. Česká televize [on-line]. [cit. 7. října 2011]. Dostupné na WWW: . 9 Handl, J. Šest typů uživatelů internetu. Který jste vy a co s nimi?. Tyinternety.cz [on-line]. [cit. 7. října 2011]. Dostupné na WWW: ; TNS Digital Life: Digital Lifestyles. TNS Digital Life [on-line]. [cit. 7. října 2011]. Dostupné na WWW: .
9
lidí. Jedná se tak o uživatele, kteří mají vliv na „on-line komunitu“, která jim naslouchá a využívá jejich doporučení. - Communicators – uživatelé, kteří si rádi povídají a vyjadřují se, a to v zásadě prostřednictvím jakýchkoliv prostředků, osobně, ale i prostřednictvím telefonu (pevné linky i mobilního telefonu), sociálních sítí, e-mailů či prostřednictvím některé ze služeb instant messaging. Ke komunikaci přitom běžně využívají mnoho komunikačních kanálů. V on-line světě komunikují způsoby, které v off-line světě nejsou možné. Communicators používají chytré mobilní telefony. K internetu se tito uživatelé připojují z domova, práce, ze školy. - Knowledge-seekers – uživatelé, kteří využívají internet k získávání znalostí, informací a ke vzdělávání. Knowledge-seekers se příliš nezajímají o sociální sítě, na druhou stranu si ale rádi nechají poradit od stejně smýšlejících lidí především v oblasti nákupních rozhodnutí. Jedná se o uživatele, kteří se zajímají o nové věci. - Networkers – uživatelé, pro které je internet důležitý pro vytváření, udržování a rozvíjení vztahů. Networkers jsou hodně vytížení (v zaměstnání, v péči o domácnost) a tak využívají nové způsoby komunikace, jako jsou např. sociální sítě k udržení kontaktu s lidmi, s nimiž se nemohou jinak setkat. Tito uživatelé se k internetu připojují především z domu, zajímá je komunikace značek a jejich nabídky. Tito uživatelé nejsou typem lidí, kteří by sdělovali své názory on-line. - Aspirers – uživatelé, kteří si chtějí vytvořit svůj osobní svět on-line. Aspirers jsou novými uživateli internetu, kteří se připojují i prostřednictvím mobilních telefonů nebo internetových kaváren, především však z domova. V současné době toho tito uživatelé na internetu zatím mnoho nedělají, ale existuje zde značný potenciál pro budoucí široké využití, především v souvislosti s využíváním možnosti přístupu přes mobilní telefon. - Functionals – starší uživatelé, pro které internet představuje pouze nástroj a kteří ho používají již dlouhou dobu. Functionals rádi využívají e-mailovou komunikaci a na internetu vyhledávají zprávy, sport a počasí, ale také on-line nakupují. Nechtějí se sami vyjadřovat on-line, nezajímají se o další nové věci, které internet nabízí (jako jsou např. sociální sítě). Charakteristická je pro ně obava týkající se zabezpečení a ochrany dat. Velké pozornosti ze strany uživatelů internetu (fyzických i právnických osob) se dnes v elektronickém světě těší elektronické obchodování (e-komerce). První nákupy na internetu se uskutečnily v roce 1992 v USA. Předmětem obchodu byly na počátku hudební nahrávky na CD, následně došlo k rozšíření nabídky o dárkové předměty a knihy, poté přibyla např. elektronika či hračky. Otázkou času bylo rozšíření do dalších oblastí, jako je např. prodej 10
nábytku a velkých domácích spotřebičů, služby domácího bankovnictví, objednávek potravin s donáškou až do domu či poradenských služeb.10 Elektronické obchodování přináší sice řadu výhod, ale je třeba zde počítat i s určitými nevýhodami a úskalími, které jsou s ním neodmyslitelně spojeny. Jednou z oblastí, které je dle mého názoru v elektronickém světě, tzn. i v elektronickém obchodování, třeba věnovat zvýšenou pozornost, je problematika bezpečnosti. Bezpečnost, kvalita a důvěra jsou podle mne v e-světě klíčové a vzájemně spolu souvisí. Jsou předpokladem úspěchu elektronické komerce jako celku, i jejích dílčích částí, včetně např. internetových obchodů a jednotlivých služeb elektronického bankovnictví. Jejich narušení může mít dalekosáhlé důsledky nejen pro daný elektronický obchod, banku nabízející služby elektronického bankovnictví či nebankovní vydavatele platebních karet, ale i na vývoj celé elektronické komerce. Význam bezpečnosti v elektronickém světě dokládají i aktivity Evropské unie11. Bez povšimnutí tato otázka nezůstává ani na naší národní úrovni. Z poslední doby můžeme zmínit např. schválení Strategie pro oblast kybernetické bezpečnosti ČR na období 2011 – 2015 dne 20. července 2011 Vládou České republiky12, jejímž cílem je formulovat strategické oblasti, priority a cíle kybernetické bezpečnosti, které je nutné zavést do praxe v období let 2011 – 2015.13 Navzdory výše uvedenému však dosud v české odborné literatuře není podle mého zjištění problematika elektronického obchodu a elektronického bankovnictví a jejich bezpečnostních rizik komplexně, systematicky a podrobně zpracována. Odborné monografie, články a stati publikované v odborných časopisech a sbornících, zprávy uveřejňované na internetových stránkách elektronických obchodů, bank nabízejících služby elektronického bankovnictví 10
KOTLER, P. Marketing od A do Z : Osmdesát pojmů, které by měl znát každý manažer. 2003, s. 45; Marketingové noviny: Historie elektronických obchodů. Marketingové noviny [on-line]. [cit. 14. října 2011]. Dostupné na WWW: . 11 S aktivitami Evropské unie v této oblasti je možné se seznámit např. na www stránkách Evropské komise http://ec.europa.eu/information_society/digital-agenda/index_en.htm. 12 Centrum kybernetické ochrany ČR: Strategie pro oblast kybernetické bezpečnosti České republiky na období 2011 - 2015. Centrum kybernetické ochrany ČR [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: . 13 Podrobněji viz Centrum kybernetické ochrany ČR: Strategie pro oblast kybernetické bezpečnosti České republiky na období 2011 - 2015. Centrum kybernetické ochrany ČR [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: a Centrum kybernetické ochrany ČR: Akční plán ke Strategii pro oblast kybernetické bezpečnosti v České republice na období 2011 2015. Centrum kybernetické ochrany ČR [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: .
11
apod. se problematice elektronického obchodu a elektronického bankovnictví a jejich bezpečnostních rizik věnují buď jen okrajově nebo se podrobně zabývají pouze jejich úzce specifikovanou oblastí. A zdá se, že tyto dva „extrémy“ nejsou problémem jen českých textů. I v zahraniční literatuře je problematické objevit odbornou publikaci, která by se elektronickému obchodu a elektronickému bankovnictví a jejich bezpečnostním rizikům věnovala systematicky a postihovala „celou“ tuto oblast, navíc dostatečně podrobně. Z odborných monografií se elektronickému obchodu a jeho bezpečnostním rizikům věnuje např. TURBAN, E., et al. Electronic Commerce : A Managerial Perspective (2006), BAKER, D. J. Gale E-commerce Sourcebook [on-line], MALONIS, J. A. Gale Encyclopedia of E-Commerce [on-line] a SEDLÁČEK, J. E-komerce : internetový a mobil marketing od A do Z (2006). Z odborných monografií týkajících se elektronického bankovnictví a jeho bezpečnostních rizik lze uvést např. MÁČE, M. Platební styk – klasický a elektronický (2006), JUŘÍK, P. Encyklopedie platebních karet : Historie, současnost a budoucnost peněz a platebních karet (2003), JUŘÍK, P. Platební karty : Velká encyklopedie, 1870 – 2006 (2006), PŘÁDKA, M., KALA, J. Elektronické bankovnictví : Rady a tipy (2000). „Modelování bezpečnostních rizik elektronického obchodu a elektronického bankovnictví“ jsem si zvolila za téma své disertační práce především proto, že elektronický obchod a elektronické bankovnictví zaznamenaly v posledních letech velký rozvoj nejen ve světě, ale i v České republice, přičemž je možné předpokládat, že v této oblasti stále existuje značný potenciál pro další rozvoj. Vzhledem k tomu, že bezpečnost je dle mého názoru ve světě elektronické komerce jedním z důležitých předpokladů úspěchu, považuji zaměření práce na bezpečnostní rizika těchto systémů za aktuální a věřím, že tato práce přispěje ke zvýšení informovanosti
jednotlivých
subjektů
o
elektronickém
obchodu
a
elektronickém
bankovnictví, ke snížení výše bezpečnostních rizik podstupovaných zúčastněnými subjekty, ke zvýšení důvěry a odstranění strachu současných i potenciálních e-zákazníků/e-klientů z těchto systémů a tím i k jejich dalšímu úspěšnému rozvoji.
12
Cíl práce a použité metody vědecké práce Objektem disertační práce a souvisejícího výzkumu je elektronické podnikání (e-business), kterým se rozumí používání elektronických řešení za účelem zefektivnění podnikání (tj. optimalizace dodavatelského řetězce, zefektivnění obchodních procesů, zkvalitnění komunikace apod.).14 Předmětem disertační práce a souvisejícího výzkumu jsou bezpečnostní rizika elektronického obchodu a elektronického bankovnictví. Resp. bezpečnostní rizika elektronického obchodování (e-komerce, e-commerce), pokud elektronické obchodování chápeme jako prodej či nákup výrobků a služeb (i bankovních), ať už mezi podnikateli, domácnostmi, jednotlivými spotřebiteli, vládou, dalšími veřejnými či soukromými organizacemi, který je prováděn prostřednictvím počítačových sítí, přičemž výrobky a služby jsou objednávány prostřednictvím těchto sítí, ale vlastní dodávka výrobku či služby může být provedena on-line nebo off-line15. V návaznosti na výše vymezený objekt a předmět disertační práce je formulován tento cíl práce: Na základě poznatků získaných analýzou bezpečnostních rizik elektronického obchodu a
elektronického
bankovnictví
vytvořit
modely
vybraných
podvodů
v oblasti
elektronického obchodu a elektronického bankovnictví, formulovat doporučení pro spotřebitele/uživatele přispívající ke snížení výše bezpečnostních rizik souvisejících s nakupováním na internetu a používáním služeb elektronického bankovnictví a prostřednictvím realizovaného výzkumu zmapovat znalosti, dovednosti, chování, postoje a zkušenosti vybrané skupiny spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví v České republice se zaměřením na bezpečnostní rizika související s nakupováním na internetu a s používáním služeb elektronického bankovnictví a dosažené výsledky interpretovat. V souvislosti s výše uvedeným hlavním cílem byly stanoveny následující dílčí cíle:
14
Pardubický, T., Ruckman, M. Elektronické bankovnictví není tak snadné, jak se zdá. Virtuální inovační park [on-line]. [cit. 28. března 2007]. Dostupné na WWW: . 15 Širší definice e-komerce podle OECD (viz Sedláček, J. E-komerce : internetový a mobil marketing od A do Z. 2006, s. 97).
13
1. na základě studia existující naší i zahraniční odborné literatury a dalších informačních zdrojů, které se zabývají elektronickým obchodem a elektronickým bankovnictvím, vymezit elektronický obchod a elektronické bankovnictví, vytvořit a systematizovat přehled teoretických poznatků z oblasti elektronického obchodu a elektronického bankovnictví a popsat a analyzovat současný stav v oblasti elektronického obchodu a elektronického bankovnictví v České republice 2. identifikovat
a
analyzovat
bezpečnostní
rizika
elektronického
obchodu
a elektronického bankovnictví a s nimi související základní typy podvodů v oblasti elektronického obchodu a elektronického bankovnictví se zaměřením na Českou republiku 3. na základě poznatků získaných z odborné literatury a dalších informačních zdrojů a z analýzy existujících bezpečnostních rizik elektronického obchodu a elektronického bankovnictví a s nimi souvisejících základních typů podvodů v oblasti elektronického obchodu a elektronického bankovnictví vytvořit modely těchto podvodů 4. na základě získaných poznatků formulovat doporučení pro spotřebitele/uživatele přispívající ke snížení výše bezpečnostních rizik souvisejících s nakupováním na internetu a používáním služeb elektronického bankovnictví 5. zmapovat znalosti, dovednosti, chování, postoje a zkušenosti vybrané skupiny spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví v České republice se zaměřením na bezpečnostní rizika související s nakupováním na internetu a s používáním služeb elektronického bankovnictví prostřednictvím vlastního výzkumu, dosažené výsledky interpretovat V souladu s výše uvedeným zaměřením disertační práce a definovaným hlavním cílem a cíli dílčími budou ověřovány následující hypotézy16: Hypotéza 1: Frekvence nákupů spotřebitele na internetu souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu. Hypotéza 2: Setkání spotřebitele s problémy při nákupu přes internet souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu. 16
Hypotézou se rozumí předběžné tvrzení, představa o vztahu mezi zkoumanými proměnnými (Pavlica, K. a kol. Sociální výzkum, podnik a management : průvodce manažera v oblasti výzkumu hospodářských organizací. 2000, s. 92).
14
Hypotéza 3: Vnímání bezpečnosti nákupu zboží v internetovém a kamenném obchodě souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu. Hypotéza 4: Spotřebitelova znalost a ochota dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti nakupování na internetu souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu. Hypotéza 5: Přesvědčení spotřebitele o tom, že spotřebitel může přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu, souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu. Hypotéza 6: Uživatelova znalost a ochota dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti elektronického bankovnictví souvisí s gramotností uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví. Hypotéza 7: Přesvědčení uživatele o tom, že uživatel může přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet, souvisí s gramotností uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví. Hypotéza 8: Přesvědčení uživatele o tom, že uživatel může přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou, souvisí s gramotností uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví. Hypotéza 9: Spotřebitelova/uživatelova znalost podvodů v oblasti elektronického obchodu a elektronického bankovnictví souvisí s celkovou gramotností spotřebitele/uživatele v oblasti nakupování na internetu a služeb elektronického bankovnictví. Hypotéza 10: Gramotnost spotřebitele/uživatele v oblasti nakupování na internetu, služeb elektronického bankovnictví a internetu spolu souvisí. Z výše uvedeného plyne, že problematika bezpečnostních rizik elektronického obchodu a elektronického bankovnictví bude v rámci této práce zpracována se zaměřením na spotřebitele/uživatele (zákazníka, klienta). Toto zaměření jsem zvolila z toho důvodu, že se domnívám, že výši podstupovaných bezpečnostních rizik souvisejících s nakupováním na internetu a používáním služeb elektronického bankovnictví nemalou měrou ovlivňují právě i samotní spotřebitelé/uživatelé. Ti by si měli být dle mého názoru jednoznačně vědomi toho, jaká rizika jsou s elektronickým obchodováním a elektronickým bankovnictvím spojena, s jakými podvody, útoky se v tomto segmentu mohou setkat, jakým způsobem je možné jim předcházet, jaké jsou zásady bezpečného používání internetu, nakupování v internetových obchodech, používání služeb elektronického bankovnictví atd. To znamená, že by si měli 15
uvědomovat skutečnost, že bezpečnost elektronického obchodování (resp. její zajištění) není jen záležitostí provozovatelů elektronických obchodů či poskytovatelů služeb elektronického bankovnictví, ale že ji ovlivňují i oni sami. V tuto chvíli si v souvislosti s výše uvedeným dovolím vyslovit domněnku, že existují situace, kdy i sebelepší zabezpečení ze strany elektronického obchodu či banky, nedokáže zabránit realizaci rizika v důsledku „pochybení“ spotřebitele/uživatele. Toto uvědomění si svého významu pro zajištění bezpečnosti elektronického obchodu a elektronického bankovnictví spotřebiteli/uživateli je podle mého názoru přínosné pro všechny zúčastněné subjekty. Spotřebitelé/živatelé si uvědomí, že doporučení v podobě zásad bezpečného používání internetu, nakupování na internetu či používání služeb elektronického obchodování nejsou formulována pro to, aby jim snad „znepříjemňovala“ nakupování na internetu či používání služeb elektronického bankovnictví, odradila je od jejich používání apod., ale že dodržováním těchto doporučení mohou sami skutečně přispět ke snížení výše podstupovaných bezpečnostních rizik. Uvědomí si, že zodpovědnost za bezpečnost v elektronickém obchodování není možné přičítat pouze elektronickým obchodům či poskytovatelům služeb elektronického bankovnictví. Toto uvědomění si své zodpovědnosti a její přijmutí spotřebiteli/uživateli je přitom dle mého názoru i důležitým momentem pro samotné elektronické obchody a poskytovatele služeb elektronického bankovnictví, neboť vytváří předpoklad, že tito spotřebitelé/uživatelé se budou o problematiku zajištění bezpečnosti aktivně zajímat, budou (více) dodržovat bezpečnostní zásady a doporučení a nebudou spoléhat na to, že se o vše potřebné v této oblasti postará elektronický obchod či poskytovatel služeb elektronického bankovnictví, resp. že bezpečnost elektronického obchodu a elektronického bankovnictví je jen a pouze záležitostí elektronického obchodu a poskytovatele služeb elektronického bankovnictví a že dojde-li k realizaci bezpečnostního rizika, je na vině vždy jen a pouze opět daný elektronický obchod či poskytovatel služeb elektronického bankovnictví. K zaměření práce na samotné spotřebitele/uživatele mne přivedl můj dlouhodobý zájem o finanční gramotnost, osobní finance a oblast behavioral finance, resp. o postavení a vystupování spotřebitele/uživatele (zákazníka, klienta) na trhu, zejména pak na trhu finančním, kdy jsem se opakovaně měla možnost přesvědčit o tom, že existují (mnohdy i významné) nedostatky ve znalostech a dovednostech spotřebitelů, že spotřebitelé porušují 16
základní doporučení, nechovají se vždy racionálně, nerozhodují se jen a pouze striktně logicky, nejsou schopni domyslet význam svého konání či naopak nekonání, poučit se ze svých chyb či chyb jiných spotřebitelů, ale tyto chyby opakují, atd. Na základě těchto zjištění si pro tuto chvíli dovolím vyslovit domněnku, že oblast elektronického obchodu a elektronického bankovnictví v tomto nebude žádnou výjimkou. V návaznosti na výše předpokládanou roli spotřebitele/uživatele ve světě elektronického obchodu a elektronického bankovnictví lze přitom předpokládat, že znalosti, dovednosti a chování těchto spotřebitelů/uživatelů budou mít vliv na výši podstupovaných bezpečnostních rizik v oblasti elektronického obchodu a elektronického bankovnictví. S ohledem na zvolený způsob zpracování dané problematiky bych touto prací rovněž ráda poukázala na skutečnost, že bezpečnost elektronického obchodu a elektronického bankovnictví není pouze tématem technickým a informačním, ale např. i ekonomickým a právním. Disertační práce bude složena ze dvou základních částí, teoretické a výzkumné. V teoretické části bude v rámci elektronického podnikání (e-business) a elektronického obchodování (e-komerce, e-commerce) vymezen elektronický obchod a elektronické bankovnictví, vytvořen základní přehled teoretických poznatků z oblasti elektronického obchodu a elektronického bankovnictví a popsán a analyzován současný stav v oblasti elektronického obchodu a elektronického bankovnictví v České republice, abychom následně mohli přistoupit
k
identifikaci
a
analýze
bezpečnostních
rizik
elektronického
obchodu
a elektronického bankovnictví a s nimi souvisejících základních typů podvodů v oblasti elektronického obchodu a elektronického bankovnictví se zaměřením na Českou republiku. Na základě poznatků získaných z naší i zahraniční odborné literatury a dalších informačních zdrojů a z analýzy existujících bezpečnostních rizik elektronického obchodu a elektronického bankovnictví, resp. jednotlivých typů podvodů budou vytvořeny modely těchto podvodů a následně i formulována doporučení pro spotřebitele/uživatele přispívající ke snížení výše bezpečnostních rizik souvisejících s nakupováním na internetu a používáním služeb elektronického bankovnictví. Výzkumná část disertační práce bude reprezentována výzkumem, jehož cílem bude zmapovat znalosti, dovednosti, chování, postoje a zkušenosti vybrané skupiny spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví v České republice se zaměřením na bezpečnostní rizika související s nakupováním na internetu a s používáním služeb elektronického bankovnictví. Poznatky získané výzkumem budou zhodnoceny, 17
a, bude-li to možné, budou na základě nich formulována rovněž doporučení pro jednotlivé subjekty. Vzhledem k výše uvedenému budu při zpracovávání disertační práce používat pozitivistickou a normativní metodologii. Pozitivistická metodologie bude používána v částech práce, kdy bude zkoumaná problematika pouze popisována, nikoliv však hodnocena. Normativní přístup bude použit tehdy, nebude-li možné či žádoucí (s ohledem na stanovené cíle práce) se vyhnout hodnocení zkoumaných skutečností. Použití normativního přístupu naznačuje rovněž to, že v návaznosti na stanovený hlavní cíl práce a na něj navazující dílčí cíle budou v práci formulována doporučení pro spotřebitele/uživatele, příp. další subjekty. Velký význam pro moji disertační práci bude mít Bachelardova metodologie (nekarteziánský racionalismus jako aplikovaný racionalismus), z které budu vycházet zejména při tvorbě a interpretaci modelů, a konstruktivismus, který bude použit pro zdůvodnění a interpretaci výstupů. S ohledem na předmět a cíle disertační práce budou použity jak obecně-vědní, tak i speciálněvědní metody zkoumání. Z obecně-vědních metod se bude jednat především o deskripci, analýzu, komparaci, syntézu, indukci a modelování. Ze speciálně-vědních metod pak půjde zejména o metody matematické, statistické a ekonomické. Jednotlivé metody vědeckého výzkumu se budou v práci vzájemně doplňovat, kombinovat a ve svém účinku někdy rovněž překrývat a vytvářet tak určitou synergii. Při volbě metodologie a jednotlivých metod zkoumání, které jsou používány v disertační práci, jakož i při vymezování hlavního a dílčích cílů práce, formulování pracovních hypotéz a při stanovování struktury práce vycházím z řady odborných publikací, které se této problematice věnují. Z mnoha autorů a jejich publikací lze pro jednotlivé oblasti uvést na příklad tyto:
Filozofie a metodologie vědy: - FAJKUS, B.: Filosofie a metodologie vědy : vývoj, současnost a perspektivy. Praha : Academia, 2005. ISBN 80-200-1304-0. - HOLZBACHOVÁ, I.: Příspěvky k otázkám filozofie vědy. 1. vyd. Brno : Masarykova univerzita, 2003. 150 s. ISBN 80-210-3224-3. 18
- KRČ, M., KUČERA, J., RADVAN, E.: Metodologie vědy a vědeckého poznání. Brno : Univerzita obrany, 2005. 193 s. ISBN 80-7231-004-6. - OCHRANA, F.: Metodologie vědy : Úvod do problému. 1. vyd. Praha : Univerzita Karlova v Praze, 2009. 156 s. ISBN 978-80-246-1609-4. - POPPER, K. R.: Logika vědeckého zkoumání. 1. vyd. Praha : OIKOYMENH, 1997. 617 s. ISBN 80-86005-45-3.
Vědecká práce a výzkum; zpracování disertační práce: - BUDÍKOVÁ, M., KRÁLOVÁ, M., MAROŠ, B.: Průvodce základními statistickými metodami. 1. vyd. Praha : Grada Publishing, 2010. 272 s. ISBN 97880-247-3243-5. - COOPER, D. R., SCHINDLER, P. S.: Business Research Methods. 8th ed. New York : McGraw-Hill/Irwin, 2003. 857 s. ISBN 0-07-249870-6. - DUNLEAVY, P.: Authoring a PhD : How to Plan, Draft, Write and Finish a Doctoral Thesis or Dissertation. 1st ed. New York : PALGRAVE MACMILLAN, 2003. 297 s. ISBN 1-4039-0584-3. - MAUCH, J. E., PARK, N.: Guide to the Successful Thesis and Dissertation : A Handbook for Students and Faculty. 5th ed. New York : Marcel Dekker, 2003. 330 s. ISBN 0-8247-4288-5. - PAVLICA, K. a kol.: Sociální výzkum, podnik a management : průvodce manažera v oblasti výzkumu hospodářských organizací. 1. vyd. Praha : EKOPRESS, 2000. 161 s. ISBN 80-86119-25-4. - PŮLPÁN, Z.: K problematice zpracování empirických šetření v humanitních vědách. 1. vyd. Praha : Academia, 2004. 182 s. ISBN 80-200-1221-4. - SAUNDERS, M., THORNHILL, A., LEWIS, P.: Research Methods for Business Students. 4th ed. Financial Times Press, 2006. 656 s. ISBN 0-273-70148-7. - SILVERMAN, D.: Qualitative Research – Theory, Method and Practice. 2nd ed. London : Sage Publications, 2004. 378 s. ISBN 0-7619-4934-8. - TEITELBAUM, H.: How to Write a Thesis : Practical Instruction for Researching and Writing a Top-Notch Thesis or Dissertation. 5th ed. Thomson/Arco, 2003. 132 s. ISBN 0-7689-1081-1.
Co se týče postupu práce a způsobu řešení bylo pro dosažení hlavního cíle disertační práce formulováno pět dílčích cílů, které jsou řešeny následovně: 19
1. řešení dílčího cíle č. 1: na základě studia existující naší i zahraniční odborné literatury a dalších informačních zdrojů, které se zabývají elektronickým obchodem a elektronickým bankovnictvím, vymezit elektronický obchod a elektronické bankovnictví, vytvořit a systematizovat přehled teoretických poznatků z oblasti elektronického obchodu a elektronického bankovnictví a popsat a analyzovat současný stav v oblasti elektronického obchodu a elektronického bankovnictví v České republice Způsob řešení: Tento dílčí cíl bude naplněn především pomocí obsahové analýzy dostupné naší i zahraniční odborné literatury a dalších informačních zdrojů, které se zabývají elektronickým
obchodem
a
elektronickým
bankovnictvím.
Vzhledem
k tomu,
že elektronický obchod a elektronické bankovnictví se rychle rozvíjejí, je nutné tento vývoj pravidelně sledovat a pracovat s aktuálními informacemi. Zdrojem informací jsou tak nejen odborné monografie, ale i články a stati publikované v odborných časopisech, články a zprávy z internetových stránek věnujících se této problematice (internetové stránky elektronických obchodů, bank, asociací, finančních institucí, Českého statistického úřadu apod.) atd. Provedená analýza by měla přispět ke splnění jednoho z úkolů teoretické části práce, a sice k vymezení elektronického obchodu a elektronického bankovnictví, vytvoření základního přehledu teoretických poznatků z oblasti elektronického obchodu a elektronického bankovnictví a popsání a analyzování současného stavu v oblasti elektronického obchodu a elektronického bankovnictví v České republice, abychom následně mohli přistoupit k identifikaci a analýze bezpečnostních rizik elektronického obchodu a elektronického bankovnictví a s nimi souvisejících základních typů podvodů v oblasti elektronického obchodu a elektronického bankovnictví se zaměřením na Českou republiku (dílčí cíl č. 2). 2. řešení dílčího cíle č. 2: identifikovat a analyzovat bezpečnostní rizika elektronického obchodu a elektronického bankovnictví a s nimi související základní typy podvodů v oblasti elektronického obchodu a elektronického bankovnictví se zaměřením na Českou republiku Způsob řešení: Po naplnění dílčího cíle č. 1 je možné přistoupit k rozboru klíčových charakteristik elektronického obchodu a elektronického bankovnictví a na základě získaných poznatků následně identifikovat a analyzovat bezpečnostní rizika elektronického obchodu a elektronického bankovnictví a s nimi související základní typy podvodů v oblasti elektronického obchodu a elektronického bankovnictví se zaměřením na Českou 20
republiku. K naplnění tohoto dílčího cíle je mimo jiné třeba získat potřebná relevantní data o elektronickém obchodu a elektronickém bankovnictví a jejich bezpečnostních rizicích. Výzkum prováděný v souvislosti s naplňováním druhého cíle bude mít povahu výzkumu sekundárního. Předmětem sekundárního výzkumu bude získávání, shromažďování a vyhodnocování údajů, které již budou k dispozici, tzn. údajů, které byly shromážděny někým jiným původně pro jiný účel a které jsou i nadále k dispozici. Výhodou tohoto typu výzkumu je přístup k cenným a relativně levným informacím, k jeho nevýhodám však patří riziko neaktuálních, příp. neúplných údajů.17 Sekundární výzkum tak bude zahrnovat především analýzu dokumentů, které nebyly vytvořeny za účelem výzkumu realizovaného v rámci této disertační práce, ale které budou obsahovat informace o elektronickém obchodu a elektronickém bankovnictví a jejich bezpečnostních rizicích. 3. řešení dílčího cíle č. 3: na základě poznatků získaných z odborné literatury a dalších informačních zdrojů a z analýzy existujících bezpečnostních rizik elektronického obchodu a elektronického bankovnictví a s nimi souvisejících základních typů podvodů v oblasti elektronického obchodu a elektronického bankovnictví vytvořit modely těchto podvodů Způsob řešení: Na základě naplnění dílčího cíle č. 1 a 2, resp. na základě poznatků získaných z odborné literatury a dalších informačních zdrojů a z analýzy existujících bezpečnostních rizik elektronického obchodu a elektronického bankovnictví a s nimi souvisejících základních typů podvodů v oblasti elektronického obchodu a elektronického bankovnictví budou vytvořeny modely těchto podvodů. Pro účely této disertační práce je použita obecná a jednoduchá definice modelu18: „Model je každé účelové a zjednodušené zobrazení skutečnosti“. Přičemž je třeba upozornit na skutečnost, že vytvořené modely si nekladou za cíl vyjadřovat všechny prvky a vazby zkoumaného systému19, protože takové modely by byly nepřehledné, nezobrazitelné a pro člověka nepochopitelné, takže by nesplňovaly svůj účel, tj. poznat chování systému s možností jej následně ovlivnit. 17
Stávková, J., Dufek, J. Marketingový výzkum. 1998, s. 23; Kozel, R., Přádka, M., Steinová, M. E-Marketing I. : Začlenění internetu do podnikání; Marketingový výzkum v prostředí internetu. 2003, s. 43 – 44. 18 Molnár, Z. Úvod do základů vědecké práce : Sylabus pro potřeby semináře doktorandů [on-line]. s. 12. [cit. 28. března 2007]. Dostupné na WWW: . 19 V odborné literatuře existuje celá řada definic systému. Pro účely této disertační práce budeme vycházet z definice systému dle Molnára: „Systém je účelově definovaná neprázdná množina prvků a množina vazeb mezi nimi, přičemž vlastnosti prvků a vazeb mezi nimi určují vlastnosti (chování) celku“. (Molnár, Z. Úvod do základů vědecké práce : Sylabus pro potřeby semináře doktorandů [on-line]. s. 10. [cit. 28. března 2007]. Dostupné na WWW: )
21
Při naplňování tohoto dílčího cíle je používána především metoda modelování, kterou se rozumí proces projektování a konstrukce modelů po ujasnění výchozích premis (předpokladů, hypotéz, teorií). Při modelování je důležité myslet na účel, pro který je model konstruován (tj. na jakou otázku nám má dát model odpověď), neboť právě ten určuje míru zjednodušení.20 Modely konstruované v rámci této disertační práce jsou zaměřeny na bezpečnostní rizika elektronického obchodu a elektronického bankovnictví, se zaměřením na Českou republiku. Vytvoření jednotlivých modelů pak mimo jiné přispěje k naplnění dílčího cíle č. 4, tzn., že cílem není pouze vytvořit modely jednotlivých typů podvodů, ale s jejich přispěním následně formulovat doporučení pro spotřebitele/uživatele přispívající ke snížení výše bezpečnostních rizik souvisejících s nakupováním na internetu a používáním služeb elektronického bankovnictví. 4. řešení dílčího cíle č. 4: na základě získaných poznatků formulovat doporučení pro spotřebitele/uživatele přispívající ke snížení výše bezpečnostních rizik souvisejících s nakupováním na internetu a používáním služeb elektronického bankovnictví Způsob řešení: Na základě poznatků získaných z odborné literatury a dalších informačních zdrojů a při naplňování tří předešlých dílčích cílů budou formulována doporučení pro spotřebitele/uživatele přispívající ke snížení výše bezpečnostních rizik souvisejících s nakupováním na internetu a používáním služeb elektronického bankovnictví. Formulovaná doporučení završí první část disertační práce. 5. řešení dílčího cíle č. 5: zmapovat znalosti, dovednosti, chování, postoje a zkušenosti vybrané skupiny spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví v České republice se zaměřením na bezpečnostní rizika související s nakupováním na internetu a s používáním služeb elektronického bankovnictví prostřednictvím vlastního výzkumu, dosažené výsledky interpretovat Způsob řešení: Na základě poznatků získaných v průběhu zpracování první, teoretické části práce bude připraven a realizován vlastní výzkum, jehož cílem bude zmapovat znalosti, 20
Molnár, Z. Úvod do základů vědecké práce : Sylabus pro potřeby semináře doktorandů [on-line]. s. 12. [cit. 28. března 2007]. Dostupné na WWW: .
22
dovednosti, chování, postoje a zkušenosti vybrané skupiny spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví v České republice se
zaměřením na
bezpečnostní
rizika
související
s nakupováním na
internetu
a s používáním služeb elektronického bankovnictví. Získaná data budou následně vyhodnocena (s využitím statistických metod) a dosažené výsledky budou interpretovány. V této části práce, na základě získaných dat, budou rovněž ověřeny výše formulované hypotézy 1 až 10. Realizovaný primární výzkum bude mít charakter kvantitativní. K získání potřebných dat bude využito dotazníkového šetření, přičemž sběr dat bude probíhat elektronickou cestou (především z důvodu rychlosti, nízkých nákladů, možnosti zasáhnutí velkého počtu respondentů, pohodlí a snížení aktivity respondentů při získávání dat touto cestou).
Z výše uvedeného vyplývá, že výzkum prováděný v rámci této disertační práce bude mít charakter výzkumu mapujícího, korelačního i kauzálního, resp. výzkumu kvantitativního i kvalitativního, a to z důvodu, že každý z nich vnáší do pohledu na zkoumanou realitu specifické a potenciálně užitečné dimenze.
23
1 Elektronický obchod Elektronické podnikání (e-business) bývá definováno jako používání elektronických řešení za účelem zefektivnění podnikání (tj. optimalizace dodavatelského řetězce, zefektivnění obchodních procesů, zkvalitnění komunikace apod.).21 Součástí elektronického podnikání je elektronické obchodování (e-komerce, e-commerce), jímž se rozumí prodej či nákup výrobků a služeb (i bankovních), ať už mezi podnikateli, domácnostmi, jednotlivými spotřebiteli, vládou, dalšími veřejnými či soukromými organizacemi, který je prováděn prostřednictvím počítačových sítí, přičemž výrobky a služby jsou objednávány prostřednictvím těchto sítí, ale vlastní dodávka výrobku či služby může být provedena on-line nebo off-line22. Vzhledem k zaměření této práce se v kapitole 1 a 2 budeme věnovat vybraným aspektům elektronického obchodování s orientací především na B2C (Business to Consumer) elektronické obchodování. V kapitole 1 bude pozornost zaměřena především na elektronické obchodování B2C v podobě elektronických obchodů, resp. internetových obchodů. V kapitole 2 se pak budeme věnovat službám elektronického bankovnictví.
1.1 B2C elektronické podnikání a elektronické obchodování B2C elektronické podnikání může být realizováno na základě různých obchodních modelů a různých typů aplikací. Aplikace pro řešení vztahů B2C jsou v převážné většině případů kompletně realizovány v prostředí internetu, kde základem jsou webové aplikace úzce propojené s databázemi ERP systémů23 daného podniku. Zákazník (konečný spotřebitel) si na webových stránkách prodávajícího podniku vybírá z nabízeného zboží, výrobků či poskytovaných služeb, může si je zde také ihned koupit a současně za ně také zaplatit.
21
Pardubický, T., Ruckman, M. Elektronické bankovnictví není tak snadné, jak se zdá. Virtuální inovační park [on-line]. [cit. 28. března 2007]. Dostupné na WWW: . 22 Širší definice e-komerce podle OECD (Sedláček, J. E-komerce : internetový a mobil marketing od A do Z. 2006, s. 97). V užším vymezení je elektronické obchodování možné definovat jako prodej či nákup výrobků a služeb mezi podnikateli, domácnostmi, jednotlivými konečnými spotřebiteli, vládou, dalšími veřejnými či soukromými organizacemi, který je prováděn prostřednictvím Internetu. Výrobky jsou objednávány prostřednictvím Internetu, ale vlastní dodávka výrobku či služby může být provedena on-line nebo off-line (užší definice podle OECD, Sedláček, J. E-komerce : internetový a mobil marketing od A do Z. 2006, s. 97). 23 ERP – Enterprise Resource Planning – systémy pro řízení podnikových zdrojů, které umožňují svým uživatelům např. vytvářet a aktualizovat rozsáhlé datové báze (zboží, dodavatelů, zákazníků, pracovníků, majetku, účtů atd.), realizovat procesy operačního charakteru (tzn. zpracování obchodních případů – nákupů materiálů, prodejů výrobků a zboží a s tím souvisejících obchodních dokumentů (objednávek, kontraktů, faktur, celních deklarací)), vytvářet a prezentovat požadované přehledy, statistiky a základní analýzy (např. přehledy zákazníků, zboží, prodejů, stavů zásob na skladě) (Gála, L., Pour, J., Šedivá, Z. Podniková informatika. 2009, s. 125).
24
Charakteristická pro tyto transakce je skutečnost, že jsou realizovány bez přímého kontaktu zákazníka s prodávajícím.24 Jak uvádí Gála, Pour a Šedivá25 představuje elektronický obchod pro prodejce a postupně i pro spotřebitele, konečné zákazníky velmi perspektivní cestu, i když nelze tvrdit, že by měl v budoucnosti kompletně nahradit dnešní klasické kamenné obchody a obchodní domy. Pro zachování klasických forem prodeje totiž existuje řada sociálních, psychologických a dalších důvodů. Nemalý význam zde dle mého názoru má i samotný předmět nákupu. 1.1.1
Výhody a nevýhody elektronického obchodování B2C
Elektronické obchodování B2C jako alternativní způsob prodeje zboží a/nebo služeb je z mnoha důvodů přínosné jak pro zákazníky, konečné spotřebitele, tak i pro elektronické, resp. internetové obchody. Výhodami a nevýhodami elektronického obchodování B2C pro jednotlivé zúčastněné strany se v české literatuře podrobněji zabývá např. KOTLER, P., ARMSTRONG, G. Marketing. 2004, s. 133 - 134; STEINOVÁ, M., HLUCHNÍKOVÁ, M., PŘÁDKA, M. E-marketing II. : Marketingová komunikace na internetu, Elektronické obchodování. 2003, s. 57 - 59; SEDLÁČEK, J. E-komerce : internetový a mobil marketing od A do Z. 2006, s. 318 – 321; BLAŽKOVÁ, M. Jak využít internet v marketingu : Krok za krokem k vyšší konkurenceschopnosti. 2005, s. 101 – 102 či SUCHÁNEK, P. Podnikání a obchodování na internetu. 2008, s. 102 - 107. Podívejme se na ně nyní tedy blíže. Mezi nejčastěji zmiňované výhody elektronického obchodování B2C z pohledu zákazníka patří: -
výrazná úspora času;
-
nižší ceny a nabízené slevy;
-
větší výběr;
-
přístup k obrovskému množství aktuálních informací;
-
možnost nakupovat 24 hodin denně 365 dní v roce;
-
možnost nakupovat z kteréhokoliv místa naší planety, za předpokladu možnosti připojení na internet, a s tím související možnost nakupovat v soukromí a pohodlí;
-
personalizace (především v případě opakovaných nákupů může prodávající nabídnout zákazníkovi výrobek a/nebo službu šitý přímo na míru na základě informací, které o něm získal z předchozích nákupů, příp. i jen návštěv daného e-obchodu).
24 25
Gála, L., Pour, J., Šedivá, Z. Podniková informatika. 2009, s. 187. Gála, L., Pour, J., Šedivá, Z. Podniková informatika. 2009, s. 187.
25
Jako výhody elektronického obchodování B2C z pohledu prodávajícího (elektronického, internetového obchodu) bývají zpravidla uváděny: -
rychlé přizpůsobení podmínkám trhu;
-
usnadnění prezentace a komunikace se zákazníkem;
-
možnost přímého přístupu k milionům potenciálních zákazníků po celém světě, a to 24 hodin denně 365 dní v roce (navíc za prakticky fixní náklady);
-
snížení nákladů;
-
zrychlení transakcí;
-
zvýšení efektivnosti;
-
zajištění bezprostřední zpětné vazby od zákazníků;
-
zvýšení konkurenceschopnosti;
-
možnost zacílení na konkrétní typ uživatele;
-
možnost specializace (na internetu se mohou firmy specializovat i na úzce vymezené oblasti lidské činnosti, neboť díky globálnímu charakteru internetu je možné získat zákazníky na celém světě).
Elektronické obchodování je však spojeno i s jistými negativy, a to jak pro konečné spotřebitele, zákazníky, tak i pro samotné internetové obchody. Mezi nevýhody elektronického obchodování B2C z pohledu zákazníka patří např.: -
nedůvěra k nákupům „na dálku“;
-
neosobnost nákupu;
-
nemožnost fyzické prohlídky, vyzkoušení zboží;
-
zboží si nelze ihned po zaplacení odnést (pokud ho nelze dodat přímo po internetu);
-
tzv. „informační zahlcení“ vyplývající z velkého množství poskytovaných informací, v nichž se zákazník může obtížně orientovat;
-
obavy o ztrátu soukromí;
-
obava o bezpečnost vlastního osobního počítače (PC), peněžních prostředků apod.;
-
rychlá změna cen;
-
nerovnoměrnost rozšíření, omezená dostupnost a ceny internetu a PC.
Jako nevýhody elektronického obchodování B2C z pohledu prodávajícího (elektronického, internetového obchodu) lze uvést např.: -
nutnost osvojit si velké množství nových technologií; 26
-
nutnost osvojit si značné množství nových postupů;
-
rizika spojená s nedostatečným zabezpečením elektronických obchodních transakcí (zvyšuje se riziko získání přístupu do podnikových sítí neoprávněnou osobou, může dojít k narušení nebo ke zneužití internetových služeb nebo dat o firmě a jejích zákaznících apod.);
-
velkou konkurenci26;
-
obtížné udržení stávajících zákazníků;
-
nutnost investovat do reklamy a propagace („obchodu na ulici si všimne každý procházející, ale na internetu není zaručeno, že si zákazník všimne našeho obchodu či se o něm dozví, proto je třeba investovat prostředky do reklamy“27);
-
anonymitu zákazníků;
-
konzervativnost pracovníků firmy a zákazníků.
1.1.2
Zákazníci internetových obchodů
Někteří lidé si stále ještě představují typického uživatele internetu jako počítačového fanatika nebo jako mladého, technicky orientovaného noblesního odborníka mužského pohlaví. Statistiky však dokazují, že tak tomu již ve skutečnosti dávno není. Internet používá stále více lidí, jeho uživatelé jsou stále různorodější a blíží se struktuře obecné populace.28 Obdobné tendence lze zaznamenat i u on-line zákazníků. Za povšimnutí v souvislosti se zákazníky internetových obchodů a výhodami a nevýhodami nakupování na internetu pro zákazníky, konečné spotřebitele dle mého názoru stojí výsledky výzkumu společnosti Flexo-Hiner nazvaného eCommerce Benefits Monitor, v rámci kterého byla zkoumána motivace zákazníků e-obchodů. Ty lze podle motivace rozdělit do sedmi skupin:29 -
„eJoiners“ – zákazníci, kteří vědí, že internet je nejlepší místo k nakupování a k diskusím o nakupování;
-
„ePrivateers“ – zákazníci, kterým se zamlouvá soukromí a anonymita, které internet poskytuje, a kteří využívají e-obchody k nakupování zboží, které by si nutně nekoupili ve veřejných kamenných obchodech;
26
Díky globálnímu charakteru internetu mohou internetovým obchodům provozovaným v českém jazyce konkurovat i obchody provozované v jiných jazycích, naopak to však platit nemusí. 27 Blažková, M. Jak využít internet v marketingu : Krok za krokem k vyšší konkurenceschopnosti. 2005, s. 103. 28 Kotler, P., Armstrong, G. Marketing. 2004, s. 135 - 138. 29 Steinová, M., Hluchníková, M., Přádka, M. E-marketing II. : Marketingová komunikace na internetu; Elektronické obchodování. 2003, s. 66.
27
-
„eDiscounters“ – zákazníci,
kteří
využívají
výhod
internetu
k vyhledávání
nejvýhodnějších cenových nabídek a takto ušetřené peněžní prostředky jsou pro ně největší motivací; -
„eCynis“ – zákazníci, kteří v minulosti nakoupili on-line, ale tato zkušenost je nezaujala;
-
„eBrowsers“ – lidé, kteří vyhledávají informace on-line, ale nakupují off-line;
-
„at-Homers“ – zákazníci, kteří za největší přínos nakupování prostřednictvím e-obchodů považují to, že mohou nakupovat z domu;
-
„eAutomators“ – zákazníci,
kteří
si
vychutnávají
efektivitu
moderního
automatizovaného nákupního procesu na internetu. Rozdělení zákazníků podle motivace dle výsledků zjištěných tímto výzkumem uvádí graf č. 1. Graf č. 1: Motivace zákazníků k on-line nakupování
15%
16% "eJoiners" "ePrivateers"
14%
"eDiscounters"
14%
"eCynis" "eBrowsers" "at-Homers"
12%
"eAutomators"
15% 14%
Zdroj: Zpracováno podle STEINOVÁ, M., HLUCHNÍKOVÁ, M., PŘÁDKA, E-marketing II. : Marketingová komunikace na internetu, Elektronické obchodování. 2003, s. 66.
1.1.3
M.
Objekty nákupů v internetových obchodech
V současné době je možné prostřednictvím internetu koupit téměř všechno, přesto však mezi jednotlivými druhy zboží existují značné rozdíly z hlediska jejich podílu na internetovém prodeji. Obecně je možné říci, že internet je nejvhodnější pro zboží a služby, u nichž zákazníci hledají při objednávání pohodlí, nižší ceny nebo je zajímají rozdíly mezi jednotlivými nabízenými výrobky a službami. Méně vhodný je pak pro zboží, které si chce zákazník nejdřív „ohmatat“ nebo vyzkoušet. Přesto i zde existují výjimky. Některé zboží či služba se na internetu příliš neprodává, přestože se to očekávalo, prodej jiného zboží 28
či služby na internetu se naopak rozšířil, i když se to nečekalo (Kotler30 v této souvislosti uvádí např. nečekaný úspěch prodeje drahých počítačů firmy Dell nebo květin a vína přes internet.). Navíc je třeba konstatovat, že existují značné rozdíly i mezi jednotlivými zeměmi. O úspěchu prodeje určitého zboží či služby na internetu ve skutečnosti rozhoduje celá řada faktorů. Např. Sedláček v této souvislosti uvádí, že vhodnost a výhodnost daného zboží a služby pro prodej na internetu pozitivně ovlivňuje to, zda zboží či služba jsou prodejné ve velké geografické oblasti, není třeba je lokalizovat nebo lokalizace není složitá či drahá, nabízí se ve velkém množství druhů, nejsou příliš levné (vzhledem k ceně poštovného nebo jiné dopravy) ani příliš drahé (aby případný špatný výběr nebo jiný omyl příliš nevadil), mohou být na internetu prodávány výrazně levněji než jinde, jedná se o nějakou specialitu, unikátnost určenou pro úzké segmenty trhu apod. 31 1.1.4
Způsob platby za zboží a služby objednané přes internet
Vzhledem k zaměření této práce na bezpečnostní rizika elektronického obchodu a elektronického bankovnictví se ještě na chvíli zastavme u úhrady za zboží a služby objednané přes internet. V současné době internetové obchody zpravidla nabízí volbu způsobu úhrady. K základním možnostem dnes obecně patří: -
dobírka;
-
bankovní převod prostřednictvím internetového bankovnictví;
-
bankovní převod prostřednictvím klasického bankovnictví;
-
platební karta použitá na internetu;
-
elektronická peněženka;
-
hotovost při osobním odběru;
-
platební karta při osobním odběru;
-
jiný způsob (např. přes SMS zprávu, na splátky, dárkovým kuponem, převodem přes sběrný box banky).
Při volbě způsobu úhrady za zboží a/nebo služby objednané na internetu by si měl zákazník z nabízených možností vybrat tu, která odpovídá jeho možnostem a požadavkům, a to při zvážení podstupovaných bezpečnostních rizik, dodatečných nákladů i rychlosti provedení úhrady. 30 31
Kotler, P. Marketing management. 2001, s. 651 - 652. Sedláček, J. E-komerce : internetový a mobil marketing od A do Z. 2006, s. 145 - 146.
29
1.1.5
Nakupování přes internet v České republice
Elektronický obchod se dnes těší velké oblibě nejen ve světě, ale i v České republice. Asociace pro elektronickou komerci APEK odhaduje, že tuzemské internetové obchody v roce 2010 utržily rekordních 33 miliard českých korun, což je o šest miliard korun více než v roce 2009. V roce 2011 pak došlo k dalšímu nárůstu, dle odhadů APEK o čtyři miliardy korun, na 37 miliard korun. Vývoj obratu tuzemských internetových obchodů je zachycen v tabulce č. 2, která potvrzuje, že obliba (resp. obrat) tuzemských internetových obchodů v posledních letech v České republice neustále roste. Proto není nijak překvapivé, že roste i počet internetových obchodů. Na internet v posledních letech dokonce zamířily i specializované obchodní řetězce, které dosud v České republice provozovaly pouze kamenné prodejny.32 Tabulka č. 2: Obrat internetových obchodů v České republice 2001 - 2011
Rok
Obrat (mld. Kč)
Přírůstek za rok (mld. Kč)
Přírůstek za rok (%)
2001
1
-
-
2002
2
1
100,00
2003
4
2
100,00
2004
7
3
75,00
2005
10
3
42,86
2006
14
4
40,00
2007
18
4
28,57
2008
22
4
22,22
2009
27
5
22,73
2010
33
6
22,22
2011
37
4
12,12
Zdroj: Zpracováno podle FINANCE.CZ: APEK: Internetové obchody loni utržily rekordních 33 mld. Kč. Finance.cz [on-line]. [cit. 14. října 2011]. Dostupné na WWW: ; IDNES.CZ: Češi víc nakupují na síti. Zboží si vyzvedávají osobně, aby ušetřili. iDNES.cz [on-line]. [cit. 5. února 2012]. Dostupné na WWW: .
32
Finance.cz: APEK: Internetové obchody loni utržily rekordních 33 mld. Kč. Finance.cz [on-line]. [cit. 14. října 2011]. Dostupné na WWW: ; iDNES.cz: Češi víc nakupují na síti. Zboží si vyzvedávají osobně, aby ušetřili. iDNES.cz [on-line]. [cit. 5. února 2012]. Dostupné na WWW: .
30
Dle Matyášové patří obecně Češi ve střední a východní Evropě k lídrům v nakupování na internetu a novinky „ze západu“ se u nás zpravidla v této oblasti objevují jako u prvních v regionu (v poslední době z těchto „novinek ze západu“ můžeme zmínit např. weby zaměřené na kolektivní slevy)33. Na druhou stranu se však u nás v poslední době mluví rovněž o určitém „kamenění“ internetových obchodů, neboť nakupující na internetu využívají čím dál více možnosti osobního odběru objednaného zboží, tj. jeho osobního vyzvednutí v některé z kamenných poboček internetového obchodu, u jeho smluvních partnerů apod. Tento trend v České republice dokládají data o vývoji elektronického obchodu v roce 2011. Např. podle výzkumů internetového srovnávače Heureka.cz využilo v roce 2011 osobní odběr přibližně 52 % nakupujících na internetu. Přičemž pokud by měl daný elektronický obchod pobočku v blízkosti bydliště nebo zaměstnání zákazníka, využilo by možnosti osobního odběru dokonce více než 92 % nakupujících. Z důvodů uváděných v souvislosti se vzrůstajícím zájmem o osobní odběr zboží nakoupeného na internetu můžeme zmínit snahu o úsporu poplatků za dopravu (tato úspora však nemusí být tak vysoká, jak zákazník původně očekával, neboť některé internetové obchody začaly zpoplatňovat i osobní odběr34), možnost vyzvednout si zboží dle svých časových možností (např. cestou z práce, aniž by bylo nutné se domlouvat s dopravcem na čase doručení, přizpůsobovat se avizovanému času či časovému rozpětí doručení zboží dopravcem), zkrácení doby mezi nákupem zboží na internetu a jeho dodáním, možnost „šáhnout“ si na kupované zboží, osobní kontakt, omezení nedůvěry spojené s nakupováním na internetu, jakož i to, že lidé na internetu čím dál častěji nakupují i levnější zboží, kdy účtovaný poplatek za dopravu (poštovné) je vzhledem k ceně kupovaného zboží relativně vysoký. Výsledkem je rozšiřování sítě kamenných poboček internetových obchodů a vznik míst specializovaných na vydávání zboží nakoupeného přes internet.35
33
Matyášová, V. Trendy internetového nakupování – kolektivní slevy, exkluzivita i kreativita. Česká televize [on-line]. [cit. 17. října 2011]. Dostupné na WWW: . 34 Podrobněji viz iDNES.cz: Češi víc nakupují na síti. Zboží si vyzvedávají osobně, aby ušetřili. iDNES.cz [online]. [cit. 5. února 2012]. Dostupné na WWW: . 35 iDNES.cz: Češi víc nakupují na síti. Zboží si vyzvedávají osobně, aby ušetřili. iDNES.cz [on-line]. [cit. 5. února 2012]. Dostupné na WWW: ; Česká televize: Češi šetří na poštovném – zboží z e-shopů vyzvedávají osobně. Česká televize [on-line]. [cit. 5. února 2012]. Dostupné na WWW: .
31
Strukturální exkluzivní kontinuální výzkum realizovaný společností Mediaresearch v roce 2010 ukázal, že na internetu pravidelně nakupuje 53 % internetových uživatelů a 70 % internetových uživatelů internet pravidelně využívá k získávání informací o produktech a službách36.37 Doplnit v této souvislosti můžeme výsledky průzkumu prováděného agenturou Mediaresearch pro Asociaci pro elektronickou komerci (APEK) v oblasti nakupování na internetu (dotazování na přelomu března a dubna 2010), které zachycuje graf č. 2 a 3. Graf č. 2 je věnován frekvenci nakupování internetových uživatelů na internetu. Vidíme, že 5 % internetových uživatelů nakupuje na internetu alespoň jednou za týden, 44 % uživatelů alespoň jednou za čtvrt roku, 22 % alespoň jednou za půl roku, méně často pak realizuje nákup 25 % uživatelů internetu. Nákup na internetu ještě nikdy neprovedla pouze 4 % internetových uživatelů. Graf č. 3 si všímá výše útraty za nákupy v internetových obchodech v posledních 12 měsících. Více než 30 000,- Kč utratilo 11 % internetových uživatelů, mezi 20 000,- Kč a 30 000,- Kč 9 % uživatelů, mezi 10 000,- Kč a 20 000,- Kč a 5000,- Kč a 10 000,- Kč shodně po 20 % uživatelů internetu, od 3 000,- do 5 000,- Kč a od 1 000,do 3 000,- Kč opět shodně, tentokrát však vždy po 14 % uživatelů, útratu nižší než 1 000,- Kč přiznává 9 % uživatelů. Většina respondentů předpokládala, že i v následujícím roce bude na internetu utrácet ve stejné míře jako v předcházejícím období.38 Pro dokreslení představy můžeme uvést data ze statistiky Informační technologie v domácnostech a mezi jednotlivci Českého statistického úřadu39, kde hlavním zdrojem dat je Výběrové šetření o využívání informačních a komunikačních technologií v domácnostech a mezi jednotlivci, které každoročně pořádá Český statistický úřad (podrobné šetření probíhá pod záštitou Evropského statistického úřadu ve všech zemích Evropské unie, díky čemuž je možné srovnávat data v mezinárodním měřítku). Výsledky šetření, pokud jde o oblast nakupování na internetu, za roky 2005 – 2011 včetně jsou pro Českou republiku shrnuty v tabulce č. 3. Jak můžeme z tabulky vyčíst, počet jednotlivců, kteří v posledních 12 měsících 36
Podrobněji viz Mediaresearch: Na internetu již nakupuje každý druhý uživatel. Mediaresearch [on-line]. [cit. 17. října 2011]. Dostupné na WWW: a Sdružení pro internetovou reklamu: Online kdykoliv a kdekoliv. Sdružení pro internetovou reklamu [on-line]. [cit. 17. října 2011]. Dostupné na WWW: . 37 Mediaresearch: Na internetu již nakupuje každý druhý uživatel. Mediaresearch [on-line]. [cit. 17. října 2011]. Dostupné na WWW: . 38 Mediaresearch: Uživatelé jsou s nakupováním na internetu spokojení, za rok utratí i desítky tisíc. Mediaresearch [on-line]. [cit. 17. října 2011]. Dostupné na WWW: . 39 Český statistický úřad: Informační technologie v domácnostech a mezi jednotlivci. Český statistický úřad [online]. [cit. 12. ledna 2012]. Dostupné na WWW: .
32
nakoupili přes internet, ve sledovaném období neustále stoupá, přičemž v roce 2011 dosáhl podílu 28,0 % z celkového počtu jednotlivců (vs. 5,5 % v roce 2005). Z šetření rovněž plyne, že na internetu nakupují především lidé ve věku 25 – 34 let, následováni věkovou skupinou 16 – 24 let a na třetím místě se nachází věková skupina 35 – 44 let (dle relativního ukazatele, tj. výše podílu na celkovém počtu jednotlivců v dané skupině). Podíl jednotlivců, kteří v posledních 12 měsících nakoupili přes internet, v jednotlivých socio-demografických skupinách vzrůstá s dosaženým nejvyšším stupněm vzdělání a mezi uživateli převažují muži (29,0 % vs. 26,9 % z celkového počtu jednotlivců). Graf č. 2: Frekvence nakupování internetových uživatelů na internetu v České republice (březen/duben 2010)
Zdroj: MEDIARESEARCH: Uživatelé jsou s nakupováním na internetu spokojení, za rok utratí i desítky tisíc. Mediaresearch [on-line]. [cit. 17. října 2011]. Dostupné na WWW: .
Graf č. 3: Výše útraty nakupujících na internetu za nákupy v internetových obchodech v posledních 12 měsících v České republice (březen/duben 2010)
Zdroj: MEDIARESEARCH: Uživatelé jsou s nakupováním na internetu spokojení, za rok utratí i desítky tisíc. Mediaresearch [on-line]. [cit. 17. října 2011]. Dostupné na WWW: .
33
Tabulka č. 3: Česká republika: Jednotlivci, kteří v posledních 12 měsících nakoupili přes internet (2005 – 2011) 2005 2006 2007 2008 2009 2010 2011 1) 1) 1) 1) 1) 1) v tis. % v tis. % v tis. % v tis. % v tis. % v tis. %1) v tis. % 475,9 5,5 1 009,4 11,7 1 331,2 15,3 1 851,1 21,0 1 950,4 22,0 2 246,7 25,4 2 468,8 28,0
Celkem Věková skupina 16–24 91,4 25–34 166,3 35–44 132,1 45–54 59,7 55–64 23,6 65–74 . 75+ . Nejvyšší dosažené vzdělání (25+) Základní . Střední bez maturity 65,6 Střední s maturitou 180,0 Terciární 135,1 Ekonomická aktivita Zaměstnaný 379,5 Nezaměstnaný 12,5 Student 61,8 Důchodce 8,3 Pohlaví Muž 306,4 Žena 169,5
6,7 9,7 9,7 4,0 1,8
222,1 326,9 244,4 138,1 66,2 11,7 .
18,2 18,9 17,6 9,6 4,7 1,4 .
278,1 434,5 307,5 192,3 98,7 18,5 .
22,9 25,1 21,5 13,7 6,9 2,2 .
427,5 618,8 383,6 260,2 139,5 19,6 .
35,0 35,6 26,0 18,7 9,6 2,3 .
385,9 650,1 457,3 254,3 167,5 31,0 .
31,7 37,9 30,1 18,4 11,3 3,5 .
462,3 739,0 540,2 303,2 155,3 36,9 9,7
38,8 44,5 34,7 22,1 10,5 4,1 1,5
468,3 774,0 628,6 343,5 195,1 53,7 5,5
40,5 48,0 39,3 25,3 13,1 5,7 0,8
2,1 8,0 16,7
6,8 147,8 351,1 281,6
0,6 4,8 15,2 31,9
6,6 192,8 560,3 293,4
0,6 6,4 22,5 32,6
31,4 379,7 623,4 389,2
2,9 12,4 25,2 40,3
21,3 384,1 725,1 434,0
2,1 12,5 28,5 41,5
38,0 431,3 823,5 491,6
4,2 14,0 32,7 43,8
46,7 498,2 856,9 598,8
5,4 16,4 32,9 51,3
8,2 3,0 6,9 0,4
762,8 19,3 175,3 27,9
15,9 5,5 22,1 1,4
991,3 24,1 214,7 41,1
20,2 1 362,3 8,8 25,3 25,9 314,3 2,0 47,1
27,2 1 394,5 11,5 60,8 36,8 278,9 2,3 54,9
28,2 1 580,2 18,2 1 157,4 34,1 342,9 2,8 78,4
32,7 1 743,0 39,7 90,1 40,7 340,4 3,7 94,7
35,9 25,7 40,9 4,4
7,3 3,8
608,3 401,1
14,6 9,0
770,7 560,6
18,3 1 048,9 12,5 802,2
24,5 1 093,4 17,7 857,0
25,3 1 201,8 18,8 1 045,0
28,0 1 245,5 23,0 1 223,2
29,0 26,9
. . .
1)
Hodnota je procentem z celkového počtu jednotlivců v dané socio-demografické skupině. Zdroj: ČESKÝ STATISTICKÝ ÚŘAD: Informační technologie v domácnostech a mezi jednotlivci : Česká republika : Využívání ICT jednotlivci, 2005 – 2010. Český statistický úřad [on-line]. [cit. 12. ledna 2012]. Dostupné na WWW: ; ČESKÝ STATISTICKÝ ÚŘAD: Využívání informačních a komunikačních technologií v domácnostech a mezi jednotlivci 2011 : Nakupování přes internet. Český statistický úřad [on-line]. [cit. 14. ledna 2012]. Dostupné na WWW: ; upraveno.
34
Představu o počtu jednotlivců, kteří v posledních 12 měsících nakoupili přes internet, dokresluje tabulka č. 4, v níž najdeme nejen počet jednotlivců, kteří použili internet v posledních 12 měsících k objednání zboží nebo služby přes internet vyjádřený v absolutních hodnotách podle jednotlivých socio-demografických skupin a jeho relativní vyjádření z celkového
počtu
jednotlivců
v dané
skupině,
ale
uvedené
zde
jsou
i podíly těchto jednotlivců na celkovém počtu jednotlivců v dané socio-demografické skupině používajících internet (tj. z uživatelů internetu v dané socio-demografické skupině). Tabulka dále zahrnuje údaje o počtu jednotlivců, kteří použili internet k objednání zboží nebo služby přes internet a za toto zboží nebo službu následně i přes internet zaplatili40. Jak můžeme vidět, počet jednotlivců, kteří v posledních 12 měsících nakoupili přes internet a za objednané zboží nebo službu následně přes internet také zaplatili, dosáhl v roce 2011 hodnoty 1 149,2 tisíc jednotlivců, což v relativním vyjádření představuje 13,0 % z celkového počtu jednotlivců a 46,6 % z celkového počtu jednotlivců, kteří uskutečnili objednávku přes internet. Co se týče struktury jednotlivců, kteří v posledních 12 měsících uskutečnili nákup přes internet a zároveň za objednané zboží nebo služby přes internet také zaplatili, můžeme si všimnout, že pokud jde o pohlaví, přes internet za objednané zboží nebo služby přes internet platí více muži než ženy (podíl mužů, kteří zaplatili přes internet, na celkovém počtu mužů, kteří uskutečnili objednávku zboží nebo služeb přes internet, činí 49,5 %, zatímco podíl žen, které zaplatily přes internet, na celkovém počtu žen, které uskutečnily objednávku zboží nebo služeb přes internet, činí 43,5 %). Co se týče věku, za povšimnutí stojí skutečnost, že nejvyšší hodnoty, pokud jde o podíl jednotlivců v dané věkové skupině, kteří zaplatili přes internet, na celkovém počtu jednotlivců v dané věkové skupině, kteří uskutečnili objednávku zboží nebo služeb přes internet, dosahuje věková skupina 75+, a to s hodnotou 59,4 %, následovaná věkovou skupinou 25 – 34 let (53,2 %) a 35 – 44 let (49,6 %). Umístění věkové skupiny 75+ na prvním místě může být překvapením. Na druhou stranu počet jednotlivců v této věkové skupině, kteří v posledních 12 měsících nakoupili přes internet, dosáhl pouze hodnoty 5,5 tisíce jednotlivců, což v relativním vyjádření představuje 0,8 % z celkového počtu jednotlivců v této věkové skupině, resp. 19,8 % z celkového počtu jednotlivců v této věkové skupině používajících internet. Co se týče ukazatele podílu počtu jednotlivců v této 40
Platbou přes internet se dle vyjádření Českého statistického úřadu (vzhledem k chybějícímu vymezení tohoto pojmu pro účely této statistiky jsem se prostřednictvím e-mailu dotázala na přesné vymezení tohoto termínu pro účely této statistiky na uvedené kontaktní adrese pro dotazy vztahující se k dané statistice, odpověď mi byla zaslána na e-mail dne 17.1.2012 z Oddělení informačních služeb Českého statistického úřadu) v této statistice rozumí provedení platby platební kartou přes internet, prostřednictvím „elektronické peněženky“ a převodem přes internetové bankovnictví.
35
věkové skupině, kteří objednali zboží nebo služby přes internet a zároveň za ně přes internet rovněž zaplatili, na celkovém počtu jednotlivců v této věkové skupině dosahuje pouze hodnoty 0,5 %.41 Tabulka č. 4: Česká republika: Jednotlivci, kteří použili internet v posledních 12 měsících k objednání zboží nebo služby přes internet (2. čtvrtletí 2011) Jednotlivci, kteří použili internet v posledních 12 měsících k objednání zboží nebo služby přes internet: celkem v tis. Celkem 16+ Pohlaví Muži Ženy Věková skupina 16–24 let 25–34 let 35–44 let 45–54 let 55–64 let 65–74 let 75+ Vzdělání (25+) Základní střední bez maturity střední s maturitou vysokoškolské Zaměstnanecký status zaměstnaní nezaměstnaní Studenti starobní důchodci
z toho za ně zaplatili přes internet
%1)
%2)
v tis.
%1)
%3)
2 468,8
28,0
42,7
1 149,2
13,0
46,6
1 245,5 1 223,2
29,0 26,9
41,9 43,5
616,8 532,4
14,4 11,7
49,5 43,5
468,3 774,0 628,6 343,5 195,1 53,7 5,5
40,5 48,0 39,3 25,3 13,1 5,7 0,8
42,7 54,9 46,7 35,2 28,3 22,7 19,8
174,1 411,8 311,6 149,5 82,6 16,3 3,3
15,1 25,5 19,5 11,0 5,6 1,7 0,5
37,2 53,2 49,6 43,5 42,3 30,3 59,4
46,7 498,2 856,9 598,8
5,4 16,4 32,9 51,3
29,1 33,0 44,0 56,2
15,0 160,9 414,8 384,5
1,7 5,3 15,9 33,0
32,1 32,3 48,4 64,2
1 743,0 90,1 340,4 94,7
35,9 25,7 40,9 4,4
44,3 41,3 41,6 22,5
866,7 35,0 124,1 26,6
17,8 10,0 14,9 1,2
49,7 38,8 36,4 28,1
1)
Hodnota je procentem z celkového počtu jednotlivců v dané socio-demografické skupině.
2)
Hodnota je procentem z celkového počtu jednotlivců v dané socio-demografické skupině používajících internet
(z uživatelů internetu). 3)
Hodnota je procentem z celkového počtu jednotlivců v dané socio-demografické skupině, kteří uskutečnili
objednávku přes internet. Zdroj: ČESKÝ STATISTICKÝ ÚŘAD: Využívání informačních a komunikačních technologií v domácnostech a mezi jednotlivci 2011 : Nakupování přes internet. Český statistický úřad [on-line]. [cit. 14. ledna 2012]. Dostupné na WWW: ; upraveno.
41
Český statistický úřad: Využívání informačních a komunikačních technologií v domácnostech a mezi jednotlivci 2011 : Nakupování přes internet. Český statistický úřad [on-line]. [cit. 14. ledna 2012]. Dostupné na WWW: .
36
Zajímala-li by nás struktura jednotlivců, kteří v posledních 12 měsících uskutečnili nákup přes internet a zároveň za objednané zboží nebo služby přes internet také zaplatili, z hlediska nejvyššího dosaženého vzdělání, tak podíl jednotlivců s danou úrovní vzdělání, kteří zaplatili přes internet, na celkovém počtu jednotlivců s danou úrovní vzdělání, kteří uskutečnili objednávku zboží nebo služeb přes internet, roste se zvyšující se úrovní nejvyššího dosaženého vzdělání (v případě základního vzdělání se jedná o podíl ve výši 32,1 %, středního bez maturity 32,3 %, středního s maturitou 48,4 % a vysokoškolského 64,2 %).42 V příloze č. 3 této práce je pro dokreslení uvedeno základní mezinárodní srovnání České republiky z pohledu nákupů na internetu v evropském kontextu v roce 201043. Z tabulky můžeme vyčíst, že podíl jednotlivců nakupujících přes internet z celkového počtu uživatelů internetu dosáhl v České republice v roce 2010 hodnoty 39,8 %, což je o 17 procentních bodů méně než je průměr Evropské unie (EU27), která se ve stejném období může pochlubit podílem jednotlivců nakupujících přes internet z celkového počtu uživatelů internetu ve výši 56,8 %. Možnost srovnání v čase nabízí příloha č. 4 této práce, na základě níž lze konstatovat postupné přibližování České republiky průměru Evropské unie. A jaké zboží a služby se nejčastěji prodávají přes internet v České republice? Odpověď může být poměrně jednoduchá - domácí spotřebiče, elektronika, oblečení, knihy a kosmetické výrobky44.45 Podrobnější informace přináší šetření Českého statistického úřadu, dle jehož výsledků se v případě zboží jedná především o oblečení, obuv a módní doplňky (které přes internet v posledních 12 měsících nakoupilo v České republice 44,5 % jednotlivců 42
Český statistický úřad: Využívání informačních a komunikačních technologií v domácnostech a mezi jednotlivci 2011 : Nakupování přes internet. Český statistický úřad [on-line]. [cit. 14. ledna 2012]. Dostupné na WWW: . 43 Aktuálnější data na této úrovni v současné době (stav k 19. 8. 2012) nejsou k dispozici. 44 Z průzkumu prováděného agenturou Mediaresearch pro Asociaci pro elektronickou komerci (APEK) v oblasti nakupování na internetu (dotazování na přelomu března a dubna 2010) plyne, že v uplynulých 12 měsících lidé na internetu utráceli především za stolní nebo přenosné počítače a počítačový hardware (45 %), zhruba třetina lidí tímto způsobem nakoupila oblečení či boty, mobilní telefony a jejich příslušenství, domácí (bílé) spotřebiče a knihy. V kamenných obchodech naopak lidé nakupují především zboží krátkodobé spotřeby, jako jsou např. potraviny či drogerie. (Mediaresearch: Uživatelé jsou s nakupováním na internetu spokojení, za rok utratí i desítky tisíc. Mediaresearch [on-line]. [cit. 17. října 2011]. Dostupné na WWW: ) Podle údajů společnosti GfK Czech dokonce Češi nakupují na internetu např. už přibližně 20 % technického zboží včetně spotřební elektroniky, čímž dokonce překonávají ostatní evropské země (Finance.cz: APEK: Internetové obchody loni utržily rekordních 33 mld. Kč. Finance.cz [on-line]. [cit. 14. října 2011]. Dostupné na WWW: ). 45 Finance.cz: APEK: Internetové obchody loni utržily rekordních 33 mld. Kč. Finance.cz [on-line]. [cit. 14. října 2011]. Dostupné na WWW: .
37
z celkového počtu jednotlivců, kteří v posledních 12 měsících nakoupili přes internet), následuje kosmetika, přístroje pro péči o tělo a zdravotnické prostředky (26,5 %), dále sportovní potřeby (25,6 %), elektronika (18,5 %), knihy, noviny a časopisy (rovněž 18,5 %). Předposlední místo patří bílé technice a elektrospotřebičům pro domácnost (12,8 %), místo poslední ze sledovaných druhů zboží zaujímají mobilní telefony a jejich příslušenství (11,9 %). Pokud jde o služby, tak prostřednictvím internetu se nejčastěji nakupovaly vstupenky na kulturní akce (které přes internet v posledních 12 měsících nakoupilo v České republice 27,8 % jednotlivců z celkového počtu jednotlivců, kteří v posledních 12 měsících nakoupili přes internet), následuje ubytování (14,1 %), letenky, jízdenky na vlak nebo autobus (13,5 %), jiné vstupenky (12,4 %), telekomunikační služby (10,3 %), fitness, wellness (7,1 %) a jiné služby (3,5 %). Podrobněji viz tabulka č. 5. Celkový obraz dokreslují výsledky studie společnosti Mediaresearch E-commerce ze srpna 2011, jejíž dílčí výsledky jsou zachyceny v příloze č. 5. Z této studie mimo jiné plyne, že nakupování na internetu je v České republice doménou spíše mladších internetových uživatelů se středoškolským či vysokoškolským vzděláním (frekvence nakupování se citelně snižuje u věkové kategorie nad 55 let). I když muži nakupují na internetu dle této studie srovnatelně často jako ženy, celkově utratili za sledované období při nákupech přes internet větší množství finančních prostředků než ženy, což je do jisté míry dáno strukturou nákupních košíků, která se u mužů a žen na první pohled liší (kategorie: počítače, notebooky a hardware vs. kategorie: oblečení, boty).46 Tuto část můžeme uzavřít výsledky průzkumu společnosti MasterCard, který byl proveden v červnu 2011 na reprezentativním vzorku téměř jednoho tisíce respondentů (klientů tuzemských bank), z kterého vyplynulo, že naprostá většina obyvatel České republiky (96 %) ve věku od 18 do 69 let už používá internet denně, přičemž devět z deseti Čechů dle provedeného průzkumu alespoň občas také nakupuje.47
46
Mediaresearch: Spokojenost s nakupováním na internetu je velmi vysoká. Mediaresearch [on-line]. [cit. 17. října 2011]. Dostupné na WWW: . 47 Podrobněji viz Kučera, P. Nakupujete na internetu? Devět z deseti Čechů už ano. Aktuálně.cz [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: .
38
Tabulka č. 5: Druh zboží a služeb, které byly jednotlivci nakoupeny přes internet v posledních 12 měsících pro soukromé účely (2. čtvrtletí 2011) Druh zboží kosmetika, přístroje pro péči o tělo, zdravotnické prostředky
oblečení, obuv, módní doplňky
v tis. Celkem 16+
%1)
%2)
v tis.
1 099,3 12,4 44,5
%1) %2)
654,3 7,4 26,5
elektronika (TV, DVD, MPS, sportovní potřeby kancelářská technika, atd.) v tis.
%1) %2)
632,5 7,2 25,6
v tis.
%1) %2)
457,0 5,2 18,5
knihy, noviny, časopisy
v tis.
%1) %2)
bílá technika a elektrospotřebiče pro domácnost (lednice, pračky, myčky, atd.) v tis.
%1) %2)
mobilní telefony a jejich příslušenství v tis.
%1) %2)
456,3 5,2 18,5
316,6 3,6 12,8
294,5 3,3 11,9
telekomunikační služby (poplatky za TV, internet, pevnou linku či mobilní telefon atd.)
fitness, wellness (manikúra, masáže, kosmetická ošetření, vstupenky do fitcenter atd.)
jiné služby (gastornomie, vzdelávací kurzy apod.)
Druh služeb vstupenky na kulturní akce (kino, divadlo, hudební festival atd) v tis. %1) Celkem 16+ 685,1 7,8
letenky, jízdenky na vlak nebo autobus
ubytování
%2)
v tis.
%1)
27,8
348,4 3,9
%2)
v tis.
%1)
14,1
332,9 3,8
jiné vstupenky (např. sportovní akce)
%2)
v tis.
13,5
305,5 3,5
1)
%1)
%2)
v tis.
%1)
%2)
12,4
254,4 2,9 10,3
v tis.
%1) %2) v tis. %1) %2)
174,6 2,0 7,1
87,1 1,0 3,5
Hodnota je procentem z celkového počtu jednotlivců v dané socio-demografické skupině. Hodnota je procentem z celkového počtu jednotlivců v dané socio-demografické skupině, kteří v posledních 12 měsících nakoupili přes internet Zdroj: ČESKÝ STATISTICKÝ ÚŘAD: Využívání informačních a komunikačních technologií v domácnostech a mezi jednotlivci 2011 : Nakupování přes internet. Český statistický úřad [on-line]. [cit. 14. ledna 2012]. Dostupné na WWW: ; upraveno.
2)
39
Jako hlavní důvody nákupů v internetových obchodech bývají uváděny nižší cena zboží (na významu tento faktor nabyl v uplynulých letech v souvislosti s hospodářskou krizí a s ní související snahou lidí nakoupit co nejvýhodněji), pohodlí a úspora času.48 Na českém trhu v roce 2011 (říjen 2011) působilo přibližně 30 tisíc e-shopů. Mezi nejoblíbenější z nich patřily zpravidla ty, které nabízejí rychlé dodání zboží, výhodné ceny, nízkou cenu dopravy (příp. dopravu zdarma) a kvalitní komunikaci. E-zákazníci oceňují také možnost osobního odběru zboží a vítají tak současný trend zvyšování počtu výdejních míst po celé České republice.49 Pozitivní pro oblast elektronického obchodu je skutečnost, že z průzkumu prováděného agenturou Mediaresearch pro Asociaci pro elektronickou komerci (APEK) v oblasti nakupování na internetu (dotazování na přelomu března a dubna 2010) vyplývá, že naprostá většina všech nakupujících na internetu (99 %) uvádí, že je na základě svých osobních zkušeností z posledního roku s nakupováním převážně spokojena. Za zmínku však stojí i zjištění, že více než tři čtvrtiny internetových uživatelů vnímá při nakupování ohrožení možnými riziky. Největší obavy mají v této souvislosti lidé z finančních podvodů, podvodů týkajících se kvality produktů a reklamačních podmínek.50 Vzhledem k zaměření práce na bezpečnostní rizika elektronického obchodu a elektronického bankovnictví by neměla zůstat opomenuta skutečnost, že právě pro pocit větší kontroly a bezpečnosti preferují uživatelé při placení za internetové nákupy v České republice platby na dobírku. Jako nejčastější způsob platby v posledních 12 měsících při nákupech na internetu označilo dobírku v rámci studie prováděné společností Mediaresearch E-commerce v srpnu 2011 41 % respondentů (o rok dříve 44 %). Na druhém místě se pak „umístila“ platba bankovním převodem s 25 % (vs. 35 % v roce 2010) a na děleném třetím místě platba platební kartou přes internet se 14 % (v roce 2010 se jednalo pouze o 8 %) a platba na pobočce při odběru rovněž se 14 % (vs. v roce 2010 10 %).51 Podrobněji viz graf č. 4.
48
Finance.cz: APEK: Internetové obchody loni utržily rekordních 33 mld. Kč. Finance.cz [on-line]. [cit. 14. října 2011]. Dostupné na WWW: . 49 Popela, L. Soutěž o nejkvalitnější české internetové obchody má své vítěze. Mediafax.cz [on-line]. [cit. 17. října 2011]. Dostupné na WWW: . 50 Mediaresearch: Uživatelé jsou s nakupováním na internetu spokojení, za rok utratí i desítky tisíc. Mediaresearch [on-line]. [cit. 17. října 2011]. Dostupné na WWW: . 51 Mediaresearch: Spokojenost s nakupováním na internetu je velmi vysoká. Mediaresearch [on-line]. [cit. 17. října 2011]. Dostupné na WWW: .
40
Preferenci úhrady platby za zboží a/nebo služby nakoupené přes internet na dobírku potvrzuje i novější statistika Asociace pro elektronickou komerci (zveřejněno 18. 12. 2011), podle které je nejčastěji používána dobírka (49 %), následována bankovním převodem (26 %), platbou osobně při odběru na pobočce (10 %), platební kartou (9 %), elektronickou peněženkou a mobilní platbou (shodně po 2 %), platbou prostřednictvím platební brány (1 %) a ostatními způsoby úhrady (1 %). Ředitel APEK Jan Vetyška k tomu uvedl: „Jedná se o klasický český konzervatismus a opatrnost. Když ke mně přijde pošťák a dává mi zboží, v tu chvíli jsem ochoten zaplatit. To, že dobírečné je nějaký náklad navíc při nákupu na internetu, zákazníky tolik netrápí, protože ušetří větší částku tím, že to kupují přes internet“.52 Graf č. 4: Nejčastěji používaný způsob platby při nákupu na internetu v posledních 12 měsících v České republice (srpen 2011) Jakým způsobem jste v posledních 12 měsících nejčastěji platil(a) za nákupy na internetu? Ti, kteří nakoupili v posledních 12 měsících, N(2011)=1023, N(2010)=978
2010 0%
2011 10%
20%
30%
40%
Na dobírku Bankovním převodem 8
Platební kartou přes internet
10
Platba na pobočce při odběru Z účtu na platebním systému Prostřednictvím platební brány Na splátky (úvěrem, leasingem,…) Prostřednictvím SMS
25
35
41
50%
44
14 14
2 3 1 2 1
Jinak
1 0
Nevím
0
Zdroj: Výzkum E-commerce 2011, MEDIARESEARCH, a.s., internetová populace 15+, srpen 2011
Zdroj: MEDIARESEARCH: Spokojenost s nakupováním na internetu je velmi vysoká. Mediaresearch [on-line]. [cit. 17. října 2011]. Dostupné na WWW: .
52
Česká televize: Češi jako praví „dobírkáři“ odmítají platit kartou online. Česká televize [on-line]. [cit. 6. února 2012]. Dostupné na WWW: .
41
2 Elektronické bankovnictví Elektronické bankovnictví jako součást elektronického obchodování představuje moderní způsob komunikace klienta s bankou, resp. moderní způsob poskytování a využívání jednotlivých typů bankovních služeb elektronickou cestou. To znamená, že z hlediska jejich podstaty se fakticky dle Máčeho53 nejedná o nové produkty platebního styku, pouze došlo k tomu, že se změnil proces jejich sjednání, využití či ukončení oproti klasickému způsobu, a to tak, že se plně či zčásti převedl do elektronické podoby. Na druhou stranu i sám Máče54 připouští, že zatímco v některých případech se možnosti a využití takového produktu významně nezměnily, u jiných je možné pozorovat významný dopad i na funkčnost produktu. V takovém případě pak lze hovořit o novém produktu. Rozvoj elektronického bankovnictví je možné dle Bindy spojovat se snahou bank přizpůsobovat své služby nejen potřebám individuálních klientů, ale nabízet je rovněž v takové formě, aby byly dostupné komukoliv, kdekoliv a v jakémkoliv čase55. Neodmyslitelnou součást elektronického bankovnictví dnes představují platební karty a různé systémy elektronické komunikace klienta s bankou, které umožňují přímé provádění vybraných operací, tzn. bez fyzické přítomnosti klienta na pobočce banky. Elektronické bankovnictví tak zahrnuje takové produkty, jako jsou telefonické bankovnictví, GSM banking, WAP banking, PDA banking, internetové bankovnictví, homebanking či tzv. televizní bankovnictví. Toto poměrně široké vymezení elektronického bankovnictví naznačuje, že se jedná o značně různorodou skupinu produktů, které se liší nejen používanými technickými a softwarovými prostředky, ale i různou úrovní a způsobem zabezpečení, resp. výší podstupovaných bezpečnostních rizik zúčastněných subjektů. Platební karty i moderní elektronické systémy komunikace klientů s bankou přináší řadu výhod nejen pro samotné klienty, ale také pro poskytující banky. Klienti bank používající služby elektronického bankovnictví oceňují především výraznou úsporu času, nižší ceny, možnost využívat tyto služby odkudkoliv a celých 24 hodin denně 7 dní v týdnu, a to po celý rok, pohodlí, diskrétnost a dnes už i komplexnost nabízených služeb. Pro banky elektronické bankovnictví znamená především nulovou chybovost při zpracování transakcí klientů, možnost omezit výši celkových nákladů z důvodu nižších transakčních nákladů na provádění 53
Máče, M. Platební styk klasický a elektronický. 2006, s. 169. Máče, M. Platební styk klasický a elektronický. 2006, s. 169. 55 Polouček, S. a kol. Bankovnictví. 2006, str. 175. 54
42
platebního styku a z důvodu určité úspory pracovních sil ve front-office a back-office, možnost zvýšit efektivnost bankovní činnosti, posílit svoji konkurenceschopnost, zvýšit svůj tržní podíl a kvalitu poskytovaných služeb. V následujícím textu se budeme postupně zabývat jednotlivými segmenty elektronického bankovnictví. Než však přistoupíme k jednotlivým službám elektronického bankovnictví, vymezíme si platební styk a jeho základní kategorie, abychom elektronické bankovnictví ukotvili v nabídce bankovních produktů a byli jsme schopni postihnout potřebné souvislosti. Platebním stykem se rozumí vztah mezi plátcem a příjemcem platby, při kterém dochází k uskutečnění platby, tj. k převodu peněžních prostředků mezi plátcem a příjemcem, a to buď přímo mezi nimi bez účasti zprostředkovatele nebo s jeho účastí. Prostředníkem bývá v těchto případech zpravidla finanční instituce, nejčastěji banka.56 Platební styk je možné dělit dle řady kritérií. Základní členění je dle formy peněz použitých k platbě, tj. dělení platebního styku na hotovostní a bezhotovostní platební styk. Hotovostní platební styk je platební styk, při kterém si plátce a příjemce předávají hotovost ve formě bankovek a mincí, v případě bezhotovostního platebního styku jde o převod peněz od jednoho subjektu k druhému realizovaný prostřednictvím jejich běžných nebo jiných účtů vedených zprostředkujícími institucemi57. Na závěr se ještě zastavme u elektronických peněz, které se světem elektronického obchodu a elektronického bankovnictví souvisí. § 4 odst. 1 zákona č. 284/2009 Sb., o platebním styku, v platném znění, vymezuje elektronické peníze jako peněžní hodnotu, která představuje pohledávku vůči tomu, kdo ji vydal, která je uchovávaná elektronicky, vydávaná proti přijetí peněžních prostředků za účelem provádění platebních transakcí a přijímaná jinými osobami než tím, kdo ji vydal. To znamená, že držitel elektronických peněz předal v hotovosti nebo prostřednictvím bezhotovostního převodu vydavateli elektronických peněz určitou sumu peněžních prostředků, která byla tímto vydavatelem převedena do elektronických peněz. Aby tyto peníze mohl jejich držitel používat, bývá mu vydán nástroj k jejich používání (např. elektronická peněženka) nebo mu jsou sděleny autentifikační údaje pro možnost elektronického placení těmito penězi v rámci různých privátních zúčtovacích platebních systémů.58 56
Polouček, S. a kol. Bankovnictví. 2006, str. 141. Polouček, S. a kol. Bankovnictví. 2006, str. 142. 58 Schlossberger, O. Platební služby. 2012, str. 143 - 145. 57
43
2.1 Platební karty Platební karty jsou nejstarším a v současné době také nejrozšířenějším produktem elektronického bankovnictví, který umožňuje vzdálený přístup k účtu elektronickou cestou, a to jak prostřednictvím pokladních terminálů, tak i jinými způsoby, např. přes internet.59 Rozvoj
platebních
karet
souvisí
se
značným
rozšířením
osobních
a
firemních
(podnikatelských) běžných a úvěrových účtů u bank, s úsilím překonat nedostatky šekového a zejména pak hotovostního platebního styku a v neposlední řadě i se snahou umožnit komitentům snadnější a bezpečnější nakládání s vlastními či půjčenými finančními prostředky60. Bez nadsázky dnes můžeme říci, že platební karty jsou moderním instrumentem platebního styku využívaným zejména k bezhotovostní úhradě spotřebních výdajů a k výběru hotovosti.61 2.1.1
Výhody a nevýhody platebních karet pro držitele a obchodníky
Vzrůstající obliba používání nejrůznějších druhů platebních karet souvisí s výhodami, které tyto instrumenty přináší svým držitelům – klientům – zákazníkům, ale i obchodníkům a dalším subjektům. Podívejme se tedy na to, o jaké hlavní výhody se jedná, a to jak z pohledu držitelů, tak i z pohledu obchodníků. Pro úplnost budou uvedené výhody doplněné o nevýhody, s nimiž jsou tyto instrumenty a jejich používání spojeno. Z hlavních výhod spojených s používáním platebních karet pro uživatele - klienty můžeme zmínit:62 -
jednoduché použití;
-
přístup k potřebným finančním prostředkům, a to 24 hodin denně (zákazník není limitován aktuální výší své hotovosti, kterou má v danou chvíli u sebe, ale může čerpat své finanční prostředky ze svého běžného účtu, využívat půjčené finanční prostředky ze svého úvěrového účtu atd.);
-
držitel karty čerpá prostředky ze svého účtu až v době provedení platby, příp. i později v závislosti na druhu karty;
59
Máče, M. Platební styk klasický a elektronický. 2006, s. 170. Belás a Klimiková (Belás, J., Klimiková, M. Platobný styk. 2003, s. 84 – 88) v této souvislosti uvádí, že důvody pro zavedení platebních karet jako nástroje platebního styku je možné vidět v oblasti společenskoekonomické, bezpečnostní, v oblasti kvality a dostupnosti služeb, podpory prodeje produktů ve spolupráci, psychologických aspektů prodeje a společenských nákladů. 61 Máče, M. Platební styk klasický a elektronický. 2006, s. 55. 62 Máče, M. Platební styk klasický a elektronický. 2006, s. 59; Juřík, P. Svět platebních karet. 1995, s. 64 - 65. 60
44
-
vyšší bezpečnost ve srovnání s hotovostí (úspěšné použití platební karty bývá spojeno např. se znalostí PIN kódu či ověřením podpisu držitele, ztracenou či odcizenou kartu je možné poměrně rychle a snadno zablokovat a zabránit tak jejímu dalšímu použití a čerpání finančních prostředků držitele, což v případě ztráty hotovosti možné z důvodu anonymity hotovosti nelze, bezpečnost v tomto směru zvyšuje také existence pojištění ztráty a krádeže platebních karet);
-
úsporu času a poplatků spojených se směnou hotovosti;
-
výhodnější kurz pro zúčtování plateb (tyto operace jsou prováděny kurzem deviza prodej, nikoliv valutovým kurzem, který je pro plátce zpravidla méně výhodný);
-
široká možnost použití v tuzemsku, příp. i v zahraničí;
-
přehled o platební kartou uskutečněných transakcích za vybrané období (tato skutečnost má dnes velký význam nejen pro zákazníky - podnikatelské subjekty, ale i pro zákazníky - fyzické osoby v rámci jejich osobních financí a osobního finančního plánování, držitel karty je přesně informován o tom, kdy, kde a kolik utratil);
-
různé doplňkové služby pro držitele spojené s danou platební kartou (např. pojištění) a
-
zvýšení osobní prestiže (dnes zejména v případě používání některé z nadstandardních platebních karet, např. tzv. zlaté či platinové).
Na druhou stranu je však třeba si uvědomit, že platební karty a jejich používání s sebou nesou určité nevýhody. K hlavním z nich patří především: -
poplatky spojené s vydáním a následným používáním platební karty;
-
možnost zneužití karty v případě její ztráty či odcizení;
-
ztráta anonymity a
-
možnost zvýšení výdajů (jednoduché použití a přístup k potřebným finančním prostředkům 24 hodin denně se ne vždy musí jevit pouze jako výhoda, ale může s sebou přinést i zvýšení výdajů, což může mít řadu negativních důsledků nejen v případě zákazníků - podnikatelských subjektů, ale i v případě zákazníků – fyzických osob, v této souvislosti je třeba si uvědomit, že zákazník může mít prostřednictvím platební karty přístup nejen ke svým finančních prostředkům, ale v případě kreditní karty dochází k čerpání úvěru, tzn. zadlužování zákazníka – klienta, což může mít následně negativní dopady nejen na mikroekonomické úrovni, ale v případě kumulování těchto jevů se může projevit i na úrovni makroekonomické).
45
Pokud jde o výhody pro obchodníky, kteří akceptují platební karty při platbách za zboží a služby, bývají nejčastěji zmiňovány: -
jednoduché použití;
-
vyšší bezpečnost v důsledku přijímaní menší hotovosti (dochází ke snížení rizika ztráty, odcizení hotovosti, přijetí padělku apod.);
-
snížení nákladů spojených se správou, ochranou a vkládáním přijatých hotovostních finančních prostředků na bankovní účet obchodníka;
-
možnost zvýšení obratu obchodníka, udržení stávajících zákazníků a získání zákazníků nových (např. v důsledku skutečnosti, že zákazník není „omezen“ aktuální výší své hotovosti v peněžence, ale může disponovat finančními prostředky, které má v dané době k dispozici na svém běžném či úvěrovém účtu63, díky možnosti provedení bezhotovostní platby prostřednictvím platební karty může zákazník uskutečnit rovněž nákup, s nímž předem nepočítal, díky možnosti oslovení zákazníků, kteří preferují bezhotovostní způsob platby prostřednictvím platební karty např. z důvodu bezpečnosti či vyššího komfortu platby64, získání nových zákazníků díky propagaci daného obchodníka v souvislosti s akceptací platebních karet, používáním určitého, bezpečného protokolu při on-line platbách, v souvislosti se zvýšením prestiže daného obchodníka apod., nákup zboží či služby může uskutečnit v kamenném obchodě přijímajícím platební karty i zahraniční zákazník, který by jinak nákup neuskutečnil, protože nechce nebo si nestačil vyměnit svoji národní měnu za měnu domácí, v našem případě tedy české koruny65, v případě internetových obchodů pak můžeme zmínit i umožnění bezproblémového a pohodlného placení zahraničních zákazníků);66
63
Tento vztah potvrzuje např. MasterCard® International, která v této souvislosti přímo uvádí, že „držitel platební karty je při nákupu silně ovlivňován psychologickým efektem „plastikových peněz“, který zapříčiní, že hodnota nákupu hrazená platební kartou je vyšší (někdy dokonce několikanásobně) než při nákupu v hotovosti“ (MasterCard® International: Výhody akceptace karet. MasterCard® International [on-line]. [cit. 12. září 2011]. Dostupné na WWW: ). 64 Dle MasterCard® International oceňují zákazníci tuto možnost platby zejména v případě platby vyšších částek (MasterCard® International: Výhody akceptace karet. MasterCard® International [on-line]. [cit. 12. září 2011]. Dostupné na WWW: ). 65 MasterCard® International: Proč přijímat platební karty. MasterCard® International [on-line]. [cit. 12. září 2011]. Dostupné na WWW: . 66 V souvislosti s touto výhodou lze zmínit i tzv. Co-branded (příp. i Multi-Branded) a Affinity Cards, podrobněji viz např. Juřík, P. Encyklopedie platebních karet : Historie, současnost a budoucnost peněz a platebních karet. 2003, s. 195 – 205; VISA: Co-branded Cards. VISA [on-line]. [cit. 22. září 2011]. Dostupné na WWW: ; MasterCard Worldwide: CoBranded Cards : Use the power of partnership. MasterCard Worldwide [on-line]. [cit. 22. září 2011]. Dostupné na WWW: .
46
-
jistota provedené platby - při dodržení podmínek stanovených pro přijímání platebních karet je bezhotovostní platba provedená platební kartou garantována;
-
odpadá anonymnost klienta – příjemce platby – obchodník ví, kdo mu platební kartou platí (na rozdíl od hotovosti), což přispívá nejen k vyšší bezpečnosti, ale má dle Juříka i svou marketingovou hodnotu, kterou využívají především banky a obchodníci67;
-
zvýšení prestiže a
-
posílení konkurenceschopnosti obchodníka.
Z nevýhod přijímání platebních karet pro obchodníky můžeme zmínit především: -
provize placené obchodníky bankám či organizacím zajišťujícím zúčtování transakcí (především mezi menšími obchodníky je možné pozorovat jistou nechuť k instalování EFT POS68, neboť z tržeb inkasovaných prostřednictvím platebních karet pak musí tito obchodníci odvádět stanovenou část bankám);
-
potřeba odpovídajícího technického vybavení (vhodné terminály umožňující přijímání platebních karet69, odpovídající technologie pro provedení platby) a
2.1.2
potřeba proškolení zaměstnanců. Druhy platebních karet
Platební karty je možné dělit dle řady kritérií. Pro účely této práce se v následujícím textu zaměříme na klasifikaci platebních karet podle způsobu zúčtování transakcí, technických zařízení, v nichž lze platební kartu použít, použité technologie na jejich výrobu a teritoria. U jednotlivých druhů platebních karet se krátce zastavíme a stručně si je charakterizujeme, abychom se později mohli zaměřit na bezpečnostní rizika s nimi spojená. Platební karty můžeme dělit podle:70 - způsobu zúčtování transakcí - debetní karty (debit card) – dnes nejvíce rozšířený typ platební karty71, vydávaný k běžným účtům, s nimiž jejich držitel provádí platby za zboží a služby nebo vybírá hotovost, 67
Juřík, P. Svět platebních karet. 1995, s. 64. Electronic Funds Transfer at Point of Sale nebo-li elektronický přenos dat v místě prodeje je výraz používaný pro elektronický platební terminál umožňující přečíst data z karty a odeslat data o transakci zpracovateli (Finanční vzdělávání.cz: Slovníček : Kartové produkty. Finanční vzdělávání.cz [on-line]. [cit. 12. září 2011]. Dostupné na WWW: ). 69 Některé banky dnes však obchodníkům nabízí vybavení obchodního místa terminálem formou bezplatného pronájmu (MasterCard® International: Typy terminálů. MasterCard® International [on-line]. [cit. 12. září 2011]. Dostupné na WWW: ). 70 Není-li uvedeno jinak Máče, M. Platební styk klasický a elektronický. 2006, s. 60 – 61; Juřík, P. Svět platebních karet. 1995, s. 32 - 42; Belás, J., Klimiková, M. Platobný styk. 2003, s. 95 - 98. 68
47
banka u tohoto typu karet neposkytuje držiteli úvěr, tzn., že po použití karty je částka odepsána z běžného účtu ihned, jakmile se vydávající banka o transakci dozví, a držitel tak využívá pouze vlastní finanční prostředky, prostřednictvím této karty je tak možné provádět platby pouze do výše povoleného zůstatku na daném běžném účtu,72 - kreditní, úvěrové karty (credit card) – platební karty, jejichž prostřednictvím poskytuje vydavatelská banka nebo banka, která má smlouvu s vydavatelem, klientovi možnost čerpání spotřebitelského úvěru, držitel ji může stejně jako debetní kartu použít k placení za zboží a služby či k výběru hotovosti, držitel karty si však v tomto případě půjčuje (a to zpravidla opakovaně) od banky finanční prostředky, a to až do výše úvěrového limitu, které následně splácí, - charge karty – nejstarší typ platebních karet, u kterých provádí držitel karty úhradu provedených plateb podle jejich měsíčního výpisu, který mu zasílá vydavatel karty, na základě sjednaných podmínek je následně držitel karty povinen ve stanovené době, resp. do stanoveného termínu uhradit svůj závazek, - předplacené platební karty (pre-paid card) – předplacené platební karty, které jsou předem „nabity“ určitým finančním obnosem, který je následně možné čerpat stanoveným způsobem, jedná se tedy o platební karty, které nejsou propojeny s běžným účtem jako debetní karty, ani u nich nedochází k poskytnutí spotřebitelského úvěru jako v případě kreditních karet, obnos, který je možné utratit, je omezen výší předem nabité částky73,74 - technických zařízení, v nichž lze platební kartu použít - embosované karty – identifikační údaje jsou na kartách vyraženy (tzv. embosovány) reliéfním písmem, díky čemuž je možné je použít nejen v elektronickém prostředí (ATM75, EFT POS), ale z důvodu možnosti snímání údajů i v mechanických snímačích obchodníků
71
MasterCard® International: Debetní karty. MasterCard® International [on-line]. [cit. 12. září 2011]. Dostupné na WWW: . 72 Na tomto místě je však třeba podotknout, že existují rozdíly ve vymezení debetních a kreditních platebních karet jak v teorii, tak v praxi. Např. Belás a Klimiková (Belás, J., Klimiková, M. Platobný styk. 2003, s. 96) v případě debetních platebních karet zmiňují tzv. modifikované debetní platební karty, které umožňují solventním klientům čerpat povolený debet na běžném účtu, což ve výsledku představuje poskytnutí kontokorentního úvěru. VISA pak např. nabízí debetní kartu s odloženou splatností, kdy dlužnou částku zaplatí držitel na konci měsíce, a to bez jakýchkoli úroků viz VISA: Zaplaťte později. VISA [on-line]. [cit. 12. září 2011]. Dostupné na WWW: . 73 MasterCard® International: Předplacené karty. MasterCard® International [on-line]. [cit. 12. září 2011]. Dostupné na WWW: ; VISA: Předplacené VISA karty. VISA [on-line]. [cit. 12. září 2011]. Dostupné na WWW: . 74 V této souvislosti je možné zmínit i tzv. elektronické peněženky, u nichž se do čipu karty zaznamená určitá finanční částka, která se používáním elektronické peněženky k placení snižuje a tzv. dobíjením zvyšuje. Podrobněji viz Juřík, P. Platební karty : Velká encyklopedie, 1870 - 2006. 2006, s. 195 – 197. 75 Automated Teller Machine – bankomat.
48
(imprintech76), co se týče podstupovaných rizik je třeba upozornit na to, že v případě použití imprinteru není částka transakce okamžitě odečtena z účtu zákazníka, jak je tomu u elektronických platebních terminálů, ale její zúčtování trvá přibližně jeden týden, co se týče ověřování transakce, obchodník, který používá imprinter, má stanoven tzv. autorizační limit, který je důvěrný, do kterého není povinen ověřovat platbu telefonickým dotazem u své zúčtovací banky, pokud je karta časově platná, má předepsané ochranné znaky a podpis klienta na dokladu souhlasí se vzorem uvedeným na platební kartě, pokud je částka vyšší, než je stanovený autorizační limit, karta jeví známky padělání nebo pozměňování na ní uvedených údajů, je obchodník povinen transakci ověřit v autorizačním centru své banky, v případě povolení transakce obdrží obchodník tzv. autorizační kód, který napíše do stanovené kolonky prodejního dokladu – účtenky, v případě zamítnutí může dostat pokyn kartu zadržet a předat své bance, která ji znehodnocenou vrátí vydavateli karty,77 a - elektronické platební karty – platební karty určené pro použití v elektronickém prostředí (ATM, EFT POS) s přímou autorizací (v klasickém případě jde o zadání osobního identifikačního čísla – PIN78) - použité technologie na jejich výrobu - embosované karty (viz výše), - karty s magnetickým záznamem – data (identifikační údaje a data o provedených transakcích) jsou zaznamenána na magnetický proužek, což umožňuje provádění elektronických transakcí touto kartou, - čipové karty – data jsou v tomto případu zaznamenána v mikročipu, který je umístěn na kartě, jejich výhodou je vyšší stupeň bezpečnosti, možnost širšího využití, které umožňuje paměť čipu, a možnost lokálního ověření identifikačních údajů držitele (např. PINu) na rozdíl od ověření on-line transakcí, které je podstatně dražší, - karty s laserovým záznamem – u těchto platebních karet jsou data zaznamenávána, vypalována do podkladové vrstvy laserovou technologií, výhodou je sice vysoká kapacita záznamu, ale zaznamenaná data jsou jednoduše zkopírovatelná, což představuje významnou nevýhodu těchto karet a
76
Zařízení, která umožňují vytvořit otisk údajů vyražených na platební kartě a identifikačním štítku na účtenku doplněnou o požadované údaje, kterou banka proplatí po jejím předložení. Podrobněji viz Juřík, P. Encyklopedie platebních karet : Historie, současnost a budoucnost peněz a platebních karet. 2003, s. 91 – 92. 77 MasterCard® International: Typy terminálů. MasterCard® International [on-line]. [cit. 12. září 2011]. Dostupné na WWW: ; Juřík, P. Encyklopedie platebních karet : Historie, současnost a budoucnost peněz a platebních karet. 2003, s. 91 – 92. 78 Personal Identification Number.
49
- hybridní karty – platební karty, které představují kombinaci výše uvedených, např. dnes používané platební karty s magnetickým záznamem a čipem, které představují postupný přechod od karet s magnetickým záznamem k čipovým kartám - teritoria - lokální, regionální karty – platební karty platné pouze v obchodní síti vydavatele (banky, příp. obchodního řetězce) či na území vybraného regionu79, - domácí, národní, tuzemské karty – platební karty je možné využít jako nástroj platebního styku pouze v tuzemsku a - mezinárodní karty – platební karty s možností použití v tuzemsku i v zahraničí. 2.1.3
Vzhled, náležitosti a základní ochranné prvky platebních karet
Podíváme-li se na platební karty z technického pohledu, mohli bychom tento nástroj platebního styku definovat jako plastovou kartičku, jejíž rozměry, vzhled, fyzikální vlastnosti a obsahové náležitosti jsou v mezinárodním měřítku standardizovány a upraveny mezinárodní normou ISO 3554. Vzhledem k tomu, že obsahové náležitosti platebních karet souvisí s bezpečnostními riziky spojenými s platebními kartami a jejich používáním, považuji za žádoucí se s nimi alespoň v krátkosti seznámit. Na platebních kartách dnes obvykle nalezneme:80 -
označení vydavatele (název a logo příslušné banky) a označení kartové společnosti (název a logo);
-
číslo platební karty (16 – 19 numerických znaků, přičemž první dva znaky určují druh karty, následujících pět znaků je určeno pro identifikaci vydávající banky a zbytek znaků je určen pro identifikaci držitele);
-
část čísla BIN (čtyři znaky čísla BIN – Bank Identification Number – čísla přiděleného karetní asociací dané bance);
-
platnost platební karty (udání začátku a konce platnosti, příp. jen konce platnosti platební karty);
-
jméno držitele (max. 27 znaků, u služebních karet i název podnikatelského subjektu, vládní instituce apod.);
-
podpisový proužek (vzor podpisu držitele karty, zpravidla na zadní straně karty) a
-
záznam dat.
79
Polouček, S. a kol. Bankovnictví. 2006, str. 184. Belás, J., Klimiková, M. Platobný styk. 2003, s. 89; Máče, M. Platební styk klasický a elektronický. 2006, s. 62.
80
50
Co se týče ochranných prvků platebních karet, bývají tyto obecně děleny do dvou základních skupin, a to na ochranné prvky primární a sekundární. K primárním ochranným prvkům patří identifikační prvky držitele, které jsou snadno ověřitelné v místě kontroly a které nevyžadují zvláštní vyškolení nebo technická zařízení, jako je např. fotografie držitele karty, jeho podpis či prvky sloužící k snadnému ověření pravosti dokladu, tzn. barevnost, hologram, sklopný efekt atd. Vznikne-li při primární kontrole podezření na změnu nebo padělání platební karty, přistupuje se k sekundární verifikaci za účelem ověření pravosti pomocí mikrotextu, gilošových ozdob, UV barev, použitého materiálu, speciálních, obtížně padělatelných znaků nebo údajů (např. v podobě laserové graviatury), šifrování údajů, použití, resp. nepoužití komerčně nedostupných čipů, speciálních operačních systémů atd. Ke zvýšení bezpečnosti používání platebních karet přispívají také verifikační prvky potvrzující totožnost klienta, který manipuluje s kartou, tedy především PIN, podpis klienta či jeho biometrické prvky (otisk prstu, scan dlaně apod.).81 2.1.4
Možnosti použití platebních karet
Platební karty dnes nabízí svým držitelům široké možnosti použití. K základním z nich patří výběr hotovosti v bankomatech, na pobočkách bank či v obchodech a bezhotovostní placení. V následujícím textu se se základními možnostmi použití platebních karet podrobněji seznámíme, abychom byli později schopni identifikovat a analyzovat podstupovaná bezpečnostní rizika. Výběr hotovosti v bankomatech Platební karty lze obecně využít pro výběr hotovosti z bankovního účtu, ke kterému jsou vydány, v rozsáhlé síti bankomatů doma i v zahraničí. Této operace se standardně účastní držitel karty, banka (vydavatel karty) a autorizační středisko. Výběr hotovosti z bankomatu dnes probíhá výlučně elektronicky, identifikace držitele karty je prováděna zadáním osobního identifikačního čísla PIN. Vzhledem k tomu, že bankomaty v současné době pracují výhradně v on-line režimu82, je možné provádět autorizaci každé realizované transakce, tzn. ověřit oprávněnost provést danou platební kartou příslušnou transakci.83 Tyto tzv. on-line bankomaty jsou napojeny prostřednictvím datové sítě do autorizačního centra a ověřují 81
Juřík, P. Encyklopedie platebních karet : Historie, současnost a budoucnost peněz a platebních karet. 2003, s. 228. 82 U tzv. off-line bankomatů se pro ověřování transakcí používaly údaje zaznamenané v magnetickém proužku karty, kde byla uvedena identifikace klienta, zakódované osobní identifikační číslo PIN, finanční a disponibilní limit karty (Juřík, P. Encyklopedie platebních karet : Historie, současnost a budoucnost peněz a platebních karet. 2003, s. 104 - 105). 83 Máče, M. Platební styk klasický a elektronický. 2006, s. 56.
51
prováděnou transakci v reálném čase (on-line) přímo u vydavatele karty, a to během několika málo sekund. U tohoto postupu není na magnetickém proužku zaznamenán ani PIN, ani finanční limit platební karty.84 Výběr hotovosti na pobočkách bank a směnáren – Cash Advance Výběr hotovosti prostřednictvím platební karty je možné uskutečnit rovněž na pobočkách bank a směnáren v tuzemsku i v zahraničí. S určitým zjednodušením lze konstatovat, že při výběru hotovosti tímto způsobem je postup podobný jako při realizaci plateb u obchodníků za zboží a služby (bývá využíván imprinter nebo POS terminál) s tím, že při výběru hotovosti prostřednictvím platební karty na pobočkách bank a směnáren bývá vyžadováno předložení průkazu totožnosti (občanský průkaz, cestovní pas).85 Z pohledu bezpečnosti lze dle mého názoru doporučit využití služby Cash Advance pro výběr hotovosti prostřednictvím platební karty místo využití výše zmíněných bankomatů zejména při výběru vyšších částek. V ostatních případech bývá vzhledem k menší dostupnosti služby Cash Advance a její nákladovosti pro klienta (poplatky za výběr hotovosti na pokladně banky či ve směnárně bývají vyšší, v některých případech i několikanásobně, než při výběru např. z bankomatu) zpravidla výhodnější zvolit jinou možnost výběru hotovosti. Ocenit tuto službu však můžeme např. v situacích, kdy není možné nebo vhodné provést výběr hotovosti jiným způsobem (např. z důvodu bezpečnosti, absence či poruchy bankomatu v daném místě). Výběr hotovosti v obchodech – Cash Back Prostřednictvím platební karty je možné provést výběr hotovosti rovněž při placení za nakoupené zboží a služby v některých kamenných obchodech, kdy výběr hotovosti probíhá tak, že při placení držitel karty požádá pokladní(ho) o vyplacení určité částky v hotovosti. Tato částka je pak spolu s platbou za nakoupené zboží a služby zaúčtována společně na vrub použité platební karty. Možnost výběru hotovosti na pokladně v obchodě je v České republice stále ještě relativně novou doplňkovou službou, ale např. ve Velké Británii, Spojených státech, zemích severní Evropy či Singapuru patří již mezi standardní a oblíbené služby spojené s platebními kartami86. 84
Juřík, P. Encyklopedie platebních karet : Historie, současnost a budoucnost peněz a platebních karet. 2003, s. 105. 85 Citibank Česká republika: Než začnete platit kreditní kartou. Citibank Česká republika [on-line]. [cit. 17. září 2011]. Dostupné na WWW: ; Raiffeisenbank: Možnosti použití platební karty. Raiffeisenbank [on-line]. [cit. 17. září 2011]. Dostupné na WWW: . 86 Podrobněji viz Korbel, D. Zkušenost: Cashback po česku. FinExpert.cz [on-line]. [cit. 22. září 2011]. Dostupné na WWW: ; Plischke, S. E. Cashback:
52
Pokud jde o samotný průběh transakce, dojde v zásadě pouze k drobnější úpravě níže uvedeného postupu při bezhotovostním placení za nakoupené zboží a služby v kamenném obchodě. Držitel platební karty umožňující využívat služby Cash Back v partnerském obchodě oznámí při placení platební kartou pokladní(mu), že by chtěl využít služby Cash Back a vybrat si určitou částku v hotovosti. Tato částka je přičtena k ceně nákupu a na výzvu pokladní(ho) je celková výše transakce následně autorizována držitelem karty, např. podpisem či zadáním osobního identifikačního čísla PIN (dle typu použité platební karty a konkrétních požadavků příslušného vydavatele). Po schválení transakce může pokladní ještě požádat držitele karty o podepsání kopie pokladního dokladu – účtenky, na níž je částka vybíraná v hotovosti uvedena odděleně.87 Bezhotovostní placení v kamenných a internetových obchodech Účastníky bezhotovostního placení prostřednictvím platební karty jsou obecně klient (držitel karty, odběratel zboží a služeb, plátce), obchodník (dodavatel zboží či poskytovatel služeb, příjemce platby), banka zákazníka (vydavatel platební karty), banka obchodníka, autorizační středisko, clearingové centrum, resp. zúčtovací banka. Bezhotovostní placení prostřednictví platební karty je v současné době možné nejen v kamenných obchodech, ale také na internetu. Vzhledem k tomu, že se průběh transakcí v těchto případech liší, je třeba se jimi zabývat odděleně. Průběh provedení bezhotovostní platby v kamenném obchodě může být znázorněn následujícím modelem.
jednoduchý výběr peněz zdarma konečně také v ČR. Peníze.cz [on-line]. [cit. 22. září 2011]. Dostupné na WWW: . 87 VISA: S kartou Visa nepotřebujete bankomat, můžete si vybrat hotovost v obchodě. VISA [on-line]. [cit. 22. září 2011]. Dostupné na WWW: ; VISA: S kartou Visa nepotřebujete bankomat, můžete si vybrat hotovost v obchodě : Visa cash back: Transakce, krok za krokem. VISA [on-line]. [cit. 22. září 2011]. Dostupné na WWW: .
53
Model č. 1: Bezhotovostní placení prostřednictvím platební karty v kamenném obchodě (s autorizací platby) PLATBA
1
Obchodník
Zákazník držitel karty
3
2 4
11
12
2 Autorizační středisko
Banka obchodníka
Banka zákazníka, vydavatel karty 6
6
Clearingové centrum
5
7
8
Zúčtovací banka
10
9
ZÚČTOVÁNÍ Legenda: 1 2 3 4 5 6 7 8 9 10 11
12
předložení platební karty zákazníkem při placení obchodníkovi a provedení kontroly obdržené platební karty obchodníkem autorizace platby vystavení prodejního dokladu předání informace o platbě bance obchodníka předání informací o provedených platbách clearingovému centru clearingové zúčtování mezi napojenými bankami předání informace o provedených platbách bance zákazníka příkaz k vyrovnání sald mezi bankami zatížení nostro účtu banky, která kartu vydala (banka zákazníka) převedení částky na nostro účet banky obchodníka připsání částky transakce snížené o bankovní provize na účet obchodníka zatížení účtu držitele karty částkou transakce
Zdroj: MÁČE, M. Platební styk klasický a elektronický, 2006, s. 58, upraveno.
54
Celý průběh transakce lze rozdělit do tří základních fází:88 - ověření transakce – zahrnuje kontrolu platební karty, kterou předložil zákazník k provedení platby, obchodníkem, tzn. kontrolu primárních ochranných prvků platební karty za účelem odhalení padělaných, znehodnocených či pozměněných platebních karet, jejich neoprávněného použití jinou osobou, kontrolu platnosti platební karty, ověření, zda platební karta není na tzv. Stoplistu, seznamu zakázaných platebních karet, je-li takový seznam obchodníkovi zasílán apod. V případech, kdy výše transakce přesahuje tzv. autorizační limit přijímacího místa89, musí být provedena také autorizace90, tj. ověření finančního krytí transakce, které je možné provést prostřednictvím dotazu u autorizačního střediska (telefonem, přes internet), které ověří danou transakci až u vydavatele karty prostřednictvím počítačové sítě propojující jednotlivé vydavatele. V případě, že se jedná o transakci prováděnou prostřednictvím zařízení on-line napojeného na tuto síť (EFT POS terminálu), nikoliv prostřednictvím imprinteru, dochází k tomuto ověření automaticky. V takovém případě obvykle bývá vyžadováno zadání osobního identifikačního čísla PIN. -
přenos transakce do clearingového centra – probíhá prostřednictvím počítačové sítě, do které jsou jednotlivé komerční banky zapojené v daném kartovém systému z celého světa
napojeny.
Systém
provádí
clearing
veškerých
plateb
uskutečněných
prostřednictvím platebních karet během daného dne (tj. započtení vzájemných pohledávek a závazků), přičemž banky obdrží seznam plateb, které jsou ve prospěch či na vrub jimi vedených účtů jednotlivých klientů (tedy obchodníků a zákazníků). -
vypořádání provedených plateb – provádí k tomu určená zúčtovací banka na základě výstupu z clearingového centra v podobě kreditních či debetních sald jednotlivých komerčních bank. Tato salda jsou následně zaúčtována prostřednictvím nostro účtů,
88
Máče, M. Platební styk klasický a elektronický. 2006, s. 58 – 59; Komerční banka: Pokyny pro provádění transakcí platebními kartami. Komerční banka [on-line]. [cit. 23. září 2011]. Dostupné na WWW: . 89 Limit, který stanovuje maximální výši transakce na daném obchodním místě, kterou je obchodník oprávněn provést bez autorizace. Autorizační limit je důvěrný a mohou s ním být seznámeny pouze osoby pracující v daném obchodním místě, které mají na starosti provádění autorizace transakcí platebními kartami (Komerční banka: Pokyny pro provádění transakcí platebními kartami. Komerční banka [on-line]. [cit. 23. září 2011]. Dostupné na WWW: ). 90 V literatuře i v praxi je možné se setkat s různým vymezením pojmu autorizace v souvislosti s platebními kartami. Viz např. Polouček, S. a kol. Bankovnictví. 2006, str. 187; Finanční vzdělávání.cz: Slovníček : Kartové produkty. Finanční vzdělávání.cz [on-line]. [cit. 26. září 2011]. Dostupné na WWW: ; Komerční banka: Pokyny pro provádění transakcí platebními kartami. Komerční banka [on-line]. [cit. 26. září 2011]. Dostupné na WWW: .
55
které mají jednotlivé zúčastněné banky vedeny u zúčtovací banky. Tyto komerční banky potom promítnou provedenou transakci na účty svých klientů, tzn., že zatíží účet klienta, držitele karty, který použil platební kartu k bezhotovostní platbě za nakoupené zboží a služby, a připíší příslušnou částku (částka transakce snížená o placené provize) na účet obchodníka. Co se týče samotného průběhu provedení bezhotovostní úhrady za nakoupené zboží a služby u obchodníka prostřednictvím platební karty, provedení transakce se při podrobnějším prozkoumání liší podle toho, je-li k provedení transakce využitý platební terminál (EFT POS terminál) či imprinter. Obecně je možné říci, že je-li platební místo vybaveno jak EFT POS terminálem tak imprinterem a předložená platební karta umožňuje využití obou z těchto zařízení, měl by obchodník použít elektronický platební terminál91. Pro preferenci používání elektronických
platebních
terminálů
mluví
bezpečnost,
jednoduchost,
rychlost,
nekomplikovanost použití, ale např. i nižší náklady spojené s jejich používáním. Novinkou v oblasti provádění bezhotovostních plateb prostřednictvím platebních karet jsou tzv. bezkontaktní platby (u kartové společnosti MasterCard technologie PayPassTM, u kartové společnosti Visa Visa Contactless „wave and pay“, resp. Visa payWave), které umožňují zákazníkovi platit na vybraných místech vybavených příslušným zařízením rychle menší částky platební kartou jejím pouhým přiblížením k zabezpečené čtečce, aniž by bylo nutné předávat platební kartu obchodníkovi, který by s ní následně manipuloval, či se verifikovat zadáním osobního identifikačního čísla PIN. V případě bezproblémového použití dává po přiblížení platební karty ke čtečce – snímači92 tato čtečka signál (pípne), že karta zákazníka byla přečtena a během několika málo vteřin93 pak oznamuje, že platba byla schválena, na základě čehož může obchodník vydat účtenku zákazníkovi. Co se týče omezení, jsou bezkontaktní platby primárně určeny pro platby menších částek. V České republice se jedná o platby do 500,- Kč, což je dle vyjádření Kozlera (zástupce Visa pro Česko a Slovensko) kombinace pohodlí pro klienta a bezpečnosti94.95
91
Viz např. Komerční banka: Pokyny pro provádění transakcí platebními kartami. Komerční banka [on-line]. [cit. 23. září 2011]. Dostupné na WWW: . 92 Komunikaci s platebním terminálem zajišťuje miniaturní radiový vysílač zabudovaný uvnitř platební karty. 93 Visa dokonce uvádí, že transakce je dokončena do půl vteřiny (VISA: Bezkontaktní platby. VISA [on-line]. [cit. 23. září 2011]. Dostupné na WWW: ). 94 Hospodářské noviny: Limit pro bezkontaktní platby bude 500 korun : Platební manévry. Banky zavedou bezkontaktní karty a platby mobilem, chtějí bezhotovostní operace dostat do míst, kde zatím vládne cash.
56
Pokud jde o podstupovaná rizika, je třeba v tomto případě počítat s možností jednoduššího zneužití platební karty (není nutné zadávat PIN apod.). Toto riziko však nemusí nést klient – zákazník – držitel karty, ale může ho nést sama banka (např. Česká spořitelna avizovala, že „pokud klientovi někdo kartu ukradne a zneužije ji bezkontaktně, bude klienta plně kompenzovat“, obdobně dle Kozlera postupují všechny banky96). Ke snížení výše podstupovaných bezpečnostních rizik naopak přispívá, že zákazník nedává v případě bezkontaktní platby platební kartu ze svých rukou a může ji tak mít neustále pod kontrolou. Prostřednictvím platebních karet je možné dnes provádět platby nejen v kamenných obchodech, ale i na internetu. Na průběh těchto transakcí se zaměříme v následujícím textu. Pozornost bude věnována především systému 3D-Secure, který dnes dle odhadů používá naprostá většina internetových obchodů (odhaduje se, že cca 90 %)97 a který dnes představuje relativně bezpečný způsob platby prostřednictvím platební karty v internetových obchodech (při dodržování bezpečnostních pravidel). 3D-Secure je moderní aplikace kartových asociací VISA a MasterCard, jejíž vznik souvisí se vzrůstajícím počtem zákazníků internetových obchodů a potřebou nabídnout jim pohodlný a přitom bezpečný způsob platby prostřednictvím platební karty. Podstatou této aplikace je bezpečná autentizační technologie používající šifrování Secure Sockets Layer (SSL) a Merchant Server Plug-in pro předávání informací a dotazování účastníků s cílem provést autentizaci držitele platební karty během on-line nákupu a ochránit informace o platební kartě během jejich přenosu prostřednictvím internetu98. Je třeba si uvědomit, že na rozdíl od bezhotovostních úhrad realizovaných prostřednictvím platebních karet v kamenných obchodech při transakcích na internetu není karta fyzicky účastna dané operace, ale zákazník Hospodářské noviny [on-line]. [cit. 23. září 2011]. Dostupné na WWW: . 95 MasterCard® International: Pro obchodníky : PayPassTM. MasterCard® International [on-line]. [cit. 23. září 2011]. Dostupné na WWW: ; MasterCard® International: Osobní karty MasterCard® : PaxPassTM. MasterCard® International [on-line]. [cit. 23. září 2011]. Dostupné na WWW: ; VISA: Bezkontaktní platby. VISA [on-line]. [cit. 23. září 2011]. Dostupné na WWW: . 96 Hospodářské noviny: Limit pro bezkontaktní platby bude 500 korun : Platební manévry. Banky zavedou bezkontaktní karty a platby mobilem, chtějí bezhotovostní operace dostat do míst, kde zatím vládne cash. Hospodářské noviny [on-line]. [cit. 23. září 2011]. Dostupné na WWW: . 97 Buřínská, B. Nejbezpečnější platby kartou na internetu nabízejí tři banky. iDnes.cz [on-line]. [cit. 25. září 2011]. Dostupné na WWW: . 98 Česká spořitelna: Chytrá karta ČS : Slovník kartové terminologie. Česká spořitelna [on-line]. [cit. 25. září 2011]. Dostupné na WWW: .
57
– držitel karty pouze zadává požadované identifikační údaje. To činí tento způsob placení potenciálně zranitelnější vůči případnému zneužití. Průběh transakce v aplikaci 3D-Secure je následující: Jestliže se zákazník internetového obchodu, který nabízí bezpečnou platbu prostřednictvím této aplikace, rozhodne zaplatit za vybrané zboží a/nebo služby platební kartou, je ze stránek internetového obchodu přesměrován na stránky banky, se kterou má internetový obchod uzavřenou smlouvu pro akceptaci platebních karet na internetu (tzv. zpracovatelská banka), kde vyplní potřebné platební údaje (zpravidla číslo karty, datum ukončení platnosti karty a bezpečnostní CVC či CVV kód, který bývá umístěný na rubové straně platební karty99). Je-li platební karta zákazníka zařazena do systému 3D-Secure, dojde následně k přesměrování na stránky banky, která vydala zákazníkovi platební kartu, kde do formuláře vypíše všechny požadované údaje (heslo100, číslo karty, PINy apod.). Po ověření transakce je zákazník vrácen zpět do zpracovatelské banky. O výsledku celé transakce jsou zákazník a internetový obchod informováni e-mailem. Pokud by nebylo možné platbu zpracovat, informuje zpracovatelská banka držitele karty rovněž o možném důvodu nezpracování (např. nesprávné vyplnění údajů o platební kartě držitelem, nedostatek finančních prostředků na účtu držitele, vyčerpání stanoveného limitu pro internetové transakce nebo např. skutečnost, že zvolená karta není určena pro transakce na internetu). Průběh platby v systému 3D-Secure je zachycen v modelu č. 2.
99
CVC – Card Validation Code – kód ověření karty – název kontrolního kódu používaného kartovou asociací MasterCard; CVV – Card Validation Value – hodnota ověření karty – název pro kontrolní kód používaný kartovou asociací Visa. V obou případech se jedná o bezpečnostní prvek v podobě kontrolního kódu, který je určený k tomu, aby zabránil falšování nebo manipulaci s údaji uvedenými na kartě. Kód je uložen na magnetickém proužku (CV1) a vytištěn na podpisovém proužku karty (CV2). (Finanční vzdělávání.cz: Slovníček : Kartové produkty. Finanční vzdělávání.cz [on-line]. [cit. 12. září 2011]. Dostupné na WWW: ). 100 Z důvodu vyšší bezpečnosti se může jednat o jedinečné heslo pro provedení dané transakce, které může být držiteli platební karty zasláno SMS zprávou.
58
Model č. 2: Provedení platby prostřednictvím platební karty v systému 3D-Secure Zákazník internetového obchodu držitel karty
1
Internetový obchod
2 7
6
5
5
3
9
7
Vydavatelská banka banka zákazníka
Zpracovatelská banka
4 8 Legenda: 1 2 3 4
5 6 7 8
9
VISA, MasterCard
8
zákazník navštíví internetový obchod a vybere si zboží/službu. po odeslání objednávky na vybrané zboží/službu je zákazník přesměrován na zpracovatelskou banku, kde zadá platební údaje a objednávku odsouhlasení objednávky mezi zpracovatelskou bankou a internetovým obchodem zpracovatelská banka vyšle dotaz na kartovou asociaci (VISA, MasterCard), je-li příslušná karta zařazena do systému 3D-Secure; zařazení/nezařazení držitele, resp. jeho platební karty do systému 3D-Secure sdělí kartová asociace zpracovatelské bance (* pokud není držitel karty zařazen do systému 3D-Secure, transakce proběhne bez jeho autentizace, zodpovědnost za případné zneužití karty nese vydavatelská banka) zpracovatelská banka požádá držitele platební karty přes prohlížeč o autentizaci u vydavatelské banky (ověření, že platbu po internetu zadává skutečně osoba, která je oprávněná danou platební kartu používat) vydavatelská banka požádá držitele karty o heslo, držitel karty heslo vyplní a vydavatelská banka správnost tohoto hesla potvrdí vydavatelská banka pošle odpověď zpátky do zpracovatelské banky přes prohlížeč držitele karty pokud autentizace proběhla úspěšně, je internetová platba dále zpracována jako běžná platební transakce s požadovanou úrovní zabezpečení pro 3D-Secure transakce. zpracovatelská banka zašle internetovému obchodu informaci o výsledku transakce
Zdroj: ČESKÁ SPOŘITELNA: 3D-Secure - Schéma. Česká spořitelna [on-line]. [cit. 27. září 2007]. Dostupné na WWW: ; FORLIVING: 3D-Secure – garance bezpečné platby platebními kartami na internetu!. ForLiving [on-line]. [cit. 27. září 2007]. Dostupné na WWW: ; upraveno.
Vysoký stupeň bezpečnosti systému 3D-Secure je zajištěn tím, že údaje o své platební kartě zákazník internetového obchodu neposkytuje samotnému internetovému obchodu, ale přímo 59
bance. Přenos informací o kartě navíc probíhá pomocí HTTPS protokolu101, který údaje držitele platební karty zakóduje tak, že si je nikdo kromě oprávněné banky nemůže přečíst. Bezpečnost prováděných operací může zákazník disponující platební kartou vydanou v rámci systému 3D-Secure zvýšit rozšířením procesu autentizace při placení o další údaje, které zná pouze on. Skutečnost, zda je či není možné provést úhradu za nakoupené zboží a služby bezhotovostně prostřednictvím platební karty uvádí jednotlivé internetové obchody na svých stránkách. Využívá-li internetový obchod pro realizaci plateb systém 3D-Secure, pak je na webových stránkách uvedeno logo Verified by VISA (kartové společnosti VISA) a/nebo MasterCard SecureCode (kartové společnosti MasterCard).
2.2 Phone banking Phone banking (telebanking, telefonní bankovnictví) je založen na komunikaci klienta s bankou prostřednictvím telefonu (pevné linky či mobilního telefonu), přičemž klient komunikuje hlasem s živým pracovníkem banky, telefonním bankéřem, nebo tlačítky buď s živým operátorem nebo hlasovým informačním systémem. Phone banking tak zahrnuje dva základní způsoby komunikace klienta s bankou, a to buď prostřednictvím automatické hlasové služby (IVR – Interactive Voice Response) či telefonního bankéře. Obecně přitom platí, že automatizované hlasové informační systémy bývají využívány pro jednodušší část komunikace mezi klientem a bankou (zejména předávání vybraných informací), zatímco složitější případy bývají řešeny prostřednictvím telefonních bankéřů, kteří jsou schopni obsloužit klienta i v případech, kdy komunikace s automatickým telefonním systémem by nebyla efektivní nebo by neumožňovala danou situaci z různých důvodů s klientem daným způsobem řešit (např. řešení vzniklých problémů, vyřizování reklamací klientů).102 Pokud bychom měli srovnat telefonního bankéře s automatickým telefonním systémem z pohledu klienta a banky, lze konstatovat následující. Pro kontakt s telefonním bankéřem není potřeba žádné speciální technické vybavení, postačí jakýkoli telefon. V případě automatického telefonního systému je třeba mít telefon s tónovou volbou103 (příp. mít přídavné zařízení – adaptér – „tone dialer“). Co se týče rozsahu prováděných služeb, telefonní 101
Hypertext Transfer Protocol Secure. Přádka, M., Kala, J. Elektronické bankovnictví : Rady a tipy. 2000, s. 42 – 44; Máče, M. Platební styk klasický a elektronický. 2006, s. 171. 103 Telefonní přístroj s tónovou volbou používá při volbě telefonního čísla pro každou číslici – tlačítko – jiný tón o určité frekvenci. 102
60
bankéř je schopen poskytnout veškeré informace o nabízených produktech a službách a po ověření, že hovoří s oprávněnou osobou, může provádět i různé operace dle přání klienta. Výhodou pro klienta je skutečnost, že bankéř je schopný klientovi poradit, řešit s ním jeho konkrétní situaci, vysvětlit mu podstatu vybraného produktu, porovnat jej s jiným atd., jakož i to, že tento způsob komunikace s bankou zvládne v zásadě každý. Oproti tomu automatický telefonní systém pracuje na základě určitého menu, v rámci kterého se klienti pohybují prostřednictvím jednotlivých tlačítek104. To samozřejmě znamená určité omezení nabídky služeb, nabídku orientovanou na řešení standardních situací. A v neposlední řadě tento systém klade jisté požadavky i na samotného klienta (v podobě technické zdatnosti, orientace v řešeném problém a nabídce banky atd.).105 Informace obecného charakteru obvykle poskytuje telefonní bankéř každému volajícímu bez nutnosti identifikace a autentizace. Pro přístup ke konkrétnímu účtu nebo operacím je nutné provést identifikaci a autentizaci klienta, k čemuž dochází prostřednictvím jedinečného osobního identifikačního čísla klienta (PIN) a bezpečnostního přístupového hesla. Z důvodu možného odposlechu nebývá obvykle vyžadováno sdělení celého hesla, ale pouze jeho části (na žádost obsluhy banky sděluje klient např. první, čtvrtý a poslední znak hesla).
2.3 GSM banking GSM106 banking je založen na komunikaci klienta s bankou prostřednictvím mobilního telefonu, která může využívat šifrované SMS zprávy či technologii SIM107 Toolkit. Klienti tak mohou odesílat z mobilních telefonů prostřednictvím strukturovaných SMS zpráv požadavky k získání informací nebo příkazy k provedení a banka jim zasílá zpět odpověď SMS zprávou. Komunikace prostřednictvím SMS zpráv je sice z uživatelského pohledu relativně jednoduchá, ale ne příliš pohodlná, neboť vyžaduje zasílání SMS zpráv v přesně nadefinované struktuře a používání tzv. klíčových slov, které si klient musí zapamatovat nebo je mít vždy někde při sobě zapsané apod. Oproti tomu komunikace s využitím technologie SIM Toolkit je pro uživatele jednoduchá i pohodlná. Využívat ji však mohou jen ti klienti, kteří mají v mobilním telefonu SIM kartu s příslušnou aplikací od banky, která se objeví v menu telefonu. Technologie SIM Toolkit zajišťuje šifrování SMS zpráv a při jejím nahrávání je SIM karta zašifrována a nelze z ní získat žádné údaje, ani pokud by byl telefon odcizen. 104
Příklad struktury automatické hlasové služby je uveden v příloze č. 6. Přádka, M., Kala, J. Elektronické bankovnictví : Rady a tipy. 2000, s. 42 – 44. 106 Global System for Mobile Communications. 107 Subscriber Identity Module. 105
61
Přístup k aplikaci je navíc chráněn tzv. BPINem (zvláštní bankovní PIN). Po jeho zadání stačí nalistovat v menu aplikace požadovanou položku a vybrat některou ze základních služeb (např. zjišťování zůstatku na účtu, přehled historie pohybů na účtu, přehled kurzů či zadávání příkazů). Aplikace vytvoří zašifrovanou zprávu, kterou dokáže rozšifrovat pouze speciální software v bance, a tuto zprávu automaticky odešle na určené telefonní číslo do banky, kde je transakce přenesena do systému a banka následně automaticky odešle klientovi SMS zprávu o přijetí zprávy ke zpracování. Informaci o vybrané službě může klient obdržet buď formou textové zprávy na mobilní telefon nebo formou e-mailu na e-mailovou adresu, která je předem nadefinována.108 Z důvodu vyšší bezpečnosti dnes některé banky nabízí GSM banking pouze v podobě služby založené na aplikaci SIM Toolkit. Toky informací v rámci možností telefonního bankovnictví znázorňuje příloha č. 7.
2.4 Internet banking Internet banking je založen na komunikaci klienta s bankou prostřednictvím počítače připojeného k internetu, a to z jakéhokoliv místa na světě a jakéhokoliv počítače. Klient se v tomto případě přihlašuje přes internet do systému banky a po ověření oprávněnosti k provádění požadovaných úkonů prostřednictvím elektronického klíče nebo přes elektronické podpisy a digitální certifikáty může přímo zadávat pokyny bance. Internet banking obecně umožňuje uskutečňovat obdobné služby jako telefonní bankovnictví, klientovi však přináší velkou výhodu v podobě on-line informace, neboť zrakový vjem je jednodušší a je lépe přijímán než vjem sluchový. Důležitou otázkou je však úroveň zabezpečení, neboť tento typ komunikace vyžaduje vysoký stupeň ochrany přenosu dat. Používány bývají různé způsoby autentizace a autorizace transakcí, např. uživatelské číslo a PIN, heslo s možností nastavení limitu, pro nadlimitní transakce používání autentizačního kalkulátoru.109
2.5 Homebanking Homebanking umožňuje klientovi komunikovat s bankou pomocí počítače připojeného k internetu. Na rozdíl od Internet bankingu však ke komunikaci dochází prostřednictvím osobního počítače klienta, na kterém je nainstalován speciální program (obvykle dnes
108
Máče, M. Platební styk klasický a elektronický. 2006, s. 171 – 172; Kolektiv autorů: Slabikář finanční gramotnosti. 2009, str. 184 – 185; Přádka, M., Kala, J. Elektronické bankovnictví : Rady a tipy. 2000, s. 50, 54. 109 Máče, M. Platební styk klasický a elektronický. 2006, s. 172.
62
dodáván bankou na instalačním CD110). Počítač klienta je propojen s počítačem banky prostřednictvím datové sítě.111 Toky informací v případě využití internetu ke komunikaci s bankou zachycují modely uvedené v příloze č. 8. Cílem jednotlivých uspořádání je nabídnout drobným klientům širokou škálu vzdáleně obsluhovaných produktů a největším firmám automatickou výměnu dat s co nejmenším podílem lidské práce, aby mohly zpracovávat data ve svých účetních programech, řídit efektivně své peněžní toky či např. identifikovat pohledávky po splatnosti. Nejsložitější situaci, která představuje obsluhování dvou klientů – matky a dcery s účty u několika bank se třemi různými komunikačními programy, zobrazuje poslední z modelů uvedený v příloze č. 8.112
2.6 WAP banking WAP113 banking představuje kombinaci telefonního a internetového bankovnictví. Komunikace v tomto případě probíhá prostřednictvím mobilního telefonu přes internet pomocí protokolu WAP. Tento způsob komunikace mohou využívat pouze klienti, kteří mají mobilní telefon s čipovou kartou podporující služby WAP, což majiteli umožňuje přístup na WAPové stránky banky (webové stránky speciálně upravené pro malé displeje mobilních telefonů), které umožňují ovládání účtů. Pomocí mobilního telefonu a autorizačního klíče je možné zadávat příkazy k úhradě, zjišťovat zůstatek na účtu i jeho historii, zřizovat termínované vklady, zjišťovat aktuální měnové kurzy apod. Nevýhodou této formy komunikace je v současné době dosud poměrně nízká rychlost připojení k internetu.114
2.7 Elektronické bankovnictví v České republice Co se týče elektronického bankovnictví, získat úplný obraz o využívání služeb elektronického bankovnictví v České republice, popř. v Evropě (či ve světě) možné není, neboť informace nejsou
v řadě
případů
k dispozici.
Tuto
skutečnost
potvrzuje
např.
server
Bankovnípoplatky.com, který chtěl na konci roku 2011 zjistit, jak je v České republice využívané internetové bankovnictví, tj. jedna ze standardně nabízených služeb v rámci elektronického bankovnictví. Z 15 oslovených bank přesná čísla o počtu svých klientů 110
Compact Disc. Máče, M. Platební styk klasický a elektronický. 2006, s. 172 - 173. 112 Podrobněji viz Máče, M. Platební styk klasický a elektronický. 2006, s. 176 – 179. 113 Wireless Application Protocol. 114 Máče, M. Platební styk klasický a elektronický. 2006, s. 172; Kolektiv autorů: Slabikář finanční gramotnosti. 2009, str. 185. 111
63
používajících internetové bankovnictví sdělily bez zdráhání pouze čtyři z nich, ČSOB a ERA Poštovní spořitelna, GE Money Bank, Volksbank a Komerční banka. Zbývající oslovené banky poskytly pouze relativní údaje nebo neodpověděly vůbec. V případě bank, které přesné údaje poskytly, je situace následující: Internetové bankovnictví využívá 1,2 milionu klientů ČSOB a ERA Poštovní spořitelny, v GE Money Bank disponuje přístupem k internetovému bankovnictví 600 tisíc majitelů účtu, což činí zhruba 60 % všech klientů banky, a dalších 150 tisíc majitelů kreditních karet, kteří mohou prostřednictvím internetového bankovnictví provádět transakce na kreditní kartě. V případě Volksbanky se jedná o 24 tisíc klientů, což představuje přibližně 37 % všech klientů banky. Pokud jde o Komerční banku, byly získány údaje o uživatelích přímého bankovnictví obecně (tj. internetového a telefonního bankovnictví). Počet klientů využívající alespoň jeden z těchto kanálů pro komunikaci s bankou přesáhl jeden milion (k 30. 9. 2011 se jednalo o 1 044 000 klientů), což představuje zhruba 65 % klientů banky.115 Přes určitou neochotu bank poskytovat informace o využívání služeb elektronického bankovnictví jejich klienty si můžeme obecnou představu udělat na základě statistiky Informační technologie v domácnostech a mezi jednotlivci Českého statistického úřadu116, kde hlavním zdrojem dat je Výběrové šetření o využívání informačních a komunikačních technologií v domácnostech a mezi jednotlivci, které každoročně pořádá Český statistický úřad a které se dotýká i oblasti internetového bankovnictví. Výsledky tohoto šetření, pokud jde o oblast internetového bankovnictví, za roky 2005 – 2010 včetně jsou shrnuty v tabulce č. 6. Podle dat uvedených v tabulce počet jednotlivců využívajících služeb internetového bankovnictví (resp. těch, kteří využili tuto službu v posledních 3 měsících pro soukromé účely) ve sledovaném období neustále stoupá, přičemž v roce 2010 dosáhl podílu 21,0 % z celkového počtu jednotlivců (vs. 5,2 % v roce 2005), resp. 34 % z uživatelů internetu (vs. 16,1 % v roce 2005). Z šetření rovněž plyne, že internetové bankovnictví využívají především lidé ve věku 25 – 34 let, následováni věkovou skupinou 35 – 44 let a na třetím místě najdeme věkovou skupinu 45 – 54 let. Podíl uživatelů internetového bankovnictví v jednotlivých socio-demografických skupinách vzrůstá s dosaženým nejvyšším stupněm vzdělání a mezi uživateli převažují muži. 115
Bankovnípoplatky.com: Jak využívají klienti internetové bankovnictví? Hodně, ale přesná čísla některé banky tají... Bankovnípoplatky.com [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: . 116 Český statistický úřad: Informační technologie v domácnostech a mezi jednotlivci. Český statistický úřad [online]. [cit. 12. ledna 2012]. Dostupné na WWW: .
64
Určitou výjimkou v oblasti elektronického bankovnictví v České republice je segment platebních karet, který je monitorován Sdružením pro bankovní karty. Na jeho webových stránkách (http://www.bankovnikarty.cz/pages/czech/profil_statistiky.html) je totiž možné nalézt statistické údaje o platebních kartách v České republice, které jsou Sdružením shromažďovány, zpracovávány a publikovány ve čtvrtletních intervalech. Vzhledem k tomu, že údaje jsou získávány od členských bank Sdružení, poskytují tyto statistiky údaje pouze o bankovních platebních kartách vydávaných v České republice a některých nebankovních systémech (platební karty vydávané českou pobočkou Diners Club, karty American Express vydávané Komerční bankou k účtům v českých korunách a karty vydávané společností CCS). Nebankovní kreditní společnosti, vydávající úvěrové karty, zatím údaje o vydávaných kartách Sdružení pro bankovní karty neposkytují.117 Tabulka č. 7 zachycuje základní údaje o platebních kartách a jejich používání v České republice v letech 2002 – 2011118, tj. celkový počet vydaných platebních karet, počet akceptačních míst, počet transakcí u obchodníků a jejich celkový objem, počet instalovaných ATM, počet transakcí v ATM a jejich objem.
117
Sdružení pro bankovní karty: Terminologie. Sdružení pro bankovní karty [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: ). 118 Vývoj základních ukazatelů v období 1989 – 2001 je uveden v příloze č. 9.
65
Tabulka č. 6: Česká republika: Jednotlivci, kteří použili internet v posledních 3 měsících pro soukromé účely – internetové bankovnictví 2005 v tisících Celkem
2006 1)
%
2)
%
16,1
v tisících 776,8
2007 1)
%
9,0
2)
%
21,9
v tisících 929,5
2008 1)
2)
%
%
10,7
23,7
v tisících
2009 1)
2)
%
%
1 179,9
13,4
24,8
v tisících
2010 1)
2)
%
%
1 514,6
17,0
30,5
v tisících
1)
2)
%
%
1 853,3
21,0
34,0
448,1
5,2
16–24
51,1
3,8
5,9
81,7
6,7
8,6
94,7
7,8
9,5
139,6
11,4
12,6
160,4
13,2
14,6
206,2
17,3
18,7
25–34
158,7
9,3
22,9
275,2
15,9
29,5
275,3
15,9
26,6
398,3
22,9
31,0
513,4
29,9
39,0
603,5
36,3
43,7
35–44
136,1
10,0
24,4
211,0
15,2
28,2
265,3
18,6
33,0
288,8
19,6
28,2
407,0
26,8
36,8
506,4
32,5
40,8
45–54
80,5
5,4
18,6
133,3
9,3
23,1
189,4
13,5
28,7
219,4
15,8
28,1
253,4
18,3
32,1
333,8
24,3
37,0
19,4
68,3
4,9
23,6
94,3
6,6
26,4
116,6
8,0
24,5
152,1
10,3
28,7
161,8
10,9
25,9
7,2
0,9
17,0
9,7
1,2
16,9
16,4
1,9
19,9
26,5
3,0
25,0
29,6
3,3
17,1
.
12,0
1,8
36,3
Věková skupina
55–64
1,4
9,5
65–74
.
.
.
75+
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Nejvyšší dosažené vzdělání (25+) Základní
.
5,7
0,5
11,5
6,1
0,6
11,3
17,4
1,6
15,6
12,6
1,3
13,4
23,7
2,6
17,1
1,8
.
15,0
112,0
3,6
19,7
111,7
3,7
16,5
188,2
6,1
17,3
258,4
8,4
23,3
354,0
11,5
25,6
182,3
8,1
19,4
314,2
13,6
24,4
438,7
17,6
29,7
508,2
20,5
31,2
635,6
25,0
36,2
742,1
29,5
40,2
154,8
19,1
26,5
263,1
29,8
38,1
278,2
30,9
39,0
326,5
33,8
39,6
447,6
42,8
49,2
527,3
46,9
53,4
403,0
8,7
21,5
673,4
14,0
27,0
804,3
16,4
29,0
1 008,5
20,2
29,5
1 224,9
24,8
35,4
1 509,6
31,2
40,2
6,7
1,6
9,9
12,5
3,6
13,6
9,8
3,6
13,3
9,2
4,2
12,1
36,0
10,8
20,9
47,1
12,7
23,6
22,6
2,5
3,3
52,5
6,6
7,1
51,3
6,2
6,7
71,4
8,4
8,6
101,7
12,4
12,8
117,6
13,9
14,3
-
-
-
13,2
0,7
11,4
23,1
1,1
17,0
32,1
1,6
15,8
34,2
1,8
19,1
70,0
3,3
19,8
Muž
277,7
6,6
18,8
459,7
11,0
25,0
540,5
12,8
26,3
650,4
15,2
26,2
807,2
18,7
31,5
1 037,9
24,2
36,7
Žena
170,4
3,8
13,0
317,0
7,1
18,7
388,9
8,7
20,9
529,5
11,7
23,2
707,5
15,5
29,4
815,4
18,0
31,0
Střední bez maturity
56,2
Střední s maturitou Terciární
.
Ekonomická aktivita Zaměstnaný Nezaměstnaný Student Důchodce Pohlaví
1)
Hodnota je procentem z celkového počtu jednotlivců v dané socio-demografické skupině
2)
Hodnota je procentem z uživatelů internetu v dané socio-demografické skupině
Zdroj: ČESKÝ STATISTICKÝ ÚŘAD: Informační technologie v domácnostech a mezi jednotlivci : Česká republika : Využívání ICT jednotlivci, 2005 – 2010. Český statistický úřad [on-line]. [cit. 12. ledna 2012]. Dostupné na WWW: ; upraveno.
66
Tabulka č. 7: Platební karty v České republice: vybrané ukazatele (2002 – 2011) 2002 2003 2004 2005 2006 2007 Vydané platební karty 5 296 067 6 373 591 6 867 733 7 390 357 7 865 227 8 623 124
2008
2009
2010
2011
8 931 872
9 054 308
9 268 914
10 030 193
58 007
62 614
65 293
69 878
Akceptace - počet akceptačních míst (provozoven outlety) - počet transakcí u obchodníků - objem transakcí u obchodníků (v tis. Kč)
40 224
48 723
51 393
54 667
53 265
54 340
42 500 466
80 373 983
99 072 963 120 342 199 137 414 580 159 110 446 181 228 776 203 033 195 240 253 313
277 562 564
51 442 921
92 558 911 117 977 852 142 735 769 165 619 320 190 019 145 210 374 705 211 215 404 227 775 384
267 352 833
Výběry z bankomatů - počet instalovaných ATM 2 350 2 669 2 850 2 892 3 096 3 363 3 534 3 679 3 868 - počet transakcí v ATM 108 249 306 116 825 220 126 969 428 133 508 321 145 681 337 152 097 961 162 688 149 166 703 439 168 344 160 - objem transakcí v ATM (v tis. Kč) 292 493 921 352 253 010 407 273 734 447 277 044 508 918 549 554 989 857 609 466 254 610 956 301 619 490 744
4 082 174 271 751 644 452 758
Zdroj: Zpracováno podle SDRUŽENÍ PRO BANKOVNÍ KARTY: Souhrnné statistiky ke stažení (2002 – 2011). Sdružení pro bankovní karty [on-line]. [cit. 21. srpna 2012]. Dostupné na WWW: .
67
3 Bezpečnostní rizika elektronického obchodu a elektronického bankovnictví Bezpečnostní rizika elektronického obchodu a elektronického bankovnictví je možné obecně vymezit jako rizika spojená se získáním informací, které jsou předmětem firemního a bankovního tajemství, příp. dalších citlivých informací neoprávněnou osobou, riziko ztráty, odcizení či poškození majetku, zejména pak riziko ztráty či odcizení finančních prostředků. Bezpečnost informací a majetku v elektronickém obchodu a elektronickém bankovnictví je třeba zajistit pro případ zásahu „vyšší moci“ (např. požáru, záplavy, havárie), fyzického napadení (např. krádež počítače), útoku zevnitř (kdy je systém napaden lokálním uživatelem), útoku zvenku (kdy je systém napaden např. přes internet) a pro případ existence různých chyb (uživatelů, správců, hardwarových, softwarových apod.).
3.1 Bezpečnost a důvěra ve světě elektronického obchodu a elektronického bankovnictví Jak již bylo uvedeno, jsou podle mého názoru bezpečnost, kvalita a důvěra v e-světě klíčové a je možné je považovat za nezbytný předpoklad úspěchu elektronického obchodu a elektronického bankovnictví, ale i elektronické komerce jako celku. Jejich narušení může mít dalekosáhlé důsledky nejen na daný elektronický obchod či banku nabízející produkty elektronického bankovnictví, ale i na vývoj celé elektronické komerce. Význam důvěry a její vztah k technologiím zabezpečení zkoumali např. Whinston a Zhang. Tvrdí, že existuje rovnováha mezi zabezpečením předávané informace a pověstí důvěryhodnosti, které spoluvytvářejí účinné vztahy, že bezpečnost, kvalita a nejistota patří mezi největší překážky elektronické komerce. Zmiňována v této souvislosti bývá i nepublikovaná studie Alison Clark zpracovaná pro Joint Institute of Public Relation and Public Relation Consultants’ Association PR Internet Comission a její koncept důvěry, který je zachycen v níže uvedeném schématu. Profesor Kollock pak v této souvislosti uvádí, že pro osobu rozhodující se, zda zahájit transakci, je pověst druhé strany zdrojem informací, které mohou snížit nejistotu a určit, zda se partnerovi dá věřit. Díky tomu slouží existence obecné pověsti partnerovi jako významný podnět k tomu, být důvěryhodným, neboť špatná pověst mívá ničivý dopad. Přesto hrozba nebo samotná sankce špatné pověsti jsou účinné pouze tehdy, zajímají-li se potenciální účastníci transakce o přesné informace o druhé straně a šíří-li
68
je mezi sebou. Pokud spolu lidé nekomunikují, sdělované informace jsou nepřesné nebo je možné skrývat svou pravou totožnost, není systém reputace dostatečnou zárukou.119 Schéma č. 1: Alison Clark: Diagram důvěryhodnosti
Zdroj: PHILLIPS, D. Online public relations. 2003, s. 39.
Četné výzkumy veřejného mínění tyto vztahy potvrzují, přičemž poukazují na to, že některé (potenciální) uživatele odrazuje od provádění elektronických obchodů a od používání produktů elektronického bankovnictví nedůvěra v zajištění bezpečnosti těchto transakcí. Vzhledem k dále zmiňovaným událostem není možné tyto obavy považovat za bezdůvodné. Z provedených výzkumů můžeme zmínit např. výzkum internetových srovnávačů Heureka.cz a Heureka.sk a nákupní galerie Aukro.cz, kterého se v roce 2010 zúčastnilo 15 000 českých a 3 000 slovenských uživatelů internetu. Z výzkumu např. vyplynulo, že bez obav na internetu nakupuje necelých 30 % uživatelů internetu v České republice (na Slovensku přibližně 25 % uživatelů internetu), zatímco přibližně 40 % českých uživatelů má strach z obtížné reklamace produktu, 20 % se obává úplného nedoručení zboží, téměř 10 % uživatelů se obává ceny za doručení zboží, kdy vysoká cena této služby neúměrně navýší výslednou cenu zboží. Dle uvedených výsledků se rovněž zvyšuje počet uživatelů, kteří před každým nákupem hledají hodnocení elektronického obchodu, ve kterém chtějí nakoupit (v roce 2010 se jednalo o 34,8 % uživatelů, což je o 2 procentní body více než v roce 2009), a mírně klesá počet uživatelů, kteří tyto recenze vůbec nečtou. Zkušenosti ostatních čte před nákupem až 86,2 % nakupujících, kteří si dle Vychytila (provozní ředitel Aukro.cz) uvědomili, že zkušenosti ostatních jsou v podstatě tou nejlepší zárukou bezproblémového nákupu.120
119
Phillips, D. Online public relations. 2003, s. 38 – 39. Aukro: Výzkum: 30 % českých uživatelů nakupuje na internetu bez obav. Aukro [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: . 120
69
Za zmínku stojí i výsledky průzkumu společnosti MasterCard, který se uskutečnil v červnu roku 2011 na reprezentativním vzorku téměř jednoho tisíce lidí, klientů tuzemských bank. Z něj plyne, že pouze 53 % nakupujících na internetu věří, že tyto nákupy jsou bezpečné. Dalších 23 % respondentů neví nebo si nejsou jisti, přičemž důvěra v bezpečnost nákupů na internetu se zvyšuje přímo úměrně s tím, jak často lidé na internetu nakupují.121 Otázka bezpečnosti elektronického světa byla v první polovině roku 2011 připomenuta uživatelům internetu po celém světě v souvislosti s počítačovým útokem na datové centrum společnosti Sony, kdy ve dnech 17. – 19. dubna 2011 bylo prolomeno zabezpečení PlayStation Network122, odkud podle prvotních šetření uniklo obrovské množství osobních údajů uživatelů (jméno, adresa, login a heslo, datum narození, historie nákupů či např. i bezpečnostní otázka a odpověď k účtu), a to včetně údajů vztahujících se k platebním kartám, jako je číslo karty či datum její expirace123. Hackeři získali různá osobní data ze 77 milionů zákaznických účtů v sítí PlayStation Network. Podle vyjádření analytiků se zřejmě jedná o jeden z nejrozsáhlejších zásahů do soukromých dat na internetu za dobu jeho existence.124 Podle vyjádření české pobočky společnosti Sony125 bylo díky tomuto útoku ohroženo zhruba 90 tisíc účtů registrovaných v České republice. Výhodou z pohledu výše podstoupeného rizika v tomto případě bylo, že pouze asi 10 % českých uživatelů používá pro placení za služby na PlayStation Network platební kartu, ostatní k doplňování „kreditu“ používají předplacené kupony. Ve srovnání s uživateli, kteří využívají možnost placení prostřednictvím platební karty, podstupují tito uživatelé z tohoto pohledu jednoznačně nižší bezpečnostní 121
Kučera, P. Nakupujete na internetu? Devět z deseti Čechů už ano. Aktuálně.cz [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: . 122 PlayStation Network je interaktivní prostředí, které nabízí řadu služeb, je možné ho využít např. k hraní on-line her či chatování s přáteli po celém světě, k dispozici jsou demoverze her, přehrávání hudby, videí, nové rozšiřující úrovně, postavy, kostýmy, prvky do stávajících her. Přístup do sítě je sice bezplatný, ale nabízené doplňující služby jsou často placeny, proto je třeba u svého účtu uvést např. číslo platební karty nebo účet „dobíjet“ prostřednictvím předplacených kuponů. (Mlynář, M. Ke zneužití dat 90 tisíc českých zákazníků Sony zatím nedošlo. Bonusweb.cz [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: ). Podrobněji k PlayStation Network viz http://cz.playstation.com/psn/. 123 Ježek, D. Zabezpečení Playstation Network prolomeno, unikla obrovská hromada osobních údajů. Deep in IT [on-line]. ISSN 1213-2225. [cit. 7. ledna 2012]. Dostupné na WWW: . 124 Bonusweb.cz: Hackeři ukradli data milionů lidí. Blokujte kreditní karty, radí Sony. Bonusweb.cz [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: . 125 Mlynář, M. Ke zneužití dat 90 tisíc českých zákazníků Sony zatím nedošlo. Bonusweb.cz [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: .
70
rizika. Manažer české divize sice v této souvislosti uvedl126, že pravděpodobnost zneužití osobních dat je relativně nízká, neboť tato data jsou na centrálních serverech uložena v kryptované a nekompletní podobě, takže by bylo poměrně obtížné z nich získat původní údaje, dle mého názoru však tuto možnost vyloučit nelze a uživatelé (bez ohledu na to, zda platili tyto služby platební kartou či jiným způsobem) by tak měli být ostražití a důsledně dodržovat zásady bezpečného používání služeb elektronického obchodu a elektronického bankovnictví, resp. přijmout v této souvislosti příslušná preventivní opatření (např. vyměnit si platební kartu). Podle mého názoru by v tomto případě nemělo být i přes výše uvedené ujištění podceňováno riziko zneužití uniklých osobních dat zákazníků třetí stranou, resp. třetími stranami. Nelze totiž vyloučit, že na základě uniklých dat budou stávající uživatelé kontaktování např. přes telefon nebo pomocí e-mailu subjektem, který se bude vydávat za Sony, resp. její zaměstnance, a bude od těchto zákazníků např. „pod rouškou“ zvýšení zabezpečení jejich osobních dat žádat doplnění či upřesnění osobních údajů. Pozitivně tak vnímám snahu společnosti informovat své zákazníky, jak se v dané situaci chovat, a připomenout jim základní principy bezpečného užívání, které mohou být opomíjeny. Dle vyjádření Bradáče (manažer české divize)127 byli zákazníci informování e-mailem, jak se v dané situaci mají chovat, že mají např. pečlivěji sledovat pohyby na svých účtech, změnit si heslo a v případě potřeby kontaktovat zákaznické call centrum. Držitelům platebních karet, kteří měli zřízený účet na PlayStation Network, společnost navíc doporučila, aby si ihned vyměnili platební karty, změnili datum jejich použitelnosti, kontrolní čísla (CCV, CVV nebo CVC) a aby pečlivě sledovali pohyby na svých bankovních účtech128. Na druhou stranu by však neměla zůstat opomenuta skutečnost, že společnost Sony informovala o zcizení osobních dat uživatelů až 26. dubna 2011, tj. přibližně týden po samotném útoku. Společnost Sony toto prodlení vysvětluje tím, že forenzní analýze bylo třeba věnovat několik dní, přičemž pochopit rozsah útoku se expertům společnosti podařilo
126
Mlynář, M. Ke zneužití dat 90 tisíc českých zákazníků Sony zatím nedošlo. Bonusweb.cz [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: . 127 Mlynář, M. Ke zneužití dat 90 tisíc českých zákazníků Sony zatím nedošlo. Bonusweb.cz [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: . 128 Bonusweb.cz: Hackeři ukradli data milionů lidí. Blokujte kreditní karty, radí Sony. Bonusweb.cz [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: .
71
až 26. dubna 2011129. Vzhledem k podstupovaným bezpečnostním rizikům však toto zpoždění osobně považuji za alarmující a i přes uvedené vysvětlení za těžko odůvodnitelné. Kromě možnosti přímého zneužití získaných osobních dat uživatelů se společnost v takových případech vystavuje riziku narušení důvěry současných i potenciálních zákazníků, což se následně může projevit v poklesu zájmu uživatelů o využívání tohoto interaktivního prostředí, ve snížení zájmu o produkty a služby společnosti Sony, v oslabení postavení společnosti na trhu, poklesu jejích tržeb, zisku apod. Vyloučit v těchto případech nelze ani oslabení důvěry v elektronické obchodování a elektronické bankovnictví obecně. Problémy s bezpečností se nevyhýbají ani oblasti elektronického bankovnictví. Např. v srpnu 2000 si jedna z hlavních clearingových bank ve Velké Británii podkopala důvěru svých klientů v oblasti služeb on-line banking třemi „drobnými“ nehodami. V prvním případě systém banky umožnil uživatelům přístup k bankovním účtům ostatních klientů, v druhém se jeden z uživatelů náhodou dostal k finančním údajům svého souseda a ve třetím neprošla on-line aplikace kontrolou zabezpečení – poté, co se uživatel odhlásil a následně stisknul tlačítko „Zpět“, zjistil, že je stále ještě přihlášen. Média těmto problémům věnovala značnou pozornost a kritika v diskusních skupinách byla velmi silná a vydržela několik týdnů. Tyto nedostatky negativně ovlivnily reputaci on-line služeb nejen této banky, ale celého bankovního sektoru.130 V listopadu 2011 informoval server Bankovnipoplatky.com o závažných nedostatcích v zabezpečení internetového bankovnictví jedné z bank působících v České republice, kdy bylo možné uložit přístupové jméno a heslo a převést finanční prostředky z účtu bez dalšího nezávislého potvrzení. První ze zmíněných problémů je důsledkem nedodržení pravidla optimalizace jednotlivých programů pro různé prohlížeče, které klienti používají. Vzhledem k tomu, že co platí pro jeden prohlížeč, neplatí automaticky pro druhý, resp. funguje-li určitá operace správně prostřednictvím jednoho prohlížeče, nemusí to nutně znamenat, že identický program se bude chovat stejně i v případě jiného prohlížeče, je třeba chování jednotlivých programů při použití různých prohlížečů zkontrolovat a případně upravit. K tomu však v popisovaném případě zřejmě nedošlo. Díky tomu byl porušen jeden ze základních zabezpečovacích prvků internetového bankovnictví, kterým je odstranění možnosti uložit
129
Brabec, A. Hackerský útok odřízl hráče od internetu. Sony o situaci mlčela. Bonusweb.cz [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: . 130 Phillips, D. Online public relations. 2003, s. 41.
72
přístupové jméno a heslo. Banka toto pravidlo dodržela v případě nejrozšířenějšího prohlížeče Internet Explorer, ale nikoliv u Mozilly Firefox. Klient používající prohlížeč Mozilla Firefox si díky tomu mohl uložit své přístupové jméno a heslo (PIN), čímž (možná i nevědomky) přispěl ke zvýšení výše podstupovaného bezpečnostního rizika souvisejícího s používáním služeb elektronického bankovnictví. Dostala-li by se k počítači uživatele jiná (neoprávněná) osoba, mohla by díky uloženým přístupovým údajům uživatele vstoupit do jeho internetového bankovnictví, zjistit aktuální zůstatek na jeho účtu, prováděné platby apod. Byť by se jednalo o nepříjemné narušení soukromí, mělo by to získáním informací skončit. V tomto případě však uložení přístupových údajů nebylo problémem jediným, a tak by takový uživatel byl vystaven dalšímu riziku.131 Závažnost případu totiž zvyšuje skutečnost, že se banka neřídila ani dalším pravidlem pro zajištění bezpečnosti, když nevyžadovala další nezávislé potvrzení pro realizaci převodů finančních prostředků z vedeného účtu (např. zadání kódu zaslaného SMS zprávou). Resp. toto pravidlo bylo dodržováno v případě zadání nového příkazu k úhradě, nikoliv však v případě úpravy v systému již uložených vzorů příkazů k úhradě. Ty bylo možné měnit bez jakéhokoliv dalšího zabezpečení. To znamená, že pokud by se někdo dostal do internetového bankovnictví uživatele (např. proto, že si tento uživatel uložil své přístupové údaje nebo se ze systému neodhlásil a nechal počítač bez dozoru), mohl by získat nejen informace o daném účtu, ale dokonce úpravou již uložených vzorů příkazů k úhradě zajistit zaslání (příp. i opakované zasílání) finančních prostředků z daného účtu na jiný účet. Pak už je jen otázkou, jak rychle by majitel účtu toto zneužití zjistil. Nekontroloval-li by pravidelně pohyby na účtu, vč. čísel účtů, kam jsou tyto platby zasílány, pak by mohly být škody značné.132 Na závěr dodejme, že dle vyjádření autora zprávy byla banka 14 dní před zveřejněním zprávy na serveru upozorněna na zjištěné nedostatky, vč. přesného popisu možného útoku. Reakcí banky však místo očekávaného zjednání nápravy bylo zaslání dopisu obsahujícího citaci z bezpečnostních pravidel o zacházení s účtem, ve kterém se zaslanými upozorněními vůbec nezabývala, resp. poukázala na to, že v pravidlech používání elektronického bankovnictví je napsáno, že klient si přístupové heslo nemá ukládat. Připomínka, že jiné banky používají 131
Baubín, P. Odhalení – s internetovým bankovnictvím opatrně!. Bankovnípoplatky.com [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: . 132 Baubín, P. Odhalení – s internetovým bankovnictvím opatrně!. Bankovnípoplatky.com [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: .
73
systémy, které heslo uložit neumožňují, byla dle autora zcela ignorována. Stejně jako popis toho, jak „odklonit“ peníze z účtu. Do zveřejnění zprávy na serveru banka svůj systém nijak neupravila.133 Celá situace se může zdát poměrně absurdní. Banka sice může zastávat názor, že klient je (měl by být) seznámen s internetovým bankovnictvím a pravidly jeho bezpečného používání a porušuje-li je, padá odpovědnost za následky takového jednání na něj, na druhou stranu aktivní přístup banky při vytváření a nabízení (skutečně) bezpečných služeb (včetně např. preventivního odstranění možnosti uložení přístupových údajů klientem) by dle mého názoru přispěl k posílení vztahu klient-banka. Pro dokreslení bezpečnostní situace v oblasti elektronického bankovnictví lze zmínit zprávu z října 2011 o tom, že newyorská policie rozbila jeden z největších gangů padělatelů kreditních karet. Policie v této souvislosti zadržela více než 86 lidí a po dalších 25 stále pátrala kvůli jejich účasti v podvodech, na kterých se podílelo pět zlodějských skupin v New Yorku, které byly napojeny na další organizované skupiny v Africe, Evropě, Blízkém východě a ve východní Asii. Podle žalobců činila výše škody 13 milionů dolarů. Podvodníci skrytí za bankovní úředníky, zaměstnance restaurací a další pracovníky ve službách od svých „zákazníků“ získávali detaily o jejich kreditních kartách použitím speciálního skimmovacího zařízení, získaná data pak předávali technikům, kteří na jejich základě padělali kreditní karty, které pak byly používány skupinami „nákupčích“ po celých Spojených státech. Koupené zboží bylo následně prodáváno organizovaným skupinám v Číně, Evropě a na Blízkém východě. Dle vyjádření policejního zástupce měli zloději ohromující znalosti o využívání technologií.134 Pokud jde o Českou republiku, z policejních statistik plyne, že v roce 2010 způsobili pachatelé ukradenými kartami v 8 000 policii nahlášených případech celkovou škodu skoro za 340 milionů korun, přičemž zpět se podařilo zajistit pouze 16 000 korun. Na jeden případ neoprávněného držení platební karty připadala v roce 2010 v průměru škoda převyšující 42 000 korun. Za prvních deset měsíců roku 2011 policie zaevidovala 6 800 hlášení o neoprávněném držení platební karty, z čehož se jí v daném období podařilo objasnit
133
Baubín, P. Odhalení – s internetovým bankovnictvím opatrně!. Bankovnípoplatky.com [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: . 134 iDNES.cz: Američané rozbili jeden z největších gangů padělatelů kreditních karet. iDNES.cz [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: .
74
necelých 20 % případů. Škoda přesáhla částku 100 milionů korun. Zpět se podařilo zajistit 6 000 korun.135 Z důvodu objektivity je třeba však zdůraznit, že otázka bezpečnosti elektronického obchodu a elektronického bankovnictví není pouze otázkou těchto obchodů a poskytovatelů služeb elektronického bankovnictví, ale jak je možné se přesvědčit v následujících částech této kapitoly, do značné míry výši podstupovaných bezpečnostních rizik ovlivňují i samotní spotřebitelé/uživatelé. Např. tím, že neznají či nedodržují základní principy bezpečného využívání služeb elektronického obchodu a elektronického bankovnictví, neuvědomují si či podceňují výši samotných bezpečnostních rizik.
3.2 Podvody v oblasti elektronického obchodu a elektronického bankovnictví Následující část práce je věnována základním typům podvodů, s nimiž se můžeme setkat v případě elektronického obchodu a elektronického bankovnictví v České republice a ve světě. Vzhledem ke stanovenému cíli práce se zaměříme především na oblast bezhotovostních plateb, které svět elektronického obchodu a elektronického bankovnictví často spojují. Základní klasifikaci podvodů v oblasti bezhotovostních plateb nabízí např. studie Klufy, Scholze a Kozlové Podvody v oblasti bezhotovostních plateb v ČR136, která v rámci technického členění podvodů rozlišuje tzv. libanonské smyčky, skryté kamery, dotekové senzory, padělky karet, zneužití pomocí internetu, skimming, phishing, pharming, spoofing, trashing a prostou krádež. 3.2.1
Libanonská smyčka
Podstatou podvodu s využitím tzv. libanonské smyčky je úprava bankomatu pomocí speciálního dodatečného zařízení, které na bankomat připevní podvodník. Jedná se v podstatě o jednoduché zařízení, kterým se poupraví vstup pro platební kartu na bankomatu, jehož
135
Ginter, J., Svoboda, J. Češi hazardují s platebními kartami, o peníze pak přicházejí nenávratně. Novinky.cz [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: . 136 Klufa, F., Scholz, P., Kozlová, M. Podvody v oblasti bezhotovostních plateb v ČR. Sdružení českých spotřebitelů [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: .
75
cílem je zadržet platební kartu. Jak je možné vidět na obrázku č. 1, může se jednat o jednoduché zařízení, jehož podstatou je kousek pásky, který kartu zadrží. Obrázek č. 1: Libanonská smyčka – přídavné zařízení k bankomatu
Zdroj: KRHOVJÁK, J., KUMPOŠT, M., MATYÁŠ, V. Útoky na platební systémy. Zpravodaj ÚVT MU [on-line]. ISSN 1212-0901, 2007, roč. XVIII, č. 1, s. 10 – 17. [cit. 16. ledna 2012]. Dostupné na WWW: .
Obvyklý průběh podvodu je následující: Podvodník nejprve přistoupí k bankomatu a vstupní část pro platební karty upraví instalací speciálního přídavného zařízení, které způsobí, že platební kartu bude možné do bankomatu sice zasunout, ale nedojde k jejímu faktickému přijetí bankomatem, neboť karta uvízne v přídavném zařízení. To by samo o sobě ještě nemuselo být problémem, pokud by bylo možné kartu vyjmout. Tomu však brání instalované přídavné zařízení. Držitel platební karty (budoucí oběť) vloží platební kartu do bankomatu, bankomat ji díky zařízení nepřijme, ale vyjmutí karty možné rovněž není, neboť karta zůstala zachycena v instalovaném zařízení. V tento okamžik vstupuje do hry opět podvodník (či jeho spolupracovník), který se v blízkém okolí bankomatu pohybuje, aby ho měl neustále na očích a byl připraven nabídnout „pomoc“ své potenciální oběti. K tomu, aby podvodník mohl platební kartu oběti snázeji zneužít, potřebuje znát příslušný PIN (kartu však lze zneužít i bez znalosti PINu). Proto jako náhodný kolemjdoucí či např. další zájemce o využití služeb daného bankomatu přistupuje ke své potenciální oběti a nabízí ji pomoc s řešením uvíznuté karty. Vyzývá „oběť“, aby zadala (případně znovu zadala) PIN, že to pomůže. Zadání PINu v této situaci nemůže oběti pomoci k vysunutí karty. Slouží pouze podvodníkovi k odpozorování PINu, který se váže k uvíznuté platební kartě. Poté, co oběť zjistí, že „ani“ zadání PINu nepomohlo a že karta zůstala uvízlá v bankomatu a není možné ji vysunout, odchází. Tím se dopouští další chyby, neboť svým odchodem umožňuje podvodníkovi dokončit celou operaci. Po odchodu oběti podvodník přistoupí k bankomatu a z instalovaného zařízení vytáhne platební kartu oběti. Nyní ke zneužití karty stačí již opravdu velmi málo –
76
správně zasunout kartu do bankomatu a zadat PIN, který byl předtím odpozorován.137 Průběh podvodu s libanonskou smyčkou je znázorněn v modelu č. 3. Zamyslíme-li se nad podstatou tohoto podvodu, je možné zde dle mého názoru identifikovat dvě základní roviny problému. Za prvé samotná možnost úpravy bankomatu, tj. možnost neoprávněné úpravy přidáním dodatečného zařízení na vstup pro platební kartu, což vytvoří podmínky pro její následující zneužití. Rovina druhá je pak tvořena nezodpovědným jednáním klienta, držitele platební karty. Jejich kombinace pak umožňuje provádění podvodů tohoto typu. Pokud jde o nezodpovědné jednání držitele platební karty, můžeme identifikovat několik míst, v nichž se dopustil chyby, resp. porušil pravidla bezpečného používání platebních karet. Prvním momentem může být chybějící kontrola bankomatu klientem, neboť přídavná zařízení upravující vstupní místo pro platební kartu je možné v některých případech odhalit pouhým pohledem (zvlášť v případě, kdy klient daný bankomat využívá častěji, měl by být schopný odhalit změny, k nimž na bankomatu došlo). Na druhou stranu je třeba připustit, že se zvyšujícím se stupněm propracovanosti přídavných zařízení klesá i možnost běžného klienta odhalit tyto změny. Přes to bych kontrolu bankomatu před jeho použitím uživateli doporučovala, byť propracované přídavné zařízení nemusí být uživatelem odhaleno. Vzhledem k omezené možnosti klienta odhalit instalaci propracovaných přídavných zařízení se nabízí otázka, zda není možné zabránit neoprávněné instalaci přídavného zařízení na bankomat. Tato ochrana dnes ve většině případů technicky možná je a, jak uvádí studie Podvody v oblasti bezhotovostních platebních karet v ČR138, je instalace dodatečných ochranných adaptérů na bankomaty bankami účinnou ochranou.
137
Juřík (Juřík, P. Encyklopedie platebních karet : Historie, současnost a budoucnost peněz a platebních karet. 2003, s. 226) v této souvislosti uvádí, že podvodník může PIN odpozorovat i na dálku (např. s využitím dalekohledu), pokud si uživatel platební karty při zadávání PINu nezakrývá klávesnici. V takovém případě není nutný ani přímý osobní kontakt podvodníka s uživatelem platební karty – obětí. Podle Juříka instalace dodatečného zařízení na vstupní část pro platební karty bankomatu nemusí nutně způsobit nezasunutí platební karty do bankomatu, ale celý proces výběru hotovosti (příp. jiná operace) klientem – držitelem platební karty může probíhat „standardně“ až do okamžiku, kdy má bankomat vrátit platební kartu. To znamená, že klient vloží platební kartu do bankomatu, zadá PIN, bankomat vydá požadovanou hotovost (příp. provede jinou operaci), ale z důvodu instalovaného zařízení nevydá platební kartu. 138 Klufa, F., Scholz, P., Kozlová, M. Podvody v oblasti bezhotovostních plateb v ČR. Sdružení českých spotřebitelů [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: .
77
Model č. 3: Libanonská smyčka Úprava bankomatu podvodníkem
Podvodník se pohybuje v blízkém okolí bankomatu
K bankomatu přistupuje potenciální oběť
Potenciální oběť vsouvá platební kartu do bankomatu
Platební karta uvízla v bankomatu
K oběti přistupuje podvodník s nabídkou pomoci
Oběť na základě vyzvání podvodníka zadává PIN pod „dohledem“ podvodníka
Vysunutí karty se ani s „pomocí“ podvodníka nezdaří
Oběť odchází od bankomatu
K bankomatu přistupuje podvodník
Podvodník vytahuje platební kartu ze zařízení
Podvodník zasouvá platební kartu do bankomatu, zadává PIN a vybírá hotovost Zdroj: vlastní zpracování
78
Momentem, kdy se uživatel – potenciální oběť dopouští významného pochybení, je souhlas s nabídkou pomoci „kolemjdoucího“, resp. podvodníka, zejména pak zadávání PINu před touto osobou. K bankomatu by měl uživatel přistupovat vždy sám a důsledně si chránit soukromí při komunikaci s bankomatem. Zadání PINu před jinou osobou je z pohledu podstupovaného bezpečnostního rizika nezodpovědné. Navíc by si měl uživatel uvědomit, že pokud ho k zadání PINu nevyzývá bankomat, bude bezpředmětné a nemůže vést k vysunutí platební karty. Dalším okamžikem, v němž oběť pochybí, je odchod od bankomatu bez platební karty, aniž by zavolala do banky, informovala je o vzniklé situaci a nechala kartu ihned zablokovat, příp. se domluvila na dalším postupu za účelem snížení výše podstupovaných bezpečnostních rizik (např. příchod pracovníka banky, člena ostrahy, zavolání policie). V tuto chvíli by měl mít uživatel na paměti, že pokud by platební karta byla zadržena bankomatem z nějakého kvalifikovaného důvodu (např. z důvodu vypršení její platnosti), pak by o tom byl uživatel prostřednictvím obrazovky informován. Nestane-li se tak, nejedná se o standardní postup. Opatření ke snížení výše bezpečnostních rizik souvisejících s podvody využívajícími libanonské smyčky lze vidět na úrovni bank, jako poskytovatelů služeb elektronického bankovnictví provozujících bankomaty, i na straně držitelů platebních karet. Pokud jde o konkrétní doporučení, jejichž následování by přispělo ke snížení výše podstupovaných bezpečnostních rizik v této oblasti, lze zmínit především technické řešení vstupního otvoru pro platební karty bankomatů, které neumožňuje instalaci dodatečných zařízení k zadržení platební karty podvodníky, informování klientů (především samotnými bankami, příp. dalšími subjekty) o podstupovaných bezpečnostních rizicích a zásadách správného a bezpečného používání platebních karet, resp. jejich „vzdělávání“ v této oblasti a neustálé připomínání této problematiky. Za účelné bych považovala připomínání těchto pravidel přímo u bankomatů, resp. jejich prostřednictvím, např. na obrazovce. Uvedený by zde měl být dle mého názoru i telefonický kontakt na banku, kam by bylo možné se v případě problémů obrátit (např. za účelem zablokování karty), neboť klient nemusí telefonní číslo na svou banku, resp. na klientskou linku znát. Omezit výši vzniklých škod pomáhá také používání limitů (např. nastavení maximální částky, kterou je možné za stanovené období pomocí platební karty vybrat, resp. nastavení maximální částky na jednu operaci) a průběžné kontrolování zůstatku a pohybů na účtu, k němuž je platební karta vydána.
79
Co se týče podvodů využívajících principu libanonské smyčky v České republice, tak v současné době již většina bankomatů na našem území neumožňuje instalaci dodatečných zařízení na vstupní otvory bankomatů. Tento typ podvodů tak již dnes nepatří k běžným typům podvodů, s nimiž se na našem území můžeme setkat.139 Na druhou stranu by toto riziko nemělo být podceňováno. 3.2.2
Skrytá kamera
Cílem podvodů využívajících malých skrytých kamer je zaznamenání PINu, který klient zadává na klávesnici bankomatu nebo při platbě platební kartou u obchodníka. Studie Podvody v oblasti bezhotovostních plateb v ČR140 poukazuje na to, že je třeba si uvědomit, „že skrytou kamerou může být i záznamové zařízení na mobilních telefonech, kdy může při nepozorném použití platební karty dojít k nahrání jak čísla karty, doby platnosti, CVCV kódu, podpisu, a to např. při platbě „ve frontě“ u obchodníka, kdy osoba stojící poblíž, může prostřednictvím mobilního telefonu toto velice jednoduše zaznamenat“141. Samotná znalost PINu však podvodníkům k zneužití platební karty nestačí. Proto používání skrytých kamer bývá kombinováno s výše uvedenou libanonskou smyčkou, naplánovanou následnou krádeží platební karty klienta, který byl při zadávání PINu nahráván, či dále zmíněným skimmingem. Pokud však útočník prostřednictvím skryté kamery získal kromě PINu i další zmiňované údaje o kartě, pak k jejímu zneužití útočníkem může dojít i bez fyzické přítomnosti karty, a to na internetu. Co se týče ochrany, pak zde pomůže především důsledné zakrývání klávesnice druhou rukou při zadávání čísel na klávesnici bankomatu nebo na terminálu u obchodníka a preventivní kontrola zařízení a okolí před zadáním PINu. V případě podezření na neoprávněnou úpravu zařízení či jeho okolí by operace neměla být prováděna. Rovněž není-li dodržena „diskrétní zóna“, neměl-li by uživatel na prováděnou operaci soukromí a není-li možné ho zajistit (např. požádáním osoby stojící v těsné blízkosti, např. ve frontě u pokladny“ o odstoupení 139
Salmon, M. Podvody s kartami: skimmovací zařízení koupíte snadno i s návodem. Měšec.cz [on-line]. [cit. 16. ledna 2012]. Dostupné na WWW: . 140 Klufa, F., Scholz, P., Kozlová, M. Podvody v oblasti bezhotovostních plateb v ČR. Sdružení českých spotřebitelů [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: . 141 Je-li skrytá kamera použita pro odpozorování PINu u bankomatu, bývá dle vyjádření Policie České republiky nejčastěji ukryta v liště nad rámem obrazovky. Popsány jsou i případy, kdy k těmto účelům byl použit mobilní telefon, který byl umístěn v horní liště bankomatu nebo v bezprostřední blízkosti bankomatu (např. v přihrádce na informační materiály) (Policie České republiky: ÚOOZ SKPV : Skimming. Policie České republiky [on-line]. [cit. 17. ledna 2012]. Dostupné na WWW: ).
80
a dodržení diskrétní zóny, kterému daná osoba vyhoví) a nemuselo-li by zakrytí klávesnice rukou být dostatečné, měl by od jejího provedení upustit. Co se týče opatření, která mohou v této věci činit banky či obchodníci přijímací k platbám platební karty, jejich možnosti jsou tentokrát značně omezené. Zmínit lze kontrolu bankomatů a terminálů a jejich okolí za účelem odhalení jejich neoprávněných úprav apod. Vyznačeny mohou být diskrétní zóny, na jejichž dodržování může i sám obchodník své zákazníky upozorňovat apod. 3.2.3
Dotekové senzory
Cíl použití dotekových senzorů je identický s cílem výše popsaného použití skrytých kamer, tj. získání PINu klienta, tentokrát však prostřednictvím speciálních dotekových senzorů na klávesnici bankomatu, na vstupních dveřích do samoobslužných zón142 či na terminálu u obchodníka. Samotné získání PINu ani v tomto případě k zneužití platební karty nestačí a bývá tak opět kombinováno s dalšími typy podvodů. Pokud jde o ochranu před získáním PINu tímto způsobem, nezbývá než konstatovat, že možnosti jsou v tomto případě značně omezené. V zásadě jsou zúženy na kontrolu bankomatu, terminálu u obchodníka, příp. zařízení u vstupu do samoobslužné zóny k bankomatu, zda zde nejsou instalována nějaká dodatečná zařízení s dotekovými senzory. Předpokladem úspěšného provedení této kontroly je znalost daného místa a vyzkoušení, zda základní části bankomatu, terminálu (příp. panelu u vstupu do samoobslužné zóny) nejsou odnímatelné, špatně přidělané apod. Samotná kontrola by měla být prováděna především držitelem platební karty před jejím použitím, ale provádět ji mohou s cílem snížení výše podstupovaného rizika i banky či obchodníci. Pokud bychom se vrátili ke kontrole bankomatu, příp. terminálu či panelu u vstupu do samoobslužné zóny samotným klientem, je třeba si přiznat, že možnosti odhalení přidaných dotekových senzorů (nejsou-li udělány „amatérsky“) jsou bohužel výrazně omezené. Postup při zneužití platební karty s využitím skrytých kamer nebo dotekových senzorů je uveden v modelu č. 4.
142
Podle Policie České republiky by PIN z důvodu bezpečnosti neměl být používán jako vstupní kód na zařízení u dveří k místu výběru (Policie České republiky: Znáte rizika spojená s držením platební karty?. Svitavy : Oficiální informační portál města Svitavy [on-line]. [cit. 16. ledna 2012]. Dostupné na WWW: ).
81
Model č. 4: Podvody s využitím skrytých kamer nebo dotekových senzorů Instalace dotekových senzorů Úprava bankomatu, terminálu či jejich okolí podvodníkem Instalace skryté kamery Použití upraveného zařízení uživatelem platební karty, vč. zadání PINu
Získání PINu
Použití platební karty podvodníkem k výběru hotovosti, provedení úhrady u obchodníka apod.
Podvodník disponuje platební kartou i PINem
Získání, příp. výroba platební karty podvodníkem
Skimming
Krádež platební karty Libanonská smyčka Zdroj: vlastní zpracování
Na konec však dodejme, že k získání PINu není mnohdy třeba žádné speciální zařízení. Neopatrní, neznalí či nezodpovědní držitelé platebních karet porušováním základních pravidel bezpečného používání platebních karet umožňují útočníkům získat PIN i jinými, technicky méně náročnými způsoby, když jsou ochotni PIN např. sami sdělit obchodníkovi (a dalším osobám v doslechu), u kterého platí (např. z důvodu, že nevidí pořádně na klávesnici nebo protože je k tomu vyzval obchodník s nějakým „racionálním“ odůvodněním143), „zaměstnanci banky“, „příslušníku policie“ apod. 143
Sdružení pro bankovní karty v této souvislosti uvádí výmluvy na nefunkčnost platebního terminálu či samotné PIN klávesnice a následnou žádost obchodníka o sdělení PINu s tím, že transakci posléze sám dokončí po zprovoznění techniky, příp. předložení jiného terminálu či PIN klávesnice k dokončení transakce,
82
3.2.4
Padělky platebních karet
Dalším typem podvodů v oblasti elektronického obchodu a elektronického bankovnictví je padělání platebních karet a jejich následné použití podvodníkem. K výrobě padělku platební karty, který je možné následně použít např. k výběru hotovosti v bankomatu či bezhotovostní úhradě v obchodě, je třeba získat citlivá data (např. prostřednictvím skimmingu) a disponovat speciálním zařízením pro výrobu (příp. úpravu) platebních karet144. Dle Klufy, Scholze a Kozlové se v současné době na padělání platebních karet nejvíce podílejí kriminální skupiny z různých částí světa. Kromě organizovaných skupin zvyšuje podstupované riziko skutečnost, že zařízení na výrobu padělků dnes může dosahovat rozměrů osobního kufříku a padělek je schopné vyrobit během několika málo minut od získání citlivých dat.145 Pokud jde o opatření, jejichž dodržování by mělo vést ke snížení výše podstupovaného rizika v této oblasti, jde podle mého názoru primárně o zajištění ochrany citlivých údajů, které jsou pro výrobu padělku platební karty potřeba. Vzhledem k tomu, že riziko získání citlivých dat neoprávněnou osobou nejsme schopni nikdy zcela odstranit, jsou na místě opatření na úrovni bank, karetních společností, asociací, příp. dalších subjektů, jejichž cílem je padělané platební karty identifikovat a zabránit jejich použití podvodníky. V této souvislosti lze připomenout výše zmíněné různé ochranné prvky platebních karet či např. přechod k čipovým kartám146. 3.2.5
Skimming
Podstatou podvodného jednání zvaného skimming je získání citlivých údajů o platební kartě, kdy jsou originální údaje z magnetického proužku platební karty zkopírovány, a to bez vědomí držitele karty. Jak uvádí Klufa, Scholz a Kozlová147, vzhledem k tomu, že nedochází ke kopírování všech ochranných prvků (jako je např. kód CVC2/CVV2), je zneužití padělané než na kterém byla transakce započata (Sdružení pro bankovní karty: Druhy podvodů : Skimming. Sdružení pro bankovní karty [on-line]. [cit. 17. ledna 2012]. Dostupné na WWW: ). 144 Sdružení pro bankovní karty padělané karty vymezuje jako karty, které byly vyrobeny a personalizovány bez souhlasu vydavatele nebo takové, které byly právoplatně vydány, ale později byly vizuálně upraveny nebo byla pozměněna jejich elektronická data (Sdružení pro bankovní karty: Druhy podvodů : Podvody padělanou kartou. Sdružení pro bankovní karty [on-line]. [cit. 23. ledna 2012]. Dostupné na WWW: ). 145 Klufa, F., Scholz, P., Kozlová, M. Podvody v oblasti bezhotovostních plateb v ČR. Sdružení českých spotřebitelů [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: . 146 Juřík, P. Encyklopedie platebních karet : Historie, současnost a budoucnost peněz a platebních karet. 2003, s. 227. 147 Klufa, F., Scholz, P., Kozlová, M. Podvody v oblasti bezhotovostních plateb v ČR. Sdružení českých spotřebitelů [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: .
83
platební karty vyrobené na základě získaných dat zkopírováním dat z originální platební karty možné pouze v případech (resp. zařízeních), kdy nejsou tyto ochranné prvky kontrolovány. Ve světě např. stále existují banky, které ochranné prvky svých karet nekontrolují a na jejich bankomatech mohou být takové padělky úspěšně využity k výběrům finančních prostředků148 (s ohledem na stupeň rozvoje telekomunikační techniky, rychlost výroby padělku platební karty a organizaci skupin podvodníků může být platební karta zneužita velmi rychle po získání citlivých údajů skimmovacím zařízením na „druhém konci světa“). Získané údaje mohou být rovněž úspěšně využity k provedení transakcí, jichž se platební karta fyzicky neúčastní (např. při platbách přes internet). Podle Policie České republiky149 dochází ke kopírování platebních karet nejčastěji u bankomatů, kde podvodníci prostřednictvím speciálního kopírovacího (skimmovacího) zařízení zkopírují data z magnetického proužku platební karty a následně je použijí k výrobě padělku. Časté je však i u obchodníků, kde nepoctivý pracovník obchodníka zkopíruje údaje z magnetického proužku karty před vrácením zákazníkovi a získané citlivé údaje sám použije nebo je dále předá k výrobě padělku (s tímto jednáním je možné se dle Policie nejčastěji setkat v barech a restauracích, ale někdy i na čerpacích stanicích nebo v hotelech). Dochází-li ke kopírování dat z platební karty při jejím použití v bankomatu, bývá skimmovací zařízení instalováno nejčastěji do oblasti vstupního otvoru pro platební karty, kdy dochází k úpravě bankomatu prostřednictvím instalace různých nástavců na tyto vstupy, používány však bývají i různé formy panelů, které bývají připevněny na originální části bankomatů150. Zaregistrovány byly v této souvislosti rovněž případy, kdy skimmovací zařízení bylo instalováno na zařízení pro vsunutí platební karty pro vstup do samoobslužné zóny151.
148
Klufa, F., Scholz, P., Kozlová, M. Podvody v oblasti bezhotovostních plateb v ČR. Sdružení českých spotřebitelů [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: . 149 Policie České republiky: ÚOOZ SKPV : Skimming. Policie České republiky [on-line]. [cit. 17. ledna 2012]. Dostupné na WWW: . 150 Policie České republiky: ÚOOZ SKPV : Skimming. Policie České republiky [on-line]. [cit. 17. ledna 2012]. Dostupné na WWW: . 151 Např. v únoru 2011 server Lidovky.cz přinesl zprávu o falešných čtečkách platebních karet na bankovních pobočkách v Praze, když jeden z redaktorů Lidových novin objevil falešnou čtečku na vstupní čtečce platebních karet u dveří do samoobslužné zóny, resp. k bankomatu ČSOB na pražském Andělu. Podrobněji viz Kolina, J. Falešné čtečky karet jsou už i v Praze přímo na pobočkách. Lidovky.cz [on-line]. [cit. 17. ledna 2012]. Dostupné na WWW: .
84
U obchodníků existují dva základní způsoby. Skimmovací zařízení je buď umístěno přímo na platebním terminálu (např. na vstupní části pro platební karty) nebo je skimmovací zařízení samostatné a nepoctivý obchodník využívá nepozornosti, neznalosti či neopatrnosti držitele platební karty při jejím použití při placení. Vyloučit v těchto případech nelze ani úmyslné odvádění pozornosti platícího zákazníka samotným obchodníkem či s obchodníkem předem domluvenou osobou či osobami (např. nehodou, která způsobí zašpinění oblečení platícího zákazníka či hádkou mezi domluvenými „zákazníky“). Ke kopírování dat obchodníkem někdy dochází i mimo jakoukoliv možnou kontrolu platícího zákazníka, když ji spustí ze svého dohledu (např. proto, že uvěří obchodníkovi, že je třeba kartu odnést, neboť právě používaný terminál přestal fungovat, je třeba ověřit její pravost či zajistit větší bezpečnost prováděné platby). V některých případech dokonce obchodník zkopíruje data z platební karty za cenu neuskutečnění samotného prodeje zboží nebo služby, aby nevzbudil podezření dvojí manipulací s platební kartou zákazníka152. Ke zkopírování citlivých dat z platební karty dochází i na dalších místech. Sdružení pro bankovní karty153 popisuje např. případy, kdy podvodníci převlečení za příslušníky policie předstírají, že provádějí kontroly pravosti platebních karet a pomoci miniaturních skimmovacích zařízení zkopírují citlivé údaje z platební karty, přičemž se při této příležitosti nezdráhají zeptat držitele karty i na příslušný PIN. Skimming bývá také velmi často kombinován s podvody založenými na využívání skrytých kamer či dotekových senzorů, kdy cílem podvodníka je získat kromě citlivých údajů z platební karty i PIN154. Příklad průběhu podvodu s padělanou platební kartou s využitím skimmovacího zařízení a skryté kamery či dotekových senzorů je znázorněn v modelu č. 5.
152
Sdružení pro bankovní karty: Druhy podvodů : Skimming. Sdružení pro bankovní karty [on-line]. [cit. 17. ledna 2012]. Dostupné na WWW: . 153 Sdružení pro bankovní karty: Druhy podvodů : Skimming. Sdružení pro bankovní karty [on-line]. [cit. 17. ledna 2012]. Dostupné na WWW: . 154 Definice skimmingu jsou však různě široké a v některých případech bývá použití skryté kamery či dotekového senzoru považováno za součást skimmingu.
85
Model č. 5: Podvod s padělanou platební kartou s využitím skimmovacího zařízení a skryté kamery či dotekových senzorů Úprava bankomatu, terminálu, příp. jejich okolí podvodníkem Instalace skimmovacího zařízení Instalace skryté kamery či dotekových senzorů
Použití upraveného zařízení uživatelem platební karty, vč. zadání PINu
Vsunutí platební karty do bankomatu či platebního terminálu
Získání citlivých údajů z platební karty
Získání PINu
Zadání PINu
Výroba padělku platební karty
Podvodník disponuje padělkem platební karty a PINem
Použití padělané platební karty podvodníkem znajícím PIN k výběru hotovosti, provedení úhrady u obchodníka apod. Zdroj: vlastní zpracování
86
Pokud jde o opatření, která mohou přispět ke snížení výše bezpečnostních rizik podstupovaných v souvislosti se skimmingem, je možné zde vidět několik úrovní. V případě instalace skimmovacího zařízení na bankomat, čtečku karet u vstupu do samoobslužné zóny či např. na platební terminál se nabízí otázka, zda není možné toto riziko odstranit zabráněním instalace samotného skimmovacího zařízení. Speciální konstrukcí, resp. úpravou je možné toto riziko snížit, nikoliv však zcela odstranit. Tuto skutečnost potvrzují poznatky z praxe, kdy v reakci na rozvoj podvodů s využitím skimmovacích zařízení začaly banky používat ochranný prvek v podobě tzv. antiskimmovacích nástavců, které byly instalovány na vstupní místo (štěrbinu) pro vsunutí platební karty a které měly zabránit instalaci dodatečných zařízení, které by umožňovaly získávat citlivé údaje z platebních karet. Tento způsob ochrany byl však překonán. Důkazem toho jsou zadržené modely kopírovacích zařízení, které vykazují shodné provedení se samotným bezpečnostním antiskimmovacím nástavcem.155 Banky, resp. provozovatelé bankomatů a platebních terminálů sice zavádějí nejrůznější preventivní opatření, jako je např. instalování protikopírovacích zařízení a softwarů či monitorování bankomatů a platebních terminálů, v jejichž zavádění a dalším zdokonalování je vhodné pokračovat, měli bychom však počítat s tím, že i přes tato opatření se toto riziko zatím nepodařilo zcela odstranit. Doporučení je tak na místě formulovat i pro samotné uživatele platebních karet, kteří by měli důsledně dodržovat základní bezpečnostní pravidla při používání platebních karet. Tj. před použitím platební karty zkontrolovat zařízení, v kterém má být karta použita a jeho okolí. Přesvědčit se, že nedošlo k úpravě zařízení, na originální části nejsou nasazené kryty, přídavná zařízení, místo nikdo nesleduje atd. Tuto kontrolu bych doporučovala i přes to, že pachatelé jsou dnes mnohdy vybaveni přídavnými zařízeními na vysoké technické úrovni s vysokým stupněm propracovanosti (vč. barevného sladění přídavných zařízení s originálním zařízením), což značně snižuje pravděpodobnost odhalení takové úpravy uživatelem. Po kontrole zařízení a jeho okolí (nebyla-li odhalena úprava daného zařízení či jeho okolí) je možné přistoupit k provedení požadované operace, na jejíž provedení by měl mít uživatel klid, měl by se na ni plně soustředit a neměl by dopustit odvedení své pozornosti. V případě, že se mu něco na chování zařízení nezdá, měl by operaci stornovat a dále v ní nepokračovat (vhodné je kontaktovat se svým podezřením banku či policii). K přerušení operace by mělo 155
Policie České republiky: ÚOOZ SKPV : Skimming. Policie České republiky [on-line]. [cit. 17. ledna 2012]. Dostupné na WWW: .
87
dojít také v situaci, kdy je narušena diskrétní zóna zajišťující důvěrnost právě prováděné operace. Je-li vše splněno a uživatel pokračuje v realizaci transakce a přistupuje k zadání PINu na klávesnici, měl by klávesnici zakrýt např. druhou rukou, aby zabránil případnému získání PINu prostřednictvím skryté kamery (v případě použití dotekových senzorů tato ochrana samozřejmě účinná nebude). Další doporučení se budou týkat případů, kdy obchodník použije samostatné speciální skimmovací zařízení k získání citlivých údajů z platební karty. Držitel platební karty by nikdy neměl dávat kartu někomu jinému, a pokud tak učiní (např. aby ji obchodník zasunul do platebního terminálu), neměl by ji ztrácet z dohledu a měl by důsledně sledovat veškerou manipulaci obsluhy s kartou a v případě jakéhokoliv podezření prováděnou operaci raději přerušit a podle závažnosti, resp. typu „podezřelého“ chování kontaktovat banku či policii (např. při vkládání platební karty do více zařízení). Zcela nepřípustný z pohledu bezpečnosti je pak souhlas uživatele s odnesením platební karty mimo jeho kontrolu či sdělování PINu jiné osobě. Pokud jde o používání skimmovacích zařízení na čtečkách při vstupu do samoobslužných zón, je možné riziko snížit tím, že pokud uživatel disponuje více kartami, je vhodné jednu z nich vyhradit pro vstup do samoobslužných zón s tím, že tato karta bude mít výrazně omezené možnosti použití (některé operace s platební kartou je obvykle možné zakázat, je možné nastavit nízké, příp. nulové limity nebo se může jednat např. o debetní kartu k účtu, na němž nejsou finanční prostředky) nebo se ani nebude jednat o platební kartu, ale o jiný typ karty vybavený magnetickým proužkem. Pokud by v takovém případě došlo u vstupu do samoobslužné zóny ke zkopírování dat, získal by podvodník citlivé údaje k platební kartě, při jejímž zneužití podvodníkem by byla výše podstupovaného bezpečnostního rizika nižší. Navíc je tu otázka PINu. Pokud by podvodník následně získal PIN díky např. nainstalované skryté kameře, měl by PIN k jiné platební kartě, než ke které získal citlivé údaje (za předpokladu, že klient nemá nastavené ke svým platebním kartám stejné PINy, tato situace by však v případě uživatele platebních karet snažícího se minimalizovat výši podstupovaných bezpečnostních rizik neměla nastat, neboť by vedla ke zvýšení výše podstupovaného bezpečnostního rizika). Pokud by držitel platební karty provedl požadovanou operaci (např. výběr hotovosti z bankomatu, platbu platební kartou u obchodníka) a teprve až poté zjistil nainstalované dodatečné, zřejmě skimmovací, zařízení či pojal podezření na možné zkopírování karty (např. v důsledku následného uvědomění si jejího nestandardního 88
průběhu), měl by co nejdříve kontaktovat banku a požádat o blokaci, stoplistaci karty a informovat policii. Na závěr je možné zmínit, že kontroly pravosti platební karty příslušníky policie či zaměstnanci banky se neprovádí a ani těmto osobám se PIN nesděluje. K snížení výše podstupovaného rizika přispívá i v tomto případě pravidelná důsledná kontrola zůstatku a pohybů na účtu držitele karty. 3.2.6
Phishing
Dalším typem podvodů, s nímž se můžeme v elektronickém světě setkat a který se již netýká pouze platebních karet, ale i dalších služeb nabízených v rámci elektronického bankovnictví, jakož i elektronických obchodů, příp. dalších institucí a systémů, jež je možné jakýmkoli způsobem zneužít, je phishing. S ohledem na zaměření práce se však v následujícím textu zaměříme na problematiku phishingu dotýkající se elektronického obchodu a elektronického bankovnictví. To, co obecně spojuje podvody založené na phishingu, je snaha o využití, resp. zneužití důvěry lidí. Jejich podstatou není totiž nic jiného, než že pod cizí identitou osloví podvodník uživatele platební karty, klienta využívajícího služeb internetového či telefonního bankovnictví, majitele účtu na PayPal apod. s tím, že ho žádá o sdělení citlivých údajů (osobních údajů, hesel, loginů, PINů, čísel účtů atd.), přičemž tuto žádost zdůvodňuje např. zvyšováním
zabezpečení,
aktualizací
softwaru,
ověřováním
funkčnosti
přístupu
po výpadku systému, neprovedením požadované transakce, zablokováním účtu či nabídkou zvýhodněných podmínek pro čerpání služeb. Podvodník se v těchto případech mnohdy vydává za někoho jiného - za banku, dohledový orgán, internetového obchodníka, pořadatele on-line aukcí, provozovatele serverů apod. K oslovení potenciální oběti dnes dochází různými způsoby – elektronickou poštou, klasickým dopisem, telefonem apod. Rovněž předání požadovaných citlivých údajů může probíhat prostřednictvím různých kanálů. K tradičním způsobům patří internetové prostředí, kdy se oběť dle instrukcí podvodníka přihlásí na jím uvedenou webovou stránku, která na první pohled vypadá jako originální stránka subjektu, který oběť kontaktoval, a kde má do nachystaného formuláře vyplnit požadované informace. Citlivá data mohou být ale předávána i e-mailem, po telefonu atd. 89
K zvýšení důvěryhodnosti a následného nachytání více uživatelů používají podvodníci řadu triků, z nichž můžeme kromě uvedeného vzhledu webové stránky zmínit např. podobné webové adresy či kontaktní e-mailové adresy, kdy podvodníci spoléhají na to, že uživatel nezaregistruje přehození písmen, zkrácení názvu, použití jiné zkratky, doplnění pomlčky apod. V případě odkazů na podvodné webové stránky se někdy podvodníci dokonce snaží omezit riziko odhalení změněné webové adresy zakrýváním adresního řádku, resp. jeho nezobrazováním či neúplným zobrazením. Je-li podvodník úspěšný a oslovený uživatel jeho výzvu vyslyší a citlivé údaje mu sdělí, je pak v podstatě už jen otázkou času, kdy útočník využije získaná data ve svůj prospěch (získaná data může sám přímo použít nebo je může předat – prodat další osobě). Závažnost phishingu je možné spatřovat v poměrně snadném oslovení velkého počtu vybraných uživatelů, z nichž někteří sdělení uvěří a o citlivé údaje se s důvěrou podělí. I kdyby úspěšnost v relativním vyjádření byla (velmi) malá (některé analýzy v této souvislosti uvádí 5 % „napálených“, některé dokonce zmiňují hodnoty vyšší156), tak při velkém počtu oslovených představuje phishing významnou hrozbu pro subjekty v elektronickém světě. Navíc jednu z velkých hrozeb představují v této oblasti v současné době oblíbené sociální sítě, prostřednictvím nichž je možné se o účastnících dozvědět velké množství informací. Podaří-li se podvodníkovi získat přihlašovací údaje uživatele (prostřednictvím úspěšného phishingu), může je snadno využít k získání dalších údajů, díky čemuž může dojít až k odcizení identity důvěřivého uživatele.157 Níže uvedené dva modely zachycují průběh podvodů založených na phishingu v případě internetového či telefonního bankovnictví a platební karty. Podvody založené na phishingu v jiných oblastech elektronického světa mají obdobné scénáře.
156
Polanský, I., Křeháčková, Z. Praktická finanční příručka pro každý den. 2008, s. 20. Na tuto hrozbu již v roce 2006 upozorňoval Kirk. Podrobněji viz Kirk, J. Phishing Scam Takes Aim at MySpace.com : Social networking site is increasingly a target for identity thieves. PCWorld [on-line]. [cit. 18. ledna 2012]. Dostupné na WWW: . 157
90
Model č. 6: Zneužití internetového/telefonního bankovnictví s využitím phishingu Vytvoření podvodných www stránek podvodníkem obsahujících formulář pro zadání citlivých údajů
Zaslání e-mailu uživateli internetového/telefonního bankovnictví s odkazem na vytvořené podvodné stránky s žádostí o uvedení požadovaných údajů
Vstup uživatele na podvodné stránky prostřednictvím odkazu v obdrženém e-mailu
Vyplnění formuláře citlivými údaji o příslušném účtu, bezpečnostních prvcích (vč. přihlašovacích údajů), příp. své osobě uživatelem – získání citlivých údajů podvodníkem
Podvodník disponující citlivými údaji se vydává za uživatele a přihlašuje se do jeho internetového/telefonního bankovnictví
Podvodník převádí finanční prostředky z účtu podvedeného uživatele Zdroj: vlastní zpracování
91
Model č. 7: Podvod s padělanou platební kartou s využitím phishingu Vytvoření podvodných www stránek podvodníkem obsahujících formulář pro zadání citlivých údajů
Zaslání e-mailu držiteli platební karty s odkazem na vytvořené podvodné stránky s žádostí o uvedení požadovaných údajů
Vstup uživatele na podvodné stránky prostřednictvím odkazu v obdrženém e-mailu
Vyplnění formuláře citlivými údaji o platební kartě, příp. své osobě držitelem platební karty – získání citlivých údajů podvodníkem
Výroba padělku platební karty (na základě získaných citlivých údajů od držitele)
Použití padělané platební karty podvodníkem disponujícím PINem k výběru hotovosti, provedení úhrady u obchodníka atd. Zdroj: vlastní zpracování
Pokud jde o opatření, která mohou přispět ke snížení výše podstupovaných bezpečnostních rizik, pak v souvislosti s phishingem je třeba zmínit především to, že na e-maily, dopisy, SMS zprávy, telefonáty a vzkazy vyzývající ke sdělení citlivých údajů by uživatelé neměli vůbec reagovat. Banky, jakož i jiné finanční instituce, provozovatelé platebních systémů či jiné subjekty, za které se podvodníci vydávají, tímto způsobem s klienty v otázkách týkajících se bezpečnosti nekomunikují. Pokud přijatý e-mail obsahuje odkaz na webové stránky, na který má oběť útoku kliknout a vyplnit prostřednictvím něj požadovaný formulář, pak není 92
vhodné (ani např. ze zvědavosti) na tyto odkazy klikat. Kromě snahy o vylákání citlivých údajů nelze totiž vyloučit ani jiný typ útoku, při kterém může hrozit např. napadnutí počítače. Doporučení nevstupovat na uváděné webové stránky se samozřejmě týká i těch uživatelů, kteří jsou k tomuto kroku vyzýváni jiným způsobem (SMS zprávou, dopisem atd.). Pro komunikaci s bankou, vstup do platebního systému, přihlášení na sociální síť apod. je vhodnější vypisování adres v adresním řádku v internetovém prohlížeči samotným uživatelem místo používání přednastavených adres, různých odkazů atd. Při vypisování adresy by měl být uživatel navíc pozorný a měl by zkontrolovat, zda se při zadávání nedopustil překlepu. Jak již bylo uvedeno, podvodníci využívají možnosti registrovat si podobné adresy, a „nic netušící“ uživatel, který se překlepu při zadávání adresy do internetového prohlížeče dopustil, se může nechtěně octnout na webových stránkách vytvořených podvodníkem k získání citlivých údajů. Dále lze doporučit neprovádět plánovanou operaci nebo její provádění přerušit, pokud uživatel zjistí, že se systém chová nestandardně, požaduje zadání citlivých údajů, které dosud nikdy nechtěl, resp. jejichž zadání by požadovat neměl atd. V těchto případech by měl uživatel následně kontaktovat také příslušný subjekt a informovat ho o situaci, příp. se rovnou obrátit na policii. Při identifikaci phishingových útoků může uživatelům pomoci nízká úroveň kvality provedení útoku (např. e-mailová zpráva či webová stránka je psaná v jiném jazyce, s gramatickými a/nebo stylistickými chybami, v případě webových stránek může jít i o chyby ve formátování, použitých barvách, rozložení obsahu atd.). Na druhou stranu je třeba přiznat, že phishingové útoky bývají z tohoto pohledu i velmi dobře propracované, což dle mého názoru výrazně zvyšuje pravděpodobnost úspěšného útoku. K odhalení útoku může přispět také používání nezabezpečené komunikace internetového prohlížeče s příslušným serverem (adresa v adresním řádku prohlížeče začíná „http://“ místo „https://“). Uživatel by tak měl věnovat pozornost i začátku adresy uvedené v adresním řádku internetového prohlížeče, který signalizuje, v jakém režimu komunikace probíhá. Dalším opatřením pro omezení výše podstupovaného rizika je zkontrolovat pravost stránek prostřednictvím ověření certifikace, tj. zda webové stránky, na nichž se uživatel právě nachází, disponují certifikátem vydaným pro subjekt, na jehož webové stránky se chtěl uživatel skutečně přihlásit, a pro uvedené webové stránky (nejlépe vydaný renomovanou společností). To lze provést obvykle kliknutím na symbol zámku (např. v pravém dolním rohu 93
na liště či v adresním řádku internetového prohlížeče). Ke snížení výše podstupovaného bezpečnostního rizika přispívá i používání dodatečných bezpečnostních prvků uživatelem (např. zasílání autorizačních SMS zpráv). I v tomto případě by měl být zdůrazněn význam dodržování základních zásad bezpečného používání počítače a internetu. Tj. používání pouze důvěryhodných počítačů s pravidelně aktualizovaným
softwarem
(operačním
programem,
antivirovým
programem
atd.),
využívajících silné firewally, které má uživatel pod kontrolou, na kterých nestahuje neznámé, podezřelé programy, aplikace z internetu, nekliká na podezřelé odkazy v e-mailech apod. 3.2.7
Pharming
Novějším a nebezpečnějším způsobem útoku než phishing je pharming, který může nabývat dvou podob. V prvním případě je napadán Domain Name System (DNS), systém doménových jmen, která jsou hierarchicky uspořádána a jehož hlavním úkolem a příčinou vzniku jsou vzájemné převody doménových jmen a IP adres158. Je-li tento systém napaden, pak se uživatel, který do adresního řádku internetového prohlížeče napíše adresu stránek, na které se chce dostat, ocitne na jiných stránkách, neboť díky zásahu do systému je požadovaná adresa přeložena na jinou, nesprávnou IP adresu. Základem úspěchu útoku je tak úprava DNS záznamu subjektu, prostřednictvím kterého se podvodník chce dostat k citlivým údajům uživatele. Podaří-li se útočníkovi pozměnit např. záznam banky uživatele používajícího internetové bankovnictví, tak se tento uživatel díky špatnému překladu adresy banky dostane na webové stránky vytvořené podvodníkem, které napodobují originální stránky dané banky. Zadá-li na nich citlivé údaje (např. přihlašovací údaje pro vstup do aplikace internetového bankovnictví), sdělí je, aniž by cokoliv tušil, podvodníkovi, který jejich prostřednictvím může dokončit útok, např. převést finanční prostředky z účtu oběti.159 Tato podoba pharmingu je sice efektivní, ale pro podvodníka, který chce získat citlivé údaje uživatele, poměrně obtížná. Jednodušší a v současnosti více používanou možností je napadání jednotlivých počítačů podvodníky, kteří se snaží o zapsaní adresy jimi vytvořených webových stránek s příslušnou doménou do tzv. host souboru, který pracuje v určeném operačním systému, podobně jako DNS. Soubor obsahuje IP adresy a jim odpovídající domény 158
IP adresa je číslo, které jednoznačně identifikuje síťové rozhraní v počítačové síti, která používá internetový protokol (IP). 159 Klufa, F., Scholz, P., Kozlová, M. Podvody v oblasti bezhotovostních plateb v ČR. Sdružení českých spotřebitelů [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: .
94
a k napadení počítače může dojít např. prostřednictvím e-mailu obsahujícího tzv. trojského koně,
při
stahování
aplikace
z internetu
či
kliknutí
na
odkaz
poslaný
v e-mailu. Je-li podvodník úspěšný, pak je uživatel díky provedené změně opět „přesměrován“ na webové stránky vytvořené podvodníkem, prostřednictvím nichž útočník získává citlivé údaje.160 Model č. 8 demonstruje průběh zneužití citlivých údajů s využitím pharmingu v případě internetového bankovnictví. Model č. 8: Zneužití internetového bankovnictví s využitím pharmingu I Napadení DNS podvodníkem / Napadení host souboru podvodníkem
Zadání www adresy své banky uživatelem do adresního řádku internetového prohlížeče
Přesměrování uživatele na podvodné www stránky pachatele vydávajícího se za banku uživatele
Přihlášení uživatele do internetového bankovnictví – získání citlivých údajů podvodníkem
Podvodník disponující citlivými údaji se vydává za uživatele a přihlašuje se do jeho internetového bankovnictví
Podvodník převádí finanční prostředky z účtu podvedeného uživatele Zdroj: vlastní zpracování 160
Klufa, F., Scholz, P., Kozlová, M. Podvody v oblasti bezhotovostních plateb v ČR. Sdružení českých spotřebitelů [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: .
95
Krhovják, Kumpošt a Matyáš161 v této souvislosti zmiňují další způsob realizace podvodu, kdy webové stránky vytvořené podvodníkem, na které je uživatel přesměrován při snaze dostat se na originální stránky např. své internetové banky, slouží pouze jako „prostředník“ mezi uživatelem a skutečným systémem internetového bankovnictví uživatele, který např. korektně přeposílá pouze autorizační údaje zadané uživatelem, další údaje však již pozměňuje dle požadavků podvodníka (např. dochází ke změně čísla účtu či velikosti převáděné částky). Průběh podvodu v tomto případě je zachycen v modelu č. 9. Pokud jde o opatření, která by měla snížit výši podstupovaných bezpečnostních rizik v případě pharmingu, budeme se opět dotýkat otázek bezpečného používání počítače a internetu, jako tomu bylo v případě phishingu. Opatření mohou mít podobu opatření softwarových, kdy by měl uživatel používat kvalitní antivirový program a pravidelně ho aktualizovat, používat silný firewall atd. Vhodné je využívat doplňkové nástroje pro dosažení vyšší úrovně zabezpečení prováděných transakcí (např. potvrzení transakce zasláním autorizační SMS zprávy162 a používání klientského certifikátu), které omezují možnosti případného zneužití získaných citlivých údajů (např. získal-li by podvodník přihlašovací údaje do internetového bankovnictví uživatele, mohl by „pouze“ zjistit výši zůstatku na účtu, pohyby apod., ale nebyl by schopný převést finanční prostředky z tohoto účtu jinam). Uživatel by rovněž měl pečlivě kontrolovat webové stránky, na které se přihlásil, tj. zda se skutečně jedná o originální stránky daného subjektu a nedošlo k přesměrování na jiné, podvodné stránky. Přestože webové stránky vytvořené podvodníkem mohou být dnes na velmi vysoké úrovni a na první pohled k nerozeznání od originálních, při podrobnějším zkoumání lze obvykle objevit určité nesrovnalosti. Další možností jak zkontrolovat pravost stránek je ověřením certifikace, tj. zda webové stránky disponují certifikátem vydaným pro subjekt, na jehož webové stránky se chtěl uživatel skutečně přihlásit a pro požadované webové stránky (nejlépe vydaný některou z renomovaných společností). To lze zpravidla provést kliknutím na symbol zámku (např. v pravém dolním rohu na liště či v adresním řádku prohlížeče). K odhalení útoku přispívá i důsledné pozorování chování webových stránek, resp. průběhu prováděných operací. Napadené systémy např. vyžadují zadání (citlivých) údajů, které jinak nepožadují. Má-li uživatel jakékoliv pochybnosti, měl by provádění operace 161
Krhovják, J., Kumpošt, M., Matyáš, V. Útoky na platební systémy. Zpravodaj ÚVT MU [on-line]. [cit. 16. ledna 2012]. Dostupné na WWW: . 162 Dalším stupněm preventivních bezpečnostních opatření může být zavedení časové prodlevy mezi zadáním požadavku na změnu telefonního čísla pro zasílání autorizační SMS zprávy a provedením této změny.
96
přerušit a kontaktovat co nejdříve banku s podezřením na útok na používanou službu. Potvrdí-li se podezření nebo přetrvávají-li pochybnosti, měl by se dohodnout na zablokování účtu a dalším postupu. Obrátit se v těchto případech uživatel může i na policii. Model č. 9: Zneužití internetového bankovnictví s využitím pharmingu II Napadení DNS podvodníkem / Napadení host souboru podvodníkem
Zadání www adresy své banky uživatelem do adresního řádku internetového prohlížeče
Přesměrování uživatele na podvodné www stránky pachatele vydávajícího se za banku uživatele
Přihlášení uživatele do internetového bankovnictví prostřednictvím podvodných stránek – autorizační údaje zadané uživatelem jsou prostřednictvím podvodných www stránek korektně předány do originálního systému internetového bankovnictví
Zadání příkazu k úhradě uživatelem prostřednictvím podvodných www stránek
Úprava údajů uvedených uživatelem v příkazu zadaném prostřednictvím podvodných www stránek dle požadavků podvodníka (v jeho prospěch)
Převedení finančních prostředků z účtu uživatele ve prospěch podvodníka Zdroj: vlastní zpracování
97
Apelovat je i v tomto případě třeba na dodržování základních zásad bezpečného používání počítače a internetu, z nichž řada byla zmíněna u dříve uvedených typů podvodů. Příkladem může být používání pouze důvěryhodného počítače (nikoliv veřejně přístupného), který má uživatel pod kontrolou, zákaz stahování aplikací z neznámých serverů a klikání na různé odkazy (např. zaslané v e-mailu), omezené používání účtů s administrátorskými právy, zřízení samostatných účtů pro jednotlivé uživatele, používání bezpečných hesel. Samozřejmostí by mělo být vhodné zabezpečení DNS serverů, jejichž ochrana dnes může dosahovat velmi vysoké úrovně.163 3.2.8
Spoofing
Podstata spoofingu spočívá v tom, že se určitý uzel sítě vydává za někoho jiného, než kým ve skutečnosti je, a snaží se tak získat citlivé údaje, které by bylo možné následně zneužít. Podvodníci v těchto případech přijímají data, ke kterým by jinak neměli přístup, a/nebo jménem subjektu, za který se vydávají (např. jménem banky), vysílají něco, co by sami vysílat nemohli nebo mohli, ale ne s požadovaným efektem.164 Šance na získání citlivých údajů podvodníky i v tomto případě obecně rostou s kvalitou provedení útoku. Co se týče jednotlivých typů podvodů, tak o skrytí své pravé identity může útočník usilovat např. jako odesilatel SMS zprávy či e-mailu165. Do spoofingu však patří i vytváření falešných webových stránek, které mají vzbudit dojem, že se uživatel nachází na originálních webových stránkách, na které se chtěl dostat. Tento typ podvodů bývá velmi často kombinovaný s výše zmíněným phishingem, přičemž podvodník při současném využití obou těchto technik může dosáhnout synergických efektů, resp. zvýšit pravděpodobnost úspěchu prováděného útoku. Synergických efektů je ale možné dosahovat i ve spojení s dalšími typy podvodů.166 163
Bezpečnostní tým CSIRT.CZ odhalil při analýze dat provozu DNS v České republice v roce 2011 přibližně 1 500 DNS serverů s velmi nízkou úrovní zabezpečení, jehož příčinou je dle zjištění absence základního bezpečnostního opatření – náhodných portů pro odchozí dotazy. Díky tomu je možné daný server úspěšně napadnout v řádu několika málo sekund. Podrobněji viz CSIRT.CZ: CZ.NIC a BIS – české DNS servery nejsou řádně zabezpečené. CSIRT.CZ [on-line]. [cit. 20. ledna 2012]. Dostupné na WWW: . 164 Klufa, F., Scholz, P., Kozlová, M. Podvody v oblasti bezhotovostních plateb v ČR. Sdružení českých spotřebitelů [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: ; Peterka, J. Spoofing. eArchiv.cz : Archiv článků a přednášek Jiřího Peterky [on-line]. [cit. 20. ledna 2012]. Dostupné na WWW: . 165 Tzv. SMS spoofing a e-mail spoofing. 166 Problémem, na který zde narážíme, je otázka vymezení jednotlivých podvodů v teorii a praxi (např. spoofing bývá někdy považován za synonymum falešných webových stránek, viz např. Bezpečný internet.cz: Falešné webové stránky neboli Spoofing. Bezpečný internet.cz [on-line]. [cit. 20. ledna 2012]. Dostupné na WWW: , na druhou stranu však je možné se setkat i s širším, obecnějším vymezením, které je uvedeno výše v textu).
98
Za nejnebezpečnější typ spoofingu je považovaná metoda MITM (Man In The Middle, tj. „muž ve středu“), kdy dochází k narušení komunikace mezi uživatelem a subjektem, s nímž chce uživatel vstoupit do styku (např. narušení komunikace mezi klientem využívajícím internetové bankovnictví a jeho bankou), kdy útočník naruší šifrovací systém veřejného a soukromého klíče, který je pro komunikaci používán. Tento způsob spoofingu patří k složitějším metodám, neboť pro samotné narušení komunikace je potřebné získání příslušného klíče (certifikátu) banky, který se často mění.167 Pokud jde o opatření, jejichž realizace by měla přispět ke snížení výše podstupovaného rizika, setkali jsme se s nimi v souvislosti s výše popisovanými typy podvodů, především phishingem a pharmingem. V souvislosti s metodou MITM je možné doplnit doporučení zajištění šifrování dané komunikace a nastavení internetového prohlížeče tak, aby ověřoval, zda je příslušný klíč (certifikát) stále platný či již nikoliv. 3.2.9
Trashing
Cílem trashingu je rovněž získání citlivých údajů, které by bylo možné zneužít, tentokrát však z „odpadu“, který může mít jak fyzickou, tak i elektronickou podobu. Zdrojem citlivých dat mohou být např. fyzické dokumenty vyhozené uživatelem do koše na odpadky či elektronické dokumenty přesunuté uživatelem do „koše“. Vyloučit v této podobě nelze únik informací z banky, od provozovatele platebního systému či jiných subjektů, které citlivými údaji disponují. V případě elektronických dokumentů mohou útočníci dokonce použít speciální viry, které jsou po napadení počítače schopné z koše vybírat soubory, které by mohly citlivé údaje obsahovat. Ve všech případech je ochrana proti tomuto typu podvodů zřejmá. S veškerými dokumenty, které obsahují citlivé údaje, by mělo být ve všech fázích vždy nakládáno tak, aby bylo minimalizováno riziko jejich zneužití třetími osobami, a to i v případě, že jsou tyto dokumenty určeny k „vyhození“. Je třeba dbát na důslednou skartaci takových dokumentů, zabezpečit jejich odvoz a skladování. A to jak v případě fyzických, tak i elektronických dokumentů. Ke snížení výše podstupovaného rizika přispívají i další skupiny opatření, jako Vzhledem k tomu, že jednotlivé typy podvodů mohou být vzájemně kombinovány, může docházet k určitým překryvům, zejména pokud jde o popis průběhu jednotlivých podvodů, neboť jednoznačné položení dělící čáry, která by oddělovala konec jedné podvodné techniky a začátek druhé, nemusí být z důvodu jejich vzájemného prolínání možné. 167 Wikipedie: Počítačová kriminalita : Spoofing. Wikipedie [on-line]. [cit. 20. ledna 2012]. Dostupné na WWW: .
99
je např. používání dalších bezpečnostních prvků u služeb elektronického bankovnictví (např. autorizační SMS zprávy) či dodržování zásad bezpečného používání počítače a internetu, čímž lze zabránit např. infikování počítače virem, který by mohl v koši vyhledávat soubory s citlivými údaji. K včasnému odhalení úniku a zneužití citlivých informací z oblasti elektronického bankovnictví přispívá sledování pohybů na účtu např. prostřednictvím SMS zpráv, důsledné kontrolování výpisů z účtu apod. Vzhledem k tomu, že citlivé informace získané z „odpadu“ nemusí být kompletní, ale je třeba je pro úspěšné zneužití podvodníkem doplnit o další údaje, může být trashing kombinovaný s jiným typem podvodů, např. phishingem. V případě platebních karet může být trashing spojený s krádeží originální platební karty uživatele. I v tomto případě samozřejmě podvodník nemusí získané informace využít sám, ale může je prodat dalšímu subjektu, který je zneužije, doplní o další citlivé informace atd. Model č. 10: Zneužití internetového bankovnictví uživatele s využitím trashingu Napadení počítače uživatele virem schopným vyhledávat soubory v koši počítače
Vyhození elektronického dokumentu obsahujícího citlivé údaje do koše v počítači
Vir vybírá soubor s citlivými daty z koše počítače uživatele – podvodník získává citlivé údaje
Podvodník disponující citlivými údaji se vydává za uživatele a přihlašuje se do jeho internetového bankovnictví
Převedení finančních prostředků z účtu uživatele ve prospěch podvodníka Zdroj: vlastní zpracování
100
Model č. 10 a 11 reprezentují dva vybrané scénáře využívající citlivé informace získané prostřednictvím trashingu, jednou z elektronických dokumentů vyhozených do koše počítače prostřednictvím speciálního viru, který infikoval počítač uživatele, jednou z fyzických dokumentů (např. z dopisu obsahujícího PIN k vydané platební kartě) vyhozených uživatelem do klasického koše na odpadky, k nimž se pachatel dostal. V prvním případě je demonstrováno
zneužití
získaných
informací
pachatelem
v
rámci internetového
bankovnictví, v druhém případě jsou získané citlivé údaje použity při zneužití ukradené platební karty. Model č. 11: Zneužití originální platební karty uživatele s využitím trashingu Uživatel obdržel dopis obsahující PIN k vydané platební kartě
Vyhození obdrženého dopisu obsahujícího citlivé údaje uživatelem do koše
Dopisu s citlivými údaji (PINem k platební kartě uživatele) se ujímá podvodník – podvodník disponuje citlivými údaji k platební kartě uživatele
Přepadení uživatele podvodníkem a krádež platební karty
Podvodník disponující originální platební kartou uživatele a citlivými údaji (zná PIN) použije platební kartu k výběru hotovosti, provedení úhrady u obchodníka Zdroj: vlastní zpracování
101
3.2.10 Prostá krádež či ztráta platební karty a/nebo citlivých údajů a jejich zneužití Typickým příkladem nezákonného chování je prostá krádež platební karty uživatele. Úspěch podvodníka zde do jisté míry závisí na tom, zda se dokáže platební karty zmocnit tak, aby si uživatel ničeho nevšiml a krádež platební karty nezaregistroval (v opačném případě lze totiž očekávat, že racionálně uvažující uživatel by se okamžitě obrátil na banku a nechal kartu zablokovat, resp. zapsat na stop list). Vzhledem k tomu, že si podvodník nikdy nemůže být zcela jistý tím, kdy uživatel karty na její krádež přijde, snaží se obvykle velmi rychle získanou kartu použít. V některých případech, jak již bylo uvedeno, není třeba k úspěšnému použití, ale i zneužití platební karty nic víc než samotná karta. V případě krádeží platebních karet však stále nejsou výjimkou situace, kdy se podvodníkovi podaří spolu s kartou získat i další citlivé údaje, které může zneužít (např. PIN). Tím se výše podstupovaného rizika zvyšuje, zneužití platební karty je v těchto situacích jednodušší, rychlejší atd. Co se týče doporučení, která přispívají ke snížení výše podstupovaného bezpečnostního rizika, lze jako první vzpomenout zásadu, že by uživatel měl s platební kartou zacházet zodpovědně, měl by být pozorný a neměl ji nechávat bez dozoru (z důvodu bezpečnosti by platební karta neměla být např. nošena spolu s doklady, ale odděleně od nich, v místech, z nichž nemůže vypadnout, resp. ji není možné bez vědomí držitele vytáhnout, bezpečnost zvyšuje možnost zavření kapsy, kabelky atd.). V souvislosti se zmíněnými širšími možnostmi použití platební karty, disponuje-li podvodník rovněž příslušným PINem, je třeba zmínit jedno ze základních pravidel bezpečného používání platebních karet, a sice že PIN se nenosí napsaný na platební kartě, resp. u ní, neměl by být uvedený na lístečku v dokladech uživatele, zadaný v mobilním telefonu, neměl by být ani shodný s PINem, který uživatel zadává pro přihlášení do mobilního telefonu, a měl by respektovat doporučení na tvorbu bezpečných PINů. To vše samozřejmě právě z důvodu, že se uživatel může stát obětí krádeže a znalost PINu podvodníkem při krádeži platební karty zvyšuje výši podstupovaného bezpečnostního rizika. Za účelem snížení výše podstupovaného rizika by měl uživatel rovněž využívat možnost uzamčení platební karty. Toto opatření je vhodné zejména u platebních karet, které nejsou uživatelem běžně používány např. pro výběr hotovosti z bankomatu či placení za zboží a služby v kamenných obchodech, ale jsou jím „vyhrazeny“ pro placení přes internet. V těchto případech totiž uzamykání karet v zásadě nijak neomezuje uživatele v provádění transakcí, pouze je třeba počítat s tím, že před samotným zahájením platby je kartu třeba 102
odemknout a následně opět zamknout. To jsou však kroky, které nejsou nikterak náročné a pro snížení výše podstupovaného rizika se dle mého názoru jistě vyplatí. Opomenuto by v této souvislosti nemělo zůstat také používání limitů na jednotlivé operace a stanovený časový úsek (např. maximální částka, kterou je možné prostřednictvím platební karty získat z účtu uživatele během jednoho dne či týdne atd., čímž je možné omezit potenciální výši škody pro případ, kdy by došlo ke ztrátě či krádeži platební karty a jejímu následnému zneužití). Pomoci snížit případné škody může i důsledné sledování operací prováděných prostřednictvím platební karty uživatelem (využít k tomuto účelu lze např. zasílání SMS zpráv informujících držitele platební karty o jejím použití). Pokud jde o uživatele a vydavatele platebních karet je možné připomenout používání ochranných bezpečnostních prvků na platebních kartách, které mohou snížit výši podstupovaného rizika. Zmínit můžeme např. podpis oprávněného držitele platební karty či jeho fotografii, které by měly snížit výši podstupovaného bezpečnostního rizika spojeného se ztrátou či krádeží platební karty a jejím následným zneužitím v případech, kdy jsou tyto bezpečnostní prvky využívány pro identifikaci uživatele, resp. potvrzení, že ten, kdo s platební kartou nakládá, je jejím skutečným držitelem, tedy tím, který je oprávněný požadovanou transakci provést. K dalším opatřením dnes patří blokace platební karty. Tuto možnost by dle mého názoru měl uživatel jednoznačně využít v případě, kdy došlo ke krádeži platební karty či jejímu ztracení. Za vhodné však její využití (zejména v podobě dočasné blokace) považuji i v případě, kdy si uživatel není jistý, zda mu platební karta byla zcizena, ztratil ji nebo ji má „pouze“ jinde, než si myslel (nechal si ji doma, má ji v jiných dokladech atd.), pokud není možné rychlé ověření této skutečnosti. Snahou uživatele by mělo být minimalizovat případné škody, které v této souvislosti mohou vzniknout, což je možné v případě rychlého zablokování platební karty. Váhání uživatele zvyšuje pravděpodobnost neoprávněného použití platební karty, jakož i výši škody, kterou uživatel utrpí. V praxi je dnes možné se setkat s dočasnou a trvalou blokací platební karty. Trvalou blokaci platební karty bych doporučovala použít v případech, kdy si je uživatel jistý, že mu platební karta byla odcizena, příp. že ji ztratil. Dočasnou blokaci platební karty, je-li nabízena, bych doporučila využít v případě, kdy je uživatel přesvědčen o tom, že platební kartu pouze někde např. založil a že ji následně najde, a chce mít jistotu, že než se tak stane a bude mít platební kartu opět „plně pod svou kontrolou“, nedojde k jejímu zneužití neoprávněnou osobou. Uživatel by si v tomto případě měl být ale jistý, že se ke kartě 103
v době, kdy ji neměl „plně pod svou kontrolou“ nedostala jiná osoba, která by např. mohla údaje na kartě zkopírovat a po odblokování platební karty uživatelem takto získané údaje využít (např. k zaplacení za zboží a služby přes internet nebo např. k výběru hotovosti z bankomatu či k zaplacení za zboží a služby v kamenném obchodě s využitím padělku karty). K opatřením, která umožňují snížit ztráty pro uživatele platebních karet, dnes patří také pojištění platební karty pro případ jejího zneužití. K opatřením, jejichž realizace je z pohledu finanční náročnosti pro uživatele zanedbatelná, ale která mohou v případě krádeže platební karty pomoci při objasnění případných podvodů, patří pořízení fotokopie lícové a rubové strany platební karty. Na závěr této části je vhodné podotknout, že výše uvedené platí nejen pro případy samotné prosté krádeže platební karty a jejího následného zneužití neoprávněnou osobou, ale i pro případy ztráty platební karty držitelem, kdy je karta zneužita nálezcem či jinou neoprávněnou osobou. Předmětem prosté krádeže či ztráty a následného neoprávněného použití nemusí být pouze platební karty, ale s ohledem na zaměření práce můžeme zmínit i citlivé údaje uživatele v elektronickém světě (např. přihlašovací údaje do internetového či telefonního bankovnictví, které uživatel nosí napsané na lístečku v dokladech, peněžence, zapsané v mobilním telefonu apod.). V případě citlivých údajů nelze vyloučit ani jejich prosté odpozorování či odposlechnutí. Opatření, která by měla snížit výši podstupovaného rizika, jsou díky velkému množství různých případů rozmanitá. Zmíněna by však v tuto chvíli dle mého názoru měla být alespoň tato: Přihlašovací (příp. jiné citlivé) údaje ke službám elektronického bankovnictví by uživatel neměl mít napsané na lístečcích, bankovních kartičkách apod. a nosit je např. v dokladech či
peněžence,
neměl
by
je
mít
poznamenané
v mobilním
telefonu,
ale
měl
by si je zapamatovat. S dokumenty (elektronickými i fyzickými), které citlivé údaje obsahují, by měl uživatel nakládat zodpovědně, měl by je mít uložené tak, aby se k nim nikdo nebyl schopný dostat, příp. aby tato možnost byla výrazně omezena. Doporučit lze i změnu původních přihlašovacích údajů uživatelem ihned po zřízení této služby a jejich obdržení, v lepším případě bez jakéhokoliv jejich zaznamenání.
104
Co se týče možnosti prostého odpozorování či odposlechnutí citlivých údajů podvodníkem a jejich následného zneužití, pak prvním krokem k zajištění bezpečnosti je důsledné dodržování zásady nezadávat, resp. nesdělovat citlivé údaje v blízkosti jiné osoby, resp. v situaci, kdy hrozí jejich odpozorování či odposlechnutí jinou, neoprávněnou osobou. Přestože k získání kompletních, správných přihlašovacích údajů nemusí podvodníkovi stačit jeden případ pozorování či poslouchání, není vhodné tuto situaci podceňovat168. Ke snížení výše podstupovaného rizika přispívá i zde používání dodatečných bezpečnostních opatření (např. autorizačních SMS zpráv v rámci internetového bankovnictví). Stejně jako u platebních karet, tak i u citlivých údajů platí, že pokud se uživatel domnívá, že došlo k jejich krádeži či ztrátě a hrozí tak jejich zneužití třetí osobou, je třeba se obrátit co nejrychleji na banku a domluvit se na možnostech účinné ochrany (např. změně hesla, telefonního čísla pro zasílání autorizačních SMS zpráv, používání dalších bezpečnostních prvků apod., příp. dočasném zablokování účtu či dané služby, než dojde k aktivování dalších bezpečnostních prvků, bude účinná změna hesla apod.). 3.2.11 Phreaking, hacking, cracking K dalším metodám využívaným mimo jiné pro získání citlivých údajů v elektronickém světě patří phreaking, hacking, resp. cracking. Phreaking bývá definován jako napojení se na cizí telefonní linku v rozvodnicích, veřejných telefonních budkách nebo přímo na nadzemní či podzemní telefonní vedení, prostřednictvím kterého je možné volat a surfovat po internetu zadarmo (platba za hovor jde na účet oběti – registrovaného uživatele linky či samotné telekomunikační společnosti) a odposlouchávat cizí telefonní hovory. S rozvojem mobilních telefonů se phreaking rozšířil o nabourávání se různými metodami do mobilních sítí nebo výrobu odposlouchávacích zařízení.169 Podstatou hackingu je činnost prováděná počítačovými specialisty či programátory s podrobnými a velmi dobrými znalostmi v oblasti fungování počítačů a systémů, kteří je dokáží výborně využívat. Hackeři však své znalosti využívají ve prospěch uživatelů počítačových systémů, neboť odstraňují, příp. pomáhají odstraňovat chyby programátorů, 168
Pokud jde o telefonní bankovnictví, lze připomenout, že se běžně pro přihlášení nepoužívá celé heslo, ale že banka zpravidla z důvodu zajištění bezpečnosti vyzývá uživatele, aby uvedl např. první a čtvrtý znak hesla. Přesto nelze vyloučit možnost, že by podvodníkovi pro přístup k účtu uživatele prostřednictvím telefonního bankovnictví nemohla stačit pouze omezená znalost jeho přihlašovacích údajů, příp. že opakovaným odposloucháváním nezíská kompletní přístupové údaje. 169 Wikipedie: Phreaking. Wikipedie [on-line]. [cit. 21. ledna 2012]. Dostupné na WWW: .
105
diagnostikují vadný hardware, programují obtížné algoritmy atd. Jejich opakem jsou crackeři, kteří využívají své znalosti z oblasti počítačové bezpečnosti ke svému prospěchu při průnicích do systému.170 Právě z důvodu možného získání a zneužití citlivých dat crackerem, resp. napadnutí samotného systému a jeho úpravou ve prospěch podvodníka bude dále pozornost věnována především crackingu. Hacking naopak může přispívat ke zvýšení bezpečnosti elektronického světa. Pokud jde o jednotlivé techniky hackerů a crackerů, bývá k nim řazen např. phishing, programy typu trojský kůň171, pomocí nichž může útočník ovládat na dálku napadený počítač a např. získávat citlivé údaje, či keystroke logger (známý též jako keylogger)172, které zaznamenávají každý úhoz na klávesnici, který uživatel učiní173, a následně tyto informace odesílají svému stvořiteli – útočníkovi, který se jejich prostřednictvím dostává mimo jiné i k citlivým údajům, které mohou být následně zneužity např. k provedení neoprávněné transakce prostřednictvím internetového bankovnictví uživatele174. Vzhledem k zaměření této práce je pro nás klíčová možnost využití těchto metod k získání citlivých údajů. Pokud jde o opatření ke snížení výše podstupovaného rizika, jedná se v těchto případech především o vývoj a zdokonalování technických a softwarových řešení. Samotní uživatelé by pak měli být pozorní a dodržovat zásady bezpečného chování v elektronickém světě (včetně využívání dříve zmíněných technických a softwarových novinek umožňujících dosáhnutí vyššího stupně bezpečnosti prováděných operací, jako je silný firewall, (pravidelně aktualizovaný) antivirový či antispywarový program atd.).
170
Wikipedie: Hacker. Wikipedie [on-line]. [cit. 21. ledna 2012]. Dostupné na WWW: ; Wikipedie: Cracker. Wikipedie [on-line]. [cit. 21. ledna 2012]. Dostupné na WWW: ; Answers.com: What is the diference between hacking and cracking?. Answers.com [on-line]. [cit. 21. ledna 2012]. Dostupné na WWW: . 171 Program, který je pro uživatele na první pohled užitečný, resp. má funkci, kterou uživatel považuje za prospěšnou, kromě ní však obsahuje skrytou funkci, která představuje pro uživatele bezpečnostní riziko a o niž uživatel neví (Turban, E., et al. Electronic Commerce : A Managerial Perspective. 2006, s. 469). Některé typy trojských koní dokáží např. samy vypnout bezpečnostní programy operačního systému (Fišer, M. Trojský kůň. Novinky.cz [on-line]. [cit. 21. ledna 2012]. Dostupné na WWW: ). 172 V tomto případě je myšlena softwarová podoba keystroke loggeru, tj. program běžící na pozadí počítače uživatele. V praxi je možné se setkat i s hardwarovou podobou. 173 Turban, E., et al. Electronic Commerce : A Managerial Perspective. 2006, s. 712. 174 Keystroke logger bývá považován za jednu z forem spywaru, což je softwarový program, který se do počítače uživatele může dostat např. jako virus a který tajně (bez vědomí uživatele napadeného počítače) shromažďuje informace o uživateli a o jeho aktivitách, zvycích na internetu apod. (Turban, E., et al. Electronic Commerce : A Managerial Perspective. 2006, s. 712), které získává útočník a je na něm, jak s nimi naloží. Pro úplnost dodejme, že trojské koně a spyware (spolu s počítačovými viry a adware – advertising-supported software) patří do skupiny malware (malicious software), což je obecný pojem označující zákeřný software. Podrobněji viz např. Turban, E., et al. Electronic Commerce : A Managerial Perspective. 2006, s. 466 - 470.
106
3.2.12 Další hrozby v elektronickém světě Výše uvedený výčet hrozeb z pohledu bezpečnosti jednotlivých subjektů pohybujících se v elektronickém světě není úplný. Existuje řada dalších případů, situací, které pro uživatele, banky, vydavatele platebních karet, provozovatele platebních systémů a další subjekty představují v oblasti elektronického obchodu a elektronického bankovnictví hrozbu. Namátkou můžeme zmínit krádež osobního počítače či mobilního telefonu uživatele, zneužití nepozornosti
či
neopatrnosti
uživatele
přihlášeného
v elektronickém
obchodu
či elektronickém bankovnictví, ztrátu či krádež platební karty či dokumentů obsahující citlivé údaje při doručování uživateli (např. poštou), falešné (podvodné) žádosti o vydání platební karty, o zřízení jiných služeb elektronického bankovnictví nebo o změnu jejich nastavení podle požadavků podvodníka, o které podvodník požádá na základě znalosti citlivých údajů, resp. s využitím ztracených, ukradených či padělaných osobních dokladů klienta, za kterého se vydává. Jako první z dalších hrozeb byla zmíněna krádež osobního počítače či mobilního telefonu uživatele, prostřednictvím kterých se okradený uživatel zapojoval do elektronického světa, např. nakupoval zboží a/nebo služby ve svém oblíbeném internetovém obchodě, využíval služeb internetového či např. telefonního bankovnictví. V těchto případech vyvstává otázka, jak byl uživatel obezřetný při využívání těchto možností, zda dodržoval zásady bezpečného využívání daných služeb či nikoliv. Zda např. neměl někde poznačené přístupové údaje ke svému internetovému bankovnictví nebo zda dokonce nepovolil systému při jednom z přihlášení uložení těchto údajů, aby je nemusel opakovaně zadávat. Ke snížení výše rizika spojeného s hrozbou krádeže osobního počítače uživatele přispívá podmínění možnosti práce s daným počítačem, resp. s účtem daného uživatele znalostí příslušných přihlašovacích údajů, čímž je možné zabránit tomu, aby kdokoliv, kdo se počítače zmocní, mohl bez jakýchkoliv omezení pracovat s počítačem uživatele, prohlížet jeho dokumenty, navštěvované webové stránky, hledat případná citlivá data atd. Obdobný postup lze doporučit i u jiných zařízení, které uživatel používá v oblasti elektronického obchodu a/nebo elektronického bankovnictví. V souvislosti
s touto
hrozbou
je
třeba
připomenout
také
zodpovědné
nakládání
s elektronickými dokumenty obsahujícími citlivá data. Uživatel by měl pečlivě zvážit, jaká data za jakým účelem a v jaké podobě bude mít v počítači (příp. na jiném zařízení) uložená, příp. jakým způsobem budou soubory a složky obsahující citlivé údaje zabezpečeny. Pokud se rozhodne je odstranit, pak by měl být důsledný a nevyhodit tyto dokumenty „pouze“ 107
do koše, kde by je mohl následně někdo najít a citlivá data obsažená v nich zneužít, ale měl by je zcela odstranit. Ke snížení rizika může i v tomto případě přispět používání dalších bezpečnostních prvků, např. zasílání autorizačních SMS zpráv při provádění transakcí v rámci internetového bankovnictví či používání limitů na jednotlivé transakce. Uživatel by si měl být vždy vědom toho, že ukládání přístupových hesel pro následné automatické přihlášení pro něj v elektronickém světě představuje hrozbu a měl by se takového jednání vyvarovat. Zmínit na tomto místě můžeme i samotné poskytovatele služeb v elektronickém světě, kteří se mohou i zde podílet na snížení výše podstupovaných bezpečnostních rizik. Pomineme-li v tuto chvíli jejich roli v oblasti vzdělávání klientů, upozorňování na možné bezpečnostní hrozby apod., mohou přispět ke snížení rizik vhodným nastavením příslušných systémů, jako je např. právě nastavení systému internetového bankovnictví tak, aby uživatel neměl možnost zvolit uložení přihlašovacích údajů k této službě pro další přihlášení, tj. zaváděním preventivních opatření, která by mimo jiné zabránila mnohdy zřejmě nevědomému porušení pravidel bezpečného používání služeb internetového bankovnictví. Dojde-li k odcizení počítače (či jiného zařízení) a obává-li se uživatel, že by bylo možné se prostřednictvím něj dostat k citlivým údajům, které by mohly být následně zneužity, měl by bez prodlení kontaktovat příslušné subjekty (banku, vydavatele platební karty, provozovatele platebního systému, internetový obchod apod.) a/nebo policii a domluvit se na řešení vzniklé situace. Možný scénář zneužití internetového bankovnictví podvodníkem po krádeži osobního počítače, na kterém si neopatrný uživatel uložil přihlašovací údaje do svého internetového bankovnictví, zachycuje model č. 12.
108
Model č. 12: Zneužití internetového bankovnictví uživatele v návaznosti na krádež jeho osobního počítače Přihlášení uživatele do internetového bankovnictví ze svého osobního počítače
Uložení přihlašovacích údajů do internetového bankovnictví, příp. dalších citlivých údajů uživatelem do svého osobního počítač
Krádež osobního počítače uživatele, včetně uložených citlivých údajů
Podvodník zjišťuje, že ukradený osobní počítač obsahuje citlivé údaje k internetovému bankovnictví okradeného uživatele
Přihlášení podvodníka k internetovému bankovnictví okradeného oprávněného uživatele prostřednictvím uložených přihlašovacích údajů z počítače uživatele
Převedení finančních prostředků z účtu uživatele ve prospěch podvodníka Zdroj: vlastní zpracování
Další situace, která představuje hrozbu v elektronickém světě pro uživatele, ale i další zúčastněné subjekty, je neopatrnost či nepozornost uživatele přihlášeného v elektronickém obchodu či ke službám elektronického bankovnictví, díky nimž může být přístup oprávněného uživatele zneužit jinou osobou. Závažnost této hrozby závisí dle mého názoru na místě, kde k tomuto jednání uživatele došlo, příp. dochází. Děje-li se tak na veřejně přístupných místech či na místech, do nichž má přístup pouze omezený počet osob, zda se zde pohybuje najednou 109
větší počet osob, zda je prostor členitý, zda je prostor monitorován atd. Nicméně i kdyby byl okruh osob, které mají např. do dané místnosti přístup, omezený, v danou chvíli se tam nikdo nenacházel a prostor byl monitorován např. kamerovým systémem, neměl by uživatel toto riziko podceňovat. V zásadě by se měl uživatel vždy držet zásady, že jakmile se přihlásí do elektronického obchodu, platebního systému, ke službám elektronického bankovnictví apod., měl by se jim plně věnovat, soustředit se na provádění zamýšlených operací a nenechat se vyrušovat. Po ukončení práce s daným systémem by se měl neprodleně odhlásit, a to i v případě, že je možné, že bude chtít danou službu později znovu použít. S ohledem na podstupovaná bezpečnostní rizika je totiž vhodnější volit opakované přihlášení do systému, než zůstat po delší dobu přihlášen pro případ možného pozdějšího použití. I v této oblasti však může uživatelům se zajištěním jejich větší bezpečnosti pomoci poskytovatel služeb elektronického bankovnictví či provozovatel elektronického obchodu samotným nastavením daného systému, resp. jeho chování. K takovým preventivním opatřením platí např. automatické odhlášení ze systému, nebyl-li po určitou dobu přihlášeným uživatelem aktivně používán. Ukončí-li uživatel práci se systémem a odhlásí-li se z něj, je podle mne vhodné následně zkontrolovat, zda k odhlášení skutečně došlo či nikoliv. Jak dokládají příklady z praxe, ne vždy k odhlášení uživatele dojde. Prověřit se vyplatí i reakci systému na odeslání požadavku na „přejít o jednu stránku zpět“. Některé systémy totiž na základě tohoto požadavku vrátí uživatele zpět do systému, a to v režimu přihlášeného uživatele, i když se předtím ze systému odhlásil. Ke snížení výše podstupovaného rizika mohou v tomto případě opět významně přispět provozovatelé elektronických obchodů, platebních systémů a poskytovatelé služeb elektronického bankovnictví správným nastavením systémů. Ke snížení výše podstupovaného rizika přispívá i v tomto případě používání dalších bezpečnostních prvků, které omezí možnost zneužití jinou osobou (např. zasílání autorizačních SMS zpráv). Ukázkovým případem porušení výše uvedených zásad může být jednání uživatele internetového bankovnictví, který se k němu přihlásí prostřednictvím počítače v internetové kavárně (tzn., že používá počítač na veřejném místě, ke kterému má přístup velké množství osob, o nichž nic neví, počítač nemá pod kontrolou, pokud jde o hardwarové a softwarové vybavení atd.) a aniž by se ze systému odhlásil, odejde si k baru objednat kávu, zajde 110
pozdravit své známé, kteří zrovna přišli apod. Možný průběh zneužití internetového bankovnictví přihlášeného oprávněného uživatele je zachycen v níže uvedeném modelu. Model č. 13: Zneužití internetového bankovnictví přihlášeného oprávněného uživatele Přihlášení uživatele do internetového bankovnictví z počítače v internetové kavárně
Uživatel se vzdaluje od „svého“ počítače, aniž by se z internetového bankovnictví odhlásil
Podvodník využívá odchodu uživatele od počítače a usedá k němu
Podvodník rychle prochází aplikace spuštěné na počítači uživatele, který se od něj vzdálil
Podvodník zjišťuje, že uživatel je prostřednictvím počítače přihlášený do svého internetového bankovnictví
Podvodník využívá příležitosti a prostřednictvím internetového bankovnictví převádí finanční prostředky z účtu uživatele ve svůj prospěch
Podvodník vrací počítač do stavu, ve kterém byl, když k němu přišel (aby si uživatel ničeho nevšiml), a odchází Zdroj: vlastní zpracování
111
Co se týče možnosti realizace podvodu prostřednictvím platební karty, k jejíž ztrátě, krádeži došlo ještě před jejím převzetím oprávněným držitelem, jsou možnosti samotného uživatele k zabránění vzniku této situace značně omezené (nemá-li uživatel možnost vybrat si např. osobní převzetí platební karty u jejího vydavatele, příp. alespoň možnost zvolit způsob doručení). Ke snížení výše podstupovaných bezpečnostních rizik, může uživatel přispět tím, že se bude zajímat o průběh procesu vydání platební karty, zejména pak o termín, kdy může očekávat doručení platební karty. Pokud následně kartu v avizovaném termínu neobdrží, měl by kontaktovat vydavatele, který by měl být schopný sdělit, zda byla karta vydána, zda a příp. kdy byla předána k přepravě a kdy měla být doručena klientovi. Byla-li karta dle zjištění vydavatele předána k přepravě a měla být klientovi již doručena, příp. zjistí-li vydavatel, že platební karta již byla doručena, příp. i použita, je třeba kartu neprodleně trvale zablokovat. Jak uvádí Sdružení pro bankovní karty175, dochází dnes ke ztracení zásilky s platební kartou pouze ojediněle, navíc vydavatelé jsou schopni prostřednictvím různých opatření snížit výši podstupovaného bezpečnostního rizika souvisejícího s touto hrozbou. Kromě výše uvedené možnosti osobního převzetí platební karty v sídle vydavatele či na jeho pobočce lze omezit výši podstupovaného rizika např. zasíláním neaktivních platebních karet, které je třeba po obdržení klientem aktivovat (samotný proces aktivace platební karty by měl být rovněž zabezpečen, aby ho nemohla provést neoprávněná osoba, příp. aby toto riziko bylo minimalizováno), odděleným zasíláním platební karty a příslušného PINu v rozdílných časových okamžicích, a tudíž i v oddělených zásilkách, a používáním bezpečnějších forem, resp.
režimů
doručování
zásilek176.
K včasnému
odhalení
ztracených
či ukradených zásilek obsahujících platební karty či citlivé údaje přispívá zavádění systémů monitorujících průběh doručování zásilky klientovi. V rámci nich může být např. klient informován o tom, že platební karta byla zhotovena, byla předána k přepravě a kdy by měla být doručena.
175
Sdružení pro bankovní karty: Druhy podvodů : Podvody kartou ztracenou v poště. Sdružení pro bankovní karty [on-line]. [cit. 23. ledna 2012]. Dostupné na WWW: . 176 Vzhledem k možným rizikům považuji za naprosto nevhodné používání klasického režimu obyčejného doručování zásilky, kdy chybí informace o průběhu doručování a zásilka může být jednoduše vhozena do schránky na uvedené adrese, příp. vydána jiné osobě, než je potenciální právoplatný držitel platební karty. Přestože se na první pohled může zdát, že něco takového je samozřejmé, je bohužel třeba konstatovat, že nikoliv. Dle mého zjištění se i v České republice lze v současné době setkat s tím, že např. zásilka obsahující PIN je zaslána v režimu, který umožňuje, aby byla vydána do rukou jiné osoby, než je (potenciální) právoplatný držitel platební karty.
112
Následující model zachycuje možný průběh zneužití originální platební karty před jejím doručením oprávněnému držiteli. Model č. 14: Zneužití platební karty před jejím doručením oprávněnému uživateli Zhotovení originální platební karty oprávněným subjektem
Odeslání originální platební karty (příp. i spolu s PINem) oprávněnému uživateli poštou
Odcizení zásilky obsahující originální platební kartu (příp. i PIN) před jejím doručením oprávněnému držiteli
Použití originální platební karty podvodníkem k výběru hotovosti, provedení úhrady u obchodníka atd. Zdroj: vlastní zpracování
Další ze zmiňovaných hrozeb jsou falešné (podvodné) žádosti o vydání platební karty či o zřízení jiných služeb elektronického bankovnictví nebo změnu jejich nastavení podle požadavků podvodníka, o které tento podvodník požádá na základě znalosti citlivých údajů, resp. s využitím ztracených, ukradených či padělaných osobních dokladů klienta, za kterého se vydává. Předejít zcizení identity uživateli pomůže zodpovědné nakládání s citlivými údaji a osobními doklady, tj. bezpečné uschování dokumentů obsahujících citlivé údaje, jejich zodpovědné likvidování (zničení) před vyhozením, obezřetné nakládání s osobními doklady, ale i používání speciálního podpisu jako podpisového vzoru pro využívání těchto služeb, s nímž se podvodník nemá možnost seznámit tak snadno, jako v případě klasického podpisu uživatele (např. vypisování celého jména a příjmení, používá-li uživatel jinak běžně pouze příjmení, či doplnění „klasického“ podpisu o nějaký znak). Omezit výši škody pomůže důsledné sledování výše zůstatku a pohybů na účtu, uschovávání stvrzenek o výběrech z bankomatu, o provedených platbách na terminálech u obchodníků, kontrolování výpisů 113
z účtu, vhodné nastavení parametrů využívaných služeb (je-li to možné např. prostřednictvím internetového bankovnictví, které klient používá), pozorné a včasné čtení dopisů přicházejících od banky (nepodařilo-li se podvodníkovi změnit i doručovací adresu) atd. Možný scénář zneužití ukradených osobních dokladů, příp. dalších citlivých údajů klienta k podání falešné žádosti o zřízení služby internetového bankovnictví k již existujícímu, klientem založenému účtu podvodníkem a následné zneužití internetového bankovnictví k odčerpání finančních prostředků z účtu klienta je uveden v modelu č. 15. Model č. 15: Zneužití ukradených osobních dokladů (příp. dalších citlivých údajů) klienta k podání falešné žádosti o zřízení služby internetového bankovnictví
Krádež osobních dokladů klienta
Získání dalších citlivých údajů (např. klientem využívané bankovní služby, číslo jeho běžného účtu)
Podvodník disponující originálními osobními doklady klienta a znající citlivé údaje se vydává za klienta a žádá o zřízení internetového bankovnictví k již dříve (klientem) založenému účtu
Banka žádosti podvodníka vyhoví – zřízení internetového bankovnictví, přičemž přihlašovací údaje získává místo klienta za něj vydávající se podvodník
Přihlášení podvodníka k internetovému bankovnictví
Převedení finančních prostředků z účtu klienta ve prospěch podvodníka Zdroj: vlastní zpracování
114
Model č. 16: Zneužití ukradených osobních dokladů (příp. dalších citlivých údajů) klienta k podání falešné žádosti o vydání kreditní karty Krádež osobních dokladů klienta
Získání dalších citlivých údajů (např. informace o bankovních službách využívaných okradeným)
Podvodník disponující originálními osobními doklady klienta a znající citlivé údaje se vydává za okradeného a žádá o založení účtu a o vydání platební (kreditní) karty
Banka žádosti podvodníka vyhoví
Založení účtu na jméno okradeného
Zhotovení originální kreditní karty na jméno okradeného
Vydání originální kreditní karty na jméno okradeného za něj vydávajícímu se podvodníkovi
Zaslání PINu ke kreditní kartě podvodníkovi na jméno okradeného
Použití kreditní karty podvodníkem
Banka požaduje úhradu plateb provedených pomocí kreditní karty po okradeném Zdroj: vlastní zpracování
115
Další případ podvodu v oblasti elektronického bankovnictví, který začíná krádeží osobních dokladů (příp. získáním dalších citlivých údajů) klienta, je zachycen v modelu č. 16. Podvodník zde zneužívá ukradené osobní doklady (příp. další citlivé údaje) klienta k podání falešné žádosti o založení účtu a vydání platební (kreditní) karty, kterou následně používá, přičemž vydávající banka ani samotný okradený klient nic o tomto podvodu netuší (zpravidla až do chvíle, kdy banka žádá klienta o úhradu plateb provedených vydanou kreditní kartou). Polanský a Křeháčková177 upozorňují na riziko související s chybným doručováním klientských výpisů, kdy cílem pachatelů je pomocí korespondence, která je např. odesílána klientovi bankou, vytipovat movité klienty a získat citlivé údaje nejrůznějšího charakteru, které by bylo možné následně zneužít prostřednictvím elektronického či klasického bankovnictví. Uživatel, klient by tak měl věnovat dostatečnou pozornost doručování těchto písemností, a to jak z pohledu jejich pravidelnosti, frekvence, zpoždění, tak i např. z pohledu formy (zda obálky obsahující výpisy z účtu či jiné dokumenty nejsou poškozené, zda jsou opatřeny jinak běžně používaným označením banky nebo zda se jedná o běžné obálky či napodobeniny originálních obálek). Podezřelé by uživateli mělo být hromadné doručení výpisů za určité období (ať již v jedné obálce či odděleně), nebyl-li tento postup dohodnut mezi bankou a klientem. Uživatel by opět měl být aktivní a na problémy s doručováním upozornit banku. Mělo by dojít k ověření adresy, na kterou je veškerá korespondence bankou zasílána. Je-li adresa správná, ale přesto se zásilky nedostanou vždy přímo do rukou adresáta, je třeba zajistit jednoznačné označení příjemce na uvedené adrese. Podcenění této situace klientem představuje zvýšené bezpečnostní riziko. V případě elektronických obchodů by neměla být opomenuta specifická rizika, která jsou spojena s nákupem zboží a/nebo služby přes internet v elektronickém obchodě. Rizika podstupovaná zákazníky jsou i v tomto případě úzce spojena se samotnou podstatou internetu. Zákazníci se vystavují riziku, že elektronický obchod, u kterého hodlají realizovat nákup požadovaného zboží a/nebo služby, nebude ve skutečnosti existovat, tzn., že se bude jednat o podvodné webové stránky, jejichž prostřednictvím se útočník snaží získat citlivé údaje či finanční prostředky od uživatelů internetu, aniž by měl v úmyslu někdy poskytnout očekávané protiplnění (dodat objednané zboží a/nebo služby). Obdobným případem jsou situace, kdy se útočník vydává za někoho jiného a prostřednictvím vlastních podvodných webových stránek, které často napodobují originální stránky skutečného elektronického 177
Polanský, I., Křeháčková, Z. Praktická finanční příručka pro každý den. 2008, s. 21 - 22.
116
obchodu, za který se útočník vydává, se snaží získat vlastní prospěch (získat citlivé údaje, které bude možné následně zneužít, finanční plnění apod., viz např. výše zmíněný pharming). Další z rizik, která můžeme zmínit, je riziko, že zboží a/nebo služba, kterou si zákazník objedná, nebudou dodány, budou dodány v menším než objednaném množství, budou dodány v nižší kvalitě, poškozené či zničené. Dodáno však může být i něco jiného, než si uživatel objednal, zboží a/nebo služba mohou být doručeny, resp. poskytnuty později, než bylo uvedeno atd.178 Systémy elektronických obchodů, v rámci nichž jsou shromažďovány citlivé informace, mohou být napadeny a získané údaje zneužity (viz dříve zmíněný cracking). Tato bezpečnostní rizika dle mého názoru plynou z toho, že objednání zboží a/nebo služby probíhá „na dálku“, nákup v elektronickém obchodě je charakteristický svou neosobností, nemožností fyzické prohlídky, vyzkoušení objednávaného zboží, časovou prodlevou mezi objednáním zboží a/nebo služby a jeho doručením.
178
Dle webových stránek projektu Bezpečně online je při nákupech on-line 5% pravděpodobnost, že bude zákazník nějakým způsobem podveden (Bezpečně-online.cz: Jak se bránit podvodům : Podvody při online nákupech. Bezpečně-online.cz [on-line]. [cit. 6. února 2012]. Dostupné na WWW: ).
117
4 Doporučení pro spotřebitele/uživatele přispívající k omezení výše bezpečnostních rizik souvisejících s nakupováním na internetu a s používáním služeb elektronického bankovnictví Na základě provedené analýzy lze konstatovat, že výši podstupovaných rizik souvisejících s elektronickým obchodem a elektronickým bankovnictvím ovlivňují všechny subjekty, které jsou do nich zapojeny, a mělo by být rovněž v zájmu všech těchto subjektů usilovat o snížení (minimalizaci, příp. optimalizaci) výše podstupovaných bezpečnostních rizik souvisejících s elektronickým obchodem a elektronickým bankovnictvím. Oblast elektronického obchodu a elektronického bankovnictví se neustále vyvíjí, zavádí se nové, rychlejší, sofistikovanější metody zpracování a postupy řešení, modernější technologie, od nichž se mimo jiné očekává i zvýšení bezpečnosti prováděných transakcí. Na druhou stranu je třeba si uvědomit, že tomuto vývoji se přizpůsobují i podvodníci působící v elektronickém světě a v řadě případů jsou to bohužel právě oni, kdo jsou „o krok napřed“. Mnohá opatření ke snížení výše podstupovaných bezpečnostních rizik v elektronickém obchodu a elektronickém bankovnictví jsou tak realizována až následně, po úspěšném provedení útoku na příslušný systém elektronického obchodu či elektronického bankovnictví, tj. po samotné realizaci bezpečnostního rizika v oblasti elektronického obchodu a elektronického bankovnictví. V této souvislosti je třeba jednoznačně apelovat na všechny zúčastněné subjekty, aby opatření ke snížení výše podstupovaných bezpečnostních rizik elektronického obchodu a elektronického bankovnictví neměla charakter pouze následných opatření zaváděných do praxe po úspěšně provedeném útoku na daný systém, ale aby neustávaly ve snaze o zlepšování těchto systémů, a to i v otázkách jejich bezpečnosti. Jak bylo konstatováno v předešlé kapitole, otázky bezpečnosti a důvěry jsou v elektronickém světě klíčové. Přistoupí-li elektronický obchod, banka poskytující služby elektronického bankovnictví, vydavatel platebních karet, provozovatel platebního systému či jiný obdobný subjekt
pouze
na
strategii
realizací
následných
opatření
v reakci
na
projevení
se bezpečnostního rizika (s určitým zjednodušením se nabízí příměr k situaci, kdy se pouze hasí vzniklé požáry, aniž by byla zaváděna jakákoliv preventivní opatření ke snížení rizika vzniku požáru, omezení rizika jeho šíření atd.), může být důsledkem takového jednání ztráta důvěry uživatelů v elektronickém světě v tento subjekt, zejména ukáže-li se následně, že daný subjekt o možnosti realizace daného rizika věděl, příp. mohl vědět, ale neudělal nic proto, aby 118
dané riziko snížil nebo, je-li to možné, zcela odstranil.179 Podcenění této oblasti a následná ztráta důvěry uživatelů v bezpečnost prováděných operací by se měla projevit snížením zájmu o služby tohoto subjektu ze strany uživatelů (a to jak stávajících, tak i potenciálních, neboť v dnešní informační společnosti je vysoce pravděpodobné, že se uživatelé mající špatnou zkušenost s daným elektronickým obchodem či službami elektronického bankovnictví o své zkušenosti podělí s dalšími uživateli v elektronickém světě, např. prostřednictvím sociálních sítí, chatu či blogu, navíc případné problémy v oblasti bezpečnosti bývají medializovány atd.), poklesem tržeb, zisku, snížením konkurenceschopnosti daného subjektu, poklesem jeho podílu na trhu. V konečném důsledku může být výsledkem podcenění této otázky ukončení podnikatelské činnosti. S jednotlivými typy podvodů v oblasti elektronického obchodu a elektronického bankovnictví, jimž byla věnována předcházející kapitola, je možné se setkat jak v České republice, tak i jinde ve světě. Dle Klufy, Scholze a Kozlové180 v současné době platí, že jakmile se objeví nějaký nový druh nezákonné činnosti v oblasti finanční kriminality v zemích západní Evropy, je téměř vzápětí zjištěn jeho výskyt na území České republiky. Podobná situace dle mého názoru panuje i v oblasti elektronického obchodu. Tuto skutečnost lze vysvětlit rozvojem informačních a telekomunikačních technologií, zvyšováním počtu uživatelů využívajících služeb elektronických obchodů a elektronického bankovnictví, 179
V této souvislosti můžeme zmínit např. případ napadení vnitřní sítě brněnského letiště v lednu 2012, po němž útočník zveřejnil na svém blogu téměř sto uživatelských jmen a hesel, které slouží zaměstnancům vč. nejvyššího vedení letiště v Tuřanech k přístupu do intranetu a tedy i k citlivým interním informacím. Podle vyjádření odborníka na počítačovou bezpečnost Vladimíra Smejkala „rozhodně není standardní, že obyčejným prolomením webu lze získat přihlašovací údaje k intranetu mezinárodního letiště. Něco takové je velký průšvih“. Podle jeho vyjádření napadení webů většinou končí pouze jejich dočasným znefunkčněním. Ředitel letiště Tomáš Plaček ale závažnost situace zlehčoval a nebezpečnost útoku popíral s tím, že „hesla k uživatelským účtům byla zabezpečená, takže je nešlo zneužít“. Navíc se dle jeho vyjádření začali letištní počítačoví specialisté zabývat prolomením bezpečnosti již v sobotu a zveřejněné účty hned zablokovali. Problémem však je, že na internetu byly údaje zveřejněny v pátek, tj. o den dříve, navíc podle oslovených odborníků lze zmiňované zabezpečení hesel v určitých případech prolomit. Soudní znalec v oboru kybernetiky Martin Ludma uvedl, že „pokud vyjdeme z předpokladu, že zaměstnanci neměli příliš složitá hesla, z takzvaných otisků je lze odvodit během několika minut“. Sporná je samozřejmě i zmíněná rychlá reakce letiště. Ludma k tomu navíc dodává, že ani okamžitá reakce vedení letiště by riziko neodvrátila, neboť je běžné, že útočníci zveřejní informace na internetu až ve chvíli, kdy už si z nich vybrali, co potřebovali ke zneužití. Útočník se podle Ludmy dostal k informacím o letadlech, letech, destinacích, odbavení cestujících, zavazadlech či cestovních kancelářích na tuřanském letišti. Odborníci se domnívají, že útočník si brněnské letiště vybral kvůli jeho nedostatečnému zabezpečení. K jeho úrovni se vyjádřil ředitel letiště následovně: „Samozřejmě máme více druhů zabezpečení a plánujeme ještě jeho další posílení. Hackeři jsou ale stále o krok před námi“. K němu však Ludma uvedl, že „předcházet obdobným útoků je možné, byť nejednoduché. Problémem ale většinou bývá neochota společností do kvalitního zabezpečení investovat. Přitom náklady na ochranu jsou mnohonásobně nižší než škoda, která jimi může vzniknout.“ (podrobněji viz Valášek, L., Tesař, P. Hackeři napadli vnitřní síť brněnského letiště. iDnes.cz [on-line]. [cit. 31. ledna 2012]. Dostupné na WWW: ) 180 Klufa, F., Scholz, P., Kozlová, M. Podvody v oblasti bezhotovostních plateb v ČR. Sdružení českých spotřebitelů [on-line]. [cit. 31. ledna 2012]. Dostupné na WWW: .
119
zvyšováním počtu transakcí, objemu finančních prostředků, které jsou v této souvislosti přesouvány nebo mohou být potenciálně využity, stoupajícím množstvím citlivých dat, která jsou v těchto systémech shromážděna, nedostatečnou úrovní znalostí a informovanosti uživatelů, neopatrností uživatelů v elektronickém světě, jakož i velmi dobrými znalostmi této problematiky podvodníky a jejich organizovaností (jednotliví podvodníci jsou často součástí organizované, mnohdy mezinárodní, skupiny), globalizací, volným pohybem osob, ale třeba i volnou směnitelností české koruny atd. V návaznosti na identifikaci základních typů podvodů v oblasti elektronického obchodu a elektronického bankovnictví a následně provedenou analýzu se budeme v následujícím textu věnovat formulování doporučení za účelem snížení výše podstupovaných bezpečnostních rizik v oblasti elektronického obchodu a elektronického bankovnictví, přičemž budeme respektovat zaměření této práce na uživatele v elektronickém světě. Vhodnost tohoto zaměření je podpořena řadou výzkumů, ale i samotných podvodů, které poukazují na nedostatečnou
úroveň
znalostí
a
informovanosti
uživatelů,
jejich
neopatrnost
a nezodpovědné chování. Vzhledem k tomu, že elektronický svět, včetně elektronického obchodu a elektronického bankovnictví, je úzce spojen s internetem, budou nejprve formulována obecná doporučení pro uživatele internetu, na která navážeme formulací doporučení pro spotřebitele/uživatele týkající se elektronického obchodu a jednotlivých služeb elektronického bankovnictví se zaměřením na podstupovaná bezpečnostní rizika a možnosti jejich snižování.
4.1 Zásady bezpečného používání internetu pro uživatele Elektronický svět je světem mnoha tváří. Pro uživatele představuje obrovské příležitosti, ale také hrozby. Pokud bychom měli formulovat základní zásady bezpečného používání internetu pro uživatele s ohledem na bezpečnostní rizika elektronického obchodu a elektronického bankovnictví, jednalo by se především o následující:181 - Nevěřte všem informacím získaným prostřednictvím internetu (vyčteným na webových stránkách, zaslaných e-mailem apod.) a důležité informace si ověřujte.182 181
V souvislosti s některými níže uvedenými zásadami je zmiňován počítač jako základní zařízení, prostřednictvím kterého uživatelé využívají internet. Internet je však dnes možné využívat i prostřednictvím jiných zařízení (např. prostřednictvím mobilního telefonu), uvedené zásady lze pak pro tyto případy příslušným způsobem modifikovat. 182 Otázkám Jak poznat kvalitní zdroj informací? a Čemu na internetu důvěřovat? se věnuje např. projekt Bezpečně online (http://www.bezpecne-online.cz/), který v této souvislosti doporučuje se zaměřit na to, kdo
120
- Při procházení webových stránek buďte obezřetní, nestahujte ani nespouštějte programy, aplikace, o nichž nic nevíte, neklikejte na neznámé odkazy. - Chcete-li se dostat na určité, předem dané webové stránky, jejichž adresu znáte, potom tuto adresu vypište sami do adresního řádku internetového prohlížeče. Zkontrolujte, že jste se při zapisování adresy nedopustili přepisu, chyby. Tímto postupem omezíte možnost, že se dostanete na podvodné stránky vydávající se za originální, jejichž cílem může být např. získání Vašich přihlašovacích či jiných citlivých údajů. - Kontrolujte režim, v němž probíhá komunikace mezi internetovým prohlížečem a příslušným serverem. Má-li být používána zabezpečená komunikace, pak by v adresním řádku internetového prohlížeče měla daná adresa začínat „https://“. Začíná-li adresa „http://“ je používána komunikace nezabezpečená. - Kontrolujte pravost stránek ověřením jejich certifikace. Kliknutím na symbol zámku (např. v pravém dolním rohu na liště či v adresním řádku internetového prohlížeče) je možné obvykle zjistit, zda webové stránky, na nichž se právě nacházíte, disponují certifikátem vydaným pro subjekt, na jehož webové stránky jste se chtěli ve skutečnosti přihlásit, a pro uvedené webové stránky (certifikát by měl být nejlépe vydaný renomovanou společností). - Zjistěte si datum registrace webových stránek. Datum registrace a registrující osobu lze nalézt např. na stránkách http://whois.domaintools.com/183. Byly-li stránky registrovány relativně nedávno nebo není-li registrující osoba důvěryhodná, buďte opatrní. Prověřit je možné i tzv. geolokaci webové stránky, prostřednictvím které zjistíte, kde se nachází hostující server (využít pro tyto účely můžete např. http://tools.digitalpoint.com/geo). - Jestliže se navštívené webové stránky chovají či vypadají jinak než obvykle, buďte opatrní. Pokud se jedná o webové stránky, na kterých zadáváte citlivé údaje, pak raději tyto stránky
danou webovou stránku provozuje, zda je známý ve svém oboru, jaký má asi důvod pro provozování daných webových stránek atd. Pro posouzení kvality uváděných informací je dobré si všímat následujících faktorů: - jak moc je webová stránka aktuální a obsáhlá a zda působí profesionálně - zda je na stránce uveden kontakt na provozovatele, zda jde o oficiální webovou stránku nějakého podniku či instituce - zda je webová stránka někým doporučena, odkud vedou odkazy na stránku, zda jsou zde uvedeny nějaké komentáře (Bezpečně-online.cz: Jak poznat kvalitní zdroj informací : Čemu na Internetu důvěřovat?. Bezpečně-online.cz [on-line]. [cit. 5. února 2012]. Dostupné na WWW: ). Podrobněji se této problematice věnuje např. článek na http://www.bezpecne-online.cz/surfujbezpecne/informace-na-netu/je-vsechno-na-netu-pravda/229-3/jak-nejlip-odhadnout-internetove-stranky; se zaměřením na děti a dospívající pak např. dokument Informace na Internetu: Důvěryhodnost a kvalita dostupný na http://www.saferinternet.cz/pro-rodice/informace-na-netu. 183 Na druhou stranu je korektní upozornit na to, že uvedené údaje nemusí být vždy spolehlivé (Evropské spotřebitelské centrum při České obchodní inspekci: ESC radí, jak poznat podvod na internetu. Evropské spotřebitelské centrum při České obchodní inspekci [on-line]. [cit. 7. února 2012]. Dostupné na WWW: ).
121
opusťte, příp. pokud se tato odlišnost projevuje právě až při zadávání těchto údajů, pak operaci raději stornujte a kontaktujte provozovatele stránek. - Při otvírání e-mailových zpráv buďte obezřetní, neotvírejte ani neukládejte přiložené soubory, o nichž nic nevíte, neklikejte na uvedené neznámé odkazy. - Pamatujte na to, že ten, kdo je na druhé straně, nemusí být ve skutečnosti tím, za koho se vydává a za koho ho Vy sami považujete. To platí např. i u výše zmíněných e-mailových zpráv. Neměli bychom nikdy zapomínat na to, že jistotu o původu e-mailové zprávy a její bezpečnosti, resp. nezávadnosti jejího obsahu, nezaručuje skutečnost, že známe jejího odesilatele. E-mailová schránka odesilatele mohla být zneužita, jméno Vám známého odesilatele mohlo být útočníkem záměrně podvrhnuto apod. - Citlivé údaje (přihlašovací údaje do e-mailové schránky, do internetového bankovnictví, platebního systému apod.) používané na internetu si nikam nezapisujte, snažte se je zapamatovat. Pokud jsou tyto údaje pro Vás těžko zapamatovatelné, pokuste se vytvořit mnemotechnickou pomůcku pro jejich snadnější zapamatování, příp., pokud je to možné, změňte tyto údaje na údaje, které se Vám budou dobře pamatovat (při respektování pravidel pro tvorbu bezpečných hesel, PINů apod.), abyste si je nemuseli nikde zaznamenávat. Pokud se není možné zápisu některých citlivých údajů vyhnout, zvažte, kam si tyto údaje zapisujete, kdo k nim bude mít potenciálně přístup, zda a příp. jak je možné tyto údaje ochránit před zneužitím jinou osobou. Vhodné je v těchto případech použít pro záznam šifrování. Stejná pravidla platí i pro různé přihlašovací údaje, prostřednictvím kterých se může útočník dostat k dalším citlivým údajům. Pokud byste si na daném místě citlivé údaje nenechali, pak zde nenechávejte ani přístupové údaje do systémů, z nichž je možné tyto citlivé údaje získat. - Elektronické a fyzické dokumenty obsahující citlivé údaje, které je možné zneužít na internetu a které jsou určeny k „vyhození“, likvidaci, je třeba důsledně skartovat, příp. zabezpečit jejich odvoz a další skladování. „Pouhé vyhození“ dokumentů do koše (ať již hmatatelného nebo virtuálního v počítači) představuje zvýšené riziko jejich možného zneužití neoprávněnou osobou, která by se k těmto dokumentům dostala. - Dodržujte zásady bezpečné tvorby hesel. Nepoužívejte „slabá“ hesla (jako je např. datum či místo Vašeho narození, jméno manžela (manželky) či dítěte, oblíbená numerická kombinace „1234“ či jen jednoduché „heslo“), jejichž odhalení útočníkům (zvláště disponují-li dalšími citlivými údaji o Vás) nečiní větší problémy a není podmíněno ani použitím speciálního softwaru. Z důvodu možnosti využití tzv. slovníkové metody184 útočníky 184
Podstatou slovníkové metody jsou předem připravené seznamy slov, která by se obecně za hesla hodila, které jsou používány v kombinaci se speciálně k tomuto účelu vytvořeným programem, který jednotlivá slova
122
není vhodné jako heslo používat ani běžně používané slovo. Při tvorbě hesel se doporučuje používat malá i velká písmena, číslice i symboly. Počet znaků by neměl klesnout pod osm (pokud existuje možnost získání hashe185 hesla ve formátu LM, pak by mělo mít heslo alespoň 15186 znaků, kdy již k ukládání hashů ve formátu LM nedochází187) a vytvořené heslo by nemělo mít vztah k uživateli (jeho jméno, datum narození, rodné číslo apod., to stejné platí i pro používání obdobných informací o blízkých uživatele) nebo prostředí, v němž je používáno. Z důvodu bezpečnosti by heslo rovněž nemělo obsahovat opakující se znaky a posloupnosti, ať už číselné, abecední či posloupnosti odpovídající rozložení kláves na klávesnici počítače apod. Hesla vytvořená při respektování těchto doporučení je možné považovat za „silná“ a na jejich prolomení výše zmíněná slovníková metoda nestačí. V těchto případech je totiž nutné vyjít ze všech možných kombinací velkých a malých písmen, číslic a znaků, které jsou postupně tvořeny a testovány v systému, do kterého se útočník snaží dostat, jako možné heslo. Vzhledem k obrovskému množství možných kombinací však tento způsob vyžaduje použití výkonného počítače a i tak získání platného hesla nebývá dílem okamžiku.188
Ověřit
sílu
svého
http://www.passwordmeter.com/. zapamatovatelného
hesla
hesla
Návod
můžete na
je
např.
vytvoření
na silného
možné
webových a
přesto
najít
stránkách snadno např.
na http://www.bezpecnyinternet.cz/zacatecnik/hesla/vytvoreni-silneho-hesla.aspx. - Používaná hesla pravidelně měňte. U významnějších aplikací provádějte změnu častěji (dle některých doporučení je vhodné změnu provádět alespoň třikrát do roka, příp. dle jiných
ze seznamu zkouší používat v systému, do kterého se útočník snaží dostat (Němec, J. Chraňte se hesly, která fungují. Profit.cz [on-line]. [cit. 31. ledna 2012]. Dostupné na WWW: ). 185 Hash (nebo též výtah, miniatura, otisk, fingerprint) je výstupem hashovací funkce, což je matematická funkce pro převod vstupních dat do (relativně) malého čísla. Podrobněji viz Wikipedie: Hašovací funkce. Wikipedie [online]. [cit. 2. února 2012]. Dostupné na WWW: . 186 Heslo skládající se z 15 náhodných písmen a číslic je přibližně 33tisíckrát bezpečnější než heslo, které je tvořeno osmi znaky z celé klávesnice (Bezpečný internet.cz: Vytvoření silného hesla a jeho vlastnosti. Bezpečný internet.cz [on-line]. [cit. 2. února 2012]. Dostupné na WWW: ). 187 Podrobněji viz CLEVER AND SMART: Autentizace: Jak vytvořit bezpečné heslo?. CLEVER AND SMART [on-line]. [cit. 2. února 2012]. Dostupné na WWW: . 188 Podrobněji viz Němec, J. Chraňte se hesly, která fungují. Profit.cz [on-line]. [cit. 31. ledna 2012]. Dostupné na WWW: ; CLEVER AND SMART: Autentizace: Jak vytvořit bezpečné heslo?. CLEVER AND SMART [on-line]. [cit. 2. února 2012]. Dostupné na WWW: ; Bezpečný internet.cz: Nesprávné metody vytváření hesla. Bezpečný internet.cz [on-line]. [cit. 2. února 2012]. Dostupné na WWW: ; Bezpečný internet.cz: Vytvoření silného hesla a jeho vlastnosti. Bezpečný internet.cz [on-line]. [cit. 2. února 2012]. Dostupné na WWW: .
123
i každý měsíc189), u méně významných aplikací stačí obměňovat hesla v delších intervalech (doporučován bývá např. roční interval190). Frekvence změny používaného hesla by se měla odvíjet i od jeho délky. Hesla tvořená menším počtem znaků je třeba z důvodu bezpečnosti měnit častěji, hesla tvořená větším počtem znaků stačí měnit v delších intervalech (např. u hesel z méně než osmi znaků se doporučuje změnu provádět maximálně po týdnu, naproti tomu u hesel ze 14 a více znaků vytvořených při respektování pravidel pro tvorbu silných hesel lze tuto změnu provádět i po několika letech191). - Nepoužívejte stejné přístupové údaje (jména účtů, hesla apod.) pro přihlášení do různých systémů. Myslete na to, že pokud budete používat identické přihlašovací údaje pro více aplikací, pak dochází ke zvýšení výše podstupovaného bezpečnostního rizika, neboť získá-li útočník tyto údaje, hrozí jejich zneužití ve více aplikacích, což vytváří předpoklady pro nárůst potenciální škody. - Zvažujte, jaké informace, komu, kde a za jakým účelem poskytujete. Zajímejte se, jak s nimi bude dále nakládáno, zda budou shromažďovány, příp. na jak dlouho dobu a k jakému účelu (příp. komu a za jakým účelem budou předávány). Zda jsou tyto informace chráněny, příp. jak. Zda je poskytnutí těchto informací vyžadováno nebo je dobrovolné. Je-li dobrovolné, pak bych z důvodu bezpečnosti doporučovala spíše určitou strohost a být „skoupý na slovo“, neboť i informace, jejichž zveřejnění se nám v daném okamžiku může zdát z pohledu výše podstupovaných bezpečnostních rizik nevýznamné, mohou útočníkovi v konečném důsledku pomoci k úspěšnému provedení útoku192. Je-li poskytnutí informací vyžadováno, pak bychom se měli ptát, zda je k provedení dané transakce skutečně nutné, aby daný subjekt znal všechny tyto údaje, zda se jedná o běžně vyžadované informace v dané situaci a zda jejich sdělení pro nás nepředstavuje zvýšené bezpečnostní riziko. Opatrní bychom přitom neměli být pouze v případech, kdy jde o skutečně citlivé údaje, ale zamýšlet bychom se měli i nad poskytováním informací, které tento status na první pohled nemají. Jako uživatelé bychom nikdy neměli zapomínat na to, že informace, které prostřednictvím internetu zveřejníme, někomu pošleme apod., není možné ve většině případů vzít zpět (a zabránit tak např. jejich dalšímu šíření), a to, co se jevilo zpočátku jako „nevinné“, bezpečné, může v budoucnosti zvyšovat podstupovaná rizika. Ostražitost ohledně požadovaných a námi sdělovaných údajů 189
Němec, J. Chraňte se hesly, která fungují. Profit.cz [on-line]. [cit. 31. ledna 2012]. Dostupné na WWW: . 190 Němec, J. Chraňte se hesly, která fungují. Profit.cz [on-line]. [cit. 31. ledna 2012]. Dostupné na WWW: . 191 Bezpečný internet.cz: Přístup k heslům a jejich změna. Bezpečný internet.cz [on-line]. [cit. 2. února 2012]. Dostupné na WWW: . 192 V této souvislosti se nabízí připomenout určitý fenomén současné doby – sociální sítě, na nichž o sobě řada uživatelů sděluje velké množství nejrůznějších informací.
124
bychom neměli ztrácet ani v případě, že se jedná o operace, které provádíme opakovaně (je zcela na místě se ptát: Byly tyto informace požadovány již dříve? Nebo došlo ke změně?), nebo jsou-li tyto informace od nás vyžadovány „důvěryhodným“ subjektem. Citlivé údaje v podobě hesel apod. nikdy nesdělujte jiným osobám, a to ani svým blízkým (výjimkou jsou situace, kdy daná osoba je dalším oprávněným uživatelem dané služby, např. rodinná e-mailová schránka). - Zvažujte, co Vám přinese registrace Vaší e-mailová adresy na různých webových stránkách. Pokud registraci považujete za prospěšnou (nebo je dokonce z nějaké relevantního důvodu tato registrace nutná), pak z důvodu omezení výše podstupovaného rizika je vhodné mít pro tyto účely založenou zvláštní e-mailovou schránku (příp. lze i podle typu či účelu registrace mít založených více schránek). - Přihlašovací údaje používané na internetu nikdy neukládejte na počítač za účelem jejich následného využití k automatickému přihlášení do daného systému (tzn., nepovolujte zapamatování přihlašovacích údajů). Tímto doporučením se vždy řiďte v případě, kdy se nejedná o Váš osobní počítač. Dodržovat toto doporučení je však z hlediska bezpečnosti žádoucí i tehdy, jedná-li se o Váš osobní počítač, který nikdo jiný nepoužívá. - Před odchodem z webové stránky, kam jste se přihlásili, se nezapomeňte odhlásit. Z důvodu bezpečnosti je tento postup vhodnější, než jen pouhé zavření prohlížené stránky, resp. okna internetového prohlížeče, či změna webové stránky zadáním jiné webové adresy do adresního řádku prohlížeče. Zkontrolujte, že jste skutečně byli ze systému odhlášeni, a okno používaného prohlížeče zavřete. - Osobní počítač, který používáte k přístupu na internet, mějte pod kontrolou. Omezte okruh osob, které se k němu mohou dostat. Snažte se minimalizovat riziko jeho ztráty a krádeže. Používá-li daný počítač více osob, zřiďte jednotlivým uživatelům vlastní účty, a to v rámci statutu „pouhého“ uživatele (nikoliv s právy administrátora, správce193). Přihlášení k jednotlivým účtům podmiňte nutností zadat správné přihlašovací údaje, které bude znát vždy pouze jejich uživatel. Jste-li ke svému účtu na počítači přihlášeni a nacházíte-li 193
Správce (administrátor) je osoba, která disponuje právy, která ostatní „běžní“ uživatelé nemají. Může provádět změny v počítači, které ovlivní nejen jeho samotného, resp. fungování počítače při přihlášení pod tímto účtem, ale je oprávněn provádět i změny, které ovlivní všechny ostatní uživatele. Správce má oprávnění k instalování a odinstalování softwaru, může přidávat a odebírat jednotlivá hardwarová zařízení, přidávat a mazat další uživatelské účty či měnit jejich nastavení (včetně např. hesel), má přístup ke všem souborům v počítači, může měnit úroveň zabezpečení atd. Přestože na první pohled se může zdát lákavé používat právě z důvodu „neomezených“ práv účet správce, je třeba před jeho plošným používáním varovat, neboť právě z důvodu širších práv mohou být následky případného napadení počítače přes tento účet mnohem závažnější, než by tomu bylo v případě účtu „obyčejného“ uživatele, který taková oprávnění nemá. Více k této problematice je možné se dočíst např. na http://pc.poradna.net/a/view/308473-bezpecnost-na-internetu-pracujeme-sneprivilegovanym-uctem-i.
125
se na místě, kde není možné vyloučit přítomnost jiné osoby, která by se mohla pokusit Vašeho přihlášení využít k získání (citlivých) informací o Vás, k instalaci „závadného“ softwaru apod., nenechávejte počítač bez dozoru, bez odhlášení či uzamknutí se od něj nevzdalujte. - K běžnému používání Vašeho osobního počítače k přístupu na internet používejte účet typu běžného uživatele, nikoliv administrátora, správce. Tuto zásadu respektujte i v případě, že jste jediným uživatelem daného počítače. Za tímto účelem si vytvořte účty s rozdílnými oprávněními – tradičně půjde o účet správce (administrátora) a klasického, běžného uživatele. Účet administrátora používejte pouze v odůvodněných případech. Oba typy účtů by měly být chráněny speciálními (myšleno nestejnými) přihlašovacími údaji. - Nepoužíváte-li k přístupu na internet svůj osobní počítač, zvažte, zda je nezbytně nutné v daný okamžik provádět operace, které vyžadují zadání přihlašovacích údajů a u nichž hrozí získání citlivých údajů (nemusí se přitom vždy jednat např. o přihlášení do internetového bankovnictví či platebního systému, ale zvážit bychom měli např. i „pouhé“ přihlášení ke své e-mailové schránce), které by bylo možné následně zneužít. Pokud je možné provedení operace odložit a provést ji později při využití svého osobního počítače, pak tak vždy učiňte. Pokud odložení na pozdější dobu není možné nebo nemáte osobní počítač, pak buďte obzvláště opatrní, neboť riziko, jemuž se vystavujete, je výrazně vyšší, než v případě použití osobního počítače, který máte pod kontrolou. Počítače v internetových kavárnách, knihovnách, hotelích apod. používejte pouze k anonymnímu prohlížení internetu. Zadání jakýchkoliv citlivých údajů (byť by se jednalo např. jen o již zmíněné přihlášení do Vaší e-mailové schránky) představuje z hlediska Vaší bezpečnosti velké riziko. Na počítači může být instalován software k získání použitých citlivých údajů, a to aniž byste o tom byli informováni nebo měli reálnou šanci tuto skutečnost zjistit. Instalována mohou být také přídavná zařízení, jejichž cíl je stejný. Při odchodu od počítače, byť by to bylo i jen na okamžik a byli byste přesvědčeni, že se nemůže nic stát (neboť v místnosti nikdo není, počítač budete mít z dohledu jen chvilku apod.), vždy dbejte na to, aby při příchodu jiné osoby k počítači nemohlo dojít k získání citlivých údajů nebo provedení neoprávněné transakce na základě Vašeho přihlášení. - Nepoužíváte-li k přístupu na internet svůj osobní počítač, odstraňte před odchodem od počítače záznamy o své činnosti, Vámi uložené soubory, byla-li uložena historie procházení v internetovém prohlížeči, smažte ji atd. Toto pravidlo důsledně dodržujte při používání veřejných počítačů.
126
- Počítač, který používáte k přístupu na internet (nejen pro anonymní prohlížení), kontrolujte. Zjistěte, zda u něj nedošlo k instalaci přídavného zařízení (např. hardwarové podoby keystroke loggeru či kamery), pomocí kterého by mohla cizí osoba (útočník) získat citlivé údaje. - Citlivé údaje (např. přihlašovací údaje, hesla) zadávejte pouze v případě, že jste se ujistili, že nemůže dojít k jejich odpozorování jinou osobou, tj. pouze v případě, že není narušena Vaše bezpečnostní zóna. Nikdy tyto údaje nezadávejte v přítomnosti jiné osoby. Pamatujte na to, že pro odpozorování těchto údajů se nemusí útočník nacházet ve Vaší bezprostřední blízkosti, ale může použít např. i dalekohled či kameru, příp. může upravit místo, kde počítač používáte a nainstalovat zde nějaké nahrávací zařízení, které Vás bude sledovat, resp. monitorovat daný prostor, a pomocí kterého bude možné získat potřebné citlivé údaje. Z tohoto důvodu věnujte pozornost i kontrole samotného místa, kde počítač používáte. - Než v prostředí internetu vyjádříte s čímkoliv souhlas, důkladně si vše přečtěte a promyslete. Pokud něčemu nerozumíte, zeptejte se. Nenechte se „vmanipulovat“ do situace, kdy vyjádříte souhlas s něčím, s čím ve skutečnosti nesouhlasíte, čemu nerozumíte apod. Řídit bychom se vždy měli heslem, že „přečíst a porozumět musíme, souhlasit však nikoliv“. - Při výběru operačního systému a jednotlivých programů (internetového prohlížeče194 apod.) zvažujte i úroveň jejich zabezpečení. Používaný operační systém a programy pravidelně aktualizujte, je-li možné nastavit funkci automatických aktualizací, pak tak učiňte. Instalujte a používejte pouze důvěryhodný software z důvěryhodných zdrojů. - Po instalaci Vašeho osobního počítače zkontrolujte, zda je nainstalovaný antivirový program195 (příp. jaký), nestalo-li se tak, pak je třeba ho bezpodmínečně nainstalovat. Byl-li nainstalován, je třeba provést jeho aktualizaci. Používaná by měla být vždy aktuální verze antivirového programu. Počítač bez pravidelně či automaticky aktualizovaného antivirového programu k přístupu na internet nepoužívejte. V současné době bývají antivirové programy obvykle aktualizovány automaticky vždy při připojení k síti, proto jediné, na co je třeba v této souvislosti pamatovat, je zajištění odpovídajícího nastavení firewallu počítače, aby neomezoval antivirový program v přístupu na internet.196 Každý počítač by měl být chráněn
194
Některé internetové prohlížeče např. nabízí využití funkce, která umožňuje automaticky zabránit ukládání historie procházení, souborů cookies a dalších informací. Podrobněji viz např. Bezpečný internet.cz: Veřejné počítače. Bezpečný internet.cz [on-line]. [cit. 5. února 2012]. Dostupné na WWW: . 195 Antivirový program sleduje všechna nejvýznamnější vstupní a výstupní místa, kterými by viry mohly proniknout do počítačového systému. Podrobněji viz např. Antivirové centrum: Chraňte svůj počítač : 4 kroky jak zabezpečit počítač : Antivirový program. Antivirové centrum [on-line]. [cit. 2. února 2012]. Dostupné na WWW: . 196 Suchánek, P. Podnikání a obchodování na internetu. 2008, s. 159 - 160.
127
pouze jedním antivirovým programem, neboť dva nainstalované antivirové programy mohou detekovat jeden druhého jako hrozbu, v důsledku čehož se mohou vyřadit z účinnosti197. - Používejte „bezpečnostní bránu“, firewall. K jejímu nainstalování by mělo dojít ještě před samotným připojením počítače k internetu. Používání samotného antivirového programu sice ochrání Váš počítač před viry a červy, ale nezajistí dnes již kompletní ochranu počítače (neochrání např. před neznámou mezerou v používaném operačním systému, před pokusy o neoprávněný přístup k datům apod.). I zde se doporučuje používat aktuální verzi firewallu (k aktualizacím dochází opět většinou již automaticky) a respektovat zásadu „jeden počítač jeden firewall“.198 Vypínání firewallu se obecně nedoporučuje, neboť se jedná o síťový uzel skládající se z hardwaru a softwaru, který odděluje soukromou síť od veřejné, přičemž propouští jedním nebo druhým směrem data podle určitých, předem stanovených pravidel, čímž brání síť před neoprávněnými průniky a odesíláním dat ze sítě bez vědomí a souhlasu uživatele.199 - Používejte spamový filtr. Myslete na to, že nejde jen o to vyhnout se množství nevyžádaných e-mailových zpráv ve schránce, ale že spam může být prostředkem útočníka v elektronickém světě. - Používejte antispywarový program, program, který je určený k detekci a odstranění spyware. Na jejich přítomnost v počítači Vás totiž většinou používaný klasický antivirový program neupozorní, neboť se nejedná přímo o vir.200 - Objevíte-li ve svém osobním počítači škodlivý software, pak ho odstraňte. Pro kontrolu počítače a objevení případného škodlivého či nežádoucího softwaru je možné využít k tomuto účelu
určené
různé
nástroje
(konkrétní
příklad
lze
nalézt
např.
na http://www.bezpecnyinternet.cz/zacatecnik/zabezpeceni-pocitace/odstraneni-skodlivehosoftwaru.aspx). - Používáte-li pro přístup na internet domácí bezdrátovou síť, zabezpečte ji odpovídajícím způsobem, aby nikdo jiný nemohl přistupovat k Vašim síťovým prostředkům, včetně citlivých dat. Bezdrátová síť by měla být zabezpečena silným heslem, na všech bezdrátových zařízeních by mělo být zapnuto zabezpečení určené pro tyto účely (zmínit můžeme např.
197
Uvedené platí i pro vyšší počet antivirových programů. Suchánek, P. Podnikání a obchodování na internetu. 2008, s. 160. 199 Podrobněji viz např. Turban, E., et al. Electronic Commerce : A Managerial Perspective. 2006, s. 479-480; Antivirové centrum: Chraňte svůj počítač : 4 kroky jak zabezpečit počítač : Softwarové Firewally. Antivirové centrum [on-line]. [cit. 2. února 2012]. Dostupné na WWW: ). 200 Podrobněji viz např. Antivirové centrum: Chraňte svůj počítač : 4 kroky jak zabezpečit počítač : AntiSpyware. Antivirové centrum [on-line]. [cit. 2. února 2012]. Dostupné na WWW: . 198
128
protokol WPA) a bezdrátová anténa by měla být umístěna ve středu Vašeho bytu či domu, aby bylo možné omezit rozsah signálem pokrytých míst, kde již není pokrytí žádoucí.201 - Používáte-li pro přístup na internet veřejnou bezdrátovou síť, nezadávejte citlivé údaje, seznamte se s úrovní zabezpečení přenášených dat a přizpůsobte mu své chování, pokud síť zrovna nepoužíváte, připojení vypněte.202 - Používejte obezřetně Bluetooth. Zapnuté ho mějte pouze na dobu, kdy ho opravdu používáte a pouze pro komunikaci s důvěryhodným zařízením. - Máte-li podezření, že došlo k podvodnému jednání, stali jste se cílem útoku a mohlo by dojít k zneužití Vašich údajů, ke ztrátě identity apod., nenechávejte si toto podezření sami pro sebe, nespoléhejte na to, že to „samo nějak dopadne“ a „nic se nestane“, ale jednejte. V těchto případech se nevyplácí vzniklou situaci, byť se může jednat jen o podezření, podceňovat, ale je třeba rychle jednat. Podle charakteru případu a jeho závažnosti byste měli kontaktovat poskytovatele, provozovatele dané služby, vyhledat pomoc odborníků (lze využít i různé linky důvěry, které se této problematice věnují) či se obrátit na policii. Přijata by měla být opatření, která v případě, že se ukáže, že tyto obavy nebyly liché, přispějí ke snížení výše podstupovaného bezpečnostního rizika. - A na závěr: Vzdělávejte se. Budete-li uživatelem, který se bude zajímat o problematiku internetu a o vše, co s ním a jeho používáním souvisí, je pravděpodobné, že si budete i lépe uvědomovat možná rizika, která jsou s jeho používáním neodmyslitelně spojena, budete si vědomi toho, jak se v jednotlivých situacích chovat a proč, jak postupovat, na co si dát pozor. Svým jednáním sice nedocílíte toho, že tato rizika budou zcela odstraněna, ale můžete významnou měrou přispět k jejich omezení.
4.2 Doporučení pro spotřebitele přispívající k omezení výše bezpečnostních rizik souvisejících s nakupováním na internetu Výše bezpečnostních rizik jednotlivých typů elektronických obchodů obecně závisí na celé řadě faktorů. Na způsobu jejich zabezpečení, na tom, zda nákup probíhá prostřednictvím nainstalovaného speciálního softwaru nebo prostřednictvím internetu, na tom, zda je daný obchod přístupný pro všechny zákazníky nebo jen pro „vybrané“, na způsobu platby, na sdělovaných údajích, ale třeba i na tom, kdo nakupuje, co kupuje, zda jsou kupované zboží 201
Bezpečný internet.cz: Zabezpečení bezdrátového připojení. Bezpečný internet.cz [on-line]. [cit. 2. února 2012]. Dostupné na WWW: . 202 Podrobněji viz Bezpečný internet.cz: Veřejné bezdrátové sítě. Bezpečný internet.cz [on-line]. [cit. 5. února 2012]. Dostupné na WWW: .
129
a/nebo služba dodávány on-line nebo off-line a na řadě dalších faktorů. Bezpečnostní rizika obecně podstupují všechny zapojené subjekty, pozornost však v tuto chvíli bude v souladu se zaměřením práce věnována zákazníkům elektronických obchodů, pro něž budou formulována doporučení přispívající k omezení výše jimi podstupovaných bezpečnostních rizik. Na začátek si připomeňme, že v předcházející části jsme formulovali zásady bezpečného používání internetu pro uživatele, které je třeba mít na paměti v případě nakupování v elektronických obchodech, kdy dochází k realizaci nákupu zboží a/nebo služby právě prostřednictvím internetu. Kromě dodržování těchto doporučení by měly být při nakupování v elektronických obchodech dodržovány následující zásady: - Zjistěte si co nejvíce informací o elektronickém obchodu, prostřednictvím kterého chcete nakoupit zboží a/nebo služby, tyto informace vyhodnoťte a nákup uskutečněte pouze v důvěryhodném, seriózním a transparentním internetovém obchodě. Zjistěte si, kdo provozuje daný obchod, zda adresa sídla, kterou provozovatel uvádí, skutečně existuje, příp. co se na dané adrese nachází. Uvedeno by mělo být IČ, příp. DIČ, údaj o zápisu do obchodního či živnostenského rejstříku (do těchto rejstříků byste měli nahlédnout203, zjistit, zda uváděné informace jsou pravdivé, zda subjekt skutečně existuje atd.) apod. Internetový obchod by měl uvádět kontaktní údaje, jako jsou e-mailová adresa (určitou známkou kvality je i uvedení lhůty, jakou si provozovatel vyhrazuje na zodpovězení zaslaného dotazu), telefonní spojení (opět působí profesionálněji, je-li uvedeno, kdy je možné uvedené linky využít, příp. je-li uváděno více čísel, pak i pro jaké účely jsou jednotlivé linky zřízeny) a poštovní adresa. Existenci daného obchodu je vhodné pomocí těchto kontaktních údajů prověřit. Pokuste se najít recenze daného internetového obchodu a seznamte se s jeho hodnocením, zkušenostmi jiných zákazníků (mnohdy zcela postačí, zadáte-li název daného internetového obchodu do vyhledávače), příp. se zeptejte svých známých, zda daný obchod znají a mají s ním nějaké zkušenosti, příp. který obchod by Vám pro nákup daného zboží a/nebo služby doporučili a proč. Obecně je možné říci, že čím více informací o sobě internetový obchod uvádí a čím více se Vám jich podaří ověřit, tím bezpečnější případný nákup bude. Výběr elektronického obchodu Vám mohou usnadnit různé certifikace, projekty zaměřené na elektronické obchody, jejich členství v asociacích či umístění na předních místech
203
Odkazy na obchodní rejstříky členských zemí Evropské unie jsou k dispozici na https://ejustice.europa.eu/content_business_registers_in_member_states-106-EU-cs.do.
130
v sestavovaných žebříčcích, které zohledňují bezpečnost nákupu, důvěru zákazníků, jejich spokojenost, přístup elektronického obchodu k reklamacím, dodržování platebních a dodacích podmínek, práv spotřebitelů apod. V České republice v této souvislosti můžeme zmínit např. značku „APEK Certifikovaný obchod“, kterou obdrží úspěšně certifikovaný obchodník v podobě certifikátu s platností na jeden rok (původní název udělované značky byl „Nákup bez obav“). V rámci APEK certifikace dochází k hodnocení internetového obchodu podle Certifikačních pravidel stanovených Asociací pro elektronickou komerci204. Obdrží-li internetový obchod tento certifikát, je to známkou toho, že daný obchod dodržuje základní pravidla bezpečného a bezproblémového nákupu, zejména úplné a pravdivé informování o provozovateli, procesu nákupu, vyřízení objednávky a reklamacích a bezproblémovou komunikaci se zákazníkem.205 Od září 2007 probíhá projekt certifikace APEK Certifikát kvality (dříve označovaný jako Certifikát II. stupně).206 Tohoto projektu se mohou zúčastnit všichni nositelé značky APEK Certifikovaný obchod, přičemž v rámci procesu certifikace jsou elektronické obchody v několika kolech testovány pomocí metody mystery shopping, kdy hlavním cílem je pomoci zákazníkovi rozpoznat obchody disponující vysokou kvalitou služeb. Obchodníkovi tato certifikace nabízí možnost identifikovat oblasti pro možná zlepšení nabízených služeb.207 Seznam certifikovaných obchodů (s možností jejich výběru podle jejich zaměření) je možné nalézt na http://www.certifikovany-obchod.cz/8499/sekce/certifikovane-obchody/. Zmínit v této souvislosti můžeme také program Spotřebitelský audit obchodních podmínek (SAOP), který byl vytvořen Sdružením obrany spotřebitelů ČR (SOS) za účelem zvýšení obecného povědomí o spotřebitelských právech mezi podnikateli, ale i širší spotřebitelské veřejnosti. Podstatou programu je spotřebitelský audit obchodních podmínek daného obchodu208. Obchody, které na základě uzavřené smlouvy o SAOP splní požadavky příslušných právních předpisů, obdrží logo SAOP, osvědčení o provedení spotřebitelského auditu a je na ně odkazováno z webových stránek SOS. Je-li daný obchod držitelem tohoto loga, je to známkou toho, že jeho obchodní podmínky nejsou v rozporu se zákonem a jejich
204
Viz http://www.apek.cz/gallery/0/141-certifikace_pravidla_v2_1.pdf. APEK: O APEK certifikaci. APEK [on-line]. [cit. 6. února 2012]. Dostupné na WWW: . 206 APEK: O APEK certifikaci. APEK [on-line]. [cit. 6. února 2012]. Dostupné na WWW: . 207 APEK: APEK Certifikát kvality. APEK [on-line]. [cit. 6. února 2012]. Dostupné na WWW: . 208 Východiska posuzování obchodních podmínek a doporučené chování provozovatelů internetových obchodů vůči spotřebitelům je možné nalézt na http://www.spotrebitele.info/propodnikatele/vychodiskasaopadoporuceni.html. 205
131
důsledným uplatňováním se spotřebitel domůže svého práva.209 Seznam platných certifikátů SAOP je možné nalézt na http://www.spotrebitele.info/pro-spotrebitele/saop-seznamplatnych-certifikat.html. Také při nákupu v zahraničních internetových obchodech lze využít podobné systémy certifikací. Zmínit můžeme např. evropské označení Euro-Label Evropského obchodního institutu
EHI,
k němuž
je
možné
label.com/en/about-us/index.html210.
získat
Seznam
více
informací
certifikovaných
na
http://www.euro-
obchodů
je
dostupný
na http://www.euro-label.com/en/certified-shops/index.html. Podrobný
přehled
evropských
systémů
známek
důvěry
je
pak
k dispozici
na http://cz.theshoppingassistant.com/index.php?id=22, navíc tyto webové stránky umožňují snadný přechod do vybraného systému prostřednictvím kliknutí na vybrané logo. Využít lze rovněž služby Evropského spotřebitelského centra, které prostřednictvím svých webových stránek (http://www.evropskyspotrebitel.cz/) poskytuje informace o právech spotřebitelů při nakupování v jiných zemích Evropské unie, Norsku a na Islandu a které se mimo jiné věnuje i otázkám nákupů na internetu. Pomoci spotřebitelům může také nákupní asistent Howard, který je k dispozici na webové adrese http://cz.theshoppingassistant.com/ a prostřednictvím kterého je možné prověřovat všechny evropské weby a weby, které mají koncovku .com, .net, .eu či .nu. Howard sice spotřebiteli negarantuje výhodnou koupi, ale měl by zabránit tomu, aby se spotřebitel při nakupování na internetu stal obětí podvodu, a to díky tomu, že mu nabízí informace o tom, kdy byl web registrován či aktualizován, jak daný internetový obchod hodnotili předchozí zákazníci, pomůže mu se získáním informací o společnosti z oficiálního obchodního rejstříku, s výsledky vyhledávání Google, zjistí, zda má internetový obchod známku důvěry (e-commerce trustmark). Howard navíc obsahuje i informace obecnějšího charakteru, např. jaká je záruční doba v konkrétní zemi, jaká je obecná lhůta pro odstoupení od smlouvy v dané zemi, kontakty na jednotlivá evropská spotřebitelská centra apod.211 Použití Howarda je přitom jednoduché a uživatelsky velmi přívětivé. - Posuďte způsob, jakým se internetový obchodník prezentuje. Zda jeho webové stránky působí profesionálně nebo amatérsky, jako by byly „šité horkou jehlou“, zda se na nich
209
Podrobněji viz Sdružení obrany spotřebitelů: Spotřebitelský audit obchodních podmínek (SAOP). Sdružení obrany spotřebitelů [on-line]. [cit. 6. února 2012]. Dostupné na WWW: . 210 Stanovené minimální požadavky jsou uvedené na http://www.euro-label.com/en/code-of-conduct/index.html. 211 Podrobněji viz Howard – The Shopping Assistant: O aplikaci Howard. Howard – The Shopping Assistant [online]. [cit. 7. února 2012]. Dostupné na WWW: .
132
vyskytují obsahové či třeba gramatické a stylistické chyby apod. Za profesionální se nepovažuje umístění webu na bezplatném hostingovém serveru ani používání jejich e-mailových adres (např. yahoo.com, hotmail.com, gmail.com, seznam.cz)212. Všímejte si rovněž toho, zda jsou webové stránky obchodníka aktuální či nikoliv. - Nakupujete-li na internetu opakovaně, využívejte k nákupu internetové obchody, u nichž jste již nákup uskutečnili a byli jste spokojeni. - Důsledně se seznamte s veškerými podmínkami nákupu zboží a/nebo služby přes daný internetový obchod. Nestačí pouze zjistit, že internetový obchod má nákupní řád, obchodní podmínky, platební podmínky, dodací podmínky, reklamační řád apod. a že jsou zveřejněny na jeho webových stránkách, ale je třeba je důsledně přečíst. Pokud by Vám cokoliv nebylo jasné, zeptejte se. Pokud tyto dokumenty nejsou internetovým obchodem zveřejněny, využijte k nákupu jiný internetový obchod. Podceňování této oblasti se z důvodu výše podstupovaných bezpečnostních rizik nevyplácí. Uvědomte si, že čas, který věnujete přečtení těchto dokumentů, bude s vysokou pravděpodobností nesrovnatelně kratší, než následné řešení vzniklého problému, kterému by bylo možné důkladným seznámením se s těmito dokumenty předejít. - Pamatujte na to, že podkladem pro uskutečnění nákupu na internetu je vždy smlouva. Tuto smlouvu není nutné osobně podepisovat, stačí odsouhlasení obchodních podmínek. Smlouva je neplatná, porušuje-li prodejce zákon (např. nepovoleným prodejem). - Srovnávejte ceny u poptávaného zboží a/nebo služby. Využít k tomuto účelu můžete nejrůznějších
srovnávačů,
které
jsou
dnes
na
internetu
k dispozici
(např.
http://www.heureka.cz/, http://www.zbozi.cz/, http://www.nejlepsiceny.cz/). Zboží a/nebo službu neobjednávejte v internetovém obchodě, v němž je ve srovnání s ostatními obchody (nebo většinou obchodů) výrazně levnější nebo když uváděná cena na první pohled neodpovídá reálným možnostem u Vámi požadovaného zboží a/nebo služby. Pamatujte na to, že nikdo Vám nic „zadarmo“ nedá. Je-li cena nabízeného zboží a/nebo služby výrazně nižší než jinde, může se jednat o zboží, které je použité, poškozené, má omezenou funkčnost atd. - Zajímejte se o konečnou cenu objednávaného zboží a/nebo služby. To, že daný obchod nabízí prodej zboží a/nebo služby za nejnižší cenu, nemusí pro konečného spotřebitele ještě nutně znamenat nejnižší celkovou (konečnou) cenu. Zapomínat bychom neměli na různé položky, které mohou nákup zboží a/nebo služby v konečném důsledku (i výrazně) prodražit. Zmínit můžeme např. balné či poštovné, příp. poplatek za jinou formu dopravy či osobní 212
Evropské spotřebitelské centrum při České obchodní inspekci: ESC radí, jak poznat podvod na internetu. Evropské spotřebitelské centrum při České obchodní inspekci [on-line]. [cit. 7. února 2012]. Dostupné na WWW: .
133
odběr. Nakupujeme-li mimo Evropskou unii, mohou nás nemile překvapit také cla a daně, která mohou být na nákup daného zboží a/nebo služby uvalena. Konečnou cenu mohou ale zvýšit např. i náklady na použití komunikačních prostředků. V souvislosti s cenou bychom neměli opomenout zmínit různé akční nabídky, poskytované slevy apod. Jejich časová platnost může být omezena, jejich získání může být podmíněno splněním stanovených podmínek (např. nákupem v určité minimální výši, pravidelným odběrem, členstvím v nějakém „klubu“) atd. Cena účtovaná zákazníkovi po vypršení časově omezené nabídky, při nesplnění stanovených podmínek apod. pak může být výrazně vyšší, než očekával a než se na první pohled zdálo. Tato zásada bezpečného nakupování po internetu souvisí s výše zmíněným doporučením na důsledné seznámení se s veškerými podmínkami nákupu zboží a/nebo služby přes daný internetový obchod. - Při výběru zboží a/nebo služby buďte obezřetní. Důkladně se seznamte se všemi jeho parametry. Pozorně si přečtěte charakteristiku daného zboží, jsou-li k dispozici jeho hodnocení jinými uživateli, seznamte se s nimi. Pamatujte na to, že slabým místem nakupování na internetu je skutečnost, že se s daným zbožím a/nebo službou nemáte možnost „osobně seznámit“, nemáte možnost si je ve skutečnosti prohlédnout, vyzkoušet apod. Proto je třeba této fázi věnovat dostatečnou pozornost a nepodceňovat ji. V opačném případě Vám hrozí, že koupíte něco, co jste ve skutečnosti nechtěli, v jiné kvalitě (může se např. jednat o starší typ výrobku, použitý či poškozený výrobek, výrobek s omezenou funkčností, napodobeninu originálního výrobku), množství, velikosti, barvě apod. Pokud máte jakékoliv pochybnosti, není-li něco uvedeno, jasně formulováno apod., zeptejte se prodávajícího. Ke snížení výše podstupovaného bezpečnostního rizika kupujícího může přispět umístění kvalitních fotografií daného zboží (nejlépe z různých stran, příp. v různých provedeních apod. v závislosti na charakteru daného zboží) u popisu výrobku. Je-li to možné, lze použití fotografií doporučit i u služeb. Zajímejte se o to, zda se nejedná pouze o ilustrační fotografie, příp. zda není uvedeno, že dodané zboží či poskytnutá služba se mohou (v určitých parametrech) lišit. - Při vyplňování objednávky na zboží a/nebo službu, které chcete zakoupit přes internetový obchod, buďte pečliví. Zadávané, příp. systémem předvyplněné údaje důsledně kontrolujte. - Myslete na to, že podáte-li objednávku prostřednictvím některého prostředku komunikace na dálku (např. internetu), je dodavatel povinen213 prostřednictvím některého prostředku komunikace na dálku neprodleně potvrdit její obdržení (výjimku představuje uzavírání smlouvy výlučně výměnou elektronické pošty nebo obdobnou individuální komunikací). 213
§ 53 odst. 5 zákon č. 40/1964 Sb., občanský zákoník, v platném znění.
134
Objednávka a potvrzení jejího obdržení jsou považovány za doručené, pokud se s nimi strany, jimž byly určeny, mohou seznámit.214 Jestliže jste objednávku podali a nedošlo k řádnému potvrzení, buďte opatrní, neprovádějte úhradu, ale kontaktujte obchodníka a požádejte ho o potvrzení obdržení objednávky. - Seznamte se s nabízenými možnostmi platby za objednané zboží a/nebo služby v daném internetovém obchodě a plaťte bezpečně. Platbu předem provádějte pouze u důvěryhodného obchodníka. Za bezpečnou formu úhrady je možné obecně považovat úhradu v hotovosti či platební kartou při osobním vyzvednutí např. v kamenné pobočce internetového obchodu či na smluvním místě určeném pro vyzvedávání, platbu na dobírku či platbu při dodání zboží na uvedenou adresu. K úhradě v těchto případech totiž dochází při samotném přebírání objednaného zboží a/nebo služby, čímž spotřebitel omezuje riziko, že řádně provede úhradu, aniž by následně dané zboží a/nebo službu obdržel, příp. aniž by je obdržel v souladu s dohodnutými podmínkami. Toto riziko spotřebitel podstupuje u ostatních typů plateb, jako je např. platba bankovním převodem, prostřednictvím platební karty přes internet či s využitím některého z platebních systémů (např. PayPal či PaySec).215 Při výběru způsobu úhrady zohledněte čas, který si provedení platby vyžádá, neboť může oddálit dobu dodání zboží a/nebo služby, a nezapomeňte na výši dodatečných nákladů, které jsou s realizací platby spojeny a které navyšují konečnou cenu pro spotřebitele. Ať již na konec zvolíte jakýkoliv způsob úhrady, seznamte se se zásadami jeho bezpečného provedení a dodržujte je. - Provedete-li úhradu za objednané zboží a/nebo služby předem a následně Vás obchodník žádá o zaplacení další částky, např. s vysvětlením, že je třeba zaplatit clo, daň, připojištění apod., buďte opatrní. - Provedete-li úhradu předem a objednané a zaplacené zboží a/nebo služba Vám následně nejsou dodány ve stanoveném termínu, obraťte se na obchodníka a žádejte nápravu, příp. vrácení zaplacené částky (z hlediska bezpečnosti, resp. výše podstupovaného rizika a důkazních materiálů, tak učiňte nejlépe písemně, doporučeným dopisem s dodejkou). - Seznamte se s možnostmi dodání objednaného zboží a/nebo služby, které internetový obchod nabízí, a zvolte vhodný a bezpečný způsob dopravy s ohledem na předmět koupě. Nenabízí-li
214
§ 53 odst. 5 zákon č. 40/1964 Sb., občanský zákoník, v platném znění. Podle Evropského spotřebitelského centra při České obchodní inspekci je v těchto případech zvlášť podezřelý požadavek na platbu prostřednictvím systému Western Union, v případě bankovního převodu bychom pak nikdy neměli zasílat peníze na účet soukromé osoby, pokud se nejedná o účet prodávající firmy/společnosti (Evropské spotřebitelské centrum při České obchodní inspekci: ESC radí, jak poznat podvod na internetu. Evropské spotřebitelské centrum při České obchodní inspekci [on-line]. [cit. 7. února 2012]. Dostupné na WWW: ). 215
135
internetový obchod vhodný a bezpečný způsob dodání a osobní vyzvednutí není možné (buď ho internetový obchod nenabízí nebo je pro Vás nerealizovatelné), vyberte jiný obchod. - Při přebírání zboží a/nebo služby buďte opatrní. Jedná-li se o zásilku, zkontrolujte neporušenost jejího obalu a vzhled (tj. zda není zásilka na první pohled poškozená, zdeformovaná, zda již nebyla otevřena atd.), velikost a hmotnost. Je-li to jen trochu možné, trvejte na tom, že zásilku rozbalíte při přebírání a zkontrolujete. Omezíte tak riziko převzetí jiného zboží, než jste očekávali, zboží poškozeného, neúplného apod. Je-li zásilka porušená, poškozená, jeví známky nárazů apod., nepřebírejte ji a měla-li při doručení proběhnout úhrada, neprovádějte ji. Vzniklou situaci zaznamenejte a zdokumentujte (k vyjádření jednotlivých přítomných osob připojte jejich identifikaci a podpis, doporučit lze pořízení fotografií apod.), sepište protokol. Následně je vhodné co nejdříve v této věci kontaktovat internetový obchod, u kterého jste si zboží a/nebo službu objednali. Obdobně byste měli postupovat v situaci, kdy zjistíte nesrovnalosti až po převzetí zásilky a jejím rozbalení. Z tohoto pohledu patří k nejméně problematickým možnost osobního odběru v kamenné pobočce internetového obchodu či u jeho smluvního partnera, kde má spotřebitel poměrně dobré podmínky pro kontrolu přebíraného zboží (zboží má často pouze původní originální obal, je možné ho rozbalit a zkontrolovat, tak jako v případě nákupu v kamenném obchodě). - Je-li Vám při dodání zboží a/nebo služby účtována vyšší cena, než která byla uvedena v objednávce a potvrzena obchodníkem, úhradu neprovádějte a, je-li to možné, pokuste se ihned kontaktovat obchodníka a vyzvat ho k sjednání nápravy. - Nabízí-li Vámi vybraný internetový obchod možnost sledování průběhu vyřizování Vaší objednávky on-line, kontrolujte ho a v případě nesrovnalostí kontaktujte obchodníka a domáhejte se nápravy a svých práv. - Pečlivě uschovávejte veškeré dokumenty související s nákupem na internetu (objednávku, její potvrzení obchodníkem, doklad o provedení úhrady, komunikaci s obchodníkem, smluvní podmínky platné v době nákupu216 atd.). V případě potřeby jimi budete moci podložit své tvrzení (např. že jste si objednali jiné zboží, v jiném množství, za jinou cenu, provedli jste úhradu v požadované výši či že jste se snažili zboží reklamovat stanoveným způsobem). - Nezapomínejte na to, že pokud jste zboží zakoupili přes internet, máte ze zákona právo na odstoupení od smlouvy bez udání důvodu a bez sankcí, a to do 14 dnů od obdržení výrobku.217 V této lhůtě je možné odstoupit od smlouvy, tzn. zaslat prodávajícímu dopis 216
Smluvní podmínky se mohou v čase měnit a nemusí tak být vždy možné nalézt na webových stránkách obchodníka ty, které byly platné v době Vašeho nákupu a na něž se budete chtít v danou chvíli odvolat. 217 Toto právo vychází ze Směrnice Evropského parlamentu a Rady 97/7/ES ze dne 20. května 1997 o ochraně spotřebitele v případě smluv uzavřených na dálku (viz http://eur-
136
či e-mail, v němž uvedete, že od dané smlouvy odstupujete218,
219
, a následně mu vrátit
neponičený výrobek220. Právo na odstoupení od smlouvy však spotřebitel nemůže uplatnit vždy221. Dojde-li k odstoupení od smlouvy, musí prodávající vrátit spotřebiteli celou zaplacenou částku nejpozději do 30 dnů od řádného odstoupení od smlouvy, resp. dodavatel má právo pouze na náhradu skutečně vynaložených nákladů spojených s vrácením zboží (§ 53 odst. 10 zákon č. 40/1964 Sb., občanský zákoník, v platném znění). Pokud dodavatel nepředal spotřebiteli informace, které je povinen předat písemně nebo jiným obdobným způsobem podle ustanovení § 53 odst. 4 a 6 zákona č. 40/1964 Sb., občanského zákoníku, v platném znění, činí lhůta pro odstoupení dokonce tři měsíce od převzetí plnění, resp. jsou-li informace řádně předány v jejím průběhu, dochází k ukončení tříměsíční lhůty
lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1997:144:0019:008:CS:HTML), která v případě těchto smluv stanoví minimální lhůtu sedmi pracovních dnů od doručení zboží, v rámci které má spotřebitel právo na odstoupení od smlouvy bez sankcí a bez uvedení důvodu. Směrnice byla transponována do právních řádů všech členských zemí Evropské unie. Vzhledem k tomu, že směrnice stanoví lhůtu sedmi pracovních dnů jako minimální, může se tato lhůta v jednotlivých zemích lišit. Podrobný přehled o lhůtách v jednotlivých členských státech Evropské unie, v Norsku a na Islandu lze nalézt na http://www.evropskyspotrebitel.cz/files/lhutyodstoupeni-od-smluv.pdf. Pro Čechy nakupující na dálku v členských zemích Evropské unie, Norsku a na Islandu platí obvykle lhůta 14 dnů, neboť tato lhůta vychází z českých právních předpisů (§ 53 odst. 7 zákon č. 40/1964 Sb., občanský zákoník, v platném znění). Skutečnost, že se v tomto případě vychází z práva země spotřebitele, plyne z Nařízení Evropského parlamentu a Rady (ES) č. 593/2008 ze dne 17. června 2008 o právu rozhodném pro smluvní závazkové vztahy (Řím I). Podrobněji viz samotné nařízení http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:177:0006:01:CS:HTML či této problematice věnovaný článek „Při nákupu online jinde v EU máte stejná práva jako při nákupu v ČR“ na webových stránkách Evropského spotřebitelského centra při České obchodní inspekci http://www.evropskyspotrebitel.cz/nakupyonline/pri-nakupu-online-jinde-v-eu-mate-stejna-prava-jako-pri-nakupu-v-cr-26971. Pokud by však spotřebitelská práva byla výhodnější v zemi prodávajícího, může se jich spotřebitel domáhat. 218 Vzor odstoupení od smlouvy je možné nalézt např. na http://www.bezpecnyinternet.cz/pokrocily/nakupovanipres-internet/odstoupeni-od-kupni-smlouvy.aspx. 219 Některé internetové obchody mohou mít k těmto účelům vytvořené speciální formuláře. Odstoupení od smlouvy bývá upraveno v obchodních podmínkách internetových obchodů, s nimiž byste se měli seznámit před nákupem (viz výše uvedené doporučení). 220 Výrobek, až na výjimky jako jsou audionahrávky, videonahrávky apod., nemusí být vracen v neporušeném originálním obalu. Podmiňuje-li obchodník odstoupení od smlouvy vrácením výrobku v neporušeném originálním obalu, jedná neoprávněně. 221 Dle čl. 6 odst. 3 Směrnice Evropského parlamentu a Rady 97/7/ES ze dne 20. května 1997 o ochraně spotřebitele v případě smluv uzavřených na dálku nesmí spotřebitel toto právo uplatnit, nedohodnou-li se smluvní strany jinak, u následujících smluv: - o poskytování služeb, bylo-li se souhlasem spotřebitele zahájeno plnění před uplynutím lhůty 7 pracovních dnů (dle českého práva je tato lhůta 14 dnů, viz § 53 odst. 8 zákon č. 40/1964 Sb., občanský zákoník, v platném znění), - o dodávce zboží nebo služeb, jejichž cena závisí na výkyvech finančního trhu, které dodavatel nemůže ovlivnit, - o dodávce zboží upraveného podle požadavků spotřebitele nebo zboží přizpůsobeného osobním požadavkům nebo zboží, které nemůže být pro svůj charakter vráceno nebo které snadno podléhá zkáze nebo které má prošlou dobu spotřeby, - o dodávce audionahrávek nebo videonahrávek nebo počítačových programů, které byly spotřebitelem rozpečetěny, - o dodávce novin, periodik a časopisů, - o poskytování sázkových a loterijních služeb.
137
a počíná od té doby běžet lhůta čtrnáctidenní (viz § 53 odst. 4, 6 a 7 zákon č. 40/1964 Sb., občanský zákoník, v platném znění). - Myslete na to, že i v případě nákupu přes internet máte ze zákona právo na záruku, kterou byste získali při nákupu v kamenném obchodě. V současné době je v České republice při prodeji spotřebního zboží záruční doba 24 měsíců (§ 620 odst. 1 zákon č. 40/1964 Sb., občanský zákoník, v platném znění). - Budete-li zakoupené zboží a/nebo služby reklamovat, zvolte, je-li to možné, raději možnost vyřízení reklamace osobně přímo na prodejně daného obchodu apod. Podle § 19 odst. 3 zákona č. 634/1992 Sb., o ochraně spotřebitele, v platném znění je prodávající nebo jím pověřený pracovník povinen rozhodnout o reklamaci ihned, ve složitých případech do tří pracovních dnů (do této lhůty se nezapočítává doba přiměřená podle druhu výrobku či služby potřebná k odbornému posouzení vady). Reklamace včetně odstranění vady musí být dle zákona v České republice vyřízena bez zbytečného odkladu, nejpozději do 30 dnů ode dne uplatnění reklamace, pokud se prodávající se spotřebitelem nedohodl na delší lhůtě. Po uplynutí této lhůty má spotřebitel stejná práva, jako by se jednalo o vadu, kterou nelze odstranit (viz § 622 zákona č. 40/1964 Sb., občanský zákoník, v platném znění). - Pokud Váš nákup zboží a/nebo služby přes internet neprobíhá tak, jak měl nebo jak jste očekávali, situaci řešte. Obraťte se na obchodníka s popisem Vaší situace a s žádostí o vysvětlení a příp., došlo-li na jeho straně k chybě, i o nápravu. Nebuďte pasivní a nespoléhejte se na to, že se vzniklá situace sama vyřeší k Vaší spokojenosti. Nejste-li si jisti, jaká máte práva, zda došlo k jejich porušení či nikoliv, jak máte dále postupovat, zda jste se nestali obětí podvodu atd., obraťte se s žádostí o radu na subjekt, který se této problematice věnuje. Využít můžete např. služby Evropského spotřebitelského centra při České obchodní inspekci (telefonní spojení 296 366 155), Sdružení obrany spotřebitelů (telefonní spojení 900 080 808, kontaktní místa vč. jejich adres, e-mailového a příp. i
telefonního
spojení
naleznete
na
http://www.spotrebitel.cz/index.php?option=com_
content&task=view&id=111006&Itemid=360), Sdružení českých spotřebitelů (kontaktní místa, vč. jejich adres, e-mailového a telefonního spojení jsou rovněž k dispozici na http://www.spotrebitel.cz/index.php?option=com_content&task=view&id=111006&Itemid =360) či spotřebitelskou poradnu dTestu (telefonní spojení 299 149 009 či 222 767 221). Pomoc zákazníkům internetových obchodů s řešením případných problémů při nakupování nabízí i Asociace pro elektronickou komerci prostřednictvím služby tzv. Ombudsmana
138
(o radu je možné požádat prostřednictvím e-mailové adresy [email protected])222. Požádat o informaci, o radu či o pomoc se nestyďte v jakékoliv etapě nakupování přes internet. Nemáte-li potřebné zkušenosti a/nebo vědomosti, je lepší se zavčas zeptat, než následně řešit problémy, kterým bylo možné předejít. - Stanete-li se obětí podvodu, obraťte se na policii.223 - A na závěr: Vzdělávejte se. Spotřebitel se znalostmi v oblasti nakupování na internetu, spotřebitelských práv atd., který si plně uvědomuje rizika, která jsou s nakupováním na internetu spojena, a ví, jak jim předcházet, resp. jak omezit možnost jejich výskytu, nepředstavuje pro podvodníka tak snadnou oběť jako spotřebitel bez potřebných znalostí.
4.3 Doporučení pro uživatele přispívající k omezení výše bezpečnostních rizik souvisejících s používáním služeb elektronického bankovnictví Do elektronického bankovnictví, jak jsme si uvedli výše, patří platební karty a různé systémy elektronické komunikace klienta s bankou, které umožňují přímé provádění vybraných operací. V souladu s tímto vymezením bude následující text rozdělen do dvou částí. V první budou formulována doporučení pro držitele platebních karet přispívající k omezení výše bezpečnostních rizik souvisejících s jejich používáním. Druhá část bude věnována doporučením pro klienty používající různé systémy elektronické komunikace s bankou, která přispívají k omezení výše bezpečnostních rizik souvisejících s jejich používáním. 4.3.1
Doporučení pro držitele platebních karet přispívající k omezení výše bezpečnostních rizik souvisejících s jejich používáním
Platební karty patří k moderním platebním nástrojům s širokými možnostmi použití, jejichž používání je v České republice značně rozšířené. Jedná se však rovněž o instrument, s nímž jsou spojena pro všechny zúčastněné subjekty specifická bezpečnostní rizika. Škála podvodů v oblasti platebních karet je pestrá, namátkou můžeme připomenout podvodnou žádost o vydání platební karty, zneužití ukradené platební karty podvodníkem či padělání platební karty. Jak jsme se mohli přesvědčit v předcházející kapitole, výši podstupovaných bezpečnostních rizik v řadě případů mohou výrazně ovlivnit sami jejich uživatelé. Formulujme si tedy zásady bezpečného používání platebních karet pro jejich držitele:
222
APEK: Ombudsman pro zákazníky e-shopů. APEK [on-line]. [cit. 17. listopadu 2012]. Dostupné na WWW: . 223 Řešit vzniklou situaci Vám mohou pomoci i některé instituce, např. Evropské spotřebitelské centrum pro ČR (podrobněji viz Evropské spotřebitelské centrum při České obchodní inspekci: Co udělat, než nás kontaktujete. Evropské spotřebitelské centrum při České obchodní inspekci [on-line]. [cit. 7. února 2012]. Dostupné na WWW: ).
139
- Pečlivě vybírejte vydavatele platební karty. Zvolte platební kartu důvěryhodného, seriózního vydavatele. - Máte-li možnost volby platební karty, která Vám bude vydána, preferujte platební kartu s lepšími bezpečnostními parametry, jejíž používání pro Vás nebude představovat tak vysoké bezpečnostní riziko. Z důvodu bezpečnosti preferujte vydání čipové platební karty224 či hybridní platební karty vybavené čipem a magnetickým páskem před vydáním platební karty pouze s magnetickým páskem. - Platební kartu používejte vždy v souladu s podmínkami stanovenými vydavatelem platební karty, s nimiž jste se pečlivě seznámili před jejím vydáním. - Po převzetí platební karty, na níž má být uveden podpis jejího držitele, tj. Vás, ji ihned podepište v souladu se svým podpisovým vzorem (připomeňme, že podpisový vzor by z důvodu bezpečnosti neměl být totožný s Vaším standardním podpisem, s nímž se může případný útočník snadněji seznámit, ale měl by vykazovat určitá specifika, pomocí nichž je možné snadno odlišit Váš „obyčejný“ podpis od „speciálního“ podpisu určeného pro tyto účely225). Myslete na to, že Váš podpis je jedním z ochranných prvků na Vaší platební kartě, pokud tedy platební kartu po jejím převzetí nepodepíšete a dojde k její ztrátě či odcizení, útočník může platební kartu podepsat za Vás, čímž docílí toho, že jeho podpis bude shodný s podpisovým vzorem umístěným na platební kartě. Pro případ ztráty nebo krádeže a následného zneužití Vaší podepsané originální platební karty si podepsanou platební kartu, především její zadní část s Vaším podpisovým vzorem, zkopírujte nebo o pořízení její kopie požádejte vydavatele. Toto opatření Vám může posléze při zneužití platební karty pomoci prokázat, že uvedená transakce nebyla autorizována Vámi, ale podvodníkem (podpis na prodejním dokladu u obchodníka nebude shodný s Vaším podpisovým vzorem). - Platební kartu uchovávejte na místě, kde se k ní nemůže dostat neoprávněná osoba. Uvědomte si, že prostřednictvím platební karty se může útočník dostat k Vašim finančním prostředkům na účtu, příp. čerpat úvěr. Platební kartu proto nenechávejte nikde, kde byste 224
Vyšší bezpečnost platebních karet vychází ze způsobu ověření držitele při platbách kartou a z bezpečnosti uložení dat v čipu a kontrolovaném přístupu k těmto datům. Co se týče prvního aspektu, budete-li platit čipovou kartou u obchodníka, který akceptuje čip, budete vyzváni k zadání PINu, což je bezpečnější způsob ověření držitele, než je jeho ověřování prostřednictvím podpisu u karet s magnetickým páskem. Získání podpisového vzoru, který je navíc na kartě uveden, bývá pro útočníka jednodušší než získání PINu. Co se týče druhého aspektu, tak data uložená v čipu jsou chráněna vysokou úrovní šifrování, čip není možné okopírovat tak snadno jako magnetický pásek, resp. bez znalosti přístupových klíčů není možné zaznamenané údaje na čipu přečíst. (SČS – Podvody v e-bankovnictví: Platební karty. SČS – Podvody v e-bankovnictví [on-line]. [cit. 11. února 2012]. Dostupné na WWW: ) 225 Většina bank v České republice v současné době (srpen 2012) při volbě podpisového vzoru vyžaduje respektování stanovených pravidel, jejichž cílem je omezení výše podstupovaných bezpečnostních rizik. Podrobněji viz např. Buřínská, B. Co banky tolerují u vzorového podpisu. Jeho složitost má zelenou. iDnes.cz [on-line]. [cit. 17. srpna 2012]. Dostupné na WWW: .
140
nenechali samotné finanční prostředky, k nimž je možné se prostřednictvím karty dostat. Pravidelně kontrolujte, zda se platební karta skutečně nachází na místě, kam jste ji dali. Včasné odhalení ztráty či odcizení platební karty může významně omezit výši vzniklé škody. - Platební kartu nenoste v peněžence, u osobních dokladů, mobilního telefonu apod. Diverzifikujte, ať v případě ztráty či odcizení daných věcí nepřijdete zároveň i o platební kartu. - Chraňte platební kartu před poškozením či zničením. Myslete na to, že platební karta může být poškozena nejen mechanicky (poškrábání, odření, zlomení), ale že ji může zničit i mobilní telefon, počítač či třeba magnetické zapínání kabelky. Hybridním platebním kartám (vybaveným čipem a magnetickým páskem) nesvědčí hluboké zmrazení, při kterém dochází k znehodnocení čipu a karta dále funguje již pouze jako magnetická.226 - Mějte přehled o svých platebních kartách. Měli byste vždy vědět, kolik platebních karet Vám bylo vydáno, kým, o jaké typy karet se jedná, jaké podmínky se k nim vztahují, k čemu a kde je můžete použít, jakými bezpečnostními prvky jsou vybaveny, příp. jaká bezpečnostní opatření je možné u nich využít atd. - Pečlivě uchovávejte dokumenty, které se vztahují k platebním kartám, které používáte (např. podmínky jejich používání, smlouvy s vydavateli). Obsahují-li tyto dokumenty citlivé údaje, pak s nimi také tak nakládejte a nenechávejte je tam, kde se k nim může dostat jiná, neoprávněná osoba. Myslete na to, že se jedná o údaje, které může být poměrně snadné zneužít. - Chcete-li se zbavit dokumentů vztahujících se k Vaší platební kartě, které obsahují citlivé údaje (např. z důvodu, že je již nebudete potřebovat, nejsou aktuální nebo z důvodu bezpečnosti), učiňte tak způsobem, aby se k nim nemohla dostat jiná, neoprávněná osoba. Toto pravidlo respektujte u fyzických i elektronických dokumentů. Nosiče citlivých dat roztrhejte, rozlámejte, skartujte, spalte apod. - Zásilku obsahující PIN byste měli vždy obdržet neporušenou, a to ať již si ji vyzvedáváte přímo u vydavatele platební karty, na jeho pobočce či ať je Vám doručována např. poštou. Je-li zásilka porušena, požádejte o vydání nového PINu a z důvodu vyšší bezpečnosti i o vydání nové platební karty. - Nikdy nenoste PIN v blízkosti platební karty. PIN byste si měli pamatovat. Z důvodu bezpečnosti byste neměli mít PIN nikde napsaný, natož pak v blízkosti platební karty (např. na jejím obalu), k níž se vztahuje, či dokonce na ní. PIN nenoste uložený v mobilním 226
Klufa, F., Scholz, P., Kozlová, M. Podvody v oblasti bezhotovostních plateb v ČR. Sdružení českých spotřebitelů [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: .
141
telefonu. Činí-li Vám zapamatování PINu problém, informujte se u vydavatele na možnost změny PINu, příp. si vytvořte mnemotechnickou pomůcku. Pokud změna PINu není možná nebo Vám nijak nepomohla (protože jste si např. nemohli zvolit číselnou kombinaci sami, ale byla Vám přidělena) a Vám se stále nedaří si daný PIN zapamatovat a rozhodli jste se, že i přes zvýšené bezpečnostní riziko si PIN uložíte do mobilního telefonu, pak se z důvodu bezpečnosti řiďte následujícími doporučeními: PIN si nikdy neukládejte pod heslo „PIN“, „platební karta“ apod., ale mějte ho „schovaný“ pod smyšlenou osobou, kterou nebude moci útočník snadno odhalit, tedy jako standardní kontakt, kde PIN bude součástí uvedeného telefonního čísla, které bude vzbuzovat v případném útočníkovi dojem, že se jedná o existující telefonní číslo (v žádném případě nestačí skrýt PIN pod jméno smyšlené osoby, ale ponechat pouze čtyři číslice, neboť útočník procházející Váš mobilní telefon by tuto anomálii poměrně snadno odhalil), tedy např. jako Marie Nová 549497598, kdy poslední čtyři čísla budou Vaším PINem. Falešný kontakt by se v těchto případech neměl z důvodu bezpečnosti nijak odlišovat od zbytku kontaktů v telefonním seznamu (např. využijeme-li výše zmíněný příklad, tak k odhalení nastrčeného kontaktu by mohlo přispět, pokud byste PIN, tedy poslední čtyři číslice v uvedeném telefonním čísle, oddělili od zbytku telefonního čísla a uvedli místo „549497598“ „54949 7598“). Touto zásadou se analogicky řiďte i v jiných případech, kdy pro zaznamenání PINu používáte jiný prostředek. Vždy byste si ale měli být vědomi toho, že již samotným zaznamenáním PINu porušujete jednu ze zásad bezpečného používání platebních karet, byť se riziko, kterému se v této souvislosti vystavujete, snažíte zmírnit následnými opatřeními.227 - Máte-li možnost nastavit si sami PIN a zvolit si libovolnou kombinaci, pak nepoužívejte kombinace, které jsou pro útočníka snadno odhalitelné. Za silný PIN nelze považovat oblíbenou jednoduchou a „notoricky“ známou kombinaci „1234“ nebo jakoukoliv jinou číselnou kombinaci jdoucí těsně za sebou, opakované použití pouze jedné číslice, použití číslic
ze
všech
čtyřech
rohů
klávesnice
(tyto
kombinace
bývá
pro
útočníky
i snazší odpozorovat, a to i když si zakrýváte klávesnici při zadávání PINu), rok či zkrácené datum Vašeho narození či narození Vašich blízkých (zvláště pokud je možné tyto údaje získat z věcí, které nosíte u sebe, resp. spolu s platební kartou, jako jsou různé osobní doklady, diář, mobilní telefon, fotky v peněžence s poznačenými daty atd.), část čísla platební karty, údaj o platnosti karty, část Vašeho telefonního čísla či čísla na Vaše blízké atd. (tedy číselné 227
Na druhou stanu můžete zkusit i opačný postup, kdy úmyslně na platební kartu či do její blízkosti napíšete libovolnou číselnou čtyřmístnou kombinaci s cílem vzbudit u osoby, která by chtěla kartu neoprávněně použít, dojem, že se jedná o PIN. Většina systémů dnes totiž z důvodu bezpečnosti po opakovaném zadání nesprávného PINu (např. třetím) platební kartu automaticky zablokuje.
142
kombinace, které by útočník mohl odvodit). Složitější z tohoto pohledu pro případné zneužití mohou být Vaše oblíbené číselné kombinace inspirované např. známými letopočty, které útočník, který Vás nezná, má jen minimální šanci odhadnout nebo někde dohledat. Na druhou stranu však nejsou výjimkou případy, kdy platební kartu držitele zneužije jemu blízká osoba, pro kterou odhalení této kombinace nemusí být nijak náročné. Dle vyjádření expertů bychom se při volbě PINu měli vyhnout také datům typu 1492, 1648, 1968. 228 Pokud přeci jen chcete vyjít z dat či čísel, s nimiž jste určitým způsobem spojeni, vymyslete si nějaké šifrování, které budete používat (způsob šifrování byste si měli pamatovat, tzn., že by neměl být příliš složitý), např. ke každé číslici přičtěte či naopak odečtěte nějakou konstantu nebo k první číslici přičtěte jedničku, k druhé dvojku atd., čísla zadávejte v opačném pořadí apod. Při změnách PINu dodržujte pravidla, která se týkají používání a zadávání PINu. - Disponujete-li více platebními kartami, nepoužívejte u nich stejný PIN. Zejména máte-li možnost si PIN nastavit sami (např. prostřednictvím bankomatu) a zvolit si libovolnou kombinaci, nesjednocujte používané PINy. Jakmile by totiž útočník používaný PIN odhalil, měl by v zásadě přístup ke všem Vámi používaným platebním kartám. - PIN pravidelně měňte. - PIN nikdy nikomu nesdělujte. Toto pravidlo dodržujte důsledně, výjimky nedělejte, a to ani v případě rodinných příslušníků či blízkých přátel229. Pamatujte na to, že se jedná o citlivý údaj, který po Vás nikdo nemá požadovat, a to ani pracovník banky, obchodník či např. policista. Pokud byste se s takovou žádostí setkali, je vysoce pravděpodobné, že se jedná o podvod a že se daná osoba od Vás snaží PIN získat s cílem jeho následného zneužití. Podobně postupujte i v případě dalších citlivých údajů. Nikdy v této souvislosti nereagujte na e-mailové zprávy, SMS zprávy či telefonické výzvy od vydavatele, ti tímto způsobem s držiteli platebních karet nekomunikují. - Kromě PINu chraňte i další údaje o kartě a o sobě. K zneužití platební karty či souvisejících citlivých údajů stačí velmi málo. Např. při platbě na internetu bez fyzické přítomnosti karty 228
Tůmová, V. Jak si u platební karty nastavit bezpečný PIN. Peníze.cz [on-line]. [cit. 9. února 2012]. Dostupné na WWW: . 229 Význam dodržování tohoto pravidla i v rámci rodiny potvrzují také české banky (viz např. Ginter, J., Svoboda, J. Češi hazardují s platebními kartami, o peníze pak přicházejí nenávratně. Novinky.cz [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: ) a nebankovní vydavatelé. Např. společnost Home Credit v roce 2011 zaznamenala 23 reklamací klientů kvůli podezření, že jim někdo neoprávněně vybral peníze, nicméně pouze v jednom případě šlo o reklamaci oprávněnou, ostatní byly zamítnuty, a to nejčastěji z důvodu, že klient nakonec zjistil, že si jeho kartu bez dovolení „vypůjčil“ někdo z rodiny (děti, manželé, sourozenci apod.). Podobná byla situace i u neoprávněných transakcí na internetu. (Home Credit: Nejčastější podvod s kreditkou? Zneužití příbuzným. Zlatá koruna [on-line]. [cit. 14. února 2012]. Dostupné na WWW: )
143
útočníkovi může zcela stačit, bude-li znát číslo Vaší karty, její platnost a CVV či CVC kód (k zneužití na internetu, v zahraničních internetových obchodech, může v určitých případech dokonce stále ještě stačit i jen pouhé číslo karty). Riziko je v tomto případě značné, neboť všechny tyto údaje jsou uvedeny přímo na platební kartě. Útočníkovi pro jejich získání může stačit okamžik, kdy si údaje z karty opíše, kartu ofotí apod. Důsledně proto dodržujte zásady bezpečného používání platebních karet, které se získáním těchto údajů úzce souvisí. - Před použitím platební karty zkontrolujte, zda je dané místo pro použití platební karty bezpečné. Prověřte, zda nedošlo k instalaci přídavného zařízení na bankomat, které by umožnilo získat Vámi zadávaný PIN (nahrávací zařízení, dotekové senzory na klávesnici), zkopírovat či zadržet Vaši platební kartu (nástavce na vstupech pro platební karty), zda stopy dodatečné úpravy nenese čtečka při vstupu do samoobslužné zóny či platební terminál u obchodníka. Pozornost věnujte i prostředí, v němž se tato zařízení nachází a kde budete zamýšlenou operaci provádět. Nahrávací zařízení v podobě kamery nemusí být umístěno přímo na bankomatu, ale v jeho blízkosti apod. Místo, kde chcete platební kartu použít, by mělo být dostatečně osvětlené. Máte-li podezření, že bankomat, platební terminál či jiné zařízení byly upraveny, raději zamýšlenou operaci neprovádějte a kontaktujte vydavatele platební karty či provozovatele daného zařízení. Obrátit se můžete také na policii. Učinit byste tak měli v případech, kdy jste si jisti, příp. relativně jisti, že k neoprávněnému zásahu skutečně došlo. Aby bylo zachováno co nejvíce stop, měli byste vše ponechat tak, jak to bylo, zbytečně se daných zařízení nedotýkat, neoddělávat je. Z důvodu vyšší pravděpodobnosti odhalení dodatečných úprav je možné doporučit používání jednoho či několika málo bankomatů a samoobslužných zón, s nimiž se lépe seznámíte a díky jejichž opakovanému používání byste měli být schopni odhalit případné změny. - Máte-li více platebních karet, vyčleňte si jednu z nich pro používání na čtečkách u vstupů do samoobslužných zón. U této karty omezte možnosti jejího použití, snižte nastavené limity na minimum apod. Jiné karty ke vstupu do samoobslužných zón nepoužívejte. - Při vstupu do samoobslužných zón nezadávejte PIN. - Používáte-li platební kartu, plně se na prováděnou operaci soustřeďte, nenechte nic a nikoho odvést Vaši pozornost. Pokud se nemůžete prováděné operaci plně věnovat, jste vyrušováni či dokonce v rámci jejího provádění přerušováni, operaci stornujte, vyčkejte na potvrzení o zrušení prováděné transakce a její provedení nechte na pozdější dobu, příp. i na jiné místo.
144
- Pamatujte na to, že jediný, kdo je oprávněný přerušit Vámi prováděnou operaci s platební kartou před jejím úplným dokončením, jste jen Vy sami. - Při použití platební karty v bankomatu či platebním terminálu se vždy řiďte instrukcemi uvedenými na obrazovce či displeji (PIN zadávejte pouze tehdy, jste-li k tomu zařízením vyzváni apod.). PIN nezadávejte na klávesnici, která není připojena k platebnímu terminálu. - Pokud se Vám zdá, že prováděná operace probíhá jinak, než je obvyklé (např. bankomat nereaguje tak, jak by měl), operaci stornujte, vyčkejte na potvrzení o zrušení prováděné transakce a transakci znovu neprovádějte. Skutečnost nahlaste vydavateli platební karty a provozovateli daného zařízení. - Dojde-li při použití bankomatu k zadržení Vaší platební karty, aniž by Vám bylo bankomatem vydáno potvrzení o jejím zadržení, ihned kontaktujte vydavatele a žádejte zablokování karty. Nevyužívejte pomoci jiné osoby, neodcházejte od bankomatu s tím, že problém vyřešíte osobně u vydavatele, později apod. Pokud by došlo k zadržení platební karty bankomatem, bankomat by Vás o této skutečnosti a zpravidla i o důvodu zadržení platební karty informoval. Pokud se tak nestalo, nejedná se o takový případ a je pravděpodobné, že došlo k neoprávněné úpravě bankomatu a stali jste se cílem útoku podvodníka. - Pokud dojde k zadržení Vaší platební karty u obchodníka, požádejte o znehodnocení karty ve Vaší přítomnosti a o vystavení potvrzení o zadržení platební karty, příp. v této věci ihned kontaktujte vydavatele a dohodněte se na postupu. - PIN zadávejte tak, aby ho nemohl někdo jiný odpozorovat. Zakrývejte si druhou rukou klávesnici, prostřednictvím které PIN zadáváte, nebo ji zastiňte např. diářem, peněženkou či doklady, hlídejte si dodržování bezpečnostní zóny. Nemáte-li soukromí a/nebo nemuselo-li by stačit pouhé zastínění klávesnice, PIN nezadávejte, prováděnou operaci stornujte a vyčkejte na potvrzení o zrušení transakce. - Platební kartu nepoužívejte v bezprostřední blízkosti jiné osoby. Nehrozí Vám pouze výše uvedené odpozorování PINu, ale i získání dalších citlivých údajů, krádež platební karty či vybírané hotovosti apod. - Platební kartu mějte při používání vždy plně pod kontrolou. Platební kartu byste v ideálním případě neměli dávat vůbec z rukou, aby s ní mohl manipulovat někdo jiný. Není-li to možné (např. z důvodu umístění platebního terminálu), pak pečlivě kontrolujte, co se s kartou děje. Nepřipusťte, abyste kartu ztratili z dohledu (aby byla někam odnesena, aby s ní byla jakákoliv operace prováděna v místech, kam nevidíte apod.). Naprosto nepřípustné je pořizování jakýchkoli kopií platební karty či jejích částí obchodníkem. Při placení v obchodě by platební 145
karta měla být použita pouze v jednom čtecím zařízení, opakované použití je podezřelé, stejně jako vyhotovení více prodejních dokladů k jedné platbě. Máte-li jakékoliv pochybnosti o správnosti provedené transakce, co možná nejdříve její zaúčtování prověřte. - Platební kartu nikdy nikomu nepůjčujte. - Při používání platební karty neautorizujte svým podpisem či PINem (příp. jiným stanoveným způsobem) transakci, kterou jste předem nezkontrolovali nebo u které mají být některé údaje doplněny později. Autorizujete-li transakci předem, vystavujete se riziku, že transakce proběhne jinak, než jste si představovali. Tradičními místy, kde je možné se s žádostí o autorizaci předem setkat, jsou hotely či půjčovny aut, to, co má být zpravidla doplněno, je výše úhrady. Riziko, kterému se v takových případech vystavujete, je zřejmé, doplněná částka nemusí odpovídat skutečné ceně za poskytnuté zboží a/nebo služby. - Máte-li při platbě platební kartou u obchodníka podepsat prodejní doklad, zkontrolujte jeho správnost a úplnost (zejména identifikaci obchodníka, částku, datum apod.). Na dokladu by se neměly vyskytovat nečitelné, přeškrtnuté či přepisované údaje. Doklady, které tyto podmínky nesplňují, nepodepisujte. Podstupované riziko snižte proškrtnutím všech volných míst (především všech volných řádků a vynechaného místa před a za částkou transakce), aby doklad nemohl být následně upraven. - Při platbě platební kartou u obchodníka s ním spolupracujte při ověřování Vaší totožnosti. Obchodník je k tomuto ověření oprávněn a ověření totožnosti uživatele je v konečném důsledku i ve Vašem zájmu. Budete-li vyzváni např. k předložení občanského průkazu, učiňte tak. - Od bankomatu či platebního terminálu se nevzdalujte před úplným dokončením transakce realizované prostřednictvím platební karty. Po ukončení transakce kartu, veškeré doklady a příp. i vydanou hotovost pečlivě a diskrétně uschovejte. - Pro výběr vyšších částek hotovosti prostřednictvím platební karty využívejte službu Cash Advance, tj. výběr na pobočce banky či ve směnárně. - Po použití platební karty u obchodníka zkontrolujte, zda Vám byla skutečně vrácena Vaše originální platební karta. - Používáte-li platební kartu na internetu, dodržujte pravidla bezpečného používání internetu. Nechcete-li používat platební kartu na internetu, preferujte vydání platební karty, kterou není možné na internetu použít, příp. u níž je možné tuto funkci omezit či zablokovat. Omezíte tím možnost zneužití karty podvodníkem. - Myslete na to, že používání platební karty k realizaci transakcí bez její fyzické přítomnosti (např. u objednávek prostřednictvím pošty či telefonu, plateb přes internet) je nebezpečné, 146
neboť sdělujete číslo své karty neznámé osobě a nemůžete si tak být nikdy jisti, že nedojde k jejímu zneužití. Platební kartu proto takto používejte pouze u důvěryhodných obchodníků. V případě internetových obchodníků hledejte ty, kteří mají na svých webových stránkách umístěn certifikát potvrzující SSL zabezpečení (graficky znázorněný zlatým zámečkem) a označení potvrzující používání systému 3D-Secure („Verified by VISA“ nebo „MasterCard SecureCode“)230. Vyhnout byste se měli nezabezpečeným internetovým obchodům, které nemají na svých webových stránkách žádným způsobem ošetřenu bezpečnost přenosu údajů o kartě a jejím držiteli. Za vyhovující dnes nelze považovat ani internetové obchody, které používají SSL zabezpečení, ale ne systém 3D-Secure.231 K omezení výše podstupovaných bezpečnostních rizik může přispět důsledné používání pouze virtuální platební karty při placení na internetu. Tyto karty fyzicky neexistují (vydavatel zasílá uživateli jen údaje o kartě) a jsou určeny pouze pro internetové transakce. Výhodou virtuálních karet je, že tím, že fyzicky neexistují, nemůže dojít k jejich ztrátě či odcizení (předmětem ztráty či krádeže mohou být ale zásilky či dokumenty obsahujících údaje o kartě), jejich použití a tedy i zneužití je omezené na internetové platby a lze u nich nastavit individuální limity odpovídající požadavkům držitele.232 Za zmínku stojí také tzv. elektronické peněženky, které jsou určeny k bezpečným platbám menších částek na internetu. Jejich výhodou je, že v nich uživatel má pouze tolik peněz, kolik si na ně převede, aby mohl provádět běžné platby (disponibilní prostředky v peněžence může doplňovat dle potřeby). To znamená, že prostřednictvím elektronické peněženky můžete Vy, stejně jako případný útočník disponovat pouze s omezeným objemem finančních prostředků, které se na ni nachází. Výši „zůstatku“ a uskutečněné transakce lze v daném systému průběžně kontrolovat. K výhodám elektronických peněženek patří také to, že uskutečnění 230
V současné době by tento systém měly podporovat již všechny internetové obchody v České republice (Poštovní spořitelna: Era platební karty. Poštovní spořitelna [on-line]. [cit. 11. února 2012]. Dostupné na WWW: ). 231 Hlavní rozdíl mezi internetovými obchody s pouze SSL zabezpečením a 3D-Secure internetovými obchody spočívá v tom, že 3D-Secure internetový obchod nemá k dispozici údaje o držiteli platební karty ani o platební kartě, čímž je eliminováno riziko zneužití poskytnutých dat. V okamžiku, kdy se zákazník 3D-Secure internetového obchodu rozhodne zaplatit kartou a „klikne“ na logo „Verified by VISA“ nebo „MasterCard SecureCode“ (podle toho, jakou platební kartou chce platit), je totiž automaticky přesměrován na zabezpečené stránky banky/smluvního poskytovatele, prostřednictvím nichž bude platbu vyřizovat. Vyplní zde platební údaje a obchodníkovi jsou po schválení transakce asociací a bankou zaslány pouze informace o výsledku transakce (pro dosažení vyššího stupně bezpečnosti je možné používat další ochranné prvky, které přispějí k dalšímu snížení výše podstupovaného rizika, např. SMS klíč). Vzhledem k tomu, že banka (provozovatel systému) neuzavírá smlouvy se všemi obchodníky, ale své partnery si pečlivě vybírá, je používání tohoto systému i určitým signálem pro zákazníky. 232 Podle některých je však používání virtuálních platebních karet přežitkem, podrobněji viz diskuze v článku Tůmová, V. Virtuální platební karty: pokrok, nebo dinosaurus?. Peníze.cz [on-line]. [cit. 10. února 2012]. Dostupné na WWW: .
147
platby není podmíněno zadáním citlivých a obecně zneužitelných dat, ale stačí pouze zadat přihlašovací jméno a heslo. K dalšímu omezení podstupovaného rizika lze nastavit limit, od kterého je provedení platby podmíněno autorizací prostřednictvím mobilního telefonu.233 S cílem omezit výši podstupovaného rizika může být obdobně zřízen další běžný účet, k němuž bude vydána platební karta, kterou bude držitel jako jedinou používat k placení na internetu (u ostatních karet by měl držitel zvolit takový režim, který omezí, příp. vyloučí možnost použití na internetu). Výhodou tohoto řešení je, že na speciálním účtu je možné mít vždy pouze takové množství finančních prostředků, které uživatel potřebuje k provádění požadovaných transakcí, čímž může omezit potenciální výši škody (podobně jako u elektronické peněženky). - Zvažte nutnost používání platební karty v zahraničí, zejména v méně vyspělých zemích, kde můžete být vystaveni vyššímu bezpečnostnímu riziku než ve vyspělých zemích používajících vyšší bezpečnostní standardy234. Musíte-li platební kartu v zahraničí, zejména v méně vyspělých zemích s nižšími bezpečnostními standardy, použít, buďte maximálně opatrní. Nepoužíváte-li platební kartu v zahraničí, zvolte raději domácí platební kartu. Ta se sice z důvodu geograficky omezených možností použití může na první pohled zdát horší než karta mezinárodní, z pohledu podstupovaných bezpečnostních rizik ji však lze hodnotit pozitivně, a to právě z důvodu toho, že její možnosti použití, ale i zneužití jsou výrazně omezené. Význam tohoto opatření plně doceníme, uvědomíme-li si, že v dnešním globalizovaném světě jsou podvody v elektronickém světě často páchány mezinárodními organizovanými skupinami, jimž díky rozvoji informačních a telekomunikačních technologií nečiní problém zneužít odcizenou platební kartu či získané citlivé údaje na opačném konci světa v relativně krátkém časovém horizontu. - Využívejte možnost nastavení limitů pro prováděné transakce. Tyto limity mohou mít podobu maximální částky, kterou můžete za stanovené období (např. týden) použít, stanovený může být však i nižší maximální limit na jednu transakci, do limitu se mohou zahrnovat veškeré transakce uskutečněné platební kartou nebo mohou být nastaveny dílčí limity, např. na transakce na internetu, na výběr hotovosti, na platby u obchodníků (ne na internetu). Zvažte výši těchto limitů. Nižší hranice Vás sice může v určitých případech omezovat (zejména v situaci neočekávaných výdajů), ale v případě odcizení či ztráty platební karty 233
ShopCentrik: Elektronická peněženka. ShopCentrik [on-line]. [cit. 10. února 2012]. Dostupné na WWW: . 234 Na druhou stranu však v této oblasti existují výjimky, kdy vyspělé země, v nichž začaly být služby elektronického bankovnictví nabízeny dříve, používají někdy starší technologie s nižšími bezpečnostními standardy než méně vyspělé země, které s nabídkou těchto služeb přicházejí později a používají již novější technologie s vyššími bezpečnostními standardy.
148
a jejího následného zneužití bude tímto limitem (limity) omezen i útočník. Vhodným nastavením limitů lze předejít vysoké škodě a omezit tak výši podstupovaného bezpečnostního rizika. Vzhledem k tomu, že nastavený limit je zpravidla možné měnit (změna limitu dnes může být i dílem okamžiku, máte-li možnost ji provést sami např. prostřednictvím svého
internetového
bankovnictví),
doporučovala
bych
z důvodu
omezení
výše
podstupovaného bezpečnostního rizika používání spíše nižších limitů s tím, že pokud budete potřebovat provést transakci překračující stanovený limit, tak limit dočasně zvýšíte, transakci provedete a následně se opět vrátíte k nižšímu limitu. Speciální způsob využití těchto limitů představuje situace, kdy tento limit máte trvale nastavený na nulu a pouze v případě, že potřebujete kartu použít, limit zvýšíte a po provedení operace vrátíte opět na nulu (tento postup je blízký níže uvedenému zamykání platební karty). Omezit je možné i počet transakcí prováděných kartou za určité období. - Máte-li možnost, využívejte zamykání platební karty. Zamknutou platební kartu není možné použít k výběru z bankomatu, k platbě u obchodníka s on-line platebním terminálem, pro transakce na internetu atd. Změnu stavu platební karty – odemknutí/zamknutí – je dnes možné provést prostřednictvím internetového bankovnictví, odesláním speciální SMS zprávy z mobilního telefonu apod. Systém je možné nastavit rovněž tak, že jestliže kartu odemknete pro provedení transakce, tak se po jejím dokončení karta automaticky opět uzamkne, čímž omezíte riziko, že zapomenete kartu uzamknout. - Transakce uskutečněné platební kartou evidujte, uschovávejte si účtenky z obchodů, stvrzenky z bankomatů apod. pro případnou reklamaci. Tyto doklady po obdržení ihned zkontrolujte. Zvýšenou pozornost věnujte případům, kdy jste chtěli vybrané zboží a/nebo služby zaplatit obchodníkovi prostřednictvím platební karty, platba tímto způsobem ale z nějakého důvodu neproběhla a Vy jste následně platili v hotovosti. Takovou situaci byste si měli poznačit a uschovat doklad o zaplacení, abyste mohli případně reklamovat zaúčtování transakce prostřednictvím platební karty na vrub Vašeho účtu, když k platbě jejím prostřednictvím vůbec nedošlo. - Pravidelně kontrolujte stav a pohyby na účtu, k němuž byla platební karta vydána. Je-li to možné, nechte si zasílat SMS zprávy, příp. e-mailové zprávy o pohybech na daném účtu. Zjistíte-li jakékoliv nesrovnalosti (např. opakované stržení realizované platby, zaúčtování vyšší částky či zaúčtování platby, kterou jste jako jediná oprávněná osoba neuskutečnili), kontaktujte vydavatele a platby reklamujte. Můžete-li své tvrzení čímkoliv podložit, učiňte tak, celý proces vyřizování reklamace můžete významně urychlit. Zvažte přijetí dodatečných bezpečnostních opatření (omezení funkčnosti platební karty – např. zablokování 149
internetových transakcí, snížení nastavených limitů, dočasnou blokaci karty atd.). Myslete na to, že se nemusí jednat „pouze“ o chybu v zaúčtování, ale mohli jste se stát obětí útoku, a že maximální opatrnost je na místě. Pozornost věnujte rovněž stavu, v jakém jsou Vám výpisy doručovány, zda jsou doručovány v originálních nepoškozených obálkách, přichází včas, jednotlivě atd. - V případě ztráty či odcizení platební karty ihned kontaktujte vydavatele a požádejte o zablokování/stoplistaci235 Vaší platební karty, zabráníte tak jejímu zneužití, pokud k němu již nedošlo, příp. dalšímu zneužití. O blokaci platební karty můžete požádat telefonicky či osobně (nemůžete-li ztrátu či odcizení platební karty oznámit sami, může tak za Vás obvykle učinit někdo jiný, příbuzný, přítel, kolega z práce apod.) u vydavatele či na některé z jeho poboček, obrátit se však s touto žádostí zpravidla můžete např. i na další vydavatele, kteří jsou členy příslušné kartové asociace (např. VISA nebo MasterCard), a jejich pobočky. Se způsoby, jakými je možné blokaci Vaší platební karty provést, byste se měli seznámit již při obdržení platební karty. Nejjednodušší a nejrychlejší cestou je obvykle zablokování karty informováním vydavatele prostřednictvím telefonu, kdy využijete k těmto účelům zřízenou linku. Telefonní číslo na ni byste měli mít uložené v mobilním telefonu a nejlépe i napsané na více místech, abyste byli schopni v případě ztráty či krádeže platební karty neprodleně po zjištění kontaktovat vydavatele. Za nedostatečné z tohoto pohledu je možné považovat opatření, kdy číslo na vydavatele pro zablokování platební karty máte uvedeno pouze na platební kartě (obvykle bývá vydavatelem uvedeno na zadní straně platební karty), neboť dojde-li ke ztrátě či odcizení karty, ocitnete se najednou i bez potřebného telefonního čísla. Pokud jste od vydavatele obdrželi kromě samotné platební karty i kartičku s kontaktem na klientskou linku, která je Vám pro tyto případy k dispozici, pak tuto kartičku noste odděleně od platební karty. Minimalizujete tak riziko, že spolu s platební kartou přijdete i o tuto kartičku s potřebným telefonním číslem. Kontaktní údaje pro zablokování platebních karet jsou uvedeny v příloze č. 10 této práce. Kontaktujte policii (zejména v případě krádeže).236 235
Blokace a stoplistace (či zařazení na stoplist) bývají používány jako synonymum, je však možné mezi nimi spatřovat i rozdíl. V takovém případě je „blokace“ používána v souvislosti s elektronickými platebními kartami a „stoplistace“ v souvislosti s embosovanými platebními kartami, kdy je platební karta zařazena na tzv. stoplist. Resp. u elektronických platebních karet skutečně stačí jen jejich zablokování, zatímco u embosovaných platebních karet, které mohou být používány u obchodníků s imprinterem, kdy nedochází k elektronickému ověření karty, „pouhé“ zablokování karty nestačí. Není-li uvedeno jinak, je blokace a stoplistace v této práci používána jako synonymum. 236 Odpovědnost za autorizované a neautorizované platby provedené platební kartou je v České republice řešena v zákoně č. 284/2009 Sb., o platebním styku, v platném znění (zejména § 115 a následující) v návaznosti na Směrnici Evropského parlamentu a Rady 2007/64/ES ze dne 13. listopadu 2007, o platebních službách na vnitřním trhu, kterou se mění směrnice 97/7/ES, 2002/65/ES, 2005/60/ES a 2006/48/ES a zrušuje směrnice
150
- Zajímejte se o možnost pojištění vydávané, příp. již používané platební karty. Seznamte se s nabídkou pojištění a zvažte vhodnost jeho využití ve Vašem případě. Odpovídá-li některý z nabízených produktů Vašim požadavkům a možnostem, pojištění uzavřete237. Myslete ale na to, že přestože se sjednání pojištění obecně doporučuje, je třeba se vždy zajímat o konkrétní nastavení daného produktu, co a za jakých podmínek pojištění kryje, do jaké výše, zda je sjednávána spoluúčast, kolik bude pojistná ochrana stát atd. Pojištění platební karty může krýt neoprávněné transakce provedené ztracenou nebo odcizenou platební kartou (příp. i s využitím PINu), pojištěna může být spoluúčast klienta 150 EUR, ale např. i hotovost, kterou si klient prostřednictvím platební karty vybral či jeho osobní věci, k jejichž ztrátě nebo odcizení došlo současně se ztrátou nebo odcizením platební karty. Některé pojistné produkty kryjí úhradu poplatků za vydání nové platební karty, za pořízení nových osobních dokladů, ceny fotografií potřebných pro vydání těchto dokladů atd. Při výběru vhodného pojistného produktu zvažujte výši Vámi podstupovaných bezpečnostních rizik (možnou výši škody, k níž může dojít, k jakým účelům platební kartu používáte, resp. k jakým účelům je jí možné použít, kde kartu používáte, jak s ní nakládáte, výši nastavených limitů atd.). Nerozhodujte se pouze podle ceny za poskytovanou pojistnou ochranu. „Levné“ pojištění nemusí nabízet dostatečnou ochranu. Počítejte s tím, že odpovídající pojistná ochrana může být drahá. - Nechcete-li platební kartu dále používat nebo skončila-li její platnost, postupujte dle pokynů vydavatele. Pokud po Vás vydavatel nechce platební kartu vrátit, znehodnoťte ji (např. ji rozstříhejte). - Vzdělávejte se. I v tomto případě by mělo platit, že poučený uživatel, který se zajímá o platební karty a vše co s nimi souvisí, bude podstupovat menší bezpečnostní rizika, neboť si bude vědom zásad bezpečného používání platebních karet, bude si uvědomovat význam jednotlivých doporučení, bude obeznámen se základními typy podvodů, jejich průběhem, bude vědět, jak případně postupovat v jednotlivých situacích, kdy hrozí zneužití jeho platební karty atd. 97/5/ES. Zákon v současné době v zásadě chrání jen odpovědné uživatele platebních karet, kdy v případě zneužití jejich karty hradí ztrátu banka a klient nese nanejvýš spoluúčast do výše 150 EUR. Pokud však klient z hrubé nedbalosti poruší svou povinnost chránit kartu a její bezpečnostní prvky nebo kartu používá jinak, než je dohodnuto ve smlouvě s bankou, nese celou případnou škodu on sám (Ginter, J., Svoboda, J. Češi hazardují s platebními kartami, o peníze pak přicházejí nenávratně. Novinky.cz [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: ). § 120 odst. 1 zákona č. 284/2009 Sb., o platebním styku, v platném znění v této souvislosti navíc uvádí, že v případě, kdy uživatel tvrdí, že provedenou platební transakci neautorizoval nebo že platební transakce byla provedena nesprávně, je poskytovatel povinen doložit, že byl dodržen postup, který umožňuje ověřit, že byl dán platební příkaz, že tato platební transakce byla správně zaznamenána, zaúčtována, a že nebyla ovlivněna technickou poruchou nebo jinou závadou. 237 Pojištění platební karty může být nedílnou součástí vydávané karty (obvykle tomu tak je v případě prestižních platebních karet, např. zlatých).
151
4.3.2
Doporučení pro klienty používající systémy elektronické komunikace s bankou přispívající k omezení výše bezpečnostních rizik souvisejících s jejich používáním
Jak jsme se mohli přesvědčit v předcházejících částech práce, výše podstupovaných bezpečnostních rizik jednotlivých systémů elektronické komunikace klienta s bankou není ovlivňována pouze používanými technickými a softwarovými prostředky, ale významnou roli zde hrají samotní uživatelé (klienti), kteří dodržováním zásad bezpečného používání těchto služeb mohou nemalou měrou přispět k omezení výše podstupovaných bezpečnostních rizik. Z toho také plyne, že zajištění bezpečnosti, resp. omezení výše podstupovaných bezpečnostních rizik systémů elektronické komunikace klienta s bankou (dále také zkráceně jako služby elektronického bankovnictví nebo elektronické bankovnictví) není pouze záležitostí banky, jako poskytovatele těchto služeb, ale i klientů, uživatelů těchto služeb. Ti mohou k omezení výše podstupovaných bezpečnostních rizik přispět respektováním následujících doporučení: - Pečlivě vybírejte poskytovatele služeb elektronického bankovnictví. Služby elektronického bankovnictví využívejte pouze u důvěryhodných, seriózních bank. - Než vyjádříte s čímkoliv, co se přímo či nepřímo týká služeb elektronického bankovnictví, souhlas, obstarejte si potřebné informace z důvěryhodných zdrojů ke kvalifikovanému rozhodnutí a vše si důkladně promyslete a rozvažte. Pokud něčemu nerozumíte, zeptejte se důvěryhodné osoby, která se v dané problematice orientuje. Předejdete tak situacím, kdy vyjádříte souhlas s něčím, s čím ve skutečnosti nesouhlasíte, čemu nerozumíte, důsledky čehož si plně neuvědomujete apod. - Máte-li možnost volby úrovně zabezpečení, z důvodu bezpečnosti preferujte poskytování služeb s vyšším stupněm zabezpečení238. Zabezpečení služeb elektronického bankovnictví byste neměli podceňovat. Stejnou pozornost, jakou věnujete zajištění např. svého bytu, chalupy či auta, byste měli věnovat zajištění finančních prostředků uložených v bance. - Pečlivě si přečtěte smlouvu o poskytování služeb elektronického bankovnictví, obchodní podmínky a další dokumenty vztahující se k poskytování těchto služeb, a to před podpisem smlouvy. Dochází-li následně k jejich změnám (např. formou aktualizace obchodních podmínek, uzavřením dodatku k již existující smlouvě), vždy se s nimi důsledně seznamte. - Služby elektronického bankovnictví využívejte v souladu s podmínkami stanovenými bankou.
238
Např. autorizaci zadaného pokynu formou zadání kódu z tabulky autorizačních čísel TAN (Transaction Authentication Number), prostřednictvím jednorázového kódu zaslaného klientovi bankou SMS zprávou, jehož platnost může být i časově omezená, či dokonce čipové karty s klientským certifikátem. Pro zadávání přihlašovacích údajů lze např. využít grafické (elektronické) klávesnice umístěné na obrazovce, které znemožňují potenciálnímu útočníkovi prostřednictvím speciálního softwaru získat Vaše přihlašovací údaje.
152
- Nevěřte všem informacím o elektronickém bankovnictví a jeho zabezpečení. Prověřujte původ zprávy, její aktuálnost a pravdivost. V případě jakýchkoliv pochybností neváhejte kontaktovat svoji banku. - Pamatujte na to, že ten kdo s Vámi komunikuje, nemusí být ve skutečnosti tím, za koho se vydává a za koho ho Vy sami považujete. Buďte proto vždy opatrní. - Pro komunikaci s bankou prostřednictvím služeb elektronického bankovnictví používejte pouze důvěryhodný způsob přístupu přes originální webové stránky banky (nepoužívejte odkazy na jiných webových stránkách, v e-mailových zprávách, v SMS zprávách atd.), telefonní číslo uvedené bankou při sjednání služby telefonního bankovnictví (nepoužívejte telefonní číslo, které jste obdrželi v SMS zprávě, které Vám někdo sdělil v telefonickém rozhovoru atd.) apod. - Mějte přehled o službách elektronického bankovnictví, které máte sjednány. Vědět byste měli, jaké služby máte sjednány, za jakých podmínek, jakým způsobem v daném případě probíhá komunikace klienta s bankou, jak máte v jednotlivých situacích postupovat, jakým způsobem je zajištěna bezpečnost komunikace, příp. jaká další bezpečnostní opatření by u nich bylo možné využívat atd. - Pečlivě uchovávejte dokumenty, které se vztahují k Vámi využívaným službám elektronického bankovnictví (např. podmínky jejich používání, smlouvy s bankou, doplňky smluv). Obsahují-li tyto dokumenty citlivé údaje, pak s nimi také tak nakládejte. Myslete na to, že se jedná o údaje, jejichž znalost může útočníkovi stačit k uskutečnění podvodu. Nenechávejte je tedy volně ležet na místech, kde se k nim může dostat neoprávněná osoba, na místech, kde byste nenechali ležet finanční prostředky, k nimž je možné se se znalostí těchto citlivých údajů dostat. Dokumenty pravidelně kontrolujte. - Chcete-li vyhodit dokumenty vztahující se k Vámi sjednaným službám elektronického bankovnictví obsahující citlivé údaje (např. z důvodu, že je již nebude potřebovat, nejsou aktuální, nebo z důvodu bezpečnosti), pak se jich zbavujte tak, aby se k citlivým údajům nedostala neoprávněná osoba. Toto pravidlo platí jak pro fyzické, tak i elektronické dokumenty. Nosiče citlivých dat roztrhejte, skartujte, spalte, rozlámejte apod. - Pozornost věnujte zásilkám obsahujícím citlivé údaje (např. Vaše identifikační číslo, heslo). Zásilky by měly být vždy neporušené (bez ohledu na to, zda si je vyzvedáváte přímo v bance nebo jsou Vám doručovány např. poštou). Je-li zásilka porušena, žádejte o nápravu (dle obsahu zásilky např. o vydání nových přístupových údajů). - Přihlašovací údaje (identifikační čísla, hesla apod.) do elektronického bankovnictví si zapamatujte. Z důvodu bezpečnosti byste je neměli mít nikde napsané, natož pak všechny 153
u sebe (např. v diáři, mobilním telefonu) s uvedením, kde je používáte, příp. pro jaké účely. Pokud máte problémy s jejich zapamatováním, vytvořte si mnemotechnickou pomůcku, případně, je-li to možné, změňte si přihlašovací údaje tak, aby se Vám lépe pamatovaly. Při změně přihlašovacích údajů dodržujte pravidla pro tvorbu bezpečných hesel, PINů apod. Pokud se Vám přes výše uvedené nedaří přihlašovací údaje zapamatovat a rozhodli jste se, že, přestože to bude představovat zvýšené bezpečnostní riziko, údaje si poznamenáte, myslete na to, že i v této situaci byste měli usilovat o snížení výše podstupovaného bezpečnostního rizika: Přihlašovací údaje nenechávejte někde jen tak volně ležet, resp. jejich nosič (diář, mobilní telefon apod.), ale zajistěte, aby se k těmto údajům nemohla dostat jiná, neoprávněná osoba. Doporučit lze zašifrování údajů, uvedení jejich částí na více místech apod. Přesto byste neměli zapomínat na to, že zaznamenáním těchto údajů porušujete jednu ze zásad bezpečného používání elektronického bankovnictví, byť se riziko, kterému se vědomě vystavujete, snažíte zmírnit. - Můžete-li si zvolit své přihlašovací údaje, řiďte se pravidly, která zaručují vyšší úroveň bezpečnosti (viz např. pravidla pro tvorbu PINů u platebních karet a pro tvorbu hesel u zásad bezpečného používání internetu, která jsou uvedena výše). - Nepoužívejte stejné přihlašovací údaje (či jejich části) pro přihlašování do různých systémů elektronického bankovnictví. Přihlašovací údaje pro tyto účely by měly být jedinečné a neměly by se shodovat ani s dalšími Vámi používanými přihlašovacími údaji (např. do e-mailové schránky, na sociální síť). Útočníkovi by v takovém případě totiž stačilo znát pouze jednu „sadu“ přihlašovacích údajů, které by mohl zneužít v různých systémech. - Přihlašovací údaje pravidelně měňte. Změnu provádějte minimálně tak často, jak Vás k ní vyzývá Vaše banka. - Přihlašovací údaje nikdy nikomu nesdělujte. Toto pravidlo dodržujte důsledně, výjimky ve vlastním zájmu nedělejte, a to ani v případě rodinných příslušníků či blízkých přátel. Nikdy v této souvislosti také nereagujte na e-mailové zprávy, SMS zprávy či telefonické výzvy od banky, ty tímto způsobem s klienty nekomunikují. - Kromě přihlašovacích údajů chraňte i další údaje o svém účtu, využívaných službách elektronického bankovnictví i o sobě samých. Zvažujte, jaké informace, komu, kde a za jakým účelem poskytujete, jak s nimi bude nakládáno, jak budou chráněny, zda je jejich uvedení nutné, co Vám případně při jejich získání neoprávněnou osobou hrozí atd. - Přihlašovací údaje do elektronického bankovnictví nikdy neukládejte na zařízení, prostřednictvím kterého s bankou komunikujete, za účelem jejich následného využití k automatickému přihlášení do daného systému. 154
- Na zařízení, které používáte ke komunikaci s bankou, instalujte pouze důvěryhodný software z důvěryhodných zdrojů a pravidelně ho aktualizujte (příp. je-li to možné, zvolte možnost automatických aktualizací). Při výběru softwaru věnujte pozornost otázce úrovně jeho zabezpečení. Zařízení chraňte před instalací softwaru, který by mohl představovat hrozbu pro elektronické bankovnictví. Pokud takový software v zařízení objevíte, odstraňte ho. - Používejte obezřetně Bluetooth. Zapnuté ho mějte pouze v době, kdy ho opravdu používáte a pouze pro komunikaci s důvěryhodným zařízením. - Pro komunikaci s bankou v rámci služeb elektronického bankovnictví nepoužívejte veřejná zařízení (např. počítač v knihovně, ve škole, na nádraží, v internetové kavárně). - Před přihlášením do systému elektronického bankovnictví zkontrolujte, zda je dané zařízení a místo pro komunikaci s bankou bezpečné. Prověřte, zda zařízení nebylo upraveno, především zda na něj či do jeho blízkosti nebylo instalováno přídavné zařízení, které by umožnilo útočníkovi získat citlivé údaje. Máte-li jakékoliv pochybnosti o bezpečnosti komunikace, raději se do systému nepřihlašujte a zvolte bezpečnější místo či způsob provedení požadované operace. - Na komunikaci s bankou prostřednictvím služeb elektronického bankovnictví se plně soustřeďte, nenechte nic a nikoho odvést Vaši pozornost. Pokud se nemůžete prováděné operaci plně věnovat, jste vyrušováni apod., operaci stornujte a její provedení odložte na pozdější dobu, příp. i na jiné místo. - Při komunikaci s bankou v rámci služeb elektronického bankovnictví se řiďte pouze instrukcemi uvedenými na obrazovce, displeji, sdělenými operátorem v případě telefonního bankovnictví apod. - Pokud se Vám zdá, že komunikace s bankou v rámci využívané služby elektronického bankovnictví neprobíhá tak, jako obvykle, nebo probíhá jinak, než by měla, operaci stornujte a znovu ji do vysvětlení neprovádějte. O situaci informujte banku. - Jste-li jedinou oprávněnou osobou, pak s bankou v rámci služeb elektronického bankovnictví komunikujte výhradně Vy sami. Dbejte na to, aby se ve Vaší přítomnosti v danou chvíli nezdržovala jiná osoba. Nežádejte nikoho o pomoc. Nabízí-li Vám ji někdo, odmítněte ji. - Při zadávání či sdělování přihlašovacích či jiných citlivých údajů myslete na to, že je třeba zajistit, aby tyto údaje nemohl někdo odpozorovat, odposlechnout apod. - Při provádění transakce prostřednictvím některého ze systému elektronického bankovnictví zkontrolujte, zda jsou vyplněny všechny potřebné údaje a zda jsou vyplněny správně (z tohoto důvodu jsou dle mého názoru vhodnější systémy, které uživateli umožňují kontrolu zrakem, 155
tj. např. internetové bankovnictví, než ty, u nichž tato kontrola možná není, např. telefonní bankovnictví). - Jste-li přihlášeni do systému elektronické komunikace s bankou, nevzdalujte se od zařízení, prostřednictvím kterého s bankou komunikujete, a mějte ho plně pod kontrolou. - Po ukončení komunikace s bankou prostřednictvím služby elektronického bankovnictví se nezapomeňte ze systému řádně odhlásit, příp. i zavřít či vypnout danou aplikaci (dle způsobu komunikace). - Ke komunikaci s bankou v rámci elektronického bankovnictví používejte zařízení, které máte pod kontrolou. Omezte okruh osob, které se k němu mohou dostat. Snažte se minimalizovat riziko jeho ztráty a krádeže. Použití daného zařízení, je-li to možné, podmiňte zadáním správných přihlašovacích údajů. Používá-li zařízení více osob, měl by mít každý z těchto uživatelů zřízený svůj vlastní účet, který bude na daném zařízení používat a jehož použití bude podmíněno zadáním příslušných přihlašovacích údajů, které budou známy pouze danému uživateli. Jste-li na daném zařízení přihlášeni a nacházíte-li se na místě, kde není možné vyloučit přítomnost jiné osoby, která by se mohla pokusit Vašeho přihlášení využít k získání (citlivých) informací, k instalaci „závadného“ softwaru apod., od zařízení se bez odhlášení, uzamknutí či jeho vypnutí nevzdalujte. - Je-li možné na zařízení, které používáte ke komunikaci s bankou, vytvořit účty s různou úrovní oprávnění, pro běžné, každodenní používání preferujte z důvodu zajištění vyšší bezpečnosti používání účtů s nižšími oprávněními (analogicky viz zásady běžného používání internetu a účet uživatele vs. správce). - Probíhá-li komunikace s bankou s využitím internetu, dodržujte výše uvedené zásady jeho bezpečného používání. - Můžete-li ovlivnit, jaké operace bude možné prostřednictvím Vašeho elektronického bankovnictví provádět, zamyslete se, jaké operace budete chtít tímto způsobem provádět Vy, ostatní operace „zablokujte“. - Využívejte možnost nastavení limitů pro transakce. Tyto limity mohou mít podobu maximální částky, kterou můžete za stanovené období (např. týden) použít, stanovený může být však i nižší maximální limit na jednu transakci atd. Zvažte výši těchto limitů. Z důvodu bezpečnosti preferujte raději nastavení nižších limitů s tím, že budete-li potřebovat provést transakci či transakce překračující stanovený limit, limit dočasně zvýšíte a po provedení transakce (transakcí) se opět vrátíte k limitu nižšímu. Speciální způsob využití limitů představuje situace, kdy je limit dlouhodobě nastavený na nule a pouze tehdy, když chcete realizovat určitý převod, limit krátkodobě zvýšíte dle 156
potřeby. K omezení výše podstupovaného rizika přispívá také nastavení limitu, od kterého je třeba autorizovat předávaný pokyn bance způsobem zajišťujícím vyšší úroveň bezpečnosti (např. prostřednictvím čipové karty s klientským certifikátem). - Transakce uskutečněné prostřednictvím služeb elektronického bankovnictví pečlivě evidujte a porovnávejte je s výpisy z účtu. V případě zjištěných nesrovnalostí kontaktujte banku. - Pravidelně kontrolujte stav a pohyby na účtu, na který máte služby elektronického bankovnictví navázané. Je-li to možné, nechte si zasílat SMS zprávy či e-mailové zprávy o pohybech na daném účtu. Zjistíte-li nesrovnalosti (např. opakované zaúčtování jednoho a toho samého převodu, zaúčtování vyšší částky či zaúčtování platby, kterou jste jako jediná oprávněná osoba neuskutečnili), kontaktujte banku a zjištěnou skutečnost reklamujte. Můžete-li své tvrzení čímkoliv podložit, učiňte tak, celý proces vyřizování reklamace můžete urychlit. Zvažte přijetí dodatečných bezpečnostních opatření (snížení nastavených limitů, dočasné omezení služeb elektronického bankovnictví, změnu přihlašovacích údajů, zablokování účtu apod.). Uvědomte si, že se nemusí jednat „pouze“ o chybu v zaúčtování, ale že jste se mohli stát obětí útoku, maximální opatrnost je proto na místě. Pozornost věnujte stavu, v jakém jsou Vám doručovány výpisy, kontrolujte, zda jsou doručovány v originálních a nepoškozených obálkách, přichází včas, jednotlivě atd. - Máte-li podezření, že došlo k podvodnému jednání, stali jste se cílem útoku a mohlo by dojít k zneužití Vašich údajů a Vašeho elektronického bankovnictví, nenechávejte si toto podezření pro sebe, situaci nepodceňujte a neprodleně jednejte. Kontaktujte banku, případně policii (dle charakteru případu). Přijata by měla být opatření, která zajistí bezpečnost Vámi používaných služeb elektronického bankovnictví (tj. např. změna přihlašovacích údajů či změna způsobu zabezpečení). - Došlo-li ke ztrátě či odcizení zařízení, prostřednictvím kterého jste komunikovali s bankou v rámci využívání služeb elektronického bankovnictví, oznamte tuto skutečnost co nejdříve bance a dohodněte se na dalším postupu a přijatých opatřeních ke snížení výše podstupovaných bezpečnostních rizik. - Nepoužíváte-li služby elektronického bankovnictví, které máte zřízené, nebo nechcete-li je již dále používat, domluvte se v bance na ukončení poskytování těchto služeb, jejich deaktivaci, zablokování apod. - Sledujte aktuální informace o elektronickém bankovnictví a jeho bezpečnosti na webových stránkách Vaší banky, bankovních asociací, dohledových orgánů apod. - Vzdělávejte se. I Vy sami, svými znalostmi a chováním, můžete přispět ke snížení výše podstupovaného bezpečnostního rizika. 157
5 Znalosti, dovednosti, chování, postoje a zkušenosti spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví v České republice Poslední, pátá kapitola této práce bude věnována znalostem, dovednostem, chování, postojům a zkušenostem spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví v České republice, se zaměřením na bezpečnostní rizika související s nakupováním na internetu a s používáním služeb elektronického bankovnictví, a jejich významu. Vzhledem k učiněnému závěru, že výši podstupovaných bezpečnostních rizik v oblasti elektronického obchodu a elektronického bankovnictví ovlivňují nejen samy elektronické obchody a banky poskytující služby elektronického bankovnictví (jejich provozovatelé, zaměstnanci, spolupracující subjekty apod.), ale i sami spotřebitelé/uživatelé, je na místě si položit otázku, jak jsou na tom tito spotřebitelé/uživatelé se znalostmi a dovednostmi v oblasti nakupování na internetu a služeb elektronického bankovnictví, jaké chování je pro ně typické a jaké jsou jejich postoje a zkušenosti v této oblasti. Výši podstupovaných bezpečnostních rizik v elektronickém světě ovlivňuje např. to, jak se spotřebitel/uživatel orientuje ve světě financí, produktů a služeb nabízených na finančním trhu, cen a daní, zda je schopný provádět jednotlivé numerické úkony, vyhledávat, používat a vyhodnocovat relevantní informace, zda ví, kam se může v případě vzniklých problémů obrátit s žádostí o pomoc, zda je vědom si svých práv a povinností, jakož i práv a povinností jiných subjektů, zda se orientuje v oblasti informačních a komunikačních technologií, vč. jejich hardwarového a softwarového vybavení atd. Z toho plyne, že ke snížení bezpečnostních
rizik
v elektronickém
světě
přispívají
znalosti
a
dovednosti
spotřebitelů/uživatelů v oblasti finanční, numerické, informační, právní, bezpečnostní a počítačové, resp. digitální. Těmto znalostem a dovednostem, jakož i chování, postojům a zkušenostem spotřebitelů/uživatelů v elektronickém světě bude věnována pozornost v následujícím textu. Vzhledem k zaměření práce na bezpečnostní rizika elektronického obchodu a elektronického bankovnictví v České republice bude předmětem našeho zájmu primárně oblast nakupování na internetu a služeb elektronického bankovnictví v České republice. Dříve, než budou prezentovány výsledky výzkumu znalostí, dovedností, chování, postojů a zkušeností spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví
realizovaného
v rámci
disertační 158
práce,
seznámíme
se
s
výsledky
reprezentativních výzkumů v oblasti bezpečnostní a finanční gramotnosti občanů České republiky, tj. gramotností, které úzce souvisí s gramotností spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví, resp. které je možné považovat za dílčí části této gramotnosti.
5.1 Výsledky výzkumů bezpečnostní a finanční gramotnosti občanů České republiky Základní představu o úrovni bezpečnostní gramotnosti občanů České republiky si můžeme učinit díky výsledkům evropské studie bezpečnostní gramotnosti, které dne 7. února 2012 zveřejnil
Microsoft239.
Průzkumu
se
zúčastnilo
jedenáct
tisíc
respondentů
a vyplynulo z něj, že základní informace o počítačové bezpečnosti má sice 82 % Evropanů, ale že pouze 4 % Evropanů se dokáží bránit pokročilým hrozbám, jako je např. ztráta on-line identity. Výsledky Čechů se od výsledků Evropanů nijak výrazně neliší. Základní informace o počítačové bezpečnosti má 90 % Čechů a 9 % českých respondentů se dokáže bránit pokročilým hrozbám. To znamená, že na jednu stranu je možné hodnotit úroveň bezpečnostní gramotnosti Čechů pozitivně, zejména zaměříme-li se na základní znalosti v oblasti počítačové bezpečnosti, na druhou stranu, zacílíme-li pozornost na procento respondentů, kteří se dokáží bránit pokročilým hrozbám, jsou výsledky Čechů (jakož i Evropanů) podle mého názoru alarmující a není možné se ukolébávat tím, že jsme dopadli lépe než jiní. Za zmínku stojí výsledky studie členěné podle věku a pohlaví. Ze studie plyne, že v oblasti znalostí bezpečného používání počítače jsou nejohroženější skupinou uživatelé ve věkové kategorii 45 až 59 let. V oblasti zabezpečení osobních dat na internetu vykazuje dobré nebo výborné znalosti 95 % mladých do 24 let, ale pouze 70 % uživatelů starších 45 let. Co se týče pohlaví, základní znalosti v oblasti počítačové bezpečnosti chybí v České republice pouze 4 % mužů, ale celým 20 % žen. Největší slabiny mají čeští, stejně jako evropští uživatelé internetu v ochraně své osobnosti a identity na internetu. Pouze polovina všech respondentů se snaží omezit objem informací, které jsou o jejich osobě dostupné on-line, v České republice tak činí tři čtvrtiny respondentů.240
239
Microsoft: Češi a Slováci patří v základní bezpečnostní gramotnosti ke špičce v Evropě. Microsoft [on-line]. [cit. 16. února 2012]. Dostupné na WWW: . 240 Microsoft: Češi a Slováci patří v základní bezpečnostní gramotnosti ke špičce v Evropě. Microsoft [on-line]. [cit. 16. února 2012]. Dostupné na WWW: .
159
Co se týče konkrétních zjištění ovlivňujících výši podstupovaných bezpečnostních rizik v elektronickém světě, lze vybrat následující: -
77 % českých respondentů využívá aktualizace softwaru (evropský průměr je 57 %)
-
85 % českých respondentů používá antivirový software (evropský průměr je 85 %)
-
71 % českých respondentů používá silná hesla (evropský průměr je 61 %)
-
26 % českých respondentů používá různá hesla pro každou webovou službu (evropský průměr je 31 %)
-
74 % českých respondentů používá firewall na osobním počítači (evropský průměr je 50 %)
-
3 % českých respondentů nepoužívá žádnou metodu ochrany před on-line riziky (evropský průměr je 5 %).241
Přestože výsledky studie jsou pro nás při srovnání českých uživatelů s evropským průměrem většinou pozitivní, je třeba mít neustále na zřeteli, že prostor pro zlepšení je v mnoha ohledech značný. Úroveň finanční gramotnosti občanů České republiky si můžeme přiblížit prostřednictvím exkluzivního výzkumu Finanční gramotnosti obyvatel ČR pro Ministerstvo financí ČR a Českou národní banku uskutečněného v roce 2010 (květen – říjen), který realizovala společnost STEM/MARK a jehož závěrečná zpráva je k dispozici na webových stránkách Ministerstva
financí
ČR
(http://www.mfcr.cz/cps/rde/xbcr/mfcr/EXT_-
_PPT_zaverecna_zprava_mereni_FG_-_plne_zneni.pdf). Primárním cílem projektu bylo zmapovat finanční gramotnost dospělé populace České republiky na základě objektivních znalostí v oblasti financí, zjistit, nakolik lidé dokáží tyto znalosti využívat v běžné praxi, a zmapovat postoje a chování české populace v souvislosti s rodinnými financemi, úsporami a zajištěním.242 Vzhledem k zaměření této práce na bezpečnostní rizika elektronického obchodu a elektronického bankovnictví bychom měli podle mého názoru zmínit především následující zjištění. Rozdíl mezi debetní a kreditní kartou zná podle svého vyjádření 62 % lidí, kteří 241
Microsoft: Češi a Slováci patří v základní bezpečnostní gramotnosti ke špičce v Evropě. Microsoft [on-line]. [cit. 16. února 2012]. Dostupné na WWW: . 242 STEM/MARK: Finanční gramotnost v ČR. Ministerstvo financí ČR [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: .
160
se setkali s oběma pojmy, ale ve skutečnosti následně správně odpovědělo pouze 57 % z těch, kteří uvedli, že rozdíl mezi debetní a kreditní kartou znají (přičemž kreditní kartu v době realizace výzkumu používalo 24 % lidí (z nich 57 % na běžné nákupy)). Pokud bychom zúžili okruh respondentů a zaměřili se pouze na ty, kteří měli kreditní kartu a kteří slyšeli jak o debetní, tak i kreditní kartě, tak podíl osob, které uvedly, že znají rozdíl mezi debetní a kreditní kartou nepatrně vzroste, a to na 65 %. Správně z nich však odpovědělo pouze 47 %. Za rizika spojená s držbou a používáním platební karty respondenti nejčastěji považují riziko zneužití platební karty (43 %), ztráty (39 %) a krádeže (33 %). V případě zcizení by 61 % osob kontaktovalo banku či pobočku, 47 % by kartu nechalo zablokovat. Internetové bankovnictví používalo 33 % oslovených, kteří za riziko s ním spojené nejčastěji považují hackery (40 %).243 Výsledky výzkumu podle mého názoru dokazují, že úroveň finanční gramotnosti Čechů není uspokojující a že značné mezery v tomto případě existují i v základních znalostech a dovednostech.
5.2 Znalosti, dovednosti, chování, postoje a zkušenosti spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví v České republice – realizovaný výzkum V této části práce budou prezentovány výsledky vlastního výzkumu znalostí, dovedností, chování, postojů a zkušeností spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví v České republice. Cílem výzkumu bylo zmapovat znalosti, dovednosti, chování, postoje a zkušenosti vybrané skupiny spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví v České republice, včetně jejich gramotnosti v oblasti nakupování na internetu a služeb elektronického bankovnictví, se zaměřením na bezpečnostní rizika související s nakupováním na internetu a s používáním služeb elektronického bankovnictví. Gramotnost pro účely této práce je pojímána jako kvantitativní proměnná, jejíž hodnoty jsou na základě provedeného dotazníkového šetření odvozovány od znalostí, dovedností a chování spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví se zaměřením na bezpečnostní rizika související s nakupováním na internetu a s používáním služeb elektronického bankovnictví
243
STEM/MARK: Finanční gramotnost v ČR. Ministerstvo financí ČR [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: .
161
(podrobněji k vymezení gramotnosti viz část 5.2.2).244 Cílovou skupinou byly osoby studující na Ekonomicko-správní fakultě Masarykovy univerzity (primárně byly osloveny osoby, které měly zapsaný některý z následujících předmětů: Osobní finance, Základy financí, Finanční trhy, Finanční investování a Příprava na zkoušky odborné způsobilosti na finančních trzích). Výzkum měl kvantitativní charakter. Sběr dat probíhal elektronickou cestou prostřednictvím dotazníku (tzv. odpovědníku) vytvořeného v rámci Informačního systému Masarykovy univerzity v období jarního semestru akademického roku 2011/2012 a začátku podzimního semestru akademického roku 2012/2013. Odpovědník obsahuje celkem 44 uzavřených otázek, u nichž měli respondenti označit jednu odpověď (nebylo-li uvedeno jinak), která se nejvíce blíží skutečnosti, jejich názoru či je podle nich správná (v závislosti na typu otázky). Tři otázky mají charakter identifikační (otázka č. 1 – 3). Pokyny k vyplnění odpovědníku a sadu otázek obsahuje příloha č. 11. Celkový počet osob, které odpovědník zodpověděly, je 1095. Celkový počet uložených odpovědníků je 1013, přičemž 910 těchto odpovědníků náleží osobám z nadefinované cílové skupiny, jejichž odpovědi byly následně zpracovány. Strukturu vzorku s ohledem na proměnné pohlaví, věk a nejvyšší dosažené vzdělání zachycuje graf č. 5. 48 % respondentů byli muži, 52 % tvořily ženy. Z hlediska věku tvořila 80 % respondentů věková skupina 15 – 24 let, 15 % 25 – 34 let, 4 % 35 – 44 let a 1 % věková skupina 45 – 54 let. Co se týče nejvyššího dosaženého vzdělání, uvedlo 80 % respondentů střední s maturitou a 20 % vzdělání vysokoškolské245. S ohledem na vymezenou cílovou skupinu je třeba upozornit na to, že formulované závěry je možné zobecnit na populaci osob studujících na vysokých školách ekonomického zaměření v České republice, pro které lze považovat zkoumaný vzorek za reprezentativní, nikoliv však na populaci všech občanů České republiky. V následujícím textu budou postupně prezentovány výsledky provedeného výzkumu. Nejprve budou vyhodnoceny jednotlivé otázky dotazníku (s výjimkou otázek č. 1 – 3, které mají identifikační charakter a slouží k vyhodnocení struktury vzorku respondentů) pomocí metod 244
Práce si neklade za cíl vytvořit komplexní metodiku pro hodnocení úrovně gramotnosti v oblasti nakupování na internetu a služeb elektronického bankovnictví. 245 Není-li uvedeno jinak, bylo při zpracovávání dat z dotazníku pro jeho vyhodnocení zvoleno relativní vyjádření v procentech, přičemž výsledné hodnoty jsou uváděny zaokrouhlené na celá procenta.
162
popisné statistiky. Následně bude s využitím metod popisné statistiky vyhodnocena úroveň gramotnosti respondentů v oblasti nakupování na internetu a služeb elektronického bankovnictví. Závěr podkapitoly bude věnován ověření formulovaných hypotéz č. 1 – 10.246 Graf č. 5: Struktura vzorku Základ: Všichni respondenti, n = 910 Pohlaví muž
48%
žena
52%
0%
20%
40%
60%
80%
100%
Věk 15 – 24
80%
25 – 34
15%
35 – 44
4%
45 – 54
1%
55 – 64
0%
65+
0% 0%
20%
40%
60%
80%
100%
Vzdělání základní
0%
střední bez maturity
0%
střední s maturitou
80%
vysokoškolské
20% 0%
20%
40%
60%
80%
100%
Zdroj: vlastní výzkum
246
Pro zpracování dat a jejich vyhodnocení (vč. ověření formulovaných hypotéz) byl využit software Microsoft Office Excel a STATISTICA.
163
5.2.1
Popisné statistiky vztahující se k jednotlivým otázkám dotazníku
Otázky v první části dotazníku byly zaměřeny na nakupování na internetu, resp. jejich cílem bylo zmapovat znalosti, dovednosti, chování, postoje a zkušenosti respondentů v této oblasti. Jak můžeme vidět v grafu č. 6, zboží a/nebo službu přes internet si již objednala převážná většina respondentů (97 %). Ti, kteří uvedli, že zboží a/nebo služby na internetu nakupují, tak činí nejčastěji alespoň jedenkrát za čtvrt roku (35 % respondentů, kteří uvedli, že na internetu nakupují). Na druhém místě z pohledu počtu respondentů, kteří uvedli, že na internetu nakupují, se umístila frekvence nakupování na internetu alespoň jedenkrát za měsíc (27 % respondentů, kteří uvedli, že na internetu nakupují), a na třetím místě s 20 % respondentů, kteří uvedli, že na internetu nakupují, frekvence nakupování alespoň jedenkrát za půl roku. Respondenti, kteří na internetu nakupují méně často než jedenkrát za půl roku, činí 14 %. Nejméně respondentů ze zkoumaného vzorku uvádí, že na internetu nakupují alespoň jedenkrát za týden (pouze 3 % respondentů, kteří uvedli, že na internetu nakupují). Graf č. 6: Frekvence nákupů na internetu – otázka č. 4 Objednal(a) jste si již zboží a/nebo službu přes internet? Základ: Všichni respondenti, n = 910 ne 3%
ano 97%
Jak často na internetu nakupujete? Základ: Respondenti, kteří uvedli, že na internetu nakupují, n = 886 alespoň jedenkrát za týden
3%
alespoň jedenkrát za měsíc
27%
alespoň jedenkrát za čtvrt roku
35%
alespoň jedenkrát za půl roku
20%
méně často než jedenkrát za půl roku
14% 0%
10%
20%
30%
Zdroj: vlastní výzkum
164
40%
S problémem při nákupu zboží a/nebo služeb na internetu se dosud nesetkaly přibližně dvě třetiny (66 %) respondentů, kteří uvedli, že na internetu nakupují. 33 % těchto respondentů se již s problémem při nákupu na internetu setkalo, přičemž 87 % z nich vzniklou situaci řešilo (71 % bylo s výsledkem nakonec spokojeno, 16 % nikoliv). Další otázka (otázka č. 6) zjišťovala, zda respondenti považují nákup zboží v internetovém obchodě za méně bezpečný než v kamenném obchodě či nikoliv. Kladně na tuto otázku odpovědělo 54 % všech respondentů. 37 % respondentů s tímto tvrzením nesouhlasí. Podrobněji viz graf č. 7 a 8. Ze získaných dat rovněž plyne, že obavy o zajištění bezpečnosti již někdy od nákupu zboží a/nebo služeb přes internet odradily 50 % respondentů. 45 % osob v této souvislosti odpovědělo záporně a 4 % dotázaných neví, resp. nejsou schopna pravdivost tohoto tvrzení posoudit. Podrobněji viz graf č. 9. Graf č. 7: Problémy při nákupu zboží a/nebo služeb na internetu – otázka č. 5 Při nákupu zboží a/nebo služeb na internetu jsem se s žádnými problémy zatím nesetkal(a) Základ: Respondenti, kteří uvedli, že na internetu nakupují, n = 886 nevím, nedokážu posoudit 0%
bez odpovědi 0%
ne 33% ano 66%
Problém při nákupu na internetu mne již potkal Základ: Respondenti, kteří uvedli, že na internetu nakupují a že se již setkali při nákupu s problémem, n = 292 vzniklou situaci jsem neřešil(a)
13%
vzniklou situaci jsem řešil(a) a s výsledkem jsem byl(a) nakonec spokojen(a) vzniklou situaci jsem řešil(a) a s výsledkem jsem nebyl(a) nakonec spokojen(a)
71%
16% 0% 10% 20% 30% 40% 50% 60% 70% 80%
Zdroj: vlastní výzkum
165
Graf č. 8: Internetový vs. kamenný obchod – otázka č. 6 Nákup zboží v internetovém obchodě považuji za méně bezpečný než v kamenném obchodě Základ: Všichni respondenti, n = 910 nevím, nejsem schopný(á) posoudit 9%
bez odpovědi 0%
ano 54%
ne 37%
Zdroj: vlastní výzkum
Graf č. 9: Upuštění od nákupu přes internet z důvodu obav o zajištění bezpečnosti – otázka č. 7 Odradily Vás již někdy obavy o zajištění bezpečnosti od nákupu zboží a/nebo služeb přes internet? Základ: Všichni respondenti, n = 910 nevím, nejsem schopný(á) posoudit 4% ne 45%
bez odpovědi 1%
ano 50%
Zdroj: vlastní výzkum
Co se týče bezpečnosti nakupování na internetu a možnosti omezení výše podstupovaných bezpečnostních rizik, 65 % respondentů uvádí, že se o tuto oblast zajímá (vs. 34 %, kteří s tímto tvrzením nesouhlasí). 77 % respondentů je přesvědčeno, že zná doporučení pro uživatele přispívající ke snížení výše bezpečnostních rizik souvisejících s nakupováním na internetu (79 % z nich se je při nákupech snaží co nejvíce dodržovat a 19 % z nich přiznává, že přestože tato doporučení zná, mnohdy je při nákupech nedodržuje). K neznalosti těchto doporučení se hlásí 23 % respondentů, přičemž 87 % z nich (20 % všech respondentů) tato doporučení dle svého vyjádření nezná, přestože na internetu nakupuje. Přitom pokud jde o roli spotřebitele, je 72 % respondentů přesvědčeno, že spotřebitel může přispět ke snížení 166
výše bezpečnostních rizik souvisejících s nakupováním na internetu. Pouze 6 % respondentů zastává názor, že tomu tak není. Podrobněji viz graf č. 10 – 12. Graf č. 10: Zájem o bezpečnost nakupování na internetu – otázka č. 8 O bezpečnost nakupování na internetu a možnosti omezení výše podstupovaných bezpečnostních rizik se zajímám Základ: Všichni respondenti, n = 910 bez odpovědi 0% ne 34%
ano 65%
Zdroj: vlastní výzkum
Graf č. 11: Vlastní hodnocení znalostí a chování respondenta v oblasti nakupování na internetu – otázka č. 9 Doporučení pro uživatele přispívající ke snížení výše bezpečnostních rizik souvisejících s nakupováním po internetu Základ: Všichni respondenti, n = 910 neznám 23%
bez odpovědi 0%
znám 77%
znám a snažím se je při nákupech co nejvíce dodržovat znám, mnohdy je však při nákupech nedodržuji znám, ale na internetu nenakupuji neznám, přestože na internetu nakupuji neznám, ale na internetu nenakupuji
61% 14% 1% 20% 3% 0% 10% 20% 30% 40% 50% 60% 70%
Zdroj: vlastní výzkum
167
Graf č. 12: Bezpečnostní rizika nákupů přes internet – role spotřebitele – otázka č. 10 Může spotřebitel podle Vašeho názoru přispět ke snížení výše bezpečnostních rizik souvisejících s nakupováním na internetu? Základ: Všichni respondenti, n = 910 nevím 21%
bez odpovědi 1%
ne 6%
ano 72% Zdroj: vlastní výzkum
Další skupina otázek byla věnována chování spotřebitele při nakupování zboží a/nebo služeb přes internet. Co se týče výběru internetového obchodu, 70 % respondentů, kteří uvedli, že na internetu nakupují, uvedlo, že zboží a/nebo služby obvykle nakupuje v internetových ochodech, s nimiž má již pozitivní osobní zkušenosti, tj. kde již sami nakupovali a s nákupem byli spokojeni. 24 % respondentů, kteří uvedli, že na internetu nakupují, se zpravidla v případě, kdy zamýšlí nákup zboží a/nebo služby na internetu, ptá svých známých, rodiny apod., jaký internetový obchod by jim doporučili a proč. Stejný počet respondentů se obvykle ptá svých známých, rodiny apod., zda znají internetový obchod, v němž zamýšlí nákup a s nímž nemá dosud osobní zkušenost, a zda s tímto obchodem mají nějaké zkušenosti. 60 % respondentů, kteří uvedli, že nakupují na internetu, si ve stejné situaci obvykle vyhledává na internetu recenze daného internetového obchodu a 20 % těchto respondentů se snaží o daném internetovém obchodu zjistit co možná nejvíce informací, přičemž uváděné informace, které je možné ověřit, také prověřují. Podrobněji viz graf č. 13. Před nákupem zboží a/nebo služeb na internetu 89 % respondentů, kteří uvedli, že na internetu nakupují, věnuje pozornost způsobu, jakým se elektronický obchod prezentuje, tj. hodnotí vzhled a obsah jeho webových stránek (všímá si gramatických, stylistických a obsahových chyb), aktuálnost stránek apod. Závažnější nedostatky ve způsobu, jakým se elektronický obchod prezentuje, však od nákupu neodradí všechny respondenty, kteří věnují pozornost způsobu prezentace obchodu. Celých 9 % těchto respondentů přiznává, že je případné zjištěné nedostatky od nákupu v daném obchodu neodradí. Viz graf č. 14.
168
Graf č. 13: Chování při nakupování na internetu – otázka č. 11 Označte tvrzení, které vystihuje Vaše chování při nakupování zboží a/nebo služeb na internetu. Základ: Respondenti, kteří uvedli, že na internetu nakupují, n = 886 Poznámka: bylo možné označit více odpovědí zboží a/nebo služby obvykle nakupuji v internetových obchodech, s nimiž mám již pozitivní osobní zkušenosti, tj. kde jsem již sám(sama) nakupoval(a) a s nákupem jsem byl(a) spokojena
70%
zamýšlím‐li nákup zboží a/nebo služby na internetu, ptám se obvykle svých známých, rodiny apod., jaký internetový obchod by mi doporučili a proč
24%
zamýšlím‐li nákup zboží a/nebo služby v internetovém obchodě, s nímž nemám dosud osobní zkušenost, ptám se obvykle svých známých, rodiny apod., zda daný obchod znají a mají s ním nějaké zkušenosti
24%
zamýšlím‐li nákup zboží a/nebo služby v internetovém obchodě, s nímž nemám dosud osobní zkušenost, vyhledávám si obvykle na internetu recenze daného internetového obchodu
60%
zamýšlím‐li nákup zboží a/nebo služby v internetovém obchodě, s nímž nemám dosud osobní zkušenost, snažím se o daném internetovém obchodu zjistit co možná nejvíce informací, uváděné informace, které je možné ověřit, prověřuji
20%
na internetu nakupuji, žádné z výše uvedených tvrzení nevystihuje mé chování
6%
0%
20%
40%
60%
80%
Zdroj: vlastní výzkum
Před nákupem zboží a/nebo služeb na internetu se s podmínkami nákupu zboží a/nebo služeb přes daný internetový obchod seznamuje celkem 87 % respondentů, kteří uvedli, že na internetu nakupují (Pouze však 13 % těchto respondentů uvádí, že se vždy důsledně seznamuje s veškerými podmínkami nákupu u vybraného obchodu, tj. že si přečte celý nákupní řád, obchodní podmínky, platební podmínky, dodací podmínky, reklamační řád apod. a není-li jim cokoliv jasné, zeptají se. 23 % těchto respondentů se s veškerými podmínkami nákupu důsledně seznamuje pouze v případě, že s daným internetovým obchodem nemá 169
dosud osobní zkušenosti, v opačném případě se však s podmínkami nákupu již znovu neseznamuje. Více než 60 % těchto respondentů pak přiznává, že se neseznamují důsledně se všemi podmínkami nákupu, tj. nečtou např. celý nákupní řád, obchodní podmínky, platební podmínky, dodací podmínky nebo reklamační řád apod., ale pouze vybrané pasáže.) 11 % respondentů, kteří uvedli, že na internetu nakupují, se s podmínkami nákupu dokonce vůbec neseznamuje (45 % těchto respondentů alespoň zjišťuje, zda jsou na webových stránkách obchodu uvedeny, 55 % je ani na stránkách obchodu nehledá). Podrobněji viz graf č. 15. Graf č. 14: Prezentace elektronického obchodu – otázka č. 14 Před nákupem zboží a/nebo služeb na internetu věnuji pozornost způsobu, jakým se elektronický obchod prezentuje Základ: Respondenti, kteří uvedli, že na internetu nakupují, n = 886 ne 9%
bez odpovědi 2%
ano 89%
Závažnější nedostatky ve způsobu, jakým se elektronický obchod prezentuje, mne odradí od nákupu Základ: Respondenti, kteří uvedli, že na internetu nakupují a věnují před nákupem pozornost způsobu, jakým se obchod prezentuje, n = 788 ne 9%
ano 91% Zdroj: vlastní výzkum
170
Graf č. 15: Podmínky nákupu – otázka č. 15 Před nákupem zboží a/nebo služeb na internetu se seznamuji s podmínkami nákupu zboží a/nebo služby přes daný internetový obchod Základ: Respondenti, kteří uvedli, že na internetu nakupují, n = 886 ne 11%
bez odpovědi 2%
ano 87% ano, vždy se důsledně seznamuji s veškerými podmínkami nákupu vybraného obchodu, není‐li mi cokoliv jasné, zeptám se
11%
ano, ale s veškerými podmínkami nákupu vybraného obchodu se důsledně seznamuji pouze v případě, že s daným internetovým obchodem nemám dosud osobní zkušenosti, v opačném případě se s podmínkami nákupu znovu neseznamuji
20%
ano, ale neseznamuji se důsledně se všemi podmínkami nákupu, tj. nečtu např. celý nákupní řád, obchodní podmínky, platební podmínky, dodací podmínky nebo reklamační řád apod., ale pouze vybrané pasáže
56%
ne, s podmínkami nákupu se neseznamuji, pouze zjišťuji, zda jsou na webových stránkách obchodu uvedeny
5%
ne, s podmínkami nákupu se neseznamuji a ani je na webových stránkách obchodu nehledám
6%
0%
20%
40%
60%
Zdroj: vlastní výzkum
Pokud jde o cenu zboží a/nebo služeb nakupovaných na internetu, 83 % respondentů, kteří uvedli, že na internetu nakupují, obvykle srovnává ceny poptávaného zboží a/nebo služeb u různých internetových obchodů. O konečnou cenu nabízeného zboží a/nebo služby, 171
tj. včetně souvisejících nákladů, jako je např. balné, poštovné, poplatek za osobní odběr, se vždy zajímá 84 % daných respondentů. 35 % respondentů přiznává, že obvykle nakupuje v obchodech, které nabízí nejnižší cenu na trhu, přičemž výrazně nižší cena u poptávaného zboží a/nebo služby u jednoho internetového obchodu ve srovnání s ostatními internetovými obchody od nákupu neodradí necelých 14 % respondentů, kteří uvedli, že na internetu nakupují. Podrobněji viz graf č. 16. Graf č. 16: Cena zboží a/nebo služeb nakupovaných na internetu – otázka č. 16 Pokud jde o cenu zboží a/nebo služeb nakupovaných na internetu Základ: Respondenti, kteří uvedli, že na internetu nakupují, n = 886 Poznámka: bylo možné označit více odpovědí obvykle srovnávám ceny poptávaného zboží a/nebo služeb u různých internetových obchodů
83%
vždy se zajímám o konečnou cenu zboží a/nebo služby, tj. včetně souvisejících nákladů
84%
zboží a/nebo služby obvykle nakupuji v obchodech, které nabízí nejnižší cenu na trhu
35%
výrazně nižší cena u poptávaného zboží a/nebo služby u jednoho internetového obchodu ve srovnání s ostatními internetovými obchody mne od nákupu v daném obchodu neodradí
14%
žádné z výše uvedených tvrzení nevystihuje mé chování
1%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% Zdroj: vlastní výzkum
Poslední část otázek z oblasti nakupování na internetu byla věnována znalosti certifikací elektronických obchodů, nákupního asistenta Howarda a práv spotřebitele na odstoupení od smlouvy při nákupu zboží přes internet. Graf č. 17 zachycuje znalost vybraných certifikací elektronických obchodů používaných v České republice. Výsledek je alarmující. 80 % respondentů nezná ani jednu z uvedených certifikací (APEK Certifikovaný obchod, APEK Certifikát kvality, Spotřebitelský audit obchodních podmínek, Euro-Label), přitom tyto certifikace, stejně jako různé projekty zaměřené na elektronické obchody, členství v asociacích či umístění obchodu na předních místech v sestavovaných žebříčcích, které 172
zohledňují bezpečnost nákupu, důvěru zákazníků, jejich spokojenost, přístup obchodu k reklamacím, dodržování platebních a dodacích podmínek, práv spotřebitelů apod., mohou usnadnit výběr elektronického obchodu spotřebiteli a přispět ke snížení výše podstupovaného bezpečnostního rizika. Ze čtyř uvedených certifikací je mezi respondenty nejznámější APEK Certifikovaný obchod, kterou dle svého vyjádření zná 11 % respondentů, na druhém místě se v rámci provedeného šetření umístila Euro-Label (7 % respondentů), následovaná Spotřebitelským auditem obchodních podmínek (6 % respondentů) a APEK Certifikátem kvality (5 % respondentů). Graf č. 17: Certifikace elektronických obchodů – otázka č. 12 Kterou z certifikací elektronických obchodů znáte? Základ: Všichni respondenti, n = 910 Poznámka: bylo možné označit více odpovědí APEK Certifikovaný obchod
11%
APEK Certifikát kvality (dříve označovaný jako Certifikát II. stupně)
5%
Spotřebitelský audit obchodních podmínek (SAOP)
6%
Euro‐Label
7%
ani jednu z výše uvedených certifikací neznám
80% 0%
20%
40%
60%
80%
100%
Zdroj: vlastní výzkum
Podobně tristní výsledky byly zaznamenány u nákupního asistenta Howarda. Z celkového počtu respondentů uvedlo pouze 21 osob (2 %), že tohoto asistenta zná. 13 osob z těchto 21 nakupuje na internetu a pouze 1 respondent služby tohoto asistenta při nakupování na internetu využívá. Zbývajících 12 respondentů, kteří uvedli, že na internetu nakupují a Howarda znají, přiznává, že ho ještě při nakupování nevyužili. Viz graf č. 18. Poslední otázkou z části dotazníku věnované nakupování na internetu, která bude vyhodnocována, je otázka č. 17, jejímž prostřednictvím byla zjišťována znalost možnosti odstoupení od smlouvy při zakoupení zboží přes internet respondenty. Správně odpovědělo 69 % všech respondentů, tj. že podle českého Občanského zákoníku lze při zakoupení zboží přes internet odstoupit od smlouvy bez uvedení důvodu do 14 dnů od obdržení výrobku. 17 % 173
respondentů uvedlo, že neví. O možnosti odstoupit od smlouvy po delší období, a to do jednoho měsíce od obdržení výrobku, je přesvědčeno 6 % respondentů, což je přibližně stejný počet respondentů, jako těch, kteří se domnívají, že tato lhůta je kratší (5 % se kloní ke lhůtě 7 dnů a 1 % ke lhůtě 5 pracovních dnů od obdržení výrobku). Podrobněji viz graf č. 19. Graf č. 18: Nákupní asistent Howard – otázka č. 13 Nákupního asistenta Howarda Základ: Všichni respondenti, n = 910 bez odpovědi 1%
znám Nákupního asistenta Howarda při nakupování používám Základ: Respondenti, kteří uvedli, že na internetu nakupují a znají Howarda, n = 13
ano 2%
ano 8%
ne 97% ne 92% Zdroj: vlastní výzkum
Graf č. 19: Odstoupení od smlouvy bez uvedení důvodu při nákupu přes internet – otázka č. 17 Podle českého Občanského zákoníku můžete při zakoupení zboží přes internet odstoupit od smlouvy bez uvedení důvodu Základ: Všichni respondenti, n = 910 do jednoho měsíce od obdržení výrobku
6%
do 14 dnů od obdržení výrobku do 7 dnů od obdržení výrobku
69% 5%
do 5 pracovních dnů od obdržení výrobku
1%
odstoupení od smlouvy bez uvedení důvodu není možné
0%
nevím bez odpovědi
17% 1% 0% 10% 20% 30% 40% 50% 60% 70% 80%
Zdroj: vlastní výzkum
174
Druhá část dotazníku byla tvořena otázkami věnovanými znalostem, dovednostem, chování, postojům a zkušenostem uživatelů v oblasti elektronického bankovnictví. Z celkového počtu 910 respondentů služby elektronického bankovnictví v době dotazování používalo 90 % osob, z nichž 83 % používalo jak platební kartu tak i některý ze systémů elektronické komunikace s bankou (např. internetové bankovnictví, telefonní bankovnictví, GSM banking, WAP banking či homebanking). Pouze platební kartu používalo 5 % respondentů, kteří uvedli, že používají služby elektronického bankovnictví, pouze některý ze systémů elektronické komunikace s bankou používalo 11 % těchto respondentů. 31 % respondentů, kteří uvedli, že používají platební kartu, přiznalo, že je již někdy odradily obavy o zajištění bezpečnosti od použití platební karty (oproti tomu 61 % těchto respondentů – uživatelů se vyjádřilo tak, že se v takové situaci dosud neocitli). V případě systémů elektronické komunikace s bankou již někdy obavy o zajištění bezpečnosti odradily od jejich využití 15 % respondentů, kteří uvedli, že používají některý ze systémů elektronické komunikace s bankou (oproti tomu 77 % uživatelů uvedlo, že se v takové situaci dosud neocitli). Podrobněji viz graf č. 20 – 22. Graf č. 20: Elektronické bankovnictví – otázka č. 18 Používáte služby elektronického bankovnictví? Základ: Všichni respondenti, n = 910 ne 8%
bez odpovědi 2%
ano 90%
Jaké služby elektronického bankovnictví používáte? Základ: Respondenti, kteří uvedli, že používají služby elektronického bankovnictví, n = 818 platební kartu(y) a některý ze systémů elektronické komunikace s bankou
83%
pouze platební kartu(y)
5%
pouze některý ze systémů elektronické komunikace s bankou
11% 0%
20%
40%
Zdroj: vlastní výzkum
175
60%
80%
100%
Graf č. 21: Upuštění od použití platební karty z důvodu obav o zajištění bezpečnosti – otázka č. 19 Odradily Vás již někdy obavy o zajištění bezpečnosti od použití platební karty? Základ: Respondenti, kteří uvedli, že používají platební kartu, n = 726 nevím, nejsem schopný(á) posoudit 7%
bez odpovědi 0% ano 31%
ne 61% Zdroj: vlastní výzkum
Graf č. 22: Upuštění od využití systému elektronické komunikace s bankou z důvodu obav o zajištění bezpečnosti – otázka č. 20 Odradily Vás již někdy obavy o zajištění bezpečnosti od využití některého ze systémů elektronické komunikace s bankou? Základ: Respondenti, kteří uvedli, že používají některý ze systémů elektronické komunikace s bankou, n = 775 nevím, nejsem schopný(á) posoudit 6%
bez odpovědi 1%
ano 15%
ne 77% Zdroj: vlastní výzkum
Výši podstupovaného bezpečnostního rizika při výběru platební karty zvažovalo pouze 43 % respondentů, kteří uvedli, že mají platební kartu. Větší polovina z nich (56 %) je navíc přesvědčená, že neměla na výběr, nicméně pokud by si mohla vybrat mezi kartami s různými bezpečnostními parametry, vybrala by si platební kartu s vyššími bezpečnostními parametry (vs. 3 % respondentů, kteří uvedli, že mají platební kartu a že zvažovali při jejím výběru výši podstupovaného bezpečnostního rizika, kteří dle svého vyjádření rovněž neměli na výběr, nicméně pokud by si mohli vybrat, vybrali by si platební kartu s nižšími bezpečnostními parametry). 36 % respondentů, kteří uvedli, že mají platební kartu a že zvažovali při jejím 176
výběru výši podstupovaného bezpečnostního rizika, uvedlo, že měli na výběr a že si vybrali platební kartu s vyššími bezpečnostními parametry. 5 % těchto respondentů se pak ve stejné situaci rozhodlo pro platební kartu s nižšími bezpečnostními parametry. U respondentů, kteří uvedli, že mají platební kartu, ale že při jejím výběru výši podstupovaného bezpečnostního rizika nezvažovali (57 % respondentů, kteří mají platební kartu), je situace následující: 64 % z nich přiznává, že neví, jaké platební karty, resp. s jakými parametry jsou bezpečnější a které méně bezpečné, 19 % z nich považuje všechny platební karty za stejně bezpečné, proto se dle svého vyjádření rozhodovalo podle jiných kritérií a 16 % z nich připouští, že sice ví, že u platebních karet existují rozdíly ve výši podstupovaného bezpečnostního rizika a co přispívá k jeho snížení, přesto však při výběru své platební karty výši podstupovaného bezpečnostního rizika nezvažovalo. Viz graf č. 23. Podobný výsledek byl dosažen u systémů elektronické komunikace s bankou. Výši podstupovaného bezpečnostního rizika při výběru konkrétního systému elektronické komunikace s bankou a jeho konkrétního nastavení zvažovalo pouze 48 % respondentů, kteří uvedli, že mají tento způsob komunikace s bankou dohodnutý. 41 % z nich je přesvědčeno, že nemělo na výběr, nicméně pokud by si mohlo vybrat, vybralo by si systém s menším rizikem (vs. 4 % respondentů, kteří uvedli, že mají tento způsob komunikace s bankou dohodnutý a že zvažovali při jeho výběru výši podstupovaného bezpečnostního rizika, kteří dle svého vyjádření rovněž neměli na výběr, nicméně pokud by si mohli vybrat, vybrali by si systém s větším rizikem). 51 % respondentů, kteří uvedli, že mají tento způsob komunikace s bankou dohodnutý a že zvažovali při jeho výběru výši podstupovaného bezpečnostního rizika, uvedlo, že měli na výběr a že si vybrali systém, který je spojen s menším rizikem. 3 % těchto respondentů se ve stejné situaci rozhodlo pro systém, který je spojen s větším rizikem. U respondentů, kteří uvedli, že mají tento způsob komunikace s bankou dohodnutý, ale že při jeho výběru výši podstupovaného bezpečnostního rizika nezvažovali (52 % respondentů, kteří mají tento způsob komunikace s bankou dohodnutý), je situace taková, že 62 % z nich přiznává, že neví, jaké systémy s jakým nastavením jsou obecně považovány za bezpečnější a které za méně bezpečné, 23 % z nich považuje všechny systémy s nabízeným nastavením za stejně bezpečné, proto se dle svého vyjádření rozhodovalo podle jiných kritérií, a 15 % z nich připouští, že výši podstupovaného bezpečnostního rizika při výběru konkrétního systému elektronické komunikace s bankou a jeho konkrétního nastavení nezvažovalo, a to i přesto, že ví, že u jednotlivých systémů
177
existují rozdíly ve výši podstupovaného bezpečnostního rizika a co přispívá ke snížení jeho výše. Viz graf č. 24. Graf č. 23: Výběr platební karty – otázka č. 21 Zvažoval(a) jste při výběru platební karty výši podstupovaného bezpečnostního rizika? Základ: Respondenti, kteří uvedli, že mají platební kartu, n = 826
ano 43% ne 57%
ano, zvažoval(a) jsem výši podstupovaného bezpečnostního rizika, protože jsem měl(a) na výběr, vybral(a) jsem si platební kartu s vyššími bezpečnostními parametry
15%
ano, zvažoval(a) jsem výši podstupovaného bezpečnostního rizika a přestože jsem měl(a) na vývěr, vybral(a) jsem si platební kartu s nižšími bezpečnostními parametry
2%
ano, zvažoval(a) jsem výši podstupovaného bezpečnostního rizika, ale neměl(a) jsem na výběr, pokud bych si mohl(a) vybrat, vybral(a) bych si platební kartu s vyššími bezpečnostními parametry
24%
ano, zvažoval(a) jsem výši podstupovaného bezpečnostního rizika, ale neměl(a) jsem na výběr, pokud bych si mohl(a) vybrat, vybral(a) bych si platební kartu s nižšími bezpečnostními parametry
1%
ne, nevím, jaké platební karty, resp. s jakými parametry jsou bezpečnější a které méně bezpečné
36%
ne, všechny platební karty považuji za stejně bezpečné, proto jsem se rozhodoval(a) podle jiných kritérií
11%
ne, a to i přesto, že vím, že u platebních karet existují rozdíly ve výši podstupovaného bezpečnostního rizika a co přispívá ke snížení jeho výše
9%
0% Zdroj: vlastní výzkum
178
5%
10% 15% 20% 25% 30% 35% 40%
Graf č. 24: Výběr systému elektronické komunikace s bankou – otázka č. 22 Zvažoval(a) jste při výběru konkrétního systému elektronické komunikace s bankou a jeho konkrétního nastavení výši podstupovaného bezpečnostního rizika? Základ: Respondenti, kteří uvedli, že mají tento způsob komunikace s bankou dohodnutý, n = 809
ne 52%
ano 48%
ano, zvažoval(a) jsem výši podstupovaného bezpečnostního rizika, protože jsem měl(a) na výběr, vybral(a) jsem si systém, který je spojen s menším rizikem
24%
ano, zvažoval(a) jsem výši podstupovaného bezpečnostního rizika a přestože jsem měl(a) na vývěr, vybral(a) jsem si systém, který je spojen s větším rizikem
1%
ano, zvažoval(a) jsem výši podstupovaného bezpečnostního rizika, ale neměl(a) jsem na výběr, pokud bych si mohl(a) vybrat, vybral(a) bych si systém s menším rizikem
20%
ano, zvažoval(a) jsem výši podstupovaného bezpečnostního rizika, ale neměl(a) jsem na výběr, pokud bych si mohl(a) vybrat, vybral(a) bych si systém s větším rizikem
2%
ne, nevím, jaké systémy s jakým nastavením jsou obecně považovány za bezpečnější a které za méně bezpečné
32%
ne, všechny systémy s nabízeným nastavením považuji za stejně bezpečné, proto jsem se rozhodoval(a) podle jiných kritérií
12%
ne, a to i přesto, že vím, že u jednotlivých systémů existují rozdíly ve výši podstupovaného bezpečnostního rizika a co přispívá ke snížení jeho výše
8%
0%
5%
10%
15%
20%
25%
30%
35%
Zdroj: vlastní výzkum
O bezpečnost elektronického bankovnictví a možnosti omezení výše podstupovaných bezpečnostních rizik se dle svého vyjádření zajímá pouze 52 % všech respondentů (vs. 47 % respondentů, kteří se o tuto problematiku dle svého vyjádření nezajímají). S tímto zjištěním 179
zřejmě souvisí skutečnost, že 69 % respondentů se domnívá, že doporučení pro uživatele přispívající ke snížení výše bezpečnostních rizik v oblasti elektronického bankovnictví zná, přičemž 77 % z nich se je snaží co nejvíce dodržovat, 19 % přiznává, že přestože tato doporučení zná, mnohdy je nedodržuje. 29 % respondentů uvedlo, že doporučení pro uživatele přispívající ke snížení výše bezpečnostních rizik v oblasti elektronického bankovnictví nezná (78 % těchto respondentů přitom služby elektronického bankovnictví používá). Podrobněji viz graf č. 25 a 26. Graf č. 25: Zájem o bezpečnost elektronického bankovnictví – otázka č. 23 O bezpečnost elektronického bankovnictví a možnosti omezení výše podstupovaných bezpečnostních rizik se zajímám Základ: Všichni respondenti, n = 910 bez odpovědi 1%
ne 47%
ano 52%
Zdroj: vlastní výzkum
Graf č. 26: Vlastní hodnocení znalostí a chování respondenta v oblasti elektronického bankovnictví – otázka č. 24 Doporučení pro uživatele přispívající ke snížení výše bezpečnostních rizik v oblasti elektronického bankovnictví Základ: Všichni respondenti, n = 910 bez odpovědi 2% neznám 29%
znám a snažím se je co nejvíce dodržovat
53%
znám, mnohdy je však nedodržuji
13%
znám, ale služby elektronického bankovnictví nepoužívám
3%
neznám, přestože služby elektronického bankovnictví používám znám 69%
23%
neznám, ale služby elektronického bankovnictví nepoužívám
6% 0%
Zdroj: vlastní výzkum
180
10% 20% 30% 40% 50% 60%
Co se týče role uživatele, může sám uživatel přispět ke snížení výše bezpečnostních rizik souvisejících s používáním platebních karet podle 77 % respondentů. V případě systému elektronické
komunikace
s bankou
s možností
uživatele
přispět
ke
snížení
výše
bezpečnostních rizik souvisejících s používáním těchto systémů souhlasí 72 % respondentů. Viz graf č. 27 a 28. Graf č. 27: Bezpečnostní rizika spojená s používáním platebních karet – role uživatele – otázka č. 25 Může podle Vašeho názoru uživatel přispět ke snížení výše bezpečnostních rizik souvisejících s používáním platebních karet? Základ: Všichni respondenti, n = 910 nevím 17%
bez odpovědi 2%
ne 5%
ano 77%
Zdroj: vlastní výzkum
Graf č. 28: Bezpečnostní rizika spojená s používáním systémů elektronické komunikace s bankou – role uživatele – otázka č. 26 Může podle Vašeho názoru uživatel přispět ke snížení výše bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou? Základ: Všichni respondenti, n = 910 nevím 20%
bez odpovědi 2%
ne 7% ano 72% Zdroj: vlastní výzkum
Následující soubor otázek byl věnován problematice platebních karet. Na otázku, zda je (za jinak stejných podmínek) bezpečnější platební karta s čipem nebo magnetickým 181
páskem, správně odpovědělo 52 % respondentů. Přestože pouze 6 % respondentů si myslí, že bezpečnější je platební karta s magnetickým páskem, znepokojivé je, že téměř 40 % (39 %) respondentů uvedlo, že neví. Je-li součástí platební karty podpis jejího držitele, pak je 70 % respondentů přesvědčeno, že by jí měl držitel z důvodu snížení bezpečnostních rizik podepsat ihned po jejím převzetí. Přestože počet takto odpovídajících respondentů se ani zdaleka neblíží 100 %, je výsledek výrazně pozitivnější než u zbývajících dvou zásad, jejichž respektování přispívá ke snížení výše bezpečnostních rizik spojených s používáním platebních karet. Že by platební karta měla být opatřena podpisem držitele, který neodpovídá jeho standardnímu podpisu, ale který vykazuje určitá specifika, si myslí pouze 19 % respondentů. Okopírování platební karty, resp. její zadní části, na níž je umístěný podpis držitele, (samotným držitelem či vydavatelem platební karty) by doporučilo dokonce pouze 9 % respondentů. Podrobněji viz graf č. 29 a 30. Graf č. 29: Platební karta s čipem vs. s magnetickým páskem – otázka č. 27 Za jinak stejných podmínek je bezpečnější platební karta s čipem nebo magnetickým páskem? Základ: Všichni respondenti, n = 910 bez odpovědi 2% nevím 39%
bezpečnější je platební karta s magnetickým páskem 6%
bezpečnější je platební karta s čipem 52%
Zdroj: vlastní výzkum
Co se týče PINu k platební kartě, ze sedmi nabízených možností nejsilnější čtyřmístnou číselnou kombinaci správně označila pouze polovina respondentů (51 %). Doporučení nevolit jako PIN známá historická data (1492, 1968) nezná či se rozhodlo nerespektovat 37 % respondentů. 5 % respondentů za nejbezpečnější považuje kombinaci 1379, tj. kombinaci čísel ze čtyř rohů klávesnice. Za uspokojivé je možné považovat zjištění, že některou z nejméně bezpečných kombinací (1234, 3333 či 5678) označilo pouze necelé 1 % respondentů. 5 % respondentů označilo odpověď „nevím“. Z tohoto pohledu výrazně lépe dopadla otázka č. 40, která byla zaměřena na bezpečnost (sílu) hesel v souvislosti s internetovým bankovnictvím. Nejbezpečnější (nejsilnější) kombinaci z osmi nabízených 182
totiž určilo více než 90 % respondentů (92 %). Druhou nejčastěji označenou kombinací byla „sppopzlsznmpnk“, kterou zvolilo 5 % respondentů. Podrobněji viz graf č. 31 a 32. Graf č. 30: Platební karta a podpis držitele – otázka č. 28 Pokud je součástí platební karty podpis jejího držitele, pak by z důvodu snížení bezpečnostních rizik Základ: Všichni respondenti, n = 910 Poznámka: bylo možné označit více odpovědí měla být platební karta podepsána držitelem ihned po jejím převzetí
70%
měla být platební karta opatřena podpisem držitele, který neodpovídá standardnímu podpisu držitele, ale měl by mít určitá specifika
19%
bylo vhodné si okopírovat platební kartu, resp. její zadní část, na níž je umístěný podpis držitele, příp. o pořízení této kopie požádat samotného vydavatele platební karty
9%
ani jedno z výše uvedených opatření nepřispívá ke snížení bezpečnostních rizik
9%
nevím, nejsem schopný(á) posoudit
14%
0%
10% 20% 30% 40% 50% 60% 70% 80%
Zdroj: vlastní výzkum
Pokud jde o otázky týkající se používání platebních karet, resp. podvodů, kterým jsou jejich držitelé při běžném používání vystaveni, uvědomuje si pouze 33 % respondentů, že by z důvodu bezpečnosti neměli při vstupu do samoobslužné zóny, kde je umístěn bankomat, zadávat PIN k platební kartě. 41 % respondentů je naopak přesvědčeno, že zadání PINu při vstupu do samoobslužné zóny je žádoucí, přitom se jedná o jeden ze způsobů, kterým podvodníci získávají PIN k platební kartě (zpravidla při současném zkopírování platební karty, resp. citlivých dat). 22 % respondentů přiznává, že neví. Podrobněji viz graf č. 33.
183
Graf č. 31: Platební karta a PIN – otázka č. 29 Kterou z níže uvedených číselných kombinací byste považoval(a) za nejbezpečnější a nastavil(a) si ji jako PIN ke své platební kartě (předpokládáme-li, že ani jedna z číselných kombinací není nijak spojená s Vaší osobou)? Základ: Všichni respondenti, n = 910 5678
1%
3333
0%
1492 1234
28% 0%
3596
51%
1968
9%
1379
5%
nevím
5%
bez odpovědi
1%
0% Zdroj: vlastní výzkum
10%
20%
30%
40%
50%
60%
Graf č. 32: Internetové bankovnictví a heslo – otázka č. 40 Kterou z níže uvedených kombinací byste považoval(a) za nejbezpečnější (nejsilnější) a nastavil(a) si ji jako heslo v rámci internetového bankovnictví? Základ: Všichni respondenti, n = 910 1234
0%
heslo
0%
frantisek
0%
martinfrantisek
0%
frantisek12
1%
zjtftj
0%
SpPoPzl.3
92%
sppopzlsznmpnk
5%
nevím, nedokážu posoudit
1%
bez odpovědi
1% 0%
20%
40%
Zdroj: vlastní výzkum
184
60%
80%
100%
Graf č. 33: Vstup do samoobslužné zóny a PIN – otázka č. 30 Z důvodu bezpečnosti byste měl(a) při vstupu do samoobslužné zóny, kde je umístěn bankomat, zadávat PIN k platební kartě Základ: Všichni respondenti, n = 910 bez odpovědi 3%
nevím 22%
ano 41%
ne 33% Zdroj: vlastní výzkum
Graf č. 34: Přerušení operace prováděné platební kartou – otázka č. 31 Pokud nejde o extrémní situaci, pak prováděnou operaci s platební kartou před jejím úplným dokončením je oprávněn přerušit Základ: Všichni respondenti, n = 910 Poznámka: bylo možné označit více odpovědí držitel karty
57%
zaměstnanec banky
22%
člen ochranné služby
2%
policista
4%
ani jedna z výše uvedených osob není oprávněna přerušit operaci
8%
nevím
31% 0%
10%
20%
30%
40%
50%
60%
Zdroj: vlastní výzkum
Lepší výsledky v této oblasti byly dosaženy u otázky č. 31, která směřovala k identifikaci osob(y), o nichž(níž) si respondenti myslí, že jsou(je) oprávněny(a) přerušit prováděnou operaci s platební kartou před jejím úplným dokončením, nejde-li o extrémní situaci. 22 % respondentů se domnívá, že takovou osobou je zaměstnanec banky, 4 % respondentů označila policistu a 2 % člena ochranné služby, přičemž ani jedna z těchto osob není oprávněna k takovému úkonu. Na druhou stranu je ale do jisté míry překvapující, že pouze 57 % respondentů si uvědomuje, že přerušit prováděnou operaci může držitel karty (8 % respondentů přímo uvedlo, že ani jedna z uvedených osob – vč. držitele karty – není 185
oprávněna přerušit prováděnou operaci). Odpověď „nevím“ u této otázky navíc zvolilo více než 30 % respondentů, tzn., že i tyto osoby je možné zařadit mezi potenciální oběti úspěšného útoku podvodníka. Podrobněji viz graf č. 34. Pokud by došlo k zadržení platební karty bankomatem, je 89 % respondentů přesvědčeno, že by měli být bankomatem o zadržení informováni a zpravidla i o důvodu zadržení platební karty. 2 % si myslí, že to tak není, a 7 % respondentů neví. Relativně dobře byla zodpovězena i otázka týkající se toho, zda má obchodník právo na pořízení kopie platební karty zákazníka, který u něj použil nebo chtěl použít platební kartu k úhradě nakoupeného zboží a/nebo služeb. „Pouze“ 16 % respondentů uvedlo, že obchodník má na pořízení kopie platební karty právo (30 % z nich se domnívá, že ano, ale pouze v případech, kdy v průběhu operace došlo ke komplikacím a není tak jistota, že operace bude správně zaúčtována, a 61 % z nich si myslí, že ano, ale pouze tehdy, pokud obchodník nepořizuje kopii celé platební karty, ale pouze její části). 80 % respondentů je přesvědčeno, že obchodník nemá na pořízení kopie právo, a 3 % respondentů neví. Přestože tyto otázky většina respondentů zodpověděla správně, je třeba mít neustále na mysli, že v těchto případech i nepatrné procento respondentů, kteří neznají (příp. nerespektují) zásady bezpečného používání platebních karet, stačí útočníkům pro provedení podvodu ve značném rozsahu. Podrobněji viz graf č. 35 a 36. Graf č. 35: Zadržení platební karty bankomatem – otázka č. 32 V případě, kdy je platební karta zadržena bankomatem, měl(a) byste být bankomatem o této skutečnosti a zpravidla i o důvodu zadržení platební karty informován(a) Základ: Všichni respondenti, n = 910 nevím 7% ne 2%
bez odpovědi 2%
ano 89% Zdroj: vlastní výzkum
186
Graf č. 36: Zkopírování platební karty obchodníkem – otázka č. 33 Na pořízení kopie Vaší platební karty má obchodník, u kterého jste platební kartu použil(a) nebo chtěl(a) použít k úhradě nakoupeného zboží a/nebo služeb, právo Základ: Všichni respondenti, n = 910 bez odpovědi 3%
ano 16%
ne 80%
Základ: Respondenti, kteří uvedli, že na pořízení kopie platební karty má obchodník právo, n = 148 ano
9%
ano, ale pouze v případech, kdy v průběhu operace došlo ke komplikacím a není tak jistota, že operace bude správně zaúčtována
30%
ano, ale pouze v případě, že obchodník nepořizuje kopii celé platební karty, ale pouze její části
61%
0%
10%
20%
30%
40%
50%
60%
70%
Zdroj: vlastní výzkum
Co se týče používání platební karty na internetu, označilo pouze 30 % respondentů správnou odpověď, že za jinak stejných podmínek je zákazník vystaven nejnižšímu riziku při použití platební karty k úhradě nakoupeného zboží a/nebo služeb u internetového obchodníka, jestliže tento obchodník používá SSL zabezpečení a systém 3D-Secure. 60 % respondentů zvolilo odpověď „nevím, nejsem schopný(á) posoudit“. Obchodníka, který používá SSL zabezpečení nebo systém 3D-Secure, zvolilo 5 % respondentů, obchodníka, který používá SSL zabezpečení, 2 % respondentů. V této souvislosti lze rovněž zmínit odpovědi respondentů na otázku č. 35, tj. jak se pozná připojení na webové stránky používající protokol SSL. Téměř 50 % respondentů (48 %) totiž uvedlo, že neví. 42 % respondentů označilo možnost, že podle adresy stránky, která začíná https://, 26 % respondentů, že na základě symbolu zámečku, který se zobrazí v prohlížeči webových stránek, a 12 % respondentů, že na základě upozornění prohlížeče webových stránek. Pokud jde o nesprávné odpovědi, tak 2 % respondentů se domnívá, že adresa stránky v takovém případě začíná http://, a 6 % 187
respondentů, že se to pozná podle symbolu klíče, který se zobrazí v prohlížeči webových stránek. Viz graf č. 37 a 38. 63 % respondentů ví, že při platbě platební kartou na internetu bez fyzické přítomnosti karty útočníkovi může zcela stačit, bude-li znát číslo platební karty oběti, její platnost a CVV či CVC kód, tj. údaje, které bývají na platebních kartách běžně uvedeny. 12 % respondentů si myslí, že to tak není, a 24 % respondentů neví. Viz graf č. 39. Graf č. 37: Platební karta a placení v internetovém obchodě – otázka č. 34 Při použití platební karty k úhradě nakoupeného zboží a/nebo služeb u internetového obchodníka, jste za jinak stejných podmínek vystaveni nejnižšímu riziku, jestliže obchodník Základ: Všichni respondenti, n = 910 používá SSL zabezpečení a systém 3D‐Secure
30%
používá SSL zabezpečení nebo systém 3D‐Secure
5%
používá SSL zabezpečení
2%
nepoužívá SSL zabezpečení ani systém 3D‐Secure
0%
používá jiný systém než 3D‐Secure, který nenabízí držiteli platební karty dostatečné zabezpečení prováděné transakce
0%
nevím, nejsem schopný(á) posoudit
60%
bez odpovědi
2% 0%
Zdroj: vlastní výzkum
188
10%
20%
30%
40%
50%
60%
70%
Graf č. 38: SSL protokol – otázka č. 35 Připojení na webové stránky používající protokol SSL poznáte Základ: Všichni respondenti, n = 910 Poznámka: bylo možné označit více odpovědí podle adresy stránky, která začíná http://
2%
podle adresy stránky, která začíná https://
42%
na základě upozornění prohlížeče webových stránek na základě symbolu dvou zelených šipek, který se zobrazí v prohlížeči webových stránek na základě symbolu klíče, který se zobrazí v prohlížeči webových stránek na základě symbolu zámečku, který se zobrazí v prohlížeči webových stránek ani jedna z výše uvedených odpovědí není správná
12% 0% 6% 26% 0%
nevím
48% 0%
10%
20%
30%
40%
50%
60%
Zdroj: vlastní výzkum
Graf č. 39: Platba platební kartou na internetu – otázka č. 36 Při platbě platební kartou na internetu bez fyzické přítomnosti karty útočníkovi může zcela postačovat, bude-li znát číslo Vaší karty, její platnost a CVV či CVC kód, tj. údaje, které bývají na platebních kartách běžně uvedeny Základ: Všichni respondenti, n = 910
nevím 24%
ne 12%
bez odpovědi 2%
ano 63%
Zdroj: vlastní výzkum
Další část otázek byla věnována chování a znalostem uživatelů/spotřebitelů v oblasti internetu a počítačů. 83 % respondentů se dle svého vyjádření snaží omezit množství informací, které jsou o nich dostupné na internetu. 9 % respondentů tak nečiní a 6 % své chování v této oblasti nedokáže vyhodnotit. Pouze 40 % respondentů pak správně odpovědělo na otázku, zda je k běžnému používání osobního počítače k přístupu na internet z důvodu bezpečnosti vhodné používat účet typu běžného uživatele či účet typu administrátora (správce). 33 % 189
respondentů odpovědělo, že by měl být používán účet typu administrátora (správce), a 26 % respondentů uvedlo, že neví. Podrobněji viz graf č. 40 a 41. Graf č. 40: Množství informací o spotřebiteli/uživateli na internetu – otázka č. 37 Snažíte se omezovat objem informací, které jsou o Vás dostupné na internetu? Základ: Všichni respondenti, n = 910 nevím, nedokážu posoudit 6% ne 9%
bez odpovědi 2%
ano 83%
Zdroj: vlastní výzkum
Graf č. 41: Účet typu běžného uživatele vs. účet typu administrátora – otázka č. 38 K běžnému používání Vašeho osobního počítače k přístupu na internet je z důvodu bezpečnosti vhodné používat Základ: Všichni respondenti, n = 910 nevím, nedokážu posoudit 26%
bez odpovědi 2% účet typu běžného uživatele 40%
účet administrátora (správce) 33% Zdroj: vlastní výzkum
Co se týče používání antivirového programu, 62 % respondentů správně odpovědělo, že by každý počítač měl být chráněn pouze jedním antivirovým programem, 18 % respondentů se domnívá, že tomu tak není, že používání více antivirových programů zajišťuje vyšší úroveň bezpečnosti, a 18 % respondentů neví, resp. nedokáže tuto situaci posoudit. 32 % respondentů je přitom přesvědčeno, že používání aktuální verze antivirového programu stačí pro zajištění kompletní ochrany počítače. Opačnou odpověď, že to tak není, správně označilo 51 % respondentů. Na druhou stranu se ale 68 % respondentů kloní k názoru, že z důvodu bezpečnosti je vhodné používat na počítači antispywarový program. Pouze 3 % 190
respondentů se nesprávně domnívá, že to tak není, a 27 % respondentů neví. Podrobněji viz graf č. 42 a 43. Graf č. 42: PC a antivirový program – otázka č. 39, otázka č. 41 Každý počítač by měl být chráněn pouze jedním antivirovým programem Základ: Všichni respondenti, n = 910 nevím, nedokážu posoudit 18%
bez odpovědi 2%
ne 18%
ano 62%
Používání aktuální verze antivirového programu stačí pro zajištění kompletní ochrany Vašeho počítače Základ: Všichni respondenti, n = 910 nevím, nedokážu posoudit 15%
bez odpovědi 2% ano 32%
ne 51%
Zdroj: vlastní výzkum
Graf č. 43: PC a antispywarový program – otázka č. 42 Používání antispywarového programu na Vašem počítači se z důvodu bezpečnosti doporučuje Základ: Všichni respondenti, n = 910 nevím, nedokážu posoudit 27%
ne 3%
bez odpovědi 2%
ano 68%
Zdroj: vlastní výzkum
191
Závěr dotazníku byl věnován podvodům v oblasti elektronického obchodu a elektronického bankovnictví. U otázky č. 43 měli respondenti označit typ(y) podvodu(ů), jehož(jejichž) podstatu znají. Z odpovědí respondentů plyne, že nejvíce z nich zná podvody založené na skryté kameře (67 % respondentů), padělky platebních karet (58 % respondentů), podvody založené na dotekových senzorech (36 % respondentů) a phishing (33 % respondentů). K méně známým typům podvodů lze dle výsledků dotazníkového šetření přiřadit skimming (21 % respondentů se vyjádřilo v dotazníku, že podstatu tohoto typu podvodu zná) a pharming (11 % respondentů dle svého vyjádření zná podstatu tohoto typu podvodu). Méně než 10 % respondentů zná Libanonskou smyčku, spoofing a trashing. Žádný z uvedených typů podvodů nezná 14 % respondentů. Podrobněji viz graf č. 44. Graf č. 44: Znalost podvodů – otázka č. 43 Typ podvodu v oblasti elektronického obchodu a elektronického bankovnictví, jehož podstatu znám Základ: Všichni respondenti, n = 910 Poznámka: bylo možné označit více odpovědí Libanonská smyčka
7%
podvody založené na skryté kameře
67%
podvody založené na dotekových senzorech
36%
padělky platebních karet
58%
skimming
21%
phishing
33%
pharming
11%
spoofing
6%
trashing
6%
žádný z výše uvedených typů podvodů neznám
14% 0% 10% 20% 30% 40% 50% 60% 70% 80%
Zdroj: vlastní výzkum
Cílem poslední otázky dotazníku bylo zjistit, zda se dotazovaný(á) setkal(a) se situací, kdy se od něj(ní) neoprávněná osoba snažila získat citlivé údaje (např. formou e-mailu či po telefonu). Dle zjištění se již s touto situací osobně setkalo 42 % respondentů. 53 % respondentů je přesvědčeno, že se v takové situaci dosud neocitlo. Viz graf č. 45.
192
Graf č. 45: Pokusy o vylákání citlivých údajů – otázka č. 44 Setkal(a) jste se již se situací, kdy se od Vás neoprávněná osoba snažila získat citlivé údaje (např. formou e-mailu či po telefonu) Základ: Všichni respondenti, n = 910 nevím 4%
bez odpovědi 1%
ano 42%
ne 53%
Zdroj: vlastní výzkum
Shrnutí K hlavním zjištěním realizovaného výzkumu v této fázi patří následující: - zboží a/nebo službu přes internet si již objednala převážná většina respondentů (97 %), nejčastěji respondenti na internetu nakupují alespoň jedenkrát za čtvrt roku - 33 % respondentů, kteří uvedli, že na internetu nakupují, se již při nákupu na internetu setkalo s problémem, přičemž 87 % z nich vzniklou situaci řešilo (71 % bylo s výsledkem nakonec spokojeno, 16 % nikoliv) - 54 % respondentů považuje nákup zboží v internetovém obchodě za méně bezpečný než v kamenném obchodě - 50 % respondentů již někdy odradily obavy o zajištění bezpečnosti od nákupu zboží a/nebo služeb přes internet - 34 % respondentů se nezajímá o bezpečnost nakupování na internetu a možnosti omezení výše podstupovaných bezpečnostních rizik - 77 % respondentů je přesvědčeno, že zná doporučení pro uživatele přispívající ke snížení výše bezpečnostních rizik souvisejících s nakupováním na internetu (79 % z nich se je při nákupech snaží co nejvíce dodržovat a 19 % z nich přiznává, že přestože tato doporučení zná, mnohdy je při nákupech nedodržuje), k neznalosti těchto doporučení se hlásí 23 % respondentů, přičemž 87 % z nich tato doporučení dle svého vyjádření nezná, přestože na internetu nakupuje - 72 % respondentů je přesvědčeno, že spotřebitel může přispět ke snížení výše bezpečnostních rizik souvisejících s nakupováním na internetu 193
- 70 % respondentů, kteří uvedli, že na internetu nakupují, obvykle nakupuje v internetových ochodech, s nimiž má pozitivní osobní zkušenost - pouze 24 % respondentů, kteří uvedli, že na internetu nakupují, se zpravidla před nákupem na internetu, ptá svých známých, rodiny apod., jaký internetový obchod by jim doporučili a proč - pouze 24 % respondentů, kteří uvedli, že na internetu nakupují, se obvykle ptá svých známých,
rodiny
apod.,
zda
znají
internetový
obchod,
v němž
zamýšlí
nákup
a s nímž nemá dosud osobní zkušenost, a zda s tímto obchodem mají nějaké zkušenosti - 60 % respondentů, kteří uvedli, že nakupují na internetu, si v situaci, kdy zvažují nákup v internetovém obchodě, s nímž dosud nemají osobní zkušenost, obvykle vyhledává na internetu recenze daného internetového obchodu - pouze 20 % respondentů, kteří uvedli, že nakupují na internetu, se v situaci, kdy zvažují nákup v internetovém obchodě, s nímž dosud nemají osobní zkušenost, snaží o daném internetovém obchodu zjistit co možná nejvíce informací, přičemž uváděné informace, které je možné ověřit, také prověřují - 89 % respondentů, kteří uvedli, že na internetu nakupují, věnuje před nákupem zboží a/nebo služeb na internetu pozornost způsobu, jakým se elektronický obchod prezentuje - 87 % respondentů, kteří uvedli, že na internetu nakupují, se před nákupem na internetu seznamuje s podmínkami nákupu zboží a/nebo služeb přes daný internetový obchod, pouze však 13 % těchto respondentů uvádí, že se vždy důsledně seznamuje s veškerými podmínkami nákupu u vybraného obchodu - 83 % respondentů, kteří uvedli, že na internetu nakupují, obvykle srovnává ceny poptávaného zboží a/nebo služeb u různých internetových obchodů - 84 % respondentů, kteří uvedli, že na internetu nakupují, se vždy zajímá o konečnou cenu nabízeného zboží a/nebo služby, tj. včetně souvisejících nákladů - 35 % respondentů, kteří uvedli, že na internetu nakupují, obvykle nakupuje v obchodech, které nabízí nejnižší cenu na trhu - 80 % respondentů nezná ani jednu z následujících certifikací - APEK Certifikovaný obchod, APEK Certifikát kvality, Spotřebitelský audit obchodních podmínek, Euro-Label - 69 % respondentů ví, do kdy mohou podle Občanského zákoníku odstoupit při zakoupení zboží přes internet od smlouvy bez uvedení důvodu - 90 % respondentů používá služby elektronického bankovnictví, 83 % z nich používá jak platební kartu, tak i některý ze systémů elektronické komunikace s bankou
194
- 31 % respondentů, kteří používají platební kartu, uvedlo, že je již někdy odradily obavy o zajištění bezpečnosti od použití platební karty - 15 % respondentů, kteří používají některý ze systémů elektronické komunikace s bankou, uvedlo, že je již někdy odradily obavy o zajištění bezpečnosti od jejich využití - pouze 43 % respondentů, kteří mají platební kartu, zvažovalo při výběru platební karty výši podstupovaného bezpečnostního rizika - pouze 48 % respondentů, kteří mají některý ze systémů elektronické komunikace s bankou dohodnutý, zvažovalo při výběru konkrétního systému elektronické komunikace a jeho konkrétního nastavení výši podstupovaného bezpečnostního rizika - 47 % respondentů se nezajímá o bezpečnost elektronického bankovnictví a možnosti omezení výše podstupovaných bezpečnostních rizik - 69 % respondentů je přesvědčeno, že zná doporučení pro uživatele přispívající ke snížení výše
bezpečnostních
rizik
v oblasti
elektronického
bankovnictví
(77
%
z nich
se je snaží co nejvíce dodržovat, 19 % přiznává, že přestože tato doporučení zná, mnohdy je nedodržuje), k neznalosti těchto doporučení se hlásí 29 % respondentů, přitom 78 % těchto respondentů služby elektronického bankovnictví používá - 77 % respondentů je přesvědčeno, že uživatel může přispět ke snížení výše bezpečnostních rizik souvisejících s používáním platebních karet - 72 % respondentů je přesvědčeno, že uživatel může přispět ke snížení výše bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou - pouze 52 % respondentů ví, že (za jinak stejných podmínek) je bezpečnější platební karta s čipem než s magnetickým páskem - pouze 70 % respondentů si myslí, že je-li součástí platební karty podpis jejího držitele, že by jí měl držitel z důvodu snížení bezpečnostních rizik podepsat ihned po jejím převzetí - pouze 19 % respondentů ví, že by platební karta měla být opatřena podpisem držitele, který neodpovídá jeho standardnímu podpisu, ale který vykazuje určitá specifika - pouze 9 % respondentů by doporučilo okopírovat si platební kartu, resp. její zadní část, na níž je umístěný podpis držitele - pouze 51 % respondentů správně vybralo ze sedmi nabízených možností nejsilnější číselnou kombinaci pro PIN k platební kartě - 92 % respondentů správně vybralo z osmi nabízených možností nejsilnější kombinaci pro heslo pro internetové bankovnictví - pouze 33 % respondentů ví, že by z důvodu bezpečnosti neměli při vstupu do samoobslužné zóny, kde je umístěn bankomat, zadávat PIN k platební kartě 195
- 22 % respondentů se domnívá, že prováděnou operaci s platební kartou před jejím úplným dokončením, nejde-li o extrémní situaci, je oprávněn přerušit zaměstnanec banky, 4 % respondentů si myslí, že tak může učinit policista, a 2 %, že toto právo má člen ochranné služby - 89 % respondentů si myslí, že pokud dojde k zadržení platební karty bankomatem, měli by být bankomatem o zadržení a zpravidla i o jeho důvodu informováni - 16 % respondentů si myslí, že obchodník, u kterého použili nebo chtěli použít k úhradě nakoupeného zboží a/nebo služeb platební kartu, má právo na pořízení její kopie - pouze 30 % respondentů ví, že při používání platební karty na internetu je za jinak stejných podmínek zákazník vystaven nejnižšímu riziku u internetového obchodníka, který používá SSL zabezpečení a systém 3D-Secure - 48 % respondentů neví, jak se pozná připojení na webové stránky používající protokol SSL - pouze 63 % respondentů ví, že při platbě platební kartou na internetu bez fyzické přítomnosti karty útočníkovi může zcela stačit, jestliže zná číslo platební karty oběti, její platnost a CVV či CVC kód, tj. údaje, které bývají na platebních kartách běžně uvedeny - 83 % respondentů se dle svého vyjádření snaží omezovat množství informací, které jsou o nich dostupné na internetu - pouze 40 % respondentů ví, že k běžnému používání osobního počítače k přístupu na internet je z důvodu bezpečnosti vhodné používat účet typu běžného uživatele, nikoliv účet typu administrátora (správce) - pouze 62 % respondentů ví, že by každý počítač měl být chráněn pouze jedním antivirovým programem - 32 % respondentů si myslí, že používání aktuální verze antivirového programu stačí pro zajištění kompletní ochrany počítače - 68 % respondentů je přesvědčeno, že z důvodu bezpečnosti je vhodné používat na počítači antispywarový program - k nejvíce známým typům podvodů z nabízených devíti patří podvody založené na skryté kameře, které zná 67 % respondentů, padělky platebních karet, které zná 58 % respondentů, a podvody založené na dotekových senzorech, které zná 36 % respondentů - 14 % respondentů nezná žádný z uvedených (základních) typů podvodů - 42 % respondentů se již osobně setkalo se situací, kdy se od nich neoprávněná osoba snažila získat citlivé údaje (např. formou e-mailu či po telefonu)
196
5.2.2
Vyhodnocení úrovně gramotnosti respondentů v oblasti nakupování na internetu a služeb elektronického bankovnictví (popisné statistiky vztahující se ke skupinám otázek)
V návaznosti na výše uvedené postupné vyhodnocování jednotlivých otázek dotazníku pomocí metod popisné statistiky bude nyní pozornost věnována vyhodnocení úrovně gramotnosti spotřebitelů/uživatelů – respondentů v oblasti nakupování na internetu a služeb elektronického bankovnictví v návaznosti na podstupovaná bezpečnostní rizika. Jak jsme se mohli přesvědčit v průběhu vyhodnocování jednotlivých otázek dotazníku, ve znalostech a dovednostech respondentů v oblasti nakupování na internetu a služeb elektronického bankovnictví existují určité nedostatky a ani chování těchto spotřebitelů/uživatelů v řadě případů neodpovídá chování, které by bylo možné označit za vhodné, žádoucí pro spotřebitele/uživatele ve světě elektronického obchodu a elektronického bankovnictví v návaznosti na podstupovaná bezpečnostní rizika. Nyní je možné si položit otázku, jaká je tedy úroveň gramotnosti těchto spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví247? Tzn. podívat se na jednotlivé respondenty a jejich odpovědi u jednotlivých souborů otázek věnovaných znalostem, dovednostem a chování spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví, jejichž cílem bylo zmapovat úroveň gramotnosti respondentů – spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví se zaměřením na podstupovaná bezpečnostní rizika. Za účelem podrobného zmapování gramotnosti spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví se zaměřením na podstupovaná bezpečnostní rizika budou nejprve vyhodnoceny dílčí gramotnosti spotřebitelů/uživatelů (gramotnost v oblasti nakupování na internetu – užší e-obchod gramotnost, gramotnost v oblasti služeb elektronického bankovnictví – užší e-banking gramotnost a gramotnost v oblasti internetu – internet gramotnost, resp. gramotnost v oblasti nakupování na internetu – širší e-obchod gramotnost a gramotnost v oblasti služeb elektronického bankovnictví – širší e-banking gramotnost), následně pak jejich celková gramotnost v oblasti nakupování na internetu a služeb elektronického bankovnictví.
247
Připomeňme, že gramotnost pro účely této práce je pojímána jako kvantitativní proměnná, jejíž hodnoty jsou na základě provedeného dotazníkového šetření odvozovány od znalostí, dovedností a chování spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví se zaměřením na bezpečnostní rizika související s nakupováním na internetu a s používáním služeb elektronického bankovnictví. Práce si neklade za cíl vytvořit komplexní metodiku pro hodnocení úrovně gramotnosti v oblasti nakupování na internetu a služeb elektronického bankovnictví.
197
Gramotnost respondentů – spotřebitelů v oblasti nakupování na internetu – užší e-obchod gramotnost Gramotnost v oblasti nakupování na internetu – užší e-obchod gramotnost byla určována u respondentů, kteří nakupují na internetu, a to z důvodu toho, že stanovení úrovně gramotnosti v oblasti nakupování na internetu – užší e-obchod gramotnosti vychází z odpovědí respondentů na otázky věnované nejen znalostem, ale i dovednostem a chování spotřebitelů při nakupování na internetu, které by nebylo možné odpovídajícím způsobem vyhodnotit u respondentů, kteří na internetu nenakupují. Na základě dat získaných v průběhu realizovaného dotazníkového šetření bylo možné stanovit úroveň gramotnosti v oblasti nakupování na internetu – užší e-obchod gramotnosti pro 870 respondentů – spotřebitelů, kteří nakupují na internetu. Úroveň gramotnosti respondentů – spotřebitelů v oblasti nakupování na internetu – užší e-obchod gramotnosti byla stanovena na základě vyhodnocení odpovědí respondentů na osm otázek zaměřených na znalosti, dovednosti a chování respondentů – spotřebitelů nakupujících na internetu v oblasti nakupování na internetu. Konkrétně se jednalo o otázku č. 11, 12, 13, 14, 15, 16, 17 a 34 dotazníku. U každé otázky bylo možné získat 1 až/nebo 3 body. 1 bod byl přidělován v případě, že otázka nebyla správně zodpovězena (u otázek znalostního charakteru), resp. kde odpověď (příp. odpovědi) respondenta neodpovídala(y) dovednostem či chování respondenta – spotřebitele gramotného v oblasti nakupování na internetu. 3 body byly uděleny v případě, že otázka byla dotázaným správně zodpovězena (u otázek znalostního charakteru), resp. kde odpověď (příp. odpovědi) respondenta odpovídala(y) dovednostem či chování respondenta – spotřebitele gramotného v oblasti nakupování na internetu. U některých otázek bylo možné získat i body 2, a to v situaci, kdy zvolená odpověď (příp. odpovědi) spadala(y) do tzv. šedé zóny. Vzhledem k počtu otázek použitých pro zjištění úrovně gramotnosti respondentů – spotřebitelů v oblasti nakupování na internetu – užší e-obchod gramotnosti a způsobu jejich hodnocení náleželo výsledné skóre gramotnosti respondentů v oblasti nakupování na internetu – užší e-obchod gramotnosti, určené jako součet bodů získaných respondentem u jednotlivých otázek, do intervalu <8; 24>. Co se týče interpretace dosaženého skóre, platí, že čím vyšší počet bodů respondent dosáhl, tím vyšší úroveň gramotnosti v oblasti nakupování na internetu – užší e-obchod gramotnosti projevuje, resp. čím nižší počet bodů
198
respondent dosáhl, tím nižší úroveň gramotnosti v oblasti nakupování na internetu – užší e-obchod gramotnosti projevuje. Průměr gramotnosti respondentů – spotřebitelů, kteří nakupují na internetu, v oblasti nakupování na internetu – užší e-obchod gramotnosti dosáhl v rámci realizovaného výzkumu hodnoty 15,48 (po zaokrouhlení na dvě desetinná místa). Medián pak v tomto případě vychází na 16 bodů. Na základě těchto výsledků je možné konstatovat, že v oblasti gramotnosti respondentů – spotřebitelů v oblasti nakupování na internetu – užší e-obchod gramotnosti, resp. v jejich znalostech, dovednostech a chování v této oblasti, existují nedostatky, které není možné označit za zanedbatelné. Nejnižší dosažená hodnota gramotnosti respondenta – spotřebitele, který nakupuje na internetu, v oblasti nakupování na internetu – užší e-obchod gramotnosti byla 8 bodů, tj. nejnižší hodnota, které bylo možné u této proměnné vůbec dosáhnout. Úroveň gramotnosti respondenta v oblasti nakupování na internetu – užší e-obchod gramotnosti v tomto případě lze považovat za nevyhovující. Nejvyšší dosažená hodnota gramotnosti respondenta – spotřebitele, který nakupuje na internetu, v oblasti nakupování na internetu – užší e-obchod gramotnosti byla 23 bodů, tzn., že nikdo z respondentů nedosáhl maximálního možného počtu bodů. Přesto lze 23 bodů ze 24 možných považovat podle mého názoru za velmi dobrý výsledek. Gramotnost respondentů – uživatelů v oblasti služeb elektronického bankovnictví – užší e-banking gramotnost Gramotnost v oblasti služeb elektronického bankovnictví – užší e-banking gramotnost byla určována u respondentů, kteří jsou uživateli služeb elektronického bankovnictví, přičemž používají jak platební kartu, tak i některý ze systémů elektronické komunikace s bankou, a to z důvodu toho, že stanovení úrovně gramotnosti v oblasti služeb elektronického bankovnictví – užší e-banking gramotnosti vychází z odpovědí respondentů na otázky věnované nejen znalostem, ale i dovednostem a chování uživatelů v oblasti služeb elektronického bankovnictví (platebních karet a systémů elektronické komunikace s bankou), které by nebylo možné odpovídajícím způsobem vyhodnotit u respondentů, kteří služby elektronického bankovnictví (platební karty a systémy elektronické komunikace s bankou) nepoužívají. Na základě dat získaných v průběhu realizovaného dotazníkového šetření bylo
199
možné stanovit úroveň gramotnosti v oblasti služeb elektronického bankovnictví – užší e-banking gramotnosti pro 673 respondentů – uživatelů služeb elektronického bankovnictví. Úroveň gramotnosti respondentů – uživatelů v oblasti služeb elektronického bankovnictví – užší e-banking gramotnosti byla stanovena na základě vyhodnocení odpovědí respondentů na 11 otázek zaměřených na znalosti, dovednosti a chování respondentů – uživatelů služeb elektronického bankovnictví (platebních karet a systémů elektronické komunikace s bankou) v oblasti služeb elektronického bankovnictví. Konkrétně se jednalo o otázku č. 21, 22, 27, 28, 29, 30, 31, 32, 33, 36 a 40 dotazníku. U každé otázky bylo možné získat 1 až/nebo 3 body. 1 bod byl přidělován v případě, že otázka nebyla správně zodpovězena (u otázek znalostního charakteru), resp. kde odpověď (příp. odpovědi) respondenta neodpovídala(y) dovednostem či chování respondenta – uživatele gramotného v oblasti služeb elektronického bankovnictví. 3 body byly uděleny v případě, že otázka byla dotázaným správně zodpovězena (u otázek znalostního charakteru), resp. kde odpověď (příp. odpovědi) respondenta odpovídala(y) dovednostem či chování respondenta – uživatele gramotného v oblasti služeb elektronického bankovnictví. U některých otázek bylo možné získat i body 2, a to v situaci, kdy zvolená odpověď (příp. odpovědi) spadala(y) do tzv. šedé zóny. Vzhledem k počtu otázek použitých pro zjištění úrovně gramotnosti respondentů – uživatelů v oblasti služeb elektronického bankovnictví – užší e-banking gramotnosti a způsobu jejich hodnocení náleželo výsledné skóre gramotnosti respondentů v oblasti služeb elektronického bankovnictví – užší e-banking gramotnosti, určené jako součet bodů získaných respondentem u jednotlivých otázek, do intervalu <11; 33>. Co se týče interpretace dosaženého skóre, platí, že čím vyšší počet bodů respondent dosáhl, tím vyšší úroveň gramotnosti v oblasti služeb elektronického bankovnictví – užší e-banking gramotnosti projevuje, resp. čím nižší počet bodů respondent dosáhl, tím nižší úroveň gramotnosti v oblasti služeb elektronického bankovnictví – užší e-banking gramotnosti projevuje. Průměr gramotnosti respondentů – uživatelů služeb elektronického bankovnictví (platebních karet a systémů elektronické komunikace s bankou) v oblasti služeb elektronického bankovnictví – užší e-banking gramotnosti dosáhl v rámci realizovaného výzkumu hodnoty 23,80 (po zaokrouhlení na dvě desetinná místa). Medián pak v tomto případě vychází na 24 bodů. Na základě těchto výsledků je možné konstatovat, že v oblasti gramotnosti respondentů – uživatelů v oblasti služeb elektronického bankovnictví – užší e-banking gramotnosti, resp. 200
v jejich znalostech, dovednostech a chování v této oblasti, existují nedostatky, které bohužel opět není možné označit za zanedbatelné. Nejnižší dosažená hodnota gramotnosti respondenta – uživatele služeb elektronického bankovnictví (platebních karet a systémů elektronické komunikace s bankou) v oblasti služeb elektronického bankovnictví – užší e-banking gramotnosti byla 13 bodů, což indikuje nevyhovující úroveň gramotnosti respondenta v oblasti služeb elektronického bankovnictví – užší e-banking gramotnosti. Nejvyšší dosažená hodnota gramotnosti respondenta – uživatele služeb elektronického bankovnictví (platebních karet a systémů elektronické komunikace s bankou) v oblasti služeb elektronického bankovnictví – užší e-banking gramotnosti byla 33 bodů, což představuje maximální počet bodů, které bylo možné u této proměnné dosáhnout, resp. nejlepší možný výsledek. Gramotnost respondentů – spotřebitelů/uživatelů v oblasti internetu – internet gramotnost Gramotnost v oblasti internetu – internet gramotnost byla určována u respondentů, kteří nakupují na internetu, a u respondentů, kteří používají služby elektronického bankovnictví (platební karty a systémy elektronické komunikace s bankou), přičemž úroveň gramotnosti v oblasti internetu – internet gramotnosti bude u těchto skupin sledována odděleně, díky čemuž bude možné následně dosažené úrovně gramotnosti mezi těmito skupinami porovnávat. Pro stanovení úrovně gramotnosti v oblasti internetu – internet gramotnosti byly použity odpovědi respondentů na otázky věnované nejen znalostem, ale i chování respondentů v oblasti internetu a počítačů. Na základě dat získaných v průběhu realizovaného dotazníkového šetření bylo možné stanovit úroveň gramotnosti v oblasti internetu – internet gramotnosti pro 870 respondentů – spotřebitelů, kteří nakupují na internetu, a pro 673 respondentů – uživatelů služeb elektronického bankovnictví (platebních karet a systémů elektronické komunikace s bankou). Úroveň gramotnosti respondentů – spotřebitelů/uživatelů v oblasti internetu – internet gramotnosti byla stanovena na základě vyhodnocení odpovědí respondentů na šest otázek zaměřených na znalosti a chování respondentů – spotřebitelů nakupujících na internetu a uživatelů služeb elektronického bankovnictví (platebních karet a systémů elektronické komunikace s bankou) v oblasti internetu a počítačů. Konkrétně se jednalo o otázku č. 35, 37, 38, 39, 41 a 42 dotazníku. U každé otázky bylo možné získat 1 až/nebo 3 body. 1 bod byl přidělován v případě, že otázka nebyla správně zodpovězena (u otázek znalostního 201
charakteru), resp. kde odpověď (příp. odpovědi) respondenta neodpovídala(y) chování respondenta – spotřebitele/uživatele gramotného v oblasti internetu. 3 body byly uděleny v případě, že otázka byla dotázaným správně zodpovězena (u otázek znalostního charakteru), resp. kde odpověď (příp. odpovědi) respondenta odpovídala(y) chování respondenta – spotřebitele/uživatele gramotného v oblasti internetu. Případně bylo možné získat i body 2, a to v situaci, kdy zvolená odpověď (příp. odpovědi) spadala(y) do tzv. šedé zóny. Vzhledem k počtu otázek použitých pro zjištění úrovně gramotnosti respondentů – spotřebitelů/uživatelů v oblasti internetu – internet gramotnosti a způsobu jejich hodnocení náleželo výsledné skóre gramotnosti respondentů v oblasti internetu – internet gramotnosti, určené jako součet bodů získaných respondentem u jednotlivých otázek, do intervalu <6; 18>. Co se týče interpretace dosaženého skóre, platí, že čím vyšší počet bodů respondent dosáhl, tím vyšší úroveň gramotnosti v oblasti internetu – internet gramotnosti projevuje, resp. čím nižší počet bodů respondent dosáhl, tím nižší úroveň gramotnosti v oblasti internetu – internet gramotnosti projevuje. Průměr gramotnosti respondentů – spotřebitelů, kteří nakupují na internetu, v oblasti internetu –
internet
gramotnosti
dosáhl
v rámci
realizovaného
výzkumu
hodnoty
12,65
(po zaokrouhlení na dvě desetinná místa). Medián u této skupiny respondentů vychází na 13 bodů. Průměr gramotnosti respondentů – uživatelů služeb elektronického bankovnictví (platebních karet a systémů elektronické komunikace s bankou) v oblasti internetu – internet gramotnosti dosáhl v rámci realizovaného výzkumu hodnoty 12,76 (po zaokrouhlení na dvě desetinná místa). Medián v tomto případě vychází také na 13 bodů. Na první pohled je tedy zřejmé, že výsledky mezi oběma sledovanými skupinami se téměř neliší (zjištěný rozdíl v případě průměrů je možné považovat podle mého názoru za věcně nevýznamný). Co se týče hodnocení,
je
možné
konstatovat,
že
v oblasti
gramotnosti
respondentů
–
spotřebitelů/uživatelů v oblasti internetu – internet gramotnosti, resp. v jejich znalostech a chování v oblasti internetu a počítačů, existují nedostatky, které ani v tomto případě není možné označit za zanedbatelné. Nejnižší dosažená hodnota gramotnosti respondenta – spotřebitele, který nakupuje na internetu, i respondenta – uživatele služeb elektronického bankovnictví (platebních karet a systémů elektronické komunikace s bankou) v oblasti internetu – internet gramotnosti byla 6 bodů, což představuje nejnižší hodnotu, které bylo možné u této proměnné dosáhnout. 202
Úroveň gramotnosti respondenta – spotřebitele/uživatele v oblasti internetu – internet gramotnosti v tomto případě lze považovat za nevyhovující. Nejvyšší dosažená hodnota gramotnosti respondenta v oblasti internetu – internet gramotnosti byla na druhou stranu v obou sledovaných skupinách 18 bodů, což je maximální počet bodů, které bylo možné u této proměnné dosáhnout, tj. nejlepší možný výsledek. Gramotnost respondentů – spotřebitelů v oblasti nakupování na internetu – širší e-obchod gramotnost Gramotnost v oblasti nakupování na internetu – širší e-obchod gramotnost byla stejně jako gramotnost v oblasti nakupování na internetu – užší e-obchod gramotnost určována u respondentů, kteří nakupují na internetu, a to z důvodu toho, že hodnota proměnné gramotnost v oblasti nakupování na internetu – širší e-obchod gramotnost je dána součtem hodnot proměnné gramotnost v oblasti nakupování na internetu – užší e-obchod gramotnost a proměnné gramotnost v oblasti internetu. To znamená, že při stanovení úrovně gramotnosti v oblasti nakupování na internetu – širší e-obchod gramotnosti byly použity odpovědi respondentů na otázky věnované znalostem a chování respondentů v oblasti internetu a počítačů, jakož i otázky věnované znalostem, ale i dovednostem a chování spotřebitelů při nakupování na internetu, které by nebylo možné odpovídajícím způsobem vyhodnotit u respondentů, kteří na internetu nenakupují. Na základě dat získaných v průběhu realizovaného dotazníkového šetření bylo možné stanovit úroveň gramotnosti v oblasti nakupování na internetu – širší e-obchod gramotnosti pro 870 respondentů – spotřebitelů, kteří nakupují na internetu. Úroveň gramotnosti respondentů – spotřebitelů v oblasti nakupování na internetu – širší e-obchod gramotnosti byla stanovena na základě vyhodnocení odpovědí respondentů na 14 otázek (osm otázek zaměřených na znalosti, dovednosti a chování respondentů – spotřebitelů nakupujících na internetu v oblasti nakupování na internetu, viz gramotnost v oblasti nakupování na internetu – užší e-obchod gramotnost, a šest otázek zaměřených na znalosti a chování respondentů – spotřebitelů nakupujících na internetu v oblasti internetu a počítačů, viz gramotnost v oblasti internetu). Hodnocení odpovědí respondentů bylo stejné jako u výše uvedených gramotností, tj. u každé otázky bylo možné získat 1 až/nebo 3 body. 1 bod byl přidělován v případě, že otázka nebyla správně zodpovězena (u otázek znalostního charakteru), resp. kde odpověď (příp. odpovědi) respondenta neodpovídala(y) dovednostem či chování respondenta – spotřebitele gramotného v oblasti nakupování na internetu 203
a internetu. 3 body byly uděleny v případě, že otázka byla dotázaným správně zodpovězena (u otázek znalostního charakteru), resp. kde odpověď (příp. odpovědi) respondenta odpovídala(y) dovednostem či chování respondenta – spotřebitele gramotného v oblasti nakupování na internetu a internetu. U některých otázek bylo možné získat body 2, a to v situaci, kdy zvolená odpověď (příp. odpovědi) spadala(y) do tzv. šedé zóny. Vzhledem k počtu otázek použitých pro zjištění úrovně gramotnosti respondentů – spotřebitelů v oblasti nakupování na internetu – širší e-obchod gramotnosti a způsobu jejich hodnocení náleželo výsledné skóre gramotnosti respondentů v oblasti nakupování na internetu – širší e-obchod gramotnosti, určené jako součet bodů získaných respondentem u jednotlivých otázek, do intervalu <14; 42>. Co se týče interpretace dosaženého skóre, platí, že čím vyšší počet bodů respondent dosáhl, tím vyšší úroveň gramotnosti v oblasti nakupování na internetu – širší e-obchod gramotnosti projevuje, resp. čím nižší počet bodů respondent dosáhl, tím nižší úroveň gramotnosti v oblasti nakupování na internetu – širší e-obchod gramotnosti projevuje. Průměr gramotnosti respondentů – spotřebitelů, kteří nakupují na internetu, v oblasti nakupování na internetu – širší e-obchod gramotnosti dosáhl v rámci realizovaného výzkumu hodnoty 28,13 (po zaokrouhlení na dvě desetinná místa). Medián vychází na 28 bodů. Na základě těchto výsledků je možné konstatovat, že v oblasti gramotnosti respondentů – spotřebitelů v oblasti nakupování na internetu – širší e-obchod gramotnosti, resp. v jejich znalostech, dovednostech a chování v této oblasti, existují nedostatky, které není možné označit za zanedbatelné. Nejnižší dosažená hodnota gramotnosti respondenta – spotřebitele, který nakupuje na internetu, v oblasti nakupování na internetu – širší e-obchod gramotnosti byla 15 bodů, což představuje velmi nízkou úroveň gramotnosti respondenta v oblasti nakupování na internetu – širší e-obchod gramotnosti. Nejvyšší dosažená hodnota gramotnosti respondenta – spotřebitele, který nakupuje na internetu, v oblasti nakupování na internetu – širší e-obchod gramotnosti byla 40 bodů, tzn., že nikdo z respondentů nedosáhl maximálního možného počtu bodů. Přesto je možné tento výsledek podle mého názoru považovat za velmi dobrý.
204
Gramotnost respondentů – uživatelů v oblasti služeb elektronického bankovnictví – širší e-banking gramotnost Gramotnost v oblasti služeb elektronického bankovnictví – širší e-banking gramotnost byla stejně jako gramotnost v oblasti služeb elektronického bankovnictví – užší e-banking gramotnost určována u respondentů, kteří jsou uživateli služeb elektronického bankovnictví, přičemž používají jak platební kartu, tak i některý ze systémů elektronické komunikace s bankou, a to z důvodu toho, že hodnota proměnné gramotnost v oblasti služeb elektronického bankovnictví – širší e-banking gramotnost je dána součtem hodnot proměnné gramotnost v oblasti služeb elektronického bankovnictví – užší e-banking gramotnost a proměnné gramotnost v oblasti internetu. To znamená, že při stanovení úrovně gramotnosti v oblasti
služeb
elektronického
bankovnictví
–
širší
e-banking
gramotnosti
byly
použity odpovědi respondentů na otázky věnované znalostem a chování respondentů v oblasti internetu a počítačů, jakož i otázky věnované nejen znalostem, ale i dovednostem a chování uživatelů v oblasti služeb elektronického bankovnictví (platebních karet a systémů elektronické komunikace s bankou), které by nebylo možné odpovídajícím způsobem vyhodnotit u respondentů, kteří služby elektronického bankovnictví (platební karty a systémy elektronické komunikace s bankou) nepoužívají. Na základě dat získaných v průběhu realizovaného dotazníkového šetření bylo možné stanovit úroveň gramotnosti v oblasti služeb elektronického bankovnictví – širší e-banking gramotnosti pro 673 respondentů – uživatelů služeb elektronického bankovnictví. Úroveň gramotnosti respondentů – uživatelů v oblasti služeb elektronického bankovnictví – širší e-banking gramotnosti byla stanovena na základě vyhodnocení odpovědí respondentů na 17 otázek (11 otázek zaměřených na znalosti, dovednosti a chování respondentů – uživatelů služeb elektronického bankovnictví (platebních karet a systémů elektronické komunikace s bankou) v oblasti služeb elektronického bankovnictví, viz gramotnost v oblasti služeb elektronického bankovnictví – užší e-banking gramotnost, a šest otázek zaměřených na znalosti a chování respondentů – uživatelů služeb elektronického bankovnictví v oblasti internetu a počítačů, viz gramotnost v oblasti internetu). Hodnocení odpovědí respondentů bylo stejné jako u výše uvedených gramotností, tj. u každé otázky bylo možné získat 1 až/nebo 3 body. 1 bod byl přidělován v případě, že otázka nebyla správně zodpovězena (u otázek znalostního charakteru), resp. kde odpověď (příp. odpovědi) respondenta neodpovídala(y) dovednostem či chování respondenta – uživatele gramotného v oblasti služeb elektronického bankovnictví a internetu. 3 body byly uděleny v případě, že otázka byla 205
dotázaným správně zodpovězena (u otázek znalostního charakteru), resp. kde odpověď (příp. odpovědi) respondenta odpovídala(y) dovednostem či chování respondenta – uživatele gramotného v oblasti služeb elektronického bankovnictví a internetu. U některých otázek bylo možné získat body 2, a to v situaci, kdy zvolená odpověď (příp. odpovědi) spadala(y) do tzv. šedé zóny. Vzhledem k počtu otázek použitých pro zjištění úrovně gramotnosti respondentů – uživatelů v oblasti služeb elektronického bankovnictví – širší e-banking gramotnosti a způsobu jejich hodnocení náleželo výsledné skóre gramotnosti respondentů v oblasti služeb elektronického bankovnictví – širší e-banking gramotnosti, určené jako součet bodů získaných respondentem u jednotlivých otázek, do intervalu <17; 51>. Co se týče interpretace dosaženého skóre, platí, že čím vyšší počet bodů respondent dosáhl, tím vyšší úroveň gramotnosti v oblasti služeb elektronického bankovnictví – širší e-banking gramotnosti projevuje, resp. čím nižší počet bodů respondent dosáhl, tím nižší úroveň gramotnosti v oblasti služeb elektronického bankovnictví – širší e-banking gramotnosti projevuje. Průměr gramotnosti respondentů – uživatelů služeb elektronického bankovnictví (platebních karet a systémů elektronické komunikace s bankou) v oblasti služeb elektronického bankovnictví – širší e-banking gramotnosti dosáhl v rámci realizovaného výzkumu hodnoty 36,55 (po zaokrouhlení na dvě desetinná místa). Medián v tomto případě vychází na 37 bodů. Na základě těchto výsledků je možné konstatovat, že v oblasti gramotnosti respondentů – uživatelů v oblasti služeb elektronického bankovnictví – širší e-banking gramotnosti, resp. v jejich znalostech, dovednostech a chování v této oblasti, existují nedostatky, které není možné označit za zanedbatelné. Nejnižší dosažená hodnota gramotnosti respondenta – uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví – širší e-banking gramotnosti byla 21 bodů, což představuje velmi nízkou úroveň gramotnosti respondenta v oblasti služeb elektronického bankovnictví – širší e-banking gramotnosti. Nejvyšší dosažená hodnota gramotnosti respondenta – uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví – širší e-banking gramotnosti byla 49 bodů, tzn., že nikdo z respondentů nedosáhl maximálního možného počtu bodů. Přesto je možné tento výsledek podle mého názoru považovat za velmi dobrý.
206
Celková
gramotnost
respondentů
–
spotřebitelů/uživatelů
v oblasti
nakupování
na internetu a služeb elektronického bankovnictví Celková gramotnost v oblasti nakupování na internetu a služeb elektronického bankovnictví byla určována u respondentů, kteří nakupují na internetu a zároveň jsou uživateli služeb elektronického bankovnictví, přičemž používají jak platební kartu, tak i některý ze systémů elektronické komunikace s bankou, a to z důvodu toho, že hodnota proměnné celková gramotnost je dána součtem hodnot proměnné gramotnost v oblasti nakupování na internetu – užší e-obchod gramotnost, gramotnost v oblasti služeb elektronického bankovnictví – užší e-banking gramotnost a gramotnost v oblasti internetu. To znamená, že při stanovení úrovně celkové gramotnosti v oblasti nakupování na internetu a služeb elektronického bankovnictví byly použity odpovědi respondentů na otázky věnované znalostem a chování respondentů v oblasti internetu a počítačů, otázky věnované znalostem, dovednostem a chování spotřebitelů při nakupování na internetu, které by nebylo možné odpovídajícím způsobem vyhodnotit u respondentů, kteří na internetu nenakupují, a otázky věnované znalostem, dovednostem a chování uživatelů v oblasti služeb elektronického bankovnictví (platebních karet a systémů elektronické komunikace s bankou), které by nebylo možné odpovídajícím způsobem vyhodnotit u respondentů, kteří služby elektronického bankovnictví (platební karty a systémy elektronické komunikace s bankou) nepoužívají. Na základě dat získaných v průběhu realizovaného dotazníkového šetření bylo možné stanovit úroveň celkové gramotnosti v oblasti nakupování na internetu a služeb elektronického bankovnictví pro 661 respondentů – spotřebitelů/uživatelů. Úroveň celkové gramotnosti respondentů – spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví byla stanovena na základě vyhodnocení odpovědí respondentů na 25 otázek (8 otázek zaměřených na znalosti, dovednosti a chování respondentů – spotřebitelů nakupujících na internetu v oblasti nakupování na internetu, viz gramotnost v oblasti nakupování na internetu – užší e-obchod gramotnost, 11 otázek zaměřených na znalosti, dovednosti a chování respondentů – uživatelů služeb elektronického bankovnictví (platebních karet a systémů elektronické komunikace s bankou) v oblasti služeb elektronického bankovnictví, viz gramotnost v oblasti služeb elektronického bankovnictví – užší e-banking gramotnost, a 6 otázek zaměřených na znalosti a chování respondentů – spotřebitelů/uživatelů v oblasti internetu a počítačů, viz gramotnost v oblasti internetu). Hodnocení odpovědí respondentů bylo stejné jako u výše uvedených gramotností, tj. u každé otázky bylo možné získat 1 až/nebo 3 body. 1 bod byl přidělován v případě, že otázka nebyla 207
správně zodpovězena (u otázek znalostního charakteru), resp. kde odpověď (příp. odpovědi) respondenta neodpovídala(y) dovednostem či chování respondenta – spotřebitele/uživatele gramotného v oblasti nakupování na internetu, služeb elektronického bankovnictví a internetu. 3 body byly uděleny v případě, že otázka byla dotázaným správně zodpovězena (u otázek znalostního charakteru), resp. kde odpověď (příp. odpovědi) respondenta odpovídala(y) dovednostem či chování respondenta – spotřebitele/uživatele gramotného v oblasti nakupování na internetu, služeb elektronického bankovnictví a internetu. U některých otázek bylo možné získat body 2, a to v situaci, kdy zvolená odpověď (příp. odpovědi) spadala(y) do tzv. šedé zóny. Vzhledem k počtu otázek použitých pro zjištění úrovně celkové gramotnosti respondentů – spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví a způsobu jejich hodnocení náleželo výsledné skóre celkové gramotnosti respondentů v oblasti nakupování na internetu a služeb elektronického bankovnictví, určené jako součet bodů získaných respondentem u jednotlivých otázek, do intervalu <25; 75>. Co se týče interpretace dosaženého skóre, platí, že čím vyšší počet bodů respondent dosáhl, tím vyšší úroveň celkové gramotnosti v oblasti nakupování na internetu a služeb elektronického bankovnictví projevuje, resp. čím nižší počet bodů respondent dosáhl, tím nižší úroveň celkové gramotnosti v oblasti nakupování na internetu a služeb elektronického bankovnictví projevuje. Průměr celkové gramotnosti respondentů – spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví dosáhl v rámci realizovaného výzkumu hodnoty 52,28 (po zaokrouhlení na dvě desetinná místa). Medián v tomto případě vychází na 53 bodů. Na základě těchto výsledků je možné konstatovat, že v oblasti celkové gramotnosti respondentů – spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví, resp. v jejich znalostech, dovednostech a chování v této oblasti, existují nedostatky, které není možné označit za zanedbatelné. Nejnižší dosažená hodnota celkové gramotnosti respondenta – spotřebitele/uživatele v oblasti nakupování na internetu a služeb elektronického bankovnictví byla 33 bodů, což značí velmi nízkou úroveň celkové gramotnosti respondenta v oblasti nakupování na internetu a služeb elektronického bankovnictví. Nejvyšší dosažená hodnota celkové gramotnosti respondenta – spotřebitele/uživatele v oblasti nakupování na internetu a služeb elektronického bankovnictví 208
byla 68 bodů, tzn., že nikdo z respondentů nedosáhl maximálního možného počtu bodů. Přesto je možné tento výsledek podle mého názoru považovat za velmi dobrý. Shrnutí Závěrem je možné konstatovat, že v rámci realizovaného výzkumu byly v případě všech sledovaných
gramotností
(gramotnosti
v oblasti
nakupování
na
internetu
–
užší
e-obchod gramotnosti, gramotnosti v oblasti služeb elektronického bankovnictví – užší e-banking gramotnosti, gramotnosti v oblasti internetu – internet gramotnosti, gramotnosti v oblasti nakupování na internetu – širší e-obchod gramotnosti, gramotnosti v oblasti služeb elektronického bankovnictví – širší e-banking gramotnosti i celkové gramotnosti) respondentů zjištěny nedostatky, které je možné podle mého názoru považovat za věcně významné. Upozornit je přitom třeba na to, že jednotlivé proměnné v podobě dílčích gramotností byly sledovány u respondentů, kteří nakupují na internetu, resp. kteří využívají služby elektronického bankovnictví (platební karty a systémy elektronické komunikace s bankou), v případě proměnné celková gramotnost se pak jednalo o skupinu respondentů, kteří nakupují na internetu a zároveň využívají služby elektronického bankovnictví (platební karty a systémy elektronické komunikace s bankou). Vzhledem k tomu, že jednotlivé otázky dotazníku, které byly použity pro vyhodnocení úrovně gramotnosti respondentů – spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví, byly primárně orientovány do oblasti bezpečnostních rizik nakupování na internetu a elektronického bankovnictví, představují zjištěné nedostatky v jednotlivých gramotnostech respondentů – spotřebitelů/uživatelů, resp. v jejich znalostech, dovednostech a chování hrozbu pro zúčastněné subjekty (a to nejen pro samotné spotřebitele/uživatele, ale zprostředkovaně např. i pro internetové obchody či banky poskytující služby elektronického bankovnictví). V této souvislosti je podle mého názoru možné také předpokládat, že spotřebitelé/uživatelé s nižší úrovní gramotnosti, resp. s nedostatky ve svých znalostech, dovednostech a chování v oblasti nakupování na internetu a služeb elektronického bankovnictví jsou vystaveni vyšším bezpečnostním rizikům v těchto oblastech, představují pro případného útočníka/podvodníka snadnější „kořist“ atd. Proto je třeba usilovat o zvyšování znalostí a dovedností a zlepšování chování spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví (např. prostřednictvím workshopů, přednášek, příruček pro spotřebitele/uživatele).
209
5.2.3
Ověření formulovaných hypotéz
Poslední část této kapitoly bude věnována ověření formulovaných hypotéz a interpretaci dosažených výsledků. V úvodní části práce, v kapitole Cíl práce a použité metody vědecké práce bylo formulováno deset níže uvedených hypotéz, které budou testovány na datech získaných prostřednictvím výše zmiňovaného dotazníkového šetření: 1. Frekvence nákupů spotřebitele na internetu souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu. 2. Setkání spotřebitele s problémy při nákupu přes internet souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu. 3. Vnímání bezpečnosti nákupu zboží v internetovém a kamenném obchodě souvisí s gramotností
spotřebitele
nakupujícího
na
internetu
v
oblasti
nakupování
na internetu. 4. Spotřebitelova znalost a ochota dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti nakupování na internetu souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu. 5. Přesvědčení spotřebitele o tom, že spotřebitel může přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu, souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu. 6. Uživatelova znalost a ochota dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti elektronického bankovnictví souvisí s gramotností uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví. 7. Přesvědčení uživatele o tom, že uživatel může přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet, souvisí s gramotností uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví. 8. Přesvědčení uživatele o tom, že uživatel může přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou, souvisí s gramotností uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví. 9. Spotřebitelova/uživatelova znalost podvodů v oblasti elektronického obchodu a elektronického bankovnictví souvisí s celkovou gramotností spotřebitele/uživatele v oblasti nakupování na internetu a služeb elektronického bankovnictví. 10. Gramotnost spotřebitele/uživatele v oblasti nakupování na internetu, služeb elektronického bankovnictví a internetu spolu souvisí. 210
Pro přehlednost budou tyto hypotézy rozděleny dle svého zaměření do tří tematických bloků: - Nakupování na internetu (hypotéza 1 – 5) - Elektronické bankovnictví (hypotéza 6 – 8) - Gramotnost spotřebitele/uživatele (hypotéza 9 – 10) Všechny níže uvedené testy budou provedeny na 5% hladině významnosti. Nakupování na internetu Hypotéza 1: Frekvence nákupů spotřebitele na internetu souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu. Formulovaná hypotéza si klade za cíl ověřit, zda a příp. jak spolu souvisí frekvence nákupů spotřebitele na internetu (vazba na otázku č. 4 dotazníku) a gramotnost spotřebitele nakupujícího na internetu v oblasti nakupování na internetu (tj. širší e-obchod gramotnost, podrobněji viz výše). K ověření hypotézy byl použit test založený na pořadové korelaci: H0 Frekvence nákupů spotřebitele na internetu nesouvisí s gramotností spotřebitele v oblasti nakupování na internetu. H1
Frekvence nákupů spotřebitele na internetu souvisí s gramotností spotřebitele v oblasti
nakupování na internetu. Předpoklady: Počet měření pro asymptotickou variantu je dostačující; korekce na shody byla provedena.
211
Graf č. 46: Frekvence nákupů a širší e-obchod gramotnost – bodový graf Bodový graf z frekv_nahod proti širší e-obchod gramotnost Finální tabulka - hypotézy.sta 16v*882c 5,5 5,0 4,5
frekv_nahod
4,0 3,5 3,0 2,5 2,0 1,5 1,0 0,5 14
16
18
20
22
24
26
28
30
32
34
36
38
40
42
širší e-obchod gramotnost
Zdroj: vlastní výzkum
Tabulka č. 8: Frekvence nákupů a širší e-obchod gramotnost - korelace
Dvojice proměnných Frekvence nákupů & širší e-obchod gramotnost
Spearmanovy korelace ChD vynechána párově Označ. korelace jsou významné na hl. p <,05000 Počet Spearman t(N-2) p-hodn. plat. R 870 0,200132 6,018009 0,000000
* ChD – chybějící data248
Zdroj: vlastní výzkum
P-hodnota rovná 0 zamítá nulovou hypotézu H0, tj. že frekvence nákupů spotřebitele na internetu nesouvisí s gramotností spotřebitele v oblasti nakupování na internetu, ve prospěch alternativní hypotézy H1. To znamená, že je možné konstatovat, že frekvence nákupů spotřebitele na internetu souvisí s gramotností spotřebitele v oblasti nakupování na internetu (na hladině významnosti 5 %). Výběrový Spearmanův koeficient korelace dosahuje hodnoty 0,20 (po zaokrouhlení na dvě desetinná místa), což ve výběru značí pozitivní závislost zkoumaných proměnných, tedy že s rostoucí gramotností spotřebitele v oblasti nakupování na internetu (širší e-obchod gramotností) roste i frekvence nákupů spotřebitele na internetu.
248
Symbol „ChD“ bude s tímto významem dále používán.
212
K ověření formulované hypotézy byl také použit ANOVA test: H0
Gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu
je ve všech pěti skupinách respondentů roztříděných podle frekvence nákupů spotřebitele na internetu249 stejná. Gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu
H1
se mezi jednotlivými skupinami respondentů roztříděnými podle frekvence nákupů spotřebitele na internetu liší. Předpoklady: Výběry ve všech pěti skupinách jsou asymptoticky normální; shoda rozptylu nebyla na hladině 5 % zamítnuta Levenovým testem s p = 0,744. Z níže uvedeného krabicového grafu a připojené tabulky popisných statistik je až na poslední skupinu zřetelný trend, že s rostoucí frekvencí nákupů spotřebitele na internetu roste i jeho gramotnost v oblasti nakupování na internetu. Graf č. 47: Frekvence nákupů a širší e-obchod gramotnost – krabicový graf Kategoriz. krabicový graf: širší e-obchod gramotnost 38 36
širší e-obchod gramotnost
34 32 30 28 26 24 22 20 18 1
2
3 Frekvence nákupů
4
5
Průměr Průměr±SmOdch Průměr±1,96*SmOdch
Zdroj: vlastní výzkum
249
Podle odpovědi respondenta na otázku č. 4 „Objednal(a) jste si již zboží a/nebo službu přes internet?“ byly přiřazeny následující hodnoty: - 5 – ano, zboží a/nebo služby na internetu nakupuji, a to alespoň jedenkrát za týden (odpověď č. 1) - 4 – ano, zboží a/nebo služby na internetu nakupuji, a to alespoň jedenkrát za měsíc (odpověď č. 2) - 3 – ano, zboží a/nebo služby na internetu nakupuji, a to alespoň jedenkrát za čtvrt roku (odpověď č. 3) - 2 – ano, zboží a/nebo služby na internetu nakupuji, a to alespoň jedenkrát za půl roku (odpověď č. 4) - 1 – ano, zboží a/nebo služby na internetu nakupuji, avšak méně často než jedenkrát za půl roku (odpověď č. 5)
213
Tabulka č. 9: Frekvence nákupů a širší e-obchod gramotnost – popisné statistiky
Frekvence nákupů 1 2 3 4 5 Vš.skup.
Dvourozměrná tabulka popisných statistik N=870 (V seznamu záv. prom. nejsou ChD) širší e-obchod širší e-obchod širší e-obchod gramotnost gramotnost gramotnost průměr N Sm.odch. 26,54472 27,27684 28,63192 28,89831 28,48148 28,12874
123 177 307 236 27 870
3,919794 3,930819 3,833720 4,245428 3,836769 4,066136
Zdroj: vlastní výzkum
Tabulka č. 10: Frekvence nákupů a širší e-obchod gramotnost – ANOVA test
Proměnná širší e-obchod gramotnost
Analýza rozptylu Označ. efekty jsou význ. na hlad. p < ,05000 SČ SV PČ SČ SV PČ F p efekt efekt efekt chyba chyba chyba 657,9353 4 164,4838 13709,65 865 15,84930 10,37799 0,000000
Zdroj: vlastní výzkum
Tabulka č. 11: Frekvence nákupů a širší e-obchod gramotnost – Scheffeho test Scheffeho test; proměn.:širší e-obchod gramotnost Označ. rozdíly jsou významné na hlad. p < ,05000 {1} {2} {3} {4} {5} Frekvence nákupů M=26,545 M=27,277 M=28,632 M=28,898 M=28,481 1 {1} 0,652969 0,000086 0,000013 0,264491 2 {2} 0,011646 0,002274 0,709154 0,652969 3 {3} 0,000086 0,011646 0,963300 0,999845 4 {4} 0,000013 0,002274 0,963300 0,991910 5 {5} 0,264491 0,709154 0,999845 0,991910
Zdroj: vlastní výzkum
P-hodnota rovná 0 z ANOVA testu zamítá nulovou hypotézu H0, tj. že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu je ve všech pěti skupinách respondentů roztříděných podle frekvence nákupů spotřebitele na internetu stejná, ve prospěch alternativní hypotézy H1. To znamená, že je možné konstatovat, že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu se mezi jednotlivými skupinami respondentů roztříděnými podle frekvence nákupů spotřebitele na internetu liší (na hladině významnosti 5 %). Nebo také alternativně tak, že nulová p-hodnota zamítá nulovou hypotézu, že frekvence nákupů spotřebitele na internetu (frekvence nákupů) a jeho gramotnost v oblasti nakupování na internetu (širší e-obchod gramotnost) spolu nesouvisí, ve prospěch tvrzení, že tyto proměnné spolu souvisí. Scheffeho metoda mnohonásobného 214
porovnávání prokázala signifikantní rozdíl mezi první a třetí, první a čtvrtou, druhou a třetí a druhou a čtvrtou skupinou respondentů roztříděných podle frekvence nákupů spotřebitele na internetu. Tyto závěry jsou v souladu s výše uvedeným Spearmanovým korelačním koeficientem a pořadovým testem. Na základě daného výběru lze usuzovat, že s rostoucí gramotností spotřebitele v oblasti nakupování na internetu (širší e-obchod gramotností) roste i jeho frekvence nákupů na internetu. Potvrzení souvislosti mezi sledovanými proměnnými v rámci realizovaného výzkumu, u kterého předpokládáme, že formulované závěry neplatí pouze pro zkoumaný vzorek, ale je možné jejich platnost zobecnit pro populaci osob studujících na vysokých školách ekonomického zaměření v České republice, může podle mého názoru vést rovněž k závěru, že zvyšování úrovně gramotnosti spotřebitele v oblasti nakupování na internetu je v zájmu i internetových obchodů, neboť spotřebitelé s vyšší úrovní gramotnosti v oblasti nakupování na internetu nakupují zboží a/nebo služby na internetu častěji, než je tomu u spotřebitelů s nižší úrovní gramotnosti v oblasti nakupování na internetu. Internetovým obchodům obecně je tak možné doporučit podporu projektů zabývajících se zvyšováním gramotnosti spotřebitelů v oblasti nakupování na internetu (přičemž tato podpora může mít různou podobu, zmínit lze např. finanční podporu projektů, vzdělávání spotřebitelů na svých webových stránkách, pořádání „osvětových“ přednášek pro vybranou cílovou skupinu), neboť lze předpokládat, že zvyšující se úroveň gramotnosti spotřebitelů v oblasti nakupování na internetu přispěje k dalšímu rozvoji internetových obchodů (s rostoucí frekvencí nákupů spotřebitelů na internetu lze za jinak stejných podmínek očekávat mimo jiné růst tržeb a zisků internetových obchodů), potažmo elektronického obchodování jako celku. Hypotéza 2: Setkání spotřebitele s problémy při nákupu přes internet souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu. Formulovaná hypotéza si klade za cíl ověřit, zda a příp. jak spolu souvisí setkání spotřebitele s problémy při nákupu přes internet (problémy při nákupu; vazba na otázku č. 5 dotazníku) a gramotnost spotřebitele nakupujícího na internetu v oblasti nakupování na internetu (tj. širší e-obchod gramotnost, podrobněji viz výše).
215
K ověření hypotézy byl použit dvouvýběrový T-test: H0
Gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu
je u obou skupin respondentů roztříděných podle toho, zda se setkali či nesetkali s problémy při nákupu zboží a/nebo služeb na internetu250, stejná. H1
Gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu
se mezi oběma skupinami respondentů roztříděnými podle toho, zda se setkali či nesetkali s problémy při nákupu zboží a/nebo služeb na internetu, liší. Předpoklady: Výběry v obou skupinách respondentů jsou normální; shoda rozptylu nebyla na hladině 5 % zamítnuta F-testem s p = 0,69. Tabulka č. 12: Problémy při nákupu a širší e-obchod gramotnost – popisné statistiky Dvourozměrná tabulka popisných statistik N=865 (V seznamu záv. prom. nejsou ChD) širší e-obchod širší e-obchod širší e-obchod gramotnost gramotnost gramotnost průměr N Sm.odch. Problémy při nákupu 0 27,96534 577 4,084036 1 28,51042 288 3,999115 Vš.skup. 28,14682 865 4,061785
Zdroj: vlastní výzkum
Z výše uvedené tabulky je zřejmé, že výběrové průměry gramotnosti spotřebitelů nakupujících na internetu v oblasti nakupování na internetu (širší e-obchod gramotnosti) se u obou skupin respondentů roztříděných podle toho, zda se setkali či nesetkali s problémy při nákupu zboží a/nebo služeb na internetu, téměř neliší. Tabulka č. 13: Problémy při nákupu a širší e-obchod gramotnost – dvouvýběrový T-test
Proměnná širší e-obchod gramotnost
t-testy; grupováno:Problémy při nákupu Skup. 1: 1 Skup. 2: 0 Průměr Průměr t sv 1 0 28,51042 27,96534 1,862680
p
863 0,062847
Poč.plat Poč.plat. 1 0 288
577
Zdroj: vlastní výzkum
P-hodnota 0,06 (po zaokrouhlení na dvě desetinná místa) nezamítá nulovou hypotézu H0, tj. že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu je u obou skupin respondentů roztříděných podle toho, zda se setkali či nesetkali s problémy 250
Podle vyjádření respondenta u otázky č. 5 „Při nákupu zboží a/nebo služeb na internetu jsem se s žádnými problémy zatím nesetkal(a)“ byly přiřazeny následující hodnoty: - 0 – ano (odpověď č. 1) - 1 – ne (odpověď č. 2, 3, 4)
216
při nákupu zboží a/nebo služeb na internetu, stejná. To znamená, že nebylo prokázáno, že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu se mezi oběma skupinami respondentů roztříděnými podle toho, zda se setkali či nesetkali s problémy při nákupu zboží a/nebo služeb na internetu, liší (na hladině významnosti 5 %). Nebylo tedy prokázáno, že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu (širší e-obchod gramotnost) a setkání spotřebitele s problémy při nákupu přes internet (problémy při nákupu) spolu souvisí (na hladině významnosti 5 %). Na druhou stranu však s ohledem na nízkou p-hodnotu lze doporučit další výzkum v této oblasti, neboť je možné, že při dalším zkoumání by se souvislost mezi těmito proměnnými v rámci testování potvrdila. Souvislost mezi zkoumanými proměnnými by dle mého názoru mohla pramenit ze skutečnosti, že spotřebitelé s nižší úrovní gramotnosti v oblasti nakupování na internetu jsou vystaveni vyšším bezpečnostním rizikům spojeným s nakupováním na internetu než spotřebitelé s vyšší úrovní gramotnosti v oblasti nakupování na internetu z důvodu existujících větších nedostatků v oblasti svých znalostí a dovedností, příp. svého neadekvátního chování, díky čemuž by se tito spotřebitelé mohli s problémy při nakupování přes internet setkávat častěji než jejich kolegové s vyšší úrovní gramotnosti, u nichž lze předpokládat, že díky svým znalostem a dovednostem, příp. i díky svému chování, jsou schopní předejít realizaci řady bezpečnostních rizik a s problémy při nakupování na internetu se tak setkávají méně často. Alternativně by bylo možné souvislost mezi proměnnými vysvětlit např. tím, že spotřebitelé, kteří se setkají s problémy při nakupování na internetu, se ze vzniklé situace poučí, což přispěje ke zvýšení jejich gramotnosti v oblasti nakupování na internetu, resp. že setkání spotřebitele s problémem při nakupování je pro spotřebitele impulsem ke zvyšování své gramotnosti v této oblasti. Hypotéza 3: Vnímání bezpečnosti nákupu zboží v internetovém a kamenném obchodě souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu. Formulovaná hypotéza si klade za cíl ověřit, zda a příp. jak spolu souvisí vnímání bezpečnosti nákupu zboží v internetovém a kamenném obchodě (bezpečnost nákupu; vazba na otázku č. 6 dotazníku) a gramotnost spotřebitele nakupujícího na internetu v oblasti nakupování na internetu (tj. širší e-obchod gramotnost, podrobněji viz výše).
217
K ověření hypotézy byl použit dvouvýběrový T-test: H0
Gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu
je u obou skupin respondentů roztříděných podle názoru na bezpečnost nákupu zboží v internetovém a kamenném obchodě251 stejná. H1
Gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu
se mezi oběma skupinami respondentů roztříděnými podle názoru na bezpečnost nákupu zboží v internetovém a kamenném obchodě liší. Předpoklady: Výběry v obou skupinách respondentů jsou normální; shoda rozptylu nebyla na hladině 5 % zamítnuta F-testem s p = 0,516. Tabulka č. 14: Bezpečnost nákupu a širší e-obchod gramotnost – popisné statistiky Dvourozměrná tabulka popisných statistik N=797 (V seznamu záv. prom. nejsou ChD) širší e-obchod širší e-obchod širší e-obchod gramotnost gramotnost gramotnost Bezpečnost nákupu průměr N Sm.odch. 0 29,16923 325 4,058862 27,54237 472 3,928002 1 28,20577 797 4,058964 Vš.skup.
Zdroj: vlastní výzkum
Z výše uvedené tabulky je zřejmé, že výběrové průměry gramotnosti spotřebitelů nakupujících na internetu v oblasti nakupování na internetu (širší e-obchod gramotnosti) se u obou skupin respondentů roztříděných podle názoru na bezpečnost nákupu zboží v internetovém a kamenném obchodě mírně liší. Výběrová gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu (širší e-obchod gramotnost) je v daném výběru vyšší u respondentů, kteří nepovažují nákup zboží v internetovém obchodě za méně bezpečný než v kamenném obchodě, oproti respondentům, kteří nákup zboží v internetovém obchodě považují za méně bezpečný než v kamenném obchodě. Tabulka č. 15: Bezpečnost nákupu a širší e-obchod gramotnost – dvouvýběrový T-test
Proměnná širší e-obchod gramotnost
t-testy; grupováno:Bezpečnost nákupu Skup. 1: 0 Skup. 2: 1 Průměr Průměr t sv 0 1 29,16923
27,54237 5,668236
795
p 0,000000
Poč.plat. Poč.plat. 0 1 325
472
Zdroj: vlastní výzkum 251
Podle vyjádření respondenta u otázky č. 6 „Nákup zboží v internetovém obchodě považuji za méně bezpečný než v kamenném obchodě“ byly přiřazeny následující hodnoty: - 1 – ano (odpověď č. 1) - 0 – ne (odpověď č. 2)
218
Nulová p-hodnota zamítá nulovou hypotézu H0, tj. že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu je u obou skupin respondentů roztříděných podle názoru na bezpečnost nákupu zboží v internetovém a kamenném obchodě stejná, ve prospěch alternativní hypotézy H1. To znamená, že bylo prokázáno, že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu se mezi oběma skupinami
respondentů
roztříděnými
podle
názoru
na
bezpečnost
nákupu
zboží
v internetovém a kamenném obchodě liší, tedy tyto dvě proměnné spolu souvisí (na hladině významnosti 5 %). Bylo tedy prokázáno, že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu (širší e-obchod gramotnost) a vnímání bezpečnosti nákupu zboží v internetovém a kamenném obchodě (bezpečnost nákupu) spolu souvisí (na hladině významnosti 5 %). Na druhou stranu je však třeba přiznat, že populační rozdíl mezi průměrnou gramotností respondentů nakupujících na internetu v oblasti nakupování na internetu (širší e-obchod gramotností) obou skupin je se spolehlivostí 95 % z intervalu (1,063; 2,1902), což představuje prakticky zanedbatelný rozdíl. Tento závěr podporuje i výše Cohenova koeficientu věcného účinku 0,1. Zjištěný rozdíl je tak možné považovat za věcně nevýznamný. S ohledem na dosažené výsledky lze doporučit další výzkum v této oblasti, který by potvrdil či vyloučil souvislost sledovaných proměnných. Souvislost mezi vnímáním bezpečnosti nákupu zboží v internetovém a kamenném obchodě a gramotností spotřebitele v oblasti nakupování na internetu by mohla být vysvětlována tím, že spotřebitelé s vyšší úrovní gramotnosti v oblasti nakupování na internetu jsou si vědomi toho, jak bezpečně nakupovat zboží a/nebo služby na internetu, co přispívá ke snížení podstupovaných bezpečnostních rizik, na co si dát pozor, jak se v jednotlivých situacích chovat a proč apod., v důsledku čehož nemusí nakupování na internetu považovat za méně bezpečné než nakupování v kamenném obchodě. Připustit lze ale i možnost, že další provedený výzkum naopak prokáže, že spotřebitelé s vyšší úrovní gramotnosti v oblasti nakupování na internetu považují nákup zboží a/nebo služeb v internetovém obchodě za méně bezpečný než v kamenném obchodě, což by bylo možné následně interpretovat tak, že tito spotřebitelé si díky svým znalostem více uvědomují rizika spojená s nakupováním na internetu, díky čemuž považují tento způsob nákupu za méně bezpečný ve srovnání s kamennými obchody, než je tomu u spotřebitelů s nižší úrovní gramotnosti v oblasti nakupování na internetu, u nichž se projevují určité nedostatky ve znalostech z této oblasti. 219
Hypotéza 4: Spotřebitelova znalost a ochota dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti nakupování na internetu souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu. Formulovaná hypotéza si klade za cíl ověřit, zda a příp. jak spolu souvisí spotřebitelova znalost a ochota dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti nakupování na internetu (resp. znalost doporučení – nákup; vazba na otázku č. 9 dotazníku) a jeho gramotnost v oblasti nakupování na internetu (resp. širší e-obchod gramotnost, podrobněji viz výše). Pro úplnost je třeba dodat, že zatímco proměnná gramotnost spotřebitele nakupujícího na internetu v oblasti nakupování na internetu (širší e-obchod gramotnost) je počítána na základě odpovědí respondentů na předem stanovené otázky (viz dříve zmíněná metodika výpočtu) a s určitým zjednodušením je tak možné ji považovat za objektivní veličinu, proměnná znalost a ochota spotřebitele dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti nakupování na internetu (znalost doporučení – nákup) je výsledkem sebehodnocení respondenta, tzn., že tuto proměnnou je možné považovat za subjektivní kategorii (hodnota této proměnné je určena odpovědí respondenta, zda si o sobě myslí, že zná tato doporučení, příp. zda se je snaží co nejvíce dodržovat či nikoliv). K ověření hypotézy byl použit ANOVA test: H0
Gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu
je ve všech třech skupinách respondentů roztříděných podle spotřebitelovy znalosti a ochoty dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti nakupování na internetu252 stejná. H1
Gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu
se mezi jednotlivými skupinami respondentů roztříděnými podle spotřebitelovy znalosti a ochoty dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti nakupování na internetu liší. Předpoklady: Výběry ve všech třech skupinách jsou asymptoticky normální; shoda rozptylu nebyla na hladině 5 % zamítnuta Levenovým testem s p = 0,405.
252
Dle vyjádření respondenta u otázky č. 9 „Doporučení pro uživatele přispívající ke snížení výše bezpečnostních rizik souvisejících s nakupováním po internetu“ byly přiřazeny následující hodnoty: - 2 – znám a snažím se je při nákupech co nejvíce dodržovat (odpověď č. 1) - 1 – znám, mnohdy je však při nákupech nedodržuji (odpověď č. 2) - 0 – neznám (odpověď č. 4)
220
Z níže uvedeného krabicového grafu a připojené tabulky popisných statistik je možné vysledovat trend, že se spotřebitelovou znalostí a ochotou dodržovat doporučení přispívající ke snížení bezpečnostní rizik v oblasti nakupování na internetu roste jeho gramotnost v oblasti nakupování na internetu. Graf č. 48: Znalost doporučení - nákup a širší e-obchod gramotnost – krabicový graf Kategoriz. krabicový graf: širší e-obchod gramotnost 38 36
širší e-obchod gramotnost
34 32 30 28 26 24 22 20 18 16
0
1
2
Znalost doporučení - nákup
Průměr Průměr±SmOdch Průměr±1,96*SmOdch
Zdroj: vlastní výzkum
Tabulka č. 16: Znalost doporučení - nákup a širší e-obchod gramotnost – popisné statistiky Rozkladová tabulka popisných statistik N=855 (V seznamu záv. prom. nejsou ChD) Znalost širší e-obchod širší e-obchod doporučení gramotnost gramotnost nákup průměr N 0 26,35393 178 1 27,84615 130 2 28,82815 547 Vš.skup. 28,16374 855
širší e-obchod gramotnost Sm.odch. 4,053806 3,669403 3,979767 4,067791
Zdroj: vlastní výzkum
Tabulka č. 17: Znalost doporučení - nákup a širší e-obchod gramotnost – ANOVA test Analýza rozptylu Označ. efekty jsou význ. na hlad. p < ,05000 SČ SV PČ SČ SV PČ F p efekt efekt efekt chyba chyba chyba Proměnná širší e-obchod gramotnost 837,6043 2 418,8021 13293,47 852 15,60267 26,84170 0,000000
Zdroj: vlastní výzkum
221
Tabulka č. 18: Znalost doporučení - nákup a širší e-obchod gramotnost – Scheffeho test Scheffeho test; proměn.:širší e-obchod gramotnost Označ. rozdíly jsou významné na hlad. p < ,05000 {1} {2} {3} Znalost doporučení - nákup M=26,354 M=27,846 M=28,828 0 {1} 0,004856 0,000000 1 {2} 0,004856 0,039415 2 {3} 0,000000 0,039415
Zdroj: vlastní výzkum
P-hodnota rovná 0 zamítá nulovou hypotézu H0, tj. že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu je ve všech třech skupinách respondentů roztříděných podle spotřebitelovy znalosti a ochoty dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti nakupování na internetu stejná, ve prospěch alternativní hypotézy H1. To znamená, že je možné konstatovat, že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu se mezi jednotlivými skupinami respondentů roztříděnými podle spotřebitelovy znalosti a ochoty dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti nakupování na internetu liší, tedy tyto dvě proměnné spolu souvisí (na hladině významnosti 5 %). Scheffeho metoda mnohonásobného porovnávání prokázala signifikantní rozdíl mezi všemi skupinami respondentů roztříděnými podle spotřebitelovy znalosti a ochoty dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti nakupování na internetu po dvojicích. Podařilo se tedy prokázat, že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu (širší e-obchod gramotnost) a jejich znalost a ochota dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti nakupování na internetu (znalost doporučení – nákup) spolu souvisí (na hladině významnosti 5 %). Z výběru lze předpokládat, že je mezi těmito proměnnými přímá závislost. Na závěr se vraťme k charakteru sledovaných proměnných. Při definování zkoumaného problému bylo konstatováno, že proměnná gramotnost spotřebitele nakupujícího na internetu v oblasti nakupování na internetu (širší e-obchod gramotnost) je odvozována z odpovědí respondentů na předem stanovené otázky týkající se jejich znalostí, dovedností a chování souvisejících s oblastí nakupování na internetu (viz dříve zmíněná metodika výpočtu) a s určitým zjednodušením je tak možné tuto proměnnou považovat za objektivní veličinu, zatímco proměnná znalost a ochota spotřebitele dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti nakupování na internetu (znalost doporučení – nákup) je výsledkem sebehodnocení respondenta, tj. že tato proměnná má spíše subjektivní charakter 222
(hodnota této proměnné je určena odpovědí respondenta, zda si o sobě myslí, že zná tato doporučení, příp. zda se je snaží co nejvíce dodržovat či nikoliv). Potvrzení souvislosti mezi sledovanými proměnnými v rámci realizovaného výzkumu, doplněné úsudkem o přímé závislosti mezi těmito proměnnými, může vést dle mého názoru rovněž k závěru, že spotřebitelé jsou schopní sebereflexe, kritického sebehodnocení a nesnaží se o vylepšení svého „obrazu“, neboť spotřebitelé, kteří u otázky „Doporučení pro uživatele přispívající ke snížení výše bezpečnostních rizik souvisejících s nakupováním po internetu“ uvedli, že tato doporučení znají a snaží se je co nejvíce dodržovat, prokazovali v rámci realizovaného výzkumu vyšší úroveň gramotnosti v oblasti nakupování na internetu než spotřebitelé, kteří uvedli, že tato doporučení znají, mnohdy je však nedodržují, a spotřebitelé, kteří uvedli, že tato doporučení neznají, přestože na internetu nakupují (stejně tak spotřebitelé, kteří uvedli, že tato doporučení znají, mnohdy je však nedodržují, prokazovali vyšší úroveň gramotnosti v oblasti nakupování na internetu než spotřebitelé, kteří uvedli, že tato doporučení neznají, přestože na internetu nakupují). Je potěšující, že se ve výběru prokázala přímá závislost mezi proměnnými gramotnost v oblasti nakupování na internetu (širší e-obchod gramotnost), jejíž hodnoty byly získány na základě odpovědí respondentů na vybrané otázky z dotazníku týkající se jejich znalostí, dovedností a chování souvisejících s oblastí nakupování na internetu, a znalost a ochota spotřebitele dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti nakupování na internetu (znalost doporučení – nákup), resp. sebehodnocením respondenta. V rámci dalšího výzkumu by bylo možné se zabývat touto problematikou podrobněji. Hypotéza 5: Přesvědčení spotřebitele o tom, že spotřebitel může přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu, souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu. Formulovaná hypotéza si klade za cíl ověřit, zda a příp. jak spolu souvisí přesvědčení spotřebitele o tom, že spotřebitel může přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu (spotřebitel může snížit riziko při nákupu; vazba na otázku č. 10 dotazníku) a gramotnost spotřebitele nakupujícího na internetu v oblasti nakupování na internetu (tj. širší e-obchod gramotnost, podrobněji viz výše).
223
K ověření hypotézy byl použit dvouvýběrový T-test: H0
Gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu
je u obou skupin respondentů roztříděných podle názoru na možnost spotřebitele přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu253 stejná. H1
Gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu
se mezi oběma skupinami respondentů roztříděnými podle názoru na možnost spotřebitele přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu liší. Předpoklady: Výběry v obou skupinách respondentů jsou normální; shoda rozptylu nebyla na hladině 5 % zamítnuta F-testem s p = 0,42. Tabulka č. 19: Spotřebitel může snížit riziko při nákupu a širší e-obchod gramotnost – popisné statistiky Dvourozměrná tabulka popisných statistik N=679 (V seznamu záv. prom. nejsou ChD) širší e-obchod širší e-obchod širší e-obchod gramotnost gramotnost gramotnost Spotřebitel může snížit riziko při nákupu průměr N Sm.odch. 0 28,72340 47 3,669511 1 28,50949 632 4,041375 Vš.skup. 28,52430 679 4,014603
Zdroj: vlastní výzkum
Z výše uvedené tabulky je zřejmé, že výběrové průměry gramotnosti spotřebitelů nakupujících na internetu v oblasti nakupování na internetu (širší e-obchod gramotnosti) se mezi oběma skupinami respondentů roztříděnými podle názoru na možnost spotřebitele přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu téměř neliší. Za povšimnutí rovněž stojí skutečnost, že vytvořené skupiny jsou z pohledu počtu respondentů různě velké (47 vs. 632 respondentů). Tabulka č. 20: Spotřebitel může snížit riziko při nákupu a širší e-obchod gramotnost – dvouvýběrový T-test
Proměnná širší e-obchod gramotnost Zdroj: vlastní výzkum
t-testy; grupováno:Spotřebitel může snížit riziko při nákupu Skup. 1: 1 Skup. 2: 0 Průměr Průměr t sv p Poč.plat. Poč.plat. 1 0 1 0 28,50949 28,72340 -0,352194 677 0,724803 632 47
253
Podle odpovědi respondenta na otázku č. 10 „Může spotřebitel podle Vašeho názoru přispět ke snížení výše bezpečnostních rizik souvisejících s nakupováním na internetu?“ byly přiřazeny následující hodnoty: - 1 – ano (odpověď č. 1) - 0 – ne (odpověď č. 2)
224
P-hodnota rovná 0,72 (po zaokrouhlení na dvě desetinná místa) nezamítá nulovou hypotézu H0, tj. že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu je u obou skupin respondentů roztříděných podle názoru na možnost spotřebitele přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu stejná, ve prospěch alternativní hypotézy H1. To znamená, že nebylo prokázáno, že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu se mezi oběma skupinami respondentů roztříděnými podle názoru na možnost spotřebitele přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu liší (na hladině významnosti 5 %). Nebylo tedy prokázáno, že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu (širší e-obchod gramotnost) a přesvědčení spotřebitele o tom, že spotřebitel může přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu (spotřebitel může snížit riziko při nákupu) spolu souvisí (na hladině významnosti 5 %). Realizovaný výzkum tak nepotvrdil původní předpoklad souvislosti gramotnosti spotřebitelů nakupujících na internetu v oblasti nakupování na internetu (širší e-obchod gramotnosti) a přesvědčení spotřebitele o tom, že spotřebitel může přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu (spotřebitel může snížit riziko při nákupu), kdy jsem očekávala, že se úroveň gramotnosti spotřebitelů v oblasti nakupování na internetu bude mezi jednotlivými skupinami respondentů roztříděnými podle názoru na možnost spotřebitele přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu lišit, a to tak, že spotřebitelé přesvědčení o tom, že spotřebitelé mohou přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu, budou dosahovat vyšší úrovně gramotnosti v oblasti nakupování na internetu než spotřebitelé, kteří si myslí, že spotřebitelé nemohou přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu. Resp. že spotřebitelé s vyšší úrovní gramotnosti v oblasti nakupování na internetu (tzn., ti, kteří mají lepší znalosti a dovednosti a vykazují vhodnější chování v oblasti nakupování na internetu) budou častěji zastávat názor, že spotřebitelé mohou přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu (neboť lépe znají jednotlivá bezpečnostní rizika, ví jak jim předcházet, jakou roli zde hraje spotřebitel apod.), než spotřebitelé s nižší úrovní gramotnosti v oblasti nakupování na internetu. Většina respondentů, kteří byli schopní posoudit, zda spotřebitel může či nemůže přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu, se přiklonila k tomu,
225
že spotřebitel může přispět ke snížení těchto bezpečnostních rizik (celkem 659 vs. 51 respondentů, resp. 632 vs. 47 respondentů u testování této hypotézy). Elektronické bankovnictví Hypotéza 6: Uživatelova znalost a ochota dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti elektronického bankovnictví souvisí s gramotností uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví. Formulovaná hypotéza si klade za cíl ověřit, zda a příp. jak spolu souvisí uživatelova znalost a ochota dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti elektronického bankovnictví (resp. znalost doporučení – bankovnictví; vazba na otázku č. 24 dotazníku) a jeho gramotnost v oblasti služeb elektronického bankovnictví (resp. širší e-banking gramotnost, podrobněji viz výše). Pro úplnost je třeba dodat (podobně jako u nakupování na internetu), že zatímco proměnná gramotnost uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví (širší e-banking gramotnost) je počítána na základě odpovědí respondentů na předem stanovené otázky (viz dříve zmíněná metodika výpočtu) a s určitým zjednodušením je tak možné ji považovat za objektivní veličinu, proměnná znalost a ochota uživatele dodržovat doporučení přispívající ke snížení bezpečnostních
rizik
v oblasti
elektronického
bankovnictví
(znalost
doporučení
–
bankovnictví) je výsledkem sebehodnocení respondenta, tzn., že tuto proměnnou je možné považovat za subjektivní kategorii (hodnota této proměnné je určena odpovědí respondenta, zda si o sobě myslí, že zná tato doporučení, příp. zda se je snaží co nejvíce dodržovat či nikoliv). K ověření hypotézy byl použit ANOVA test: H0 Gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví je ve všech třech skupinách respondentů roztříděných podle uživatelovy znalosti a ochoty dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti elektronického bankovnictví254 stejná. H1 Gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví se mezi jednotlivými skupinami respondentů roztříděnými podle uživatelovy 254
Dle vyjádření respondenta u otázky č. 24 „Doporučení pro uživatele přispívající ke snížení výše bezpečnostních rizik v oblasti elektronického bankovnictví“ byly přiřazeny následující hodnoty: - 2 – znám a snažím se je co nejvíce dodržovat (odpověď č. 1) - 1 – znám, mnohdy je však nedodržuji (odpověď č. 2) - 0 – neznám (odpověď č. 4)
226
znalosti a ochoty dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti elektronického bankovnictví liší. Předpoklady: Výběry ve všech třech skupinách jsou asymptoticky normální; shoda rozptylu nebyla na hladině 5 % zamítnuta Levenovým testem s p = 0,702. Z níže uvedeného krabicového grafu a připojené tabulky popisných statistik je možné vysledovat trend, že s uživatelovou znalostí a ochotou dodržovat doporučení přispívající ke snížení bezpečnostní rizik v oblasti elektronického bankovnictví roste jeho gramotnost v oblasti služeb elektronického bankovnictví. Graf č. 49: Znalost doporučení - bankovnictví a širší e-banking gramotnost – krabicový graf Kategoriz. krabicový graf: širší e-banking gramotnost 50 48 46
širší e-banking gramotnost
44 42 40 38 36 34 32 30 28 26 24 22 0
1 Znalost doporučení - bankovnictví
2
Průměr Průměr±SmOdch Průměr±1,96*SmOdch
Zdroj: vlastní výzkum
Tabulka č. 21: Znalost doporučení - bankovnictví a širší e-banking gramotnost – popisné statistiky Dvourozměrná tabulka popisných statistik N=663 (V seznamu záv. prom. nejsou ChD) širší e-banking širší e-banking širší e-banking gramotnost gramotnost gramotnost Znalost doporučení - bankovnictví průměr N Sm.odch. 0 33,42683 164 4,612681 1 36,32990 97 4,700890 2 37,96517 402 4,891723 Vš.skup. 36,60332 663 5,155098
Zdroj: vlastní výzkum
227
Tabulka č. 22: Znalost doporučení - bankovnictví a širší e-banking gramotnost – ANOVA test Analýza rozptylu Označ. efekty jsou význ. na hlad. p < ,05000 SČ SV PČ SČ SV PČ F p Proměnná efekt efekt efekt chyba chyba chyba širší e-banking gramotnost 2407,595 2 1203,798 15185,08 660 23,00769 52,32152 0,000000
Zdroj: vlastní výzkum
Tabulka č. 23: Znalost doporučení - bankovnictví a širší e-banking gramotnost – Scheffeho test Scheffeho test; proměn.:širší e-banking gramotnost Označ. rozdíly jsou významné na hlad. p < ,05000 {1} {2} {3} Znalost doporučení - bankovnictví M=33,427 M=36,330 M=37,965 0 {1} 0,000017 0,000000 1 {2} 0,000017 0,010995 2 {3} 0,000000 0,010995
Zdroj: vlastní výzkum
P-hodnota rovná 0 zamítá nulovou hypotézu H0, tj. že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví je ve všech třech skupinách respondentů roztříděných podle uživatelovy znalosti a ochoty dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti elektronického bankovnictví stejná, ve prospěch alternativní hypotézy H1. To znamená, že je možné konstatovat, že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví se mezi jednotlivými skupinami respondentů roztříděnými podle uživatelovy znalosti a ochoty dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti elektronického bankovnictví liší (na hladině významnosti 5 %). Nebo také alternativně tak, že nulová p-hodnota zamítá nulovou hypotézu, že uživatelova znalost a ochota dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti elektronického bankovnictví (znalost doporučení – bankovnictví) a jeho gramotnost v oblasti služeb elektronického bankovnictví (širší e-banking gramotnost) spolu nesouvisí, ve prospěch tvrzení, že tyto proměnné spolu souvisí. Scheffeho metoda mnohonásobného porovnávání prokázala signifikantní rozdíl mezi všemi skupinami respondentů roztříděnými podle uživatelovy znalosti a ochoty dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti elektronického bankovnictví po dvojicích. Podařilo se tedy prokázat, že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví (širší e-banking gramotnost) a jejich znalost a ochota dodržovat doporučení přispívající ke snížení bezpečnostních
rizik
v oblasti
elektronického 228
bankovnictví
(znalost
doporučení
–
bankovnictví) spolu souvisí (na hladině významnosti 5 %). Z výběru lze předpokládat, že je mezi těmito proměnnými přímá závislost. Na závěr se opět vraťme k charakteru sledovaných proměnných. Při definování zkoumaného problému bylo konstatováno, že proměnná gramotnost uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví (širší e-banking gramotnost) je odvozována z odpovědí respondentů na předem stanovené otázky týkající se jejich znalostí, dovedností a chování souvisejících s oblastí služeb elektronického bankovnictví (viz dříve zmíněná metodika výpočtu) a s určitým zjednodušením je tak možné tuto proměnnou považovat za objektivní veličinu, zatímco proměnná znalost a ochota uživatele dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti elektronického bankovnictví (znalost doporučení – bankovnictví) je výsledkem sebehodnocení respondenta, tj. že tato proměnná má spíše subjektivní charakter (hodnota této proměnné je určena odpovědí respondenta, zda si o sobě myslí, že zná tato doporučení, příp. zda se je snaží co nejvíce dodržovat či nikoliv). Potvrzení souvislosti mezi sledovanými proměnnými v rámci realizovaného výzkumu, doplněné úsudkem o přímé závislosti mezi těmito proměnnými, může vést dle mého názoru rovněž k závěru, že uživatelé jsou schopní sebereflexe, kritického sebehodnocení a nesnaží se o vylepšení svého „obrazu“, neboť uživatelé, kteří u otázky „Doporučení pro uživatele přispívající ke snížení výše bezpečnostních rizik v oblasti elektronického bankovnictví“ uvedli, že tato doporučení znají a snaží se je co nejvíce dodržovat, prokazovali v rámci realizovaného
výzkumu
vyšší
úroveň
gramotnosti v oblasti služeb elektronického
bankovnictví než uživatelé, kteří uvedli, že tato doporučení znají, mnohdy je však nedodržují, a uživatelé, kteří uvedli, že tato doporučení neznají, přestože služby elektronického bankovnictví používají (stejně tak uživatelé, kteří uvedli, že tato doporučení znají, mnohdy je však nedodržují, prokazovali vyšší úroveň gramotnosti v oblasti služeb elektronického bankovnictví než uživatelé, kteří uvedli, že tato doporučení neznají, přestože služby elektronického bankovnictví používají). Je potěšující, že se ve výběru prokázala přímá závislost mezi proměnnými gramotnost v oblasti služeb elektronického bankovnictví (širší e-banking gramotnost), jejíž hodnoty byly získány na základě odpovědí respondentů na vybrané otázky z dotazníku týkající se jejich znalostí, dovedností a chování souvisejících s oblastí služeb elektronického bankovnictví, a znalost a ochota uživatele dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti elektronického bankovnictví 229
(znalost doporučení – bankovnictví), resp. sebehodnocením respondenta. V rámci dalšího výzkumu by bylo možné se zabývat touto problematikou podrobněji. Hypotéza 7: Přesvědčení uživatele o tom, že uživatel může přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet, souvisí s gramotností uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví. Formulovaná hypotéza si klade za cíl ověřit, zda a příp. jak spolu souvisí přesvědčení uživatele o tom, že uživatel může přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet (uživatel může snížit riziko u platebních karet; vazba na otázku č. 25 dotazníku) a gramotnost uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví (tj. širší e-banking gramotnost, podrobněji viz výše). K ověření hypotézy byl použit dvouvýběrový T-test: H0
Gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického
bankovnictví je u obou skupin respondentů roztříděných podle názoru na možnost uživatele přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet255 stejná. H1 Gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví se mezi oběma skupinami respondentů roztříděnými podle názoru na možnost uživatele přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet liší. Předpoklady: Výběry v obou skupinách respondentů jsou normální; shoda rozptylu nebyla na hladině 5 % zamítnuta F-testem s p = 0,378.
255
Podle odpovědi respondenta na otázku č. 25 „Může podle Vašeho názoru uživatel přispět ke snížení výše bezpečnostních rizik souvisejících s používáním platebních karet?“ byly přiřazeny následující hodnoty: - 1 – ano (odpověď č. 1) - 0 – ne (odpověď č. 2)
230
Tabulka č. 24: Uživatel může snížit riziko u platebních karet a širší e-banking gramotnost – popisné statistiky Dvourozměrná tabulka popisných statistik N=576 (V seznamu záv. prom. nejsou ChD) širší e-banking širší e-banking širší e-banking gramotnost gramotnost gramotnost průměr N Sm.odch. Uživatel může snížit riziko u platebních karet 0 35,72000 25 4,439595 36,97096 551 5,160609 1 Vš.skup. 36,91667 576 5,134368
Zdroj: vlastní výzkum
Z výše uvedené tabulky je zřejmé, že výběrové průměry gramotnosti uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví (širší e-banking gramotnosti) se mezi oběma skupinami respondentů roztříděnými podle názoru na možnost uživatele přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet téměř neliší. Za povšimnutí rovněž stojí skutečnost, že vytvořené skupiny jsou z pohledu počtu respondentů různě velké (25 vs. 551 respondentů). Tabulka č. 25: Uživatel může snížit riziko u platebních karet a širší e-banking gramotnost – dvouvýběrový T-test
Proměnná širší e-banking gramotnost
t-testy; grupováno:Uživatel může snížit riziko u platebních karet Skup. 1: 1 Skup. 2: 0 Průměr Průměr t sv p Poč.plat. Poč.plat. 1 0 1 0 36,97096 35,72000 1,191929 574 0,233782 551 25
Zdroj: vlastní výzkum
P-hodnota rovná 0,23 (po zaokrouhlení na dvě desetinná místa) nezamítá nulovou hypotézu H0, tj. že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví je u obou skupin respondentů roztříděných podle názoru na možnost uživatele přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet stejná, ve prospěch alternativní hypotézy H1. To znamená, že nebylo prokázáno, že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví se mezi oběma skupinami respondentů roztříděnými podle názoru na možnost uživatele přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet liší (na hladině významnosti 5 %). Nebylo tedy prokázáno, že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví (širší e-banking gramotnost) a přesvědčení uživatele o tom, že uživatel může
231
přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet (uživatel může snížit riziko u platebních karet) spolu souvisí (na hladině významnosti 5 %). Realizovaný výzkum tak ani v tomto případě nepotvrdil původní předpoklad souvislosti gramotnosti uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví (širší e-banking gramotnosti) a přesvědčení uživatele o tom, že uživatel může přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet (uživatel může snížit riziko u platebních karet), kdy jsem očekávala, že se úroveň gramotnosti uživatelů v oblasti služeb elektronického bankovnictví bude mezi jednotlivými skupinami respondentů roztříděnými podle názoru na možnost uživatele přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet lišit, a to tak, že uživatelé přesvědčení o tom, že uživatelé mohou přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet, budou dosahovat vyšší úrovně gramotnosti v oblasti služeb elektronického bankovnictví než uživatelé, kteří si myslí, že uživatelé nemohou přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet. Resp. že uživatelé s vyšší úrovní gramotnosti v oblasti služeb elektronického bankovnictví (tzn., ti, kteří mají lepší znalosti a dovednosti a vykazují vhodnější chování v oblasti služeb elektronického bankovnictví) budou častěji zastávat názor, že uživatelé mohou přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet (neboť lépe znají jednotlivá bezpečnostní rizika, ví jak jim předcházet, jakou roli zde hraje uživatel apod.), než uživatelé s nižší úrovní gramotnosti v oblasti služeb elektronického bankovnictví. Většina respondentů, kteří byli schopní posoudit, zda uživatel může či nemůže přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet, se přiklonila k tomu, že uživatel může přispět ke snížení těchto bezpečnostních rizik (celkem 698 vs. 44 respondentů, resp. 551 vs. 25 respondentů u testování této hypotézy). Hypotéza 8: Přesvědčení uživatele o tom, že uživatel může přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou, souvisí s gramotností uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví. Formulovaná hypotéza si klade za cíl ověřit, zda a příp. jak spolu souvisí přesvědčení uživatele o tom, že uživatel může přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou (uživatel může snížit riziko u systémů 232
elektronické komunikace s bankou; vazba na otázku č. 26 dotazníku) a gramotnost uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví (tj. širší e-banking gramotnost, podrobněji viz výše). K ověření hypotézy byl použit dvouvýběrový T-test: H0
Gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického
bankovnictví je u obou skupin respondentů roztříděných podle názoru na možnost uživatele přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou256 stejná. H1 Gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví se mezi oběma skupinami respondentů roztříděnými podle názoru na možnost uživatele přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou liší. Předpoklady: Výběry v obou skupinách respondentů jsou normální; shoda rozptylu nebyla na hladině 5 % zamítnuta F-testem s p = 0,75. Tabulka č. 26: Uživatel může snížit riziko u systémů elektronické komunikace s bankou a širší e-banking gramotnost – popisné statistiky Rozkladová tabulka popisných statistik N=560 (V seznamu záv. prom. nejsou ChD) Uživatel může širší e-banking širší e-banking snížit riziko u gramotnost gramotnost systému el. průměr N komunikace s bankou 0 36,17073 41 1 37,18690 519 Vš.skup. 37,11250 560
širší e-banking gramotnost Sm.odch.
4,816131 5,040927 5,027636
Zdroj: vlastní výzkum
Z výše uvedené tabulky je zřejmé, že výběrové průměry gramotnosti uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví (širší e-banking gramotnosti) se mezi oběma skupinami respondentů roztříděnými podle názoru na možnost uživatele přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů
256
Podle odpovědi respondenta na otázku č. 26 „Může podle Vašeho názoru uživatel přispět ke snížení výše bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou (např. internetového bankovnictví, telefonního bankovnictví, GSM bankingu, WAP bankingu, homebankingu)?“ byly přiřazeny následující hodnoty: - 1 – ano (odpověď č. 1) - 0 – ne (odpověď č. 2)
233
elektronické komunikace s bankou téměř neliší. Za povšimnutí rovněž stojí skutečnost, že vytvořené skupiny jsou z pohledu počtu respondentů různě velké (41 vs. 519 respondentů). Tabulka č. 27: Uživatel může snížit riziko u systémů elektronické komunikace s bankou a širší e-banking gramotnost – dvouvýběrový T-test
Proměnná širší e-banking gramotnost
t-testy; grupováno:Uživatel může snížit riziko u systému el. komunikace s Skup. 1: 1 Skup. 2: 0 Průměr Průměr t sv p Poč.plat. Poč.plat. 1 0 1 0 37,18690 36,17073 1,246515 558 0,213098 519 41
Zdroj: vlastní výzkum
P-hodnota rovná 0,21 (po zaokrouhlení na dvě desetinná místa) nezamítá nulovou hypotézu H0, tj. že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví je u obou skupin respondentů roztříděných podle názoru na možnost uživatele přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou stejná, ve prospěch alternativní hypotézy H1. To znamená, že nebylo prokázáno, že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví se mezi oběma skupinami respondentů roztříděnými podle názoru na možnost uživatele přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou liší (na hladině významnosti 5 %). Nebylo tedy prokázáno, že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví (širší e-banking gramotnost) a přesvědčení uživatele o tom, že uživatel může přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou (uživatel může snížit riziko u systémů elektronické komunikace s bankou) spolu souvisí (na hladině významnosti 5 %). Realizovaný výzkum tak ani v tomto případě nepotvrdil původní předpoklad souvislosti gramotnosti uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví (širší e-banking gramotnosti) a přesvědčení uživatele o tom, že uživatel může přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou (uživatel může snížit riziko u systémů elektronické komunikace s bankou), kdy jsem očekávala, že se úroveň gramotnosti uživatelů v oblasti služeb elektronického bankovnictví bude mezi jednotlivými skupinami respondentů roztříděnými podle názoru na možnost uživatele přispět ke snížení bezpečnostních rizik souvisejících 234
s používáním systémů elektronické komunikace s bankou lišit, a to tak, že uživatelé přesvědčení o tom, že uživatelé mohou přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou, budou dosahovat vyšší úrovně gramotnosti v oblasti služeb elektronického bankovnictví než uživatelé, kteří si myslí, že uživatelé nemohou přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou. Resp. že uživatelé s vyšší úrovní gramotnosti v oblasti služeb elektronického bankovnictví (tzn., ti, kteří mají lepší znalosti a dovednosti a vykazují vhodnější chování v oblasti služeb elektronického bankovnictví) budou častěji zastávat názor, že uživatelé mohou přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou (neboť lépe znají jednotlivá bezpečnostní rizika, ví jak jim předcházet, jakou roli zde hraje uživatel apod.), než uživatelé s nižší úrovní gramotnosti v oblasti služeb elektronického bankovnictví. Většina respondentů, kteří byli schopní posoudit, zda uživatel může či nemůže přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou, se přiklonila k tomu, že uživatel může přispět ke snížení těchto bezpečnostních rizik (celkem 652 vs. 63 respondentů, resp. 519 vs. 41 respondentů u testování této hypotézy). To znamená, že ani u jedné ze tří hypotéz věnovaných roli spotřebitele/uživatele při snižování bezpečnostních rizik souvisejících s nakupováním na internetu, resp. používáním platebních karet a systémů elektronické komunikace s bankou (hypotéza 5, 7 a 8) se nepodařilo prokázat souvislost gramotnosti spotřebitele nakupujícího na internetu v oblasti nakupování na internetu a názorem spotřebitele na to, zda může spotřebitel přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu, resp. souvislost gramotnosti uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví s názorem uživatele na to, zda může uživatel přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet či systémů elektronické komunikace s bankou. Ve všech třech případech se rovněž většina respondentů, kteří byli schopní posoudit, zda spotřebitel/uživatel může či nemůže přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu, používáním platebních karet a systémů elektronické komunikace s bankou, vyjádřila tak, že spotřebitel/uživatel může přispět ke snížení těchto bezpečnostních rizik.
235
Gramotnost spotřebitele/uživatele Hypotéza 9: Spotřebitelova/uživatelova znalost podvodů v oblasti elektronického obchodu a elektronického bankovnictví souvisí s celkovou gramotností spotřebitele/uživatele v oblasti nakupování na internetu a služeb elektronického bankovnictví. Formulovaná hypotéza si klade za cíl ověřit, zda a příp. jak spolu souvisí znalost podvodů v oblasti elektronického obchodu a elektronického bankovnictví (vazba na otázku č. 43 dotazníku) a celková gramotnost spotřebitele/uživatele (tj. součet užší e-obchod gramotnosti, užší e-banking gramotnosti a internet gramotnosti, podrobněji viz výše). K ověření hypotézy byla použita korelační analýza pomocí Pearsonova korelačního koeficientu: Spotřebitelova/uživatelova znalost podvodů v oblasti elektronického obchodu
H0
a elektronického bankovnictví nesouvisí s celkovou gramotností spotřebitele/uživatele v oblasti nakupování na internetu a služeb elektronického bankovnictví. H1
Spotřebitelova/uživatelova znalost podvodů v oblasti elektronického obchodu
a elektronického bankovnictví souvisí s celkovou gramotností spotřebitele/uživatele v oblasti nakupování na internetu a služeb elektronického bankovnictví. Předpoklady: Předpoklad asymptotické dvojrozměrné normality je pro dvojici proměnných s ohledem na rozsah výběru (658) akceptovatelný; lineární vztah mezi proměnnými (znalost podvodů a celková gramotnost) dokládá níže uvedený bodový graf (s využitím techniky Lowess).
236
Graf č. 50: Znalost podvodů a celková gramotnost – bodový graf Bodový graf z podvody_nah proti celková gramotnost Finální tabulka - hypotézy.sta 17v*882c podvody_nah = Lowess 10
8
podvody_nah
6
4
2
0
-2 30
35
40
45
50
55
60
65
70
celková gramotnost
Zdroj: vlastní výzkum
Tabulka č. 28: Znalost podvodů a celková gramotnost - korelace
Prom. X & prom. Y Znalost podvodů celková gramotnost
Korelace Označ. korelace jsou významné na hlad. p < ,05000 (Celé případy vynechány u ChD) Průměr Sm.Odch. r(X,Y) r2 2,62310 52,30243
1,720381 6,523440 0,421381
0,177562
t
p
N
11,90078
0,000000
658
Zdroj: vlastní výzkum
P-hodnota rovná 0 zamítá nulovou hypotézu H0, tj. že spotřebitelova/uživatelova znalost podvodů v oblasti elektronického obchodu a elektronického bankovnictví nesouvisí s celkovou gramotností spotřebitele/uživatele v oblasti nakupování na internetu a služeb elektronického bankovnictví, ve prospěch alternativní hypotézy H1. To znamená, že je možné konstatovat, že spotřebitelova/uživatelova znalost podvodů v oblasti elektronického obchodu a elektronického bankovnictví souvisí s celkovou gramotností spotřebitele/uživatele v oblasti nakupování na internetu a služeb elektronického bankovnictví (na hladině významnosti 5 %). Výběrový Pearsonův koeficient korelace dosahuje hodnoty 0,42 (po zaokrouhlení na dvě desetinná místa), což značí středně silnou pozitivní závislost těchto proměnných, na základě čehož lze dospět k závěru, že alespoň ve výběru s rostoucí celkovou gramotností
237
spotřebitele/uživatele roste i znalost podvodů spotřebitele/uživatele v oblasti elektronického obchodu a elektronického bankovnictví. Potvrzení souvislosti mezi sledovanými proměnnými a zjištění jejich pozitivní závislosti v rámci realizovaného výzkumu je v souladu s původním předpokladem, kdy jsem očekávala, že spotřebitelé/uživatelé s vyšší úrovní celkové gramotnosti v oblasti nakupování na internetu a služeb elektronického bankovnictví budou znát podstatu většího počtu typů podvodů v oblasti elektronického obchodu a elektronického bankovnictví než spotřebitelé/uživatelé s nižší úrovní celkové gramotnosti v oblasti nakupování na internetu a služeb elektronického bankovnictví. Tento předpoklad souvisí s očekáváním, že spotřebitelé/uživatelé s vyšší úrovní celkové gramotnosti v oblasti nakupování na internetu a služeb elektronického bankovnictví mají mimo jiné lepší znalosti v oblasti nakupování na internetu a služeb elektronického bankovnictví, přičemž u nich lze v této souvislosti očekávat i lepší znalost podvodů v oblasti elektronického obchodu a elektronického bankovnictví, resp. znalost podstaty většího počtu těchto podvodů. Na základě tohoto zjištění lze očekávat, že spotřebitelé/uživatelé s vyšší úrovní celkové gramotnosti v oblasti nakupování na internetu a služeb elektronického bankovnictví, kteří mají lepší znalosti a dovednosti v oblasti nakupování na internetu a služeb elektronického bankovnictví (a kteří dle výzkumu prokazují rovněž lepší znalost podvodů v oblasti elektronického obchodu a elektronického bankovnictví) a jejichž chování v této oblasti více odpovídá vhodnému chování, nepředstavují ve světě elektronického obchodu a elektronického bankovnictví tak snadnou „kořist“ pro podvodníky jako spotřebitelé/uživatelé s nižší úrovní celkové gramotnosti v oblasti nakupování na internetu a služeb elektronického bankovnictví, u nichž se projevují větší nedostatky ve znalostech a dovednostech v oblasti nakupování na internetu a služeb elektronického bankovnictví (a kteří dle výzkumu vykazují rovněž horší znalost podvodů v oblasti elektronického obchodu a elektronického bankovnictví) a jejichž chování v této oblasti častěji neodpovídá žádoucímu chování. V této oblasti by bylo možné pokračovat v dalším, podrobnějším výzkumu. Na základě potvrzení souvislosti mezi sledovanými proměnnými a zjištění jejich pozitivní závislosti by pak bylo možné doporučit realizaci projektů zaměřených na zvyšování celkové gramotnosti spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví, kdy by jedním z očekávaných důsledků zvýšení celkové gramotnosti 238
spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví mělo být (za jinak stejných podmínek) snížení počtu úspěšně realizovaných podvodů v oblasti elektronického
obchodu
a
elektronického
bankovnictví,
a
to
za
předpokladu,
že spotřebitelé/uživatelé s vyšší úrovní celkové gramotnosti v oblasti nakupování na internetu a služeb elektronického bankovnictví a lepší znalostí podvodů v oblasti elektronického obchodu a elektronického bankovnictví dokáží své znalosti využít ve svůj prospěch, resp. ke snížení podstupovaných bezpečnostních rizik. Hypotéza 10: Gramotnost spotřebitele/uživatele v oblasti nakupování na internetu, služeb elektronického bankovnictví a internetu spolu souvisí. Formulovaná hypotéza si klade za cíl ověřit, zda a příp. jak spolu souvisí gramotnost spotřebitele/uživatele v oblasti nakupování na internetu, služeb elektronického bankovnictví a internetu (tj. užší e-obchod gramotnost, užší e-banking gramotnost a internet gramotnost, podrobněji viz výše). Z níže uvedeného 3D povrchového grafu je možné vyčíst, že s rostoucí hodnotou užší e-obchod gramotnosti a užší e-banking gramotnosti roste i hodnota internet gramotnosti. Přímou závislost mezi jednotlivými dvojicemi zkoumaných proměnných (užší e-banking gramotnost a užší e-obchod gramotnost, internet gramotnost a užší e-obchod gramotnost a internet gramotnost a užší e-banking gramotnost) potvrzují dále uvedené bodové grafy (s využitím techniky Lowess).
239
Graf č. 51: Internet gramotnost vs. užší e-obchod gramotnost a užší e-banking gramotnost – 3D povrchový graf 3D Povrchový graf z internet gramotnost proti užší e-obchod gramotnost a užší e-banking gramotnost Finální tabulka - hypotézy.sta 20v*882c internet gramotnost = MNČ váž. vzdáleností
20 18 16
internet gramotnos t
14 12 10 8 6 34
32
22
14
10
16
12
18
6
12
8
st no ot am gr
20
14
ng
22
st tno mo a r dg ho
18
24
16
ki an -b íe
26
20
š už
28
24
30
š už
í
bc e-o
Zdroj: vlastní výzkum
Graf č. 52: Užší e-banking gramotnost a užší e-obchod gramotnost – bodový graf Bodový graf z užší e-banking nah proti užší e-obchod nah Finální tabulka - hypotézy.sta 20v*882c užší e-banking nah = Lowess 34 32 30
užší e-banking nah
28 26 24 22 20 18 16 14 12
6
8
10
12
14
16
18
20
22
užší e-obchod nah
Zdroj: vlastní výzkum
240
24
> 16 < 15 < 13 < 11 <9 <7
Graf č. 53: Internet gramotnost a užší e-obchod gramotnost – bodový graf Bodový graf z internet gramotnost nah proti užší e-obchod nah Finální tabulka - hypotézy.sta 20v*882c internet gramotnost nah = Lowess 20 18
internet gramotnost nah
16 14 12 10 8 6 4
6
8
10
12
14
16
18
20
22
24
užší e-obchod nah
Zdroj: vlastní výzkum
Graf č. 54: Internet gramotnost a užší e-banking gramotnost – bodový graf Bodový graf z internet gramotnost nah proti užší e-banking nah Finální tabulka - hypotézy.sta 20v*882c internet gramotnost nah = Lowess 20 18
internet gramotnost nah
16 14 12 10 8 6 4 12
14
16
18
20
22
24
26
28
30
32
34
užší e-banking nah
Zdroj: vlastní výzkum
K ověření hypotézy byla použita korelační analýza pomocí Pearsonova korelačního koeficientu, a to pro dvojice zkoumaných proměnných: H0
Gramotnost spotřebitele/uživatele v oblasti nakupování na internetu a služeb
elektronického bankovnictví spolu nesouvisí. H1
Gramotnost spotřebitele/uživatele v oblasti nakupování na internetu a služeb
elektronického bankovnictví spolu souvisí. Předpoklady: Předpoklad asymptotické dvojrozměrné normality je pro dvojici proměnných akceptovatelný; lineární vztah mezi proměnnými (užší e-obchod gramotnost a užší e-banking gramotnost) dokládá výše uvedený bodový graf (s využitím techniky Lowess).
241
Tabulka č. 29: Užší e-banking gramotnost a užší e-obchod gramotnost - korelace
Prom. X & prom. Y užší e-obchod gramotnost užší e-banking gramotnost
Korelace Označ. korelace jsou významné na hlad. p < ,05000 (Celé případy vynechány u ChD) Průměr Sm.Odch. r(X,Y) r2 t 15,69592 2,282967 23,80635 3,651735
p
N
0,389489 0,151702 10,85584 0,000000 661
Zdroj: vlastní výzkum
P-hodnota rovná 0 zamítá nulovou hypotézu H0, tj. že gramotnost spotřebitele/uživatele v oblasti nakupování na internetu a služeb elektronického bankovnictví spolu nesouvisí, ve prospěch alternativní hypotézy H1. To znamená, že je možné na základě provedeného testu konstatovat, že gramotnost spotřebitele/uživatele v oblasti nakupování na internetu a služeb elektronického bankovnictví spolu souvisí (na hladině významnosti 5 %). Pearsonův koeficient korelace dosahuje pro daný výběr hodnoty 0,39 (po zaokrouhlení na dvě desetinná místa), což značí pozitivní závislost těchto proměnných, tzn., že s rostoucí užší e-obchod gramotností spotřebitele/uživatele roste i jeho užší e-banking gramotnost (resp., že s rostoucí gramotností spotřebitele/uživatele v oblasti nakupování na internetu roste i jeho gramotnost v oblasti služeb elektronického bankovnictví). Potvrzení souvislosti mezi sledovanými proměnnými a zjištění jejich pozitivní závislosti v rámci realizovaného výzkumu je v souladu s původním předpokladem, kdy jsem očekávala, že spotřebitelé/uživatelé s vyšší úrovní gramotnosti v oblasti nakupování na internetu budou zároveň vykazovat vyšší úroveň gramotnosti v oblasti služeb elektronického bankovnictví. Resp. že spotřebitelé/uživatelé, kteří mají lepší znalosti a dovednosti v oblasti nakupování na internetu a jejichž chování v této oblasti více odpovídá vhodnému chování, budou vykazovat lepší znalosti a dovednosti i v oblasti služeb elektronického bankovnictví a jejich chování v této oblasti bude více odpovídat vhodnému chování spotřebitele/uživatele. A alternativně též že spotřebitelé/uživatelé, u nichž se projevují větší nedostatky ve znalostech a dovednostech v oblasti nakupování na internetu a jejichž chování v této oblasti častěji neodpovídá žádoucímu chování, budou vykazovat větší nedostatky ve znalostech a dovednostech v oblasti služeb elektronického bankovnictví a jejich chování v této oblasti bude méně často odpovídat vhodnému chování spotřebitele/uživatele. Tuto spojitost je možné podle mého názoru vysvětlit např. tím, že oblast elektronického obchodu (včetně nakupování na internetu) a elektronického bankovnictví spolu úzce souvisí, tím, že spotřebitel/uživatel zajímající se o svět elektronického obchodu (o nakupování na internetu) se pravděpodobně 242
i více zajímá o oblast elektronického bankovnictví než jiný spotřebitel/uživatel, tím, že spotřebitel/uživatel, který se řídí doporučeními přispívajícími ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu, bude pravděpodobně i více dodržovat doporučení přispívající ke snížení bezpečnostních rizik souvisejících s používáním služeb elektronického bankovnictví než jiný spotřebitel/uživatel apod. Za účelem objasnění těchto souvislostí by bylo možné pokračovat v dalším výzkumu. H0
Gramotnost spotřebitele/uživatele v oblasti nakupování na internetu a internetu spolu
nesouvisí. H1
Gramotnost spotřebitele/uživatele v oblasti nakupování na internetu a internetu spolu
souvisí. Předpoklady: Předpoklad asymptotické dvojrozměrné normality je pro dvojici proměnných akceptovatelný; lineární vztah mezi proměnnými (užší e-obchod gramotnost a internet gramotnost) dokládá výše uvedený bodový graf (s využitím techniky Lowess). Tabulka č. 30: Internet gramotnost a užší e-obchod gramotnost - korelace
Prom. X & prom. Y užší e-obchod gramotnost internet gramotnost
Korelace Označ. korelace jsou významné na hlad. p < ,05000 (Celé případy vynechány u ChD) Průměr Sm.Odch. r(X,Y) r2 t 15,69592 12,77307
2,282967 2,728625
p
N
0,340613 0,116017 9,299969 0,000000 661
Zdroj: vlastní výzkum
P-hodnota rovná 0 zamítá nulovou hypotézu H0, tj. že gramotnost spotřebitele/uživatele v oblasti nakupování na internetu a internetu spolu nesouvisí, ve prospěch alternativní hypotézy H1. To znamená, že je možné na základě provedeného testu konstatovat, že gramotnost spotřebitele/uživatele v oblasti nakupování na internetu a internetu spolu souvisí (na hladině významnosti 5 %). Pearsonův koeficient korelace dosahuje pro daný výběr hodnoty 0,34 (po zaokrouhlení na dvě desetinná místa), což značí pozitivní závislost těchto proměnných, tzn., že s rostoucí užší e-obchod gramotností spotřebitele/uživatele roste i jeho internet gramotnost (resp., že s rostoucí gramotností spotřebitele/uživatele v oblasti nakupování na internetu roste i jeho gramotnost v oblasti internetu). Potvrzení souvislosti mezi sledovanými proměnnými a zjištění jejich pozitivní závislosti v rámci realizovaného výzkumu je v souladu s původním předpokladem, kdy jsem očekávala, 243
že spotřebitelé s vyšší úrovní gramotnosti v oblasti nakupování na internetu budou zároveň vykazovat vyšší úroveň gramotnosti v oblasti internetu. Resp. že spotřebitelé, kteří mají lepší znalosti a dovednosti v oblasti nakupování na internetu a jejichž chování v této oblasti více odpovídá vhodnému chování, budou vykazovat lepší znalosti a dovednosti i v oblasti internetu a jejich chování v této oblasti bude více odpovídat vhodnému chování uživatele. A alternativně též že spotřebitelé, u nichž se projevují větší nedostatky ve znalostech a dovednostech v oblasti nakupování na internetu a jejichž chování v této oblasti častěji neodpovídá žádoucímu chování, budou vykazovat větší nedostatky ve znalostech a dovednostech v oblasti internetu a jejich chování v této oblasti bude méně často odpovídat vhodnému chování uživatele. Tuto spojitost je možné podle mého názoru vysvětlit např. tím, že oblast nakupování na internetu úzce souvisí se samotným internetem, tím, že spotřebitel zajímající se o nakupování na internetu se pravděpodobně i více zajímá o internet jako takový, tím, že spotřebitel, který se řídí doporučeními přispívajícími ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu, bude pravděpodobně i více dodržovat doporučení přispívající ke snížení bezpečnostních rizik souvisejících s používáním internetu než jiný spotřebitel apod. Za účelem objasnění těchto souvislostí by bylo možné pokračovat v dalším výzkumu. H0 Gramotnost spotřebitele/uživatele v oblasti služeb elektronického bankovnictví a internetu spolu nesouvisí. H1 Gramotnost spotřebitele/uživatele v oblasti služeb elektronického bankovnictví a internetu spolu souvisí. Předpoklady: Předpoklad asymptotické dvojrozměrné normality je pro dvojici proměnných akceptovatelný; lineární vztah mezi proměnnými (užší e-banking gramotnost a internet gramotnost) dokládá výše uvedený bodový graf (s využitím techniky Lowess). Tabulka č. 31: Internet gramotnost a užší e-banking gramotnost - korelace
Prom. X & prom. Y užší e-banking gramotnost internet gramotnost
Korelace Označ. korelace jsou významné na hlad. p < ,05000 (Celé případy vynechány u ChD) Průměr Sm.Odch. r(X,Y) r2 t 23,80635 3,651735 12,77307 2,728625
0,295596 0,087377 7,943203
Zdroj: vlastní výzkum
244
p
N
0,000000 661
P-hodnota rovná 0 zamítá nulovou hypotézu H0, tj. že gramotnost spotřebitele/uživatele v oblasti služeb elektronického bankovnictví a internetu spolu nesouvisí, ve prospěch alternativní hypotézy H1. To znamená, že je možné na základě provedeného testu konstatovat, že gramotnost spotřebitele/uživatele v oblasti služeb elektronického bankovnictví a internetu spolu souvisí (na hladině významnosti 5 %). Pearsonův koeficient korelace dosahuje pro daný výběr hodnoty 0,30 (po zaokrouhlení na dvě desetinná místa), což značí pozitivní závislost
těchto
proměnných,
tzn.,
že
s rostoucí
užší
e-banking
gramotností
spotřebitele/uživatele roste i jeho internet gramotnost (resp., že s rostoucí gramotností spotřebitele/uživatele v oblasti služeb elektronického bankovnictví roste i jeho gramotnost v oblasti internetu). Potvrzení souvislosti mezi sledovanými proměnnými a zjištění jejich pozitivní závislosti v rámci realizovaného výzkumu je i v tomto případě v souladu s původním předpokladem, kdy jsem očekávala, že uživatelé s vyšší úrovní gramotnosti v oblasti služeb elektronického bankovnictví budou zároveň vykazovat vyšší úroveň gramotnosti v oblasti internetu. Resp. že uživatelé, kteří mají lepší znalosti a dovednosti v oblasti služeb elektronického bankovnictví a jejichž chování v této oblasti více odpovídá vhodnému chování, budou vykazovat lepší znalosti a dovednosti i v oblasti internetu a jejich chování v této oblasti bude více odpovídat vhodnému chování uživatele. A alternativně též že uživatelé, u nichž se projevují větší nedostatky ve znalostech a dovednostech v oblasti služeb elektronického bankovnictví a jejichž chování v této oblasti častěji neodpovídá žádoucímu chování, budou vykazovat větší nedostatky ve znalostech a dovednostech v oblasti internetu a jejich chování v této oblasti bude méně často odpovídat vhodnému chování uživatele. Tuto spojitost je možné podle mého názoru vysvětlit např. tím, že oblast služeb elektronického bankovnictví úzce souvisí se samotným internetem, tím, že uživatel zajímající se o služby elektronického bankovnictví se pravděpodobně i více zajímá o internet, tím, že uživatel, který se řídí doporučeními přispívajícími ke snížení bezpečnostních rizik souvisejících s používáním služeb elektronického bankovnictví, bude pravděpodobně i více dodržovat doporučení přispívající ke snížení bezpečnostních rizik souvisejících s používáním internetu než jiný uživatel apod. Za účelem objasnění těchto souvislostí by bylo možné pokračovat v dalším výzkumu.
245
Po dvojicích jednotlivých proměnných se tedy podařilo prokázat přímou vzájemnou závislost mezi
gramotností
spotřebitele/uživatele
v oblasti
nakupování
na
internetu,
služeb
elektronického bankovnictví a internetu. Shrnutí Hypotéza 1: Frekvence nákupů spotřebitele na internetu souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu. Hypotéza byla potvrzena, neboť na základě provedených testů je možné konstatovat, že frekvence nákupů spotřebitele na internetu souvisí s gramotností spotřebitele v oblasti nakupování na internetu (na hladině významnosti 5 %), resp. že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu se mezi skupinami respondentů roztříděnými podle frekvence nákupů spotřebitele na internetu liší (na hladině významnosti 5 %). Z výběru lze usuzovat, že je mezi těmito proměnnými přímá závislost, tj. že s rostoucí gramotností spotřebitele v oblasti nakupování na internetu roste i jeho frekvence nákupů na internetu. Hypotéza 2: Setkání spotřebitele s problémy při nákupu přes internet souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu. Hypotéza nebyla potvrzena, neboť na základě provedeného testu není možné konstatovat, že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu a setkání spotřebitele s problémy při nákupu přes internet spolu souvisí (na hladině významnosti 5 %), resp. že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu se mezi skupinami respondentů roztříděnými podle toho, zda se setkali či nesetkali s problémy při nákupu zboží a/nebo služeb na internetu, liší (na hladině významnosti 5 %). Hypotéza 3: Vnímání bezpečnosti nákupu zboží v internetovém a kamenném obchodě souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu. Hypotéza byla potvrzena, neboť na základě provedeného testu je možné konstatovat, že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu a vnímání bezpečnosti nákupu zboží v internetovém a kamenném obchodě spolu souvisí 246
(na hladině významnosti 5 %), resp. že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu se mezi skupinami respondentů roztříděnými podle názoru na bezpečnost nákupu zboží v internetovém a kamenném obchodě liší (na hladině významnosti 5 %). S ohledem na vykázaný malý populační rozdíl mezi průměrnou gramotností respondentů nakupujících na internetu v oblasti nakupování na internetu je však možné tento rozdíl považovat za věcně nevýznamný. Hypotéza 4: Spotřebitelova znalost a ochota dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti nakupování na internetu souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu. Hypotéza byla potvrzena, neboť na základě provedeného testu je možné konstatovat, že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu a jejich znalost a ochota dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti nakupování na internetu spolu souvisí (na hladině významnosti 5 %), resp. že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu se mezi skupinami respondentů roztříděnými podle spotřebitelovy znalosti a ochoty dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti nakupování na internetu liší (na hladině významnosti 5 %). Z výběru lze usuzovat, že je mezi těmito proměnnými přímá závislost. Hypotéza 5: Přesvědčení spotřebitele o tom, že spotřebitel může přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu, souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu. Hypotéza nebyla potvrzena, neboť na základě provedeného testu není možné konstatovat, že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu a přesvědčení spotřebitele o tom, že spotřebitel může přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu, spolu souvisí (na hladině významnosti 5 %), resp. že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu se mezi skupinami respondentů roztříděnými podle názoru na možnost spotřebitele přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu liší (na hladině významnosti 5 %).
247
Hypotéza 6: Uživatelova znalost a ochota dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti elektronického bankovnictví souvisí s gramotností uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví. Hypotéza byla potvrzena, neboť na základě provedeného testu je možné konstatovat, že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví a jejich znalost a ochota dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti elektronického bankovnictví spolu souvisí (na hladině významnosti 5 %), resp. že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví se mezi skupinami respondentů roztříděnými podle uživatelovy znalosti a ochoty dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti elektronického bankovnictví liší (na hladině významnosti 5 %). Z výběru lze usuzovat, že je mezi těmito proměnnými přímá závislost. Hypotéza 7: Přesvědčení uživatele o tom, že uživatel může přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet, souvisí s gramotností uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví. Hypotéza nebyla potvrzena, neboť na základě provedeného testu není možné konstatovat, že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví a přesvědčení uživatele o tom, že uživatel může přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet, spolu souvisí (na hladině významnosti 5 %), resp. že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví se mezi skupinami respondentů roztříděnými podle názoru na možnost uživatele přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet liší (na hladině významnosti 5 %). Hypotéza 8: Přesvědčení uživatele o tom, že uživatel může přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou, souvisí s gramotností uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví. Hypotéza nebyla potvrzena, neboť na základě provedeného testu není možné konstatovat, že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického 248
bankovnictví a přesvědčení uživatele o tom, že uživatel může přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou, spolu souvisí (na hladině významnosti 5 %), resp. že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví se mezi skupinami respondentů roztříděnými podle názoru na možnost uživatele přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou liší (na hladině významnosti 5 %). Hypotéza 9: Spotřebitelova/uživatelova znalost podvodů v oblasti elektronického obchodu a elektronického bankovnictví souvisí s celkovou gramotností spotřebitele/uživatele v oblasti nakupování na internetu a služeb elektronického bankovnictví. Hypotéza byla potvrzena, neboť na základě provedeného testu je možné konstatovat, že
spotřebitelova/uživatelova
znalost
podvodů
v oblasti
elektronického
obchodu
a elektronického bankovnictví souvisí s celkovou gramotností spotřebitele/uživatele v oblasti nakupování na internetu a služeb elektronického bankovnictví (na hladině významnosti 5 %). Z výběru lze usuzovat, že je mezi těmito proměnnými středně silná pozitivní závislost, tj. že s rostoucí celkovou gramotností spotřebitele/uživatele v oblasti nakupování na internetu a služeb elektronického bankovnictví roste i znalost podvodů spotřebitele/uživatele v oblasti elektronického obchodu a elektronického bankovnictví. Hypotéza 10: Gramotnost spotřebitele/uživatele v oblasti nakupování na internetu, služeb elektronického bankovnictví a internetu spolu souvisí. Hypotéza byla potvrzena, neboť na základě provedených testů je možné konstatovat, že po dvojicích jednotlivých proměnných se podařilo prokázat přímou vzájemnou závislost mezi
gramotností
spotřebitele/uživatele
v oblasti
nakupování
na
internetu,
služeb
elektronického bankovnictví a internetu. Resp. je možné konstatovat, že gramotnost spotřebitele/uživatele v oblasti nakupování na internetu a služeb elektronického bankovnictví spolu souvisí (na hladině významnosti 5 %), že gramotnost spotřebitele/uživatele v oblasti nakupování na internetu a internetu spolu rovněž souvisí (na hladině významnosti 5 %), jakož i že gramotnost spotřebitele/uživatele v oblasti služeb elektronického bankovnictví a internetu spolu také souvisí (na hladině významnosti 5 %). Z výběru lze ve všech třech případech
249
usuzovat, že je mezi sledovanými proměnnými přímá závislost, tj. že s rostoucí jednou gramotností spotřebitele/uživatele roste i jiná jeho ve výzkumu sledovaná gramotnost.
250
Závěr Elektronický obchod a elektronické bankovnictví zaznamenaly v posledních letech velký rozvoj nejen ve světě, ale i v České republice, a dá se předpokládat, že v této oblasti stále existuje značný potenciál pro jeho další rozvoj. S rozvojem elektronického obchodu a elektronického bankovnictví souvisí i zavádění nových, rychlejších, sofistikovanějších metod zpracování a postupů řešení, používání modernějších technologií, které by mimo jiné v řadě případů měly přispět i ke snížení výše podstupovaných bezpečnostních rizik souvisejících s nakupováním na internetu a používáním služeb elektronického bankovnictví. Na druhou stranu je však třeba připustit, že tomuto vývoji se přizpůsobují i podvodníci působící v elektronickém světě a výjimkou bohužel nejsou situace, kdy jsou to právě oni, kdo je tzv. „o krok napřed“. Mnohá opatření ke snížení výše podstupovaných bezpečnostních rizik jsou tak realizována až následně, po úspěšném provedení útoku na příslušný systém elektronického obchodu či elektronického bankovnictví, tj. po samotné realizaci bezpečnostního rizika. V této souvislosti je však třeba apelovat na všechny zúčastněné subjekty, aby opatření ke snížení
výše
podstupovaných
bezpečnostních
rizik
elektronického
obchodu
a elektronického bankovnictví neměla charakter pouze těchto následných opatření zaváděných do praxe až v návaznosti na úspěšně provedený útok na tyto systémy, ale aby neustávaly ve snaze o zlepšování, zdokonalování těchto systémů, a to i v otázkách jejich bezpečnosti. Vzhledem k tomu, že bezpečnost, kvalita a důvěra jsou v elektronickém světě velmi důležité a je možné je považovat za jeden z důležitých předpokladů úspěchu elektronického obchodu a elektronického bankovnictví, neměla by být tato oblast elektronickými obchody a bankami podceňována. Preferování strategie realizací až následných opatření v reakci na projevení se bezpečnostního rizika před realizací preventivních opatření přispívajících k zajištění bezpečnosti,
resp.
snížení
výše
podstupovaného
bezpečnostního
rizika
se
může
elektronickému obchodu či bance vymstít. Jejím důsledkem může být ztráta důvěry uživatelů v elektronickém světě v tento subjekt, zejména ukáže-li se následně, že daný subjekt o možnosti realizace tohoto rizika věděl, příp. mohl vědět, ale neudělal nic proto, aby dané riziko snížil nebo, je-li to možné, zcela odstranil, vzniklou situaci poté navíc zlehčoval, nebezpečnost útoku popíral apod. Přestože realizace preventivních opatření není vždy jednoduchá a může být i poměrně nákladná, neměly by elektronické obchody a banky nabízející služby elektronického 251
bankovnictví na realizaci těchto opatření rezignovat. Důvod je zřejmý. Podcenění této oblasti a následná ztráta důvěry spotřebitelů/uživatelů v bezpečnost prováděných operací se může projevit snížením zájmu o služby daného subjektu ze strany spotřebitelů/uživatelů (a to jak stávajících, tak i potenciálních, neboť v dnešní informační společnosti je pravděpodobné, že se uživatelé mající špatnou zkušenost s daným elektronickým obchodem či službami elektronického bankovnictví o své zkušenosti podělí s dalšími uživateli v elektronickém světě např. prostřednictvím sociálních sítí, chatu či blogu, problémy v otázkách bezpečnosti bývají medializovány atd.), poklesem tržeb, zisku, snížením konkurenceschopnosti daného subjektu, poklesem jeho podílu na trhu a v konečném důsledku může být výsledkem podcenění této oblasti i ukončení podnikatelské činnosti. Na druhou stranu jsme se však v průběhu této práce měli možnost opakovaně přesvědčit o tom, že výši podstupovaných bezpečnostních rizik v oblasti elektronického obchodu a elektronického bankovnictví ovlivňují nejen samotné elektronické obchody a banky, ale i samotní spotřebitelé/uživatelé. To znamená, že není možné přenášet veškerou odpovědnost za bezpečnost prováděných operací jen a pouze na elektronické obchody a banky nabízející služby elektronického bankovnictví, ale je třeba usilovat o to, aby si všechny zúčastněné subjekty uvědomovaly podstupovaná bezpečnostní rizika a usilovaly o jejich snížení. I zde totiž přeneseně platí přísloví, že „řetěz je tak pevný, jak pevný je jeho nejslabší článek“. A nejslabším článkem, pokud jde o subjekty, v tomto případě nemusí být elektronický obchod či banka nabízející služby elektronického bankovnictví, ale může jím být právě samotný spotřebitel/uživatel. Považuji tak za velmi důležité, aby si samotní spotřebitelé/uživatelé uvědomili své postavení v elektronickém světě, rizika, jimž jsou při nakupování na internetu a používání služeb elektronického bankovnictví vystaveni, seznámili se se základními pravidly jejich bezpečného používání, uvědomovali si jejich význam a ve svém vlastním zájmu tato pravidla, doporučení dodržovali. Měli by si být vědomi toho, že zajištění bezpečnosti elektronického obchodování leží i na jejich bedrech a není možné svou odpovědnost přenášet na ostatní subjekty, ať již by jimi byly elektronického obchody, banky, provozovatelé platebních systémů, stát apod. Existují totiž situace, kdy se útočník zaměřuje právě na samotného spotřebitele/uživatele a spoléhá na to, že tento subjekt nemá potřebné znalosti a dovednosti v oblasti elektronického světa a jeho bezpečnostních rizik, porušuje základní zásady bezpečného používání internetu, nakupování v elektronických obchodech, používání služeb elektronického bankovnictví atd. 252
a je tak právě tím pověstným, výše zmiňovaným nejslabším článkem celého řetězu. Praxe těmto útočníkům v řadě případů bohužel dává za pravdu. A spotřebitel/uživatel? Ten mnohdy teprve až jako oběť útoku zjišťuje, proč je třeba jednotlivá doporučení týkající se bezpečného nakupování na internetu a používání služeb elektronického bankovnictví dodržovat, příp. dokonce i jaká že tato doporučení jsou. Spoléhání se spotřebitelů/uživatelů na to, že odpovědnost za zajištění bezpečnosti nakupování na internetu a používání služeb elektronického bankovnictví nesou jiné subjekty a že oni pro zajištění či zvýšení bezpečnosti nemohou, příp. nemusí nic udělat, se nevyplácí. Mimo jiné např. proto, že určitým typům podvodů není možné z pozice elektronického obchodu a banky nabízející služby elektronického bankovnictví, příp. jiných subjektů, účinně předcházet. Navíc není možné vyloučit situace, kdy se útočník nachází na straně elektronického obchodu či banky nebo se za ně vydává (např. podvodníkem založený elektronický obchod, resp. jeho webové stránky). Bezpečnostní rizika elektronického obchodu a elektronického bankovnictví tak z výše uvedených důvodů byla v této práci zpracována se zaměřením právě na samotné spotřebitele/uživatele. Uvědomění si své zodpovědnosti a její přijmutí uživateli je totiž dle mého názoru důležitým momentem nejen pro samotné spotřebitele/uživatele, ale i pro elektronické obchody a poskytovatele služeb elektronického bankovnictví. Je totiž možné předpokládat, že takoví spotřebitelé/uživatelé se budou o problematiku bezpečnostních rizik souvisejících s nakupováním na internetu a používáním služeb elektronického bankovnictví, resp. o zajištění bezpečnosti prováděných operací aktivně zajímat, budou (více) dodržovat bezpečnostní zásady, doporučení a nebudou se spoléhat na to, že se o vše potřebné v této oblasti postará elektronický obchod či poskytovatel služeb elektronického bankovnictví a že bezpečnost elektronického obchodu a elektronického bankovnictví je jen a pouze záležitostí těchto elektronických obchodů a bank nabízejících služby elektronického bankovnictví, příp. dojde-li k realizaci bezpečnostního rizika, budou schopní posoudit, zda je na vině daný elektronický obchod či poskytovatel služeb elektronického bankovnictví nebo zda nesou odpovědnost i oni sami, příp. pouze oni, tzn., že realizaci tohoto rizika nemohl daný elektronický obchod či banka nabízející služby elektronického bankovnictví zabránit, na rozdíl od samotného spotřebitele/uživatele. Přínosem by tak předkládaná práce měla být nejen pro samotné uživatele, ale i pro elektronické obchody a banky nabízející služby elektronického bankovnictví. 253
Přínos pro spotřebitele/uživatele je možné spatřovat v tom, že si uvědomí své postavení v elektronickém světě, rizika, jimž jsou při nakupování na internetu a používání služeb elektronického bankovnictví vystaveni, seznámí se se základními pravidly jejich bezpečného používání, uvědomí si jejich význam, což by následně mohlo vést k tomu, že tito spotřebitelé/uživatelé budou tato pravidla, doporučení ve svém vlastním zájmu za účelem snížení výše podstupovaného bezpečnostního rizika následně (více) dodržovat. Přínos pro elektronické obchody a banky nabízející služby elektronického bankovnictví je možné spatřovat v tom, že informovaní, uvědomělí a zodpovědní spotřebitelé/uživatelé se budou o danou oblast zajímat a nebudou spoléhat na to, že zajištění bezpečnosti je záležitostí někoho jiného, v tomto případě především jednotlivých elektronických obchodů a bank. Navíc orientace současných i potenciálních spotřebitelů/uživatelů v oblasti elektronického obchodu a elektronického bankovnictví a jejich bezpečnostních rizik by mohla přispět k odstranění určité nedůvěry spotřebitelů/uživatelů v tyto služby, což by mohlo přispět k dalšímu rozvoji elektronického obchodu a elektronického bankovnictví v České republice. Dalším z možných efektů by mohlo být i určité „pročištění trhu“, resp. zvýšení tržního podílu elektronických obchodů a bank nabízejících služby elektronického bankovnictví, které otázkám zajištění bezpečnosti věnují dostatečnou pozornost a nabízí služby s vyšší úrovní zabezpečení a snížení tržního podílu, příp. i ukončení činnosti subjektů, které tuto oblast podceňují. Za přínos této práce považuji rovněž skutečnost, že bylo možné se přesvědčit o tom, že bezpečnost elektronického obchodu a elektronického bankovnictví není pouze tématem technickým a informačním, ale např. i ekonomickým a právním. Práce však dle mého názoru kromě přínosu pro praxi nabízí i přínos pro teorii, neboť obsahuje přehled teoretických poznatků z oblasti elektronického obchodu a elektronického bankovnictví a jejich bezpečnostních rizik a analyzuje současný stav v oblasti elektronického obchodu a elektronického bankovnictví a jejich bezpečnostních rizik v České republice. Jak jsem uváděla na začátku práce, k zaměření práce na spotřebitele/uživatele mne přivedl můj dlouhodobý zájem o finanční gramotnost, osobní finance a oblast behavioral finance, resp. o postavení a vystupování spotřebitele na trhu, zejména pak na trhu finančním, kdy jsem se opakovaně měla možnost přesvědčit o tom, že existují (mnohdy i významné) nedostatky ve znalostech a dovednostech spotřebitelů/uživatelů, že spotřebitelé/uživatelé porušují základní doporučení, nechovají se vždy racionálně, nerozhodují se jen a pouze striktně logicky, nejsou schopni domyslet význam svého konání či naopak nekonání, poučit 254
se ze svých chyb či chyb jiných spotřebitelů/uživatelů, ale tyto chyby opakují, atd. V průběhu práce jsme se mohli opakovaně přesvědčit o tom, že oblast elektronického obchodu a elektronického bankovnictví není z tohoto pohledu ničím výjimečným. I zde se na straně spotřebitelů/uživatelů projevují nedostatky ve znalostech a dovednostech, i zde se setkáme s porušováním základních doporučení, i zde si spotřebitelé/uživatelé zřejmě neuvědomují význam jednotlivých opatření, pravidel atd. Na základě tohoto zjištění je pak možné formulovat obecné doporučení na zvyšování finanční, numerické, informační, právní, počítačové a bezpečnostní gramotnosti občanů České republiky. Na významu toto doporučení získá především tehdy, jestliže si uvědomíme, že nakupování na internetu a používání služeb elektronického bankovnictví je často tak bezpečné, jak zodpovědní, obezřetní a vzdělaní v této oblasti jsou jejich spotřebitelé/uživatelé a že často nejúčinnější ochranou je prevence. Vzhledem k tomu, že v odborné literatuře nebyla podle mého zjištění problematika elektronického obchodu a elektronického bankovnictví a jejich bezpečnostních rizik komplexně, systematicky a podrobně zpracována, a zaměření na spotřebitele/uživatele je ojedinělé, byl formulován následující hlavní cíl práce: Na základě poznatků získaných analýzou bezpečnostních rizik elektronického obchodu a elektronického bankovnictví vytvořit modely vybraných podvodů v oblasti elektronického obchodu a elektronického bankovnictví, formulovat doporučení pro spotřebitele/uživatele přispívající ke snížení výše bezpečnostních rizik souvisejících s nakupováním na internetu a používáním služeb elektronického bankovnictví a prostřednictvím realizovaného výzkumu zmapovat znalosti, dovednosti, chování, postoje a zkušenosti vybrané skupiny spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví v České republice se zaměřením na bezpečnostní rizika související s nakupováním na internetu a s používáním služeb elektronického bankovnictví a dosažené výsledky interpretovat. Hlavní cíl práce byl rozvinut pěti dílčími cíli a na ně bylo navázáno 10 hypotéz, které byly ověřovány s využitím dat získaných prostřednictvím dotazníkového šetření, které tvořilo jádro vlastního výzkumu a jehož cílem bylo zmapovat znalosti, dovednosti, chování, postoje a zkušenosti vybrané skupiny spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví v České republice, včetně jejich gramotnosti257 v oblasti 257
Gramotnost pro účely této práce je pojímána jako kvantitativní proměnná, jejíž hodnoty jsou na základě provedeného dotazníkového šetření odvozovány od znalostí, dovedností a chování spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví se zaměřením na bezpečnostní rizika související s nakupováním na internetu a s používáním služeb elektronického bankovnictví.
255
nakupování na internetu a služeb elektronického bankovnictví, se zaměřením na bezpečnostní rizika související s nakupováním na internetu a s používáním služeb elektronického bankovnictví. Cílovou skupinou byly osoby studující na Ekonomicko-správní fakultě Masarykovy univerzity. S ohledem na vymezenou cílovou skupinu je možné formulované závěry zobecnit na populaci osob studujících na vysokých školách ekonomického zaměření v České republice, pro které lze považovat zkoumaný vzorek za reprezentativní. V následujícím textu budou postupně prezentovány vybrané výsledky provedeného výzkumu. Nejprve
se
zaměříme
na
znalosti,
dovednosti,
chování,
postoje
a
zkušenosti
spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví v České republice, včetně jejich gramotnosti v oblasti nakupování na internetu a služeb elektronického bankovnictví, se zaměřením na bezpečnostní rizika související s nakupováním na internetu a s používáním služeb elektronického bankovnictví. V závěru budou prezentovány výsledky související s ověřením formulovaných hypotéz. Z hlavních zjištění realizovaného výzkumu v oblasti znalostí, dovedností, chování, postojů a zkušeností spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví v České republice, se zaměřením na bezpečnostní rizika související s nakupováním na internetu a s používáním služeb elektronického bankovnictví můžeme zmínit následující: - zboží a/nebo službu přes internet si již objednala převážná většina respondentů (97 %), nejčastěji respondenti na internetu nakupují alespoň jedenkrát za čtvrt roku - 33 % respondentů, kteří uvedli, že na internetu nakupují, se již při nákupu na internetu setkalo s problémem, přičemž 87 % z nich vzniklou situaci řešilo - 54 % respondentů považuje nákup zboží v internetovém obchodě za méně bezpečný než v kamenném obchodě - 34 % respondentů se nezajímá o bezpečnost nakupování na internetu a možnosti omezení výše podstupovaných bezpečnostních rizik - 77 % respondentů je přesvědčeno, že zná doporučení pro uživatele přispívající ke snížení výše bezpečnostních rizik souvisejících s nakupováním na internetu (79 % z nich se je při nákupech snaží co nejvíce dodržovat a 19 % z nich přiznává, že přestože tato doporučení zná, mnohdy je při nákupech nedodržuje), k neznalosti těchto doporučení se hlásí 23 % respondentů, přičemž 87 % z nich tato doporučení dle svého vyjádření nezná, přestože na internetu nakupuje 256
- 72 % respondentů je přesvědčeno, že spotřebitel může přispět ke snížení výše bezpečnostních rizik souvisejících s nakupováním na internetu - 70 % respondentů, kteří uvedli, že na internetu nakupují, obvykle nakupuje v internetových ochodech, s nimiž má pozitivní osobní zkušenost - 60 % respondentů, kteří uvedli, že nakupují na internetu, si v situaci, kdy zvažují nákup v internetovém obchodě, s nímž dosud nemají osobní zkušenost, obvykle vyhledává na internetu recenze daného internetového obchodu - pouze 20 % respondentů, kteří uvedli, že nakupují na internetu, se v situaci, kdy zvažují nákup v internetovém obchodě, s nímž dosud nemají osobní zkušenost, snaží o daném internetovém obchodu zjistit co možná nejvíce informací, přičemž uváděné informace, které je možné ověřit, také prověřují - 89 % respondentů, kteří uvedli, že na internetu nakupují, věnuje před nákupem zboží a/nebo služeb na internetu pozornost způsobu, jakým se elektronický obchod prezentuje - 87 % respondentů, kteří uvedli, že na internetu nakupují, se před nákupem na internetu seznamuje s podmínkami nákupu zboží a/nebo služeb přes daný internetový obchod, pouze 13 % těchto respondentů však uvádí, že se vždy důsledně seznamuje s veškerými podmínkami nákupu u vybraného obchodu - 80 % respondentů nezná ani jednu z následujících certifikací - APEK Certifikovaný obchod, APEK Certifikát kvality, Spotřebitelský audit obchodních podmínek, Euro-Label - 69 % respondentů ví, do kdy mohou podle Občanského zákoníku odstoupit při zakoupení zboží přes internet od smlouvy bez uvedení důvodu - 90 % respondentů používá služby elektronického bankovnictví, 83 % z nich používá jak platební kartu, tak i některý ze systémů elektronické komunikace s bankou - 47 % respondentů se nezajímá o bezpečnost elektronického bankovnictví a možnosti omezení výše podstupovaných bezpečnostních rizik - 69 % respondentů je přesvědčeno, že zná doporučení pro uživatele přispívající ke snížení výše
bezpečnostních
rizik
v oblasti
elektronického
bankovnictví
(77
%
z nich
se je snaží co nejvíce dodržovat, 19 % přiznává, že přestože tato doporučení zná, mnohdy je nedodržuje), k neznalosti těchto doporučení se hlásí 29 % respondentů, přitom 78 % těchto respondentů služby elektronického bankovnictví používá - 77 % respondentů je přesvědčeno, že uživatel může přispět ke snížení výše bezpečnostních rizik souvisejících s používáním platebních karet, 72 % respondentů je přesvědčeno, že uživatel může přispět ke snížení výše bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou 257
- pouze 52 % respondentů ví, že (za jinak stejných podmínek) je bezpečnější platební karta s čipem než s magnetickým páskem - pouze 70 % respondentů si myslí, že je-li součástí platební karty podpis jejího držitele, že by jí měl držitel z důvodu snížení bezpečnostních rizik podepsat ihned po jejím převzetí - pouze 19 % respondentů ví, že by platební karta měla být opatřena podpisem držitele, který neodpovídá jeho standardnímu podpisu, ale který vykazuje určitá specifika - pouze 9 % respondentů by doporučilo okopírovat si platební kartu, resp. její zadní část, na níž je umístěný podpis držitele - pouze 33 % respondentů ví, že by z důvodu bezpečnosti neměli při vstupu do samoobslužné zóny, kde je umístěn bankomat, zadávat PIN k platební kartě - 16 % respondentů si myslí, že obchodník, u kterého použili nebo chtěli použít k úhradě nakoupeného zboží a/nebo služeb platební kartu, má právo na pořízení její kopie - pouze 30 % respondentů ví, že při používání platební karty na internetu je za jinak stejných podmínek zákazník vystaven nejnižšímu riziku u internetového obchodníka, který používá SSL zabezpečení a systém 3D-Secure - pouze 40 % respondentů ví, že k běžnému používání osobního počítače k přístupu na internet je z důvodu bezpečnosti vhodné používat účet typu běžného uživatele, nikoliv účet typu administrátora (správce) - pouze 62 % respondentů ví, že by každý počítač měl být chráněn pouze jedním antivirovým programem - 32 % respondentů si myslí, že používání aktuální verze antivirového programu stačí pro zajištění kompletní ochrany počítače - k nejvíce známým typům podvodů z nabízených devíti patří podvody založené na skryté kameře, které zná 67 % respondentů, padělky platebních karet, které zná 58 % respondentů, a podvody založené na dotekových senzorech, které zná 36 % respondentů; 14 % respondentů nezná žádný z uvedených (základních) typů podvodů - 42 % respondentů se již osobně setkalo se situací, kdy se od nich neoprávněná osoba snažila získat citlivé údaje (např. formou e-mailu či po telefonu) Co se týče gramotnosti spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví (se zaměřením na bezpečnostní rizika související s nakupováním na internetu a s používáním služeb elektronického bankovnictví), byly v rámci realizovaného výzkumu v případě všech sledovaných gramotností (gramotnosti v oblasti nakupování na internetu – užší e-obchod gramotnosti, gramotnosti v oblasti služeb elektronického 258
bankovnictví – užší e-banking gramotnosti, gramotnosti v oblasti internetu – internet gramotnosti, gramotnosti v oblasti nakupování na internetu – širší e-obchod gramotnosti, gramotnosti v oblasti služeb elektronického bankovnictví – širší e-banking gramotnosti i celkové gramotnosti) respondentů zjištěny nedostatky, které je možné podle mého názoru považovat za věcně významné. Upozornit je přitom třeba na to, že jednotlivé proměnné v podobě dílčích gramotností byly sledovány u respondentů, kteří nakupují na internetu, resp. kteří využívají služby elektronického bankovnictví (platební karty a systémy elektronické komunikace s bankou), v případě proměnné celková gramotnost se pak jednalo o skupinu respondentů, kteří nakupují na internetu a zároveň využívají služby elektronického bankovnictví (platební karty a systémy elektronické komunikace s bankou). Vzhledem k tomu, že jednotlivé otázky dotazníku, které byly použity pro vyhodnocení úrovně gramotnosti respondentů – spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví, byly primárně orientovány do oblasti bezpečnostních rizik nakupování na internetu a elektronického bankovnictví, představují zjištěné nedostatky v jednotlivých gramotnostech respondentů – spotřebitelů/uživatelů, resp. v jejich znalostech, dovednostech a chování hrozbu pro zúčastněné subjekty (a to nejen pro samotné spotřebitele/uživatele, ale zprostředkovaně např. i pro internetové obchody či banky poskytující služby elektronického bankovnictví). V této souvislosti je podle mého názoru možné také předpokládat, že spotřebitelé/uživatelé s nižší úrovní gramotnosti, resp. s nedostatky ve svých znalostech, dovednostech a chování v oblasti nakupování na internetu a služeb elektronického bankovnictví jsou vystaveni vyšším bezpečnostním rizikům v těchto oblastech, představují pro případného útočníka/podvodníka snadnější „kořist“ atd. Proto je třeba usilovat o zvyšování znalostí a dovedností a zlepšování chování spotřebitelů/uživatelů v oblasti nakupování na internetu a služeb elektronického bankovnictví (např. prostřednictvím workshopů, přednášek, příruček pro spotřebitele/uživatele). Pokud jde o formulované hypotézy, na základě dat získaných prostřednictvím dotazníkového šetření bylo možné dospět k následujícím závěrům. Hypotéza 1 „Frekvence nákupů spotřebitele na internetu souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu“ byla potvrzena, neboť na základě provedených testů je možné konstatovat, že frekvence nákupů spotřebitele na internetu souvisí s gramotností spotřebitele v oblasti nakupování na internetu (na hladině významnosti 5 %), resp. že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu se mezi skupinami 259
respondentů roztříděnými podle frekvence nákupů spotřebitele na internetu liší (na hladině významnosti 5 %). Z výběru lze usuzovat, že je mezi těmito proměnnými přímá závislost, tj. že s rostoucí gramotností spotřebitele v oblasti nakupování na internetu roste i jeho frekvence nákupů na internetu. Hypotéza 2 „Setkání spotřebitele s problémy při nákupu přes internet souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu“ nebyla potvrzena, neboť na základě provedeného testu není možné konstatovat, že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu a setkání spotřebitele s problémy při nákupu přes internet spolu souvisí (na hladině významnosti 5 %), resp. že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu se mezi skupinami respondentů roztříděnými podle toho, zda se setkali či nesetkali s problémy při nákupu zboží a/nebo služeb na internetu, liší (na hladině významnosti 5 %). Hypotéza 3 „Vnímání bezpečnosti nákupu zboží v internetovém a kamenném obchodě souvisí s gramotností
spotřebitele
nakupujícího
na
internetu
v
oblasti
nakupování
na internetu“ byla potvrzena, neboť na základě provedeného testu je možné konstatovat, že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu a vnímání bezpečnosti nákupu zboží v internetovém a kamenném obchodě spolu souvisí (na hladině významnosti 5 %), resp. že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu se mezi skupinami respondentů roztříděnými podle názoru na bezpečnost nákupu zboží v internetovém a kamenném obchodě liší (na hladině významnosti 5 %). S ohledem na vykázaný malý populační rozdíl mezi průměrnou gramotností respondentů nakupujících na internetu v oblasti nakupování na internetu je však možné tento rozdíl považovat za věcně nevýznamný. Hypotéza 4 „Spotřebitelova znalost a ochota dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti nakupování na internetu souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu“ byla potvrzena, neboť na základě provedeného testu je možné konstatovat, že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu a jejich znalost a ochota dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti nakupování na internetu spolu souvisí (na hladině významnosti 5 %), resp. že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu se mezi skupinami respondentů roztříděnými podle 260
spotřebitelovy znalosti a ochoty dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti nakupování na internetu liší (na hladině významnosti 5 %). Z výběru lze usuzovat, že je mezi těmito proměnnými přímá závislost. Hypotéza 5 „Přesvědčení spotřebitele o tom, že spotřebitel může přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu, souvisí s gramotností spotřebitele nakupujícího na internetu v oblasti nakupování na internetu“ nebyla potvrzena, neboť na základě provedeného testu není možné konstatovat, že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu a přesvědčení spotřebitele o tom, že spotřebitel může přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu, spolu souvisí (na hladině významnosti 5 %), resp. že gramotnost spotřebitelů nakupujících na internetu v oblasti nakupování na internetu se mezi skupinami respondentů roztříděnými podle názoru na možnost spotřebitele přispět ke snížení bezpečnostních rizik souvisejících s nakupováním na internetu liší (na hladině významnosti 5 %). Hypotéza 6 „Uživatelova znalost a ochota dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti elektronického bankovnictví souvisí s gramotností uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví“ byla potvrzena, neboť na základě provedeného testu je možné konstatovat, že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví a jejich znalost a ochota dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti elektronického bankovnictví spolu souvisí (na hladině významnosti 5 %), resp. že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví se mezi skupinami respondentů roztříděnými podle uživatelovy znalosti a ochoty dodržovat doporučení přispívající ke snížení bezpečnostních rizik v oblasti elektronického bankovnictví liší (na hladině významnosti 5 %). Z výběru lze usuzovat, že je mezi těmito proměnnými přímá závislost. Hypotéza 7 „Přesvědčení uživatele o tom, že uživatel může přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet, souvisí s gramotností uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví“ nebyla potvrzena, neboť na základě provedeného testu není možné konstatovat, že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví a přesvědčení uživatele o tom, že uživatel může přispět ke snížení bezpečnostních rizik souvisejících 261
s používáním platebních karet, spolu souvisí (na hladině významnosti 5 %), resp. že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví se mezi skupinami respondentů roztříděnými podle názoru na možnost uživatele přispět ke snížení bezpečnostních rizik souvisejících s používáním platebních karet liší (na hladině významnosti 5 %). Hypotéza 8 „Přesvědčení uživatele o tom, že uživatel může přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou, souvisí s gramotností uživatele služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví“ nebyla potvrzena, neboť na základě provedeného testu není možné konstatovat, že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví a přesvědčení uživatele o tom, že uživatel může přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou, spolu souvisí (na hladině významnosti 5 %), resp. že gramotnost uživatelů služeb elektronického bankovnictví v oblasti služeb elektronického bankovnictví se mezi skupinami respondentů roztříděnými podle názoru na možnost uživatele přispět ke snížení bezpečnostních rizik souvisejících s používáním systémů elektronické komunikace s bankou liší (na hladině významnosti 5 %). Hypotéza 9 „Spotřebitelova/uživatelova znalost podvodů v oblasti elektronického obchodu a elektronického bankovnictví souvisí s celkovou gramotností spotřebitele/uživatele v oblasti nakupování na internetu a služeb elektronického bankovnictví“ byla potvrzena, neboť na základě provedeného testu je možné konstatovat, že spotřebitelova/uživatelova znalost podvodů v oblasti elektronického obchodu a elektronického bankovnictví souvisí s celkovou gramotností spotřebitele/uživatele v oblasti nakupování na internetu a služeb elektronického bankovnictví (na hladině významnosti 5 %). Z výběru lze usuzovat, že je mezi těmito proměnnými středně silná pozitivní závislost, tj. že s rostoucí celkovou gramotností spotřebitele/uživatele v oblasti nakupování na internetu a služeb elektronického bankovnictví roste
i
znalost
podvodů
spotřebitele/uživatele
v oblasti
elektronického
obchodu
a elektronického bankovnictví. Hypotéza 10: „Gramotnost spotřebitele/uživatele v oblasti nakupování na internetu, služeb elektronického bankovnictví a internetu spolu souvisí“ byla potvrzena, neboť na základě provedených testů je možné konstatovat, že po dvojicích jednotlivých proměnných 262
se podařilo prokázat přímou vzájemnou závislost mezi gramotností spotřebitele/uživatele v oblasti nakupování na internetu, služeb elektronického bankovnictví a internetu. Resp. je možné konstatovat, že gramotnost spotřebitele/uživatele v oblasti nakupování na internetu a služeb elektronického bankovnictví spolu souvisí (na hladině významnosti 5 %), že gramotnost spotřebitele/uživatele v oblasti nakupování na internetu a internetu spolu rovněž souvisí (na hladině významnosti 5 %), jakož i že gramotnost spotřebitele/uživatele v oblasti služeb elektronického bankovnictví a internetu spolu také souvisí (na hladině významnosti 5 %). Z výběru lze ve všech třech případech usuzovat, že je mezi sledovanými proměnnými přímá závislost, tj. že s rostoucí jednou gramotností spotřebitele/uživatele roste i jiná jeho ve výzkumu sledovaná gramotnost. Věřím, že tato práce přispěje ke zvýšení informovanosti jednotlivých subjektů, především současných a potenciálních spotřebitelů/uživatelů v elektronickém světě, o elektronickém obchodu a elektronickém bankovnictví a s nimi spojenými podvody, ke snížení výše podstupovaných bezpečnostních rizik jednotlivými subjekty, ke zvýšení důvěry a odstranění strachu současných i potenciálních e-zákazníků/e-klientů z těchto systémů a tím i k jejich dalšímu úspěšnému rozvoji.
263
Seznam použité literatury a dalších pramenů Monografie [1]
BELÁS, J., KLIMIKOVÁ, M.: Platobný styk. Považská Bystrica : Uniprint, 2003. 239 s.
[2]
BLAŽKOVÁ, M.: Jak využít internet v marketingu : Krok za krokem k vyšší konkurenceschoponosti. 1. vyd. Praha : Grada Publishing, 2005. 156 s. ISBN 80-2471095-1.
[3]
BUDÍKOVÁ, M., KRÁLOVÁ, M., MAROŠ, B.: Průvodce základními statistickými metodami. 1. vyd. Praha : Grada Publishing, 2010. 272 s. ISBN 978-80-247-3243-5.
[4]
COOPER, D. R., SCHINDLER, P. S.: Business Research Methods. 8th ed. New York : McGraw-Hill/Irwin, 2003. 857 s. ISBN 0-07-249870-6.
[5]
DUNLEAVY, P.: Authoring a PhD : How to Plan, Draft, Write and Finish a Doctoral Thesis or Dissertation. 1st ed. New York : PALGRAVE MACMILLAN, 2003. 297 s. ISBN 1-4039-0584-3.
[6]
FAJKUS, B.: Filosofie a metodologie vědy : vývoj, současnost a perspektivy. Praha : Academia, 2005. ISBN 80-200-1304-0.
[7]
GÁLA, L., POUR, J., ŠEDIVÁ, Z.: Podniková informatika. 2., přepracované a aktualizované vydání. Praha : Grada Publishing, 2009. 496 s. ISBN 978-80-247-2615-1.
[8]
HOLZBACHOVÁ, I.: Příspěvky k otázkám filozofie vědy. 1. vyd. Brno : Masarykova univerzita, 2003. 150 s. ISBN 80-210-3224-3.
[9]
JUŘÍK, P.: Svět platebních karet. 1. vyd. Praha : RADIX, 1995. 125 s. ISBN 80901853-1-2.
[10] JUŘÍK, P.: Encyklopedie platebních karet : Historie, současnost a budoucnost peněz a platebních karet. 1. vyd. Praha : Grada Publishing, 2003. 312 s. ISBN 80-247-0685-7. [11] JUŘÍK, P.: Platební karty : Velká encyklopedie, 1870 – 2006. 1. vyd. Praha : Grada Publishing, 2006. 296 s. ISBN 80-247-1381-0. [12] KOLEKTIV AUTORŮ. Slabikář finanční gramotnosti. 1. vyd. Praha : COFET, 2009. 448 s. ISBN 80-254-4207-4. [13] KOTLER, P.: Marketing management. 10. rozšíř. vyd. Praha : Grada Publishing, 2001. 720 s. ISBN 80-247-0016-6. [14] KOTLER, P.: Marketing od A do Z : Osmdesát pojmů, které by měl znát každý manažer. 1. vyd. Praha : Management Press, 2003. 203 s. ISBN 80-7261-082-1. [15] KOZEL, R., PŘÁDKA, M., STEINOVÁ, M.: E-Marketing I. : Začlenění internetu do podnikání; Marketingový výzkum v prostředí internetu. 1. vyd. Ostrava : VŠB – Technická univerzita Ostrava, 2003. 78 s. ISBN 80-248-0350-X. [16] KRČ, M., KUČERA, J., RADVAN, E.: Metodologie vědy a vědeckého poznání. Brno : Univerzita obrany, 2005. 193 s. ISBN 80-7231-004-6. [17] MÁČE, M.: Platební styk – klasický a elektronický. 1. vyd. Praha : Grada Publishing, 2006. 220 s. ISBN 80-247-1725-5.
264
[18] MAUCH, J. E., PARK, N.: Guide to the Successful Thesis and Dissertation : A Handbook for Students and Faculty. 5th ed. New York : Marcel Dekker, 2003. 330 s. ISBN 0-8247-4288-5. [19] PAVLICA, K. a kol.: Sociální výzkum, podnik a management : průvodce manažera v oblasti výzkumu hospodářských organizací. 1.vyd. Praha : EKOPRESS, 2000. 161 s. ISBN 80-86119-25-4. [20] PHILLIPS, D.: Online public relations. Praha : Grada Publishing, 2003. 216. ISBN 80247-0368-8. [21] POLANSKÝ, I., KŘEHÁČKOVÁ, Z. Praktická finanční příručka pro každý den. Praha : SOS – Sdružení obrany spotřebitelů, 2008. 39 s. [22] POLOUČEK, S. a kol. Bankovnictví. Praha : C.H. Beck, 2006. 716 s. ISBN 8071794627. [23] POPPER, K. R.: Logika vědeckého zkoumání. 1. vyd. Praha : OIKOYMENH, 1997. 617 s. ISBN 80-86005-45-3. [24] PŘÁDKA, M., KALA, J.: Elektronické bankovnictví : Rady a tipy. 1. vyd. Praha : Computer Press, 2000. 166 s. ISBN 80-7226-328-5. [25] PŮLPÁN, Z.: K problematice zpracování empirických šetření v humanitních vědách. 1. vyd. Praha : Academia, 2004. 182 s. ISBN 80-200-1221-4. [26] SAUNDERS, M., THORNHILL, A., LEWIS, P.: Research Methods for Business Students. 4th ed. Financial Times Press, 2006. 656 s. ISBN 0-273-70148-7. [27] SEDLÁČEK, J.: E-komerce : internetový a mobil marketing od A do Z. 1. vyd. Praha : BEN – technická literatura, 2006. 352 s. ISBN 80-7300-195-0. [28] SCHLOSSBERGER, O.: Platební služby. 1. vyd. Praha : Management Press, 2012. 325 s. ISBN 978-80-7261-238-3. [29] SILVERMAN, D.: Qualitative Research – Theory, Method and Practice. 2nd ed. London : Sage Publications, 2004. 378 s. ISBN 0-7619-4934-8. [30] STÁVKOVÁ, J., DUFEK, J.: Marketingový výzkum. 1. vyd. Brno : Mendelova zemědělská a lesnická univerzita, 1998. 150 s. ISBN 80-7157-330-2. [31] STEINOVÁ, M., HLUCHNÍKOVÁ, M., PŘÁDKA, M.: E-marketing II. : Marketingová komunikace na internetu; Elektronické obchodování. 1. vyd. Ostrava : VŠB – Technická univerzita Ostrava, 2003. 110 s. ISBN 80-248-0351-8. [32] SUCHÁNEK, P.: Podnikání a obchodování na internetu. 1. vyd. Karviná : Slezská univerzita v Opavě – Obchodně podnikatelská fakulta v Karviné, 2008. 224 s. ISBN 978-80-7248-458-4. [33] TEITELBAUM, H.: How to Write a Thesis : Practical Instruction for Researching and Writing a Top-Notch Thesis or Dissertation. 5th ed. Thomson/Arco, 2003. 132 s. ISBN 0-7689-1081-1. [34] TURBAN, E., et al.: Electronic Commerce : A Managerial Perspective. 2nd ed. Upper Saddle River, N.J. : Pearson/Prentice Hall, 2006. 792 s. ISBN 0-13-185461-5.
265
Internetové zdroje [35] ANSWERS.COM: What is the diference between hacking and cracking?. Answers.com [on-line]. [cit. 21. ledna 2012]. Dostupné na WWW: . [36] ANTIVIROVÉ CENTRUM: Chraňte svůj počítač : 4 kroky jak zabezpečit počítač : AntiSpyware. Antivirové centrum [on-line]. [cit. 2. února 2012]. Dostupné na WWW: . [37] ANTIVIROVÉ CENTRUM: Chraňte svůj počítač : 4 kroky jak zabezpečit počítač : Antivirový program. Antivirové centrum [on-line]. [cit. 2. února 2012]. Dostupné na WWW: . [38] ANTIVIROVÉ CENTRUM: Chraňte svůj počítač : 4 kroky jak zabezpečit počítač : Softwarové Firewally. Antivirové centrum [on-line]. [cit. 2. února 2012]. Dostupné na WWW: . [39] APEK: APEK Certifikát kvality. APEK [on-line]. [cit. 6. února 2012]. Dostupné na WWW: . [40] APEK: E-commerce v ČR – první pohled zblízka. APEK [on-line]. [cit. 26. ledna 2007]. Dostupné na WWW: . [41] APEK: O APEK certifikaci. APEK [on-line]. [cit. 6. února 2012]. Dostupné na WWW: . [42] APEK: Ombudsman pro zákazníky e-shopů. APEK [on-line]. [cit. 17. listopadu 2012]. Dostupné na WWW: . [43] AUKRO: Výzkum: 30 % českých uživatelů nakupuje na internetu bez obav. Aukro [online]. [cit. 7. ledna 2012]. Dostupné na WWW: . [44] BAKER, D. J.: Gale E-commerce Sourcebook [on-line]. [cit. 28. března 2007]. Dostupné na WWW: . [45] BANKOVNÍPOPLATKY.COM: Jak využívají klienti internetové bankovnictví? Hodně, ale přesná čísla některé banky tají... Bankovnípoplatky.com [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: . [46] BAUBÍN, P.: Odhalení – s internetovým bankovnictvím opatrně!. Bankovnípoplatky.com [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: . [47] BEZPEČNÝ INTERNET.CZ: Falešné webové stránky neboli Spoofing. Bezpečný internet.cz [on-line]. [cit. 20. ledna 2012]. Dostupné na WWW: .
266
[48] BEZPEČNÝ INTERNET.CZ: Nesprávné metody vytváření hesla. Bezpečný internet.cz [on-line]. [cit. 2. února 2012]. Dostupné na WWW: . [49] BEZPEČNÝ INTERNET.CZ: Přístup k heslům a jejich změna. Bezpečný internet.cz [on-line]. [cit. 2. února 2012]. Dostupné na WWW: . [50] BEZPEČNÝ INTERNET.CZ: Veřejné bezdrátové sítě. Bezpečný internet.cz [on-line]. [cit. 5. února 2012]. Dostupné na WWW: . [51] BEZPEČNÝ INTERNET.CZ: Veřejné počítače. Bezpečný internet.cz [on-line]. [cit. 5. února 2012]. Dostupné na WWW: . [52] BEZPEČNÝ INTERNET.CZ: Vytvoření silného hesla a jeho vlastnosti. Bezpečný internet.cz [on-line]. [cit. 2. února 2012]. Dostupné na WWW: . [53] BEZPEČNÝ INTERNET.CZ: Zabezpečení bezdrátového připojení. Bezpečný internet.cz [on-line]. [cit. 2. února 2012]. Dostupné na WWW: . [54] BEZPEČNĚ-ONLINE.CZ: Jak poznat kvalitní zdroj informací : Čemu na Internetu důvěřovat?. Bezpečně-online.cz [on-line]. [cit. 5. února 2012]. Dostupné na WWW: . [55] BEZPEČNĚ-ONLINE.CZ: Jak se bránit podvodům : Podvody při online nákupech. Bezpečně-online.cz [on-line]. [cit. 6. února 2012]. Dostupné na WWW: . [56] BONUSWEB.CZ: Hackeři ukradli data milionů lidí. Blokujte kreditní karty, radí Sony. Bonusweb.cz [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: . [57] BRABEC, A.: Hackerský útok odřízl hráče od internetu. Sony o situaci mlčela. Bonusweb.cz [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: . [58] BUŘÍNSKÁ, B.: Co banky tolerují u vzorového podpisu. Jeho složitost má zelenou. iDnes.cz [on-line]. [cit. 17. srpna 2012]. Dostupné na WWW: . [59] BUŘÍNSKÁ, B.: Nejbezpečnější platby kartou na internetu nabízejí tři banky. iDnes.cz [on-line]. [cit. 25. září 2011]. Dostupné na WWW: . 267
[60] CENTRUM KYBERNETICKÉ OCHRANY ČR: Akční plán ke Strategii pro oblast kybernetické bezpečnosti v České republice na období 2011 - 2015. Centrum kybernetické ochrany ČR [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: . [61] CENTRUM KYBERNETICKÉ OCHRANY ČR: Strategie pro oblast kybernetické bezpečnosti České republiky na období 2011 - 2015. Centrum kybernetické ochrany ČR [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: . [62] CITIBANK ČESKÁ REPUBLIKA: Než začnete platit kreditní kartou. Citibank Česká republika [on-line]. [cit. 17. září 2011]. Dostupné na WWW: . [63] CLEVER AND SMART: Autentizace: Jak vytvořit bezpečné heslo?. CLEVER AND SMART [on-line]. [cit. 2. února 2012]. Dostupné na WWW: . [64] CSIRT.CZ: CZ.NIC a BIS – české DNS servery nejsou řádně zabezpečené. CSIRT.CZ [on-line]. [cit. 20. ledna 2012]. Dostupné na WWW: . [65] ČESKÁ SPOŘITELNA: E-commerce 3D-Secure. Česká spořitelna [on-line]. [cit. 27. září 2007]. Dostupné na WWW: . [66] ČESKÁ SPOŘITELNA: Chytrá karta ČS : Slovník kartové terminologie. Česká spořitelna [on-line]. [cit. 25. září 2011]. Dostupné na WWW: . [67] ČESKÁ SPOŘITELNA: Vaše dotazy – Karty – Platby na internetu. Česká spořitelna [on-line]. [cit. 27. září 2007]. Dostupné na WWW: . [68] ČESKÁ SPOŘITELNA: 3D-Secure - Schéma. Česká spořitelna [on-line]. [cit. 27. září 2007]. Dostupné na WWW: . [69] ČESKÁ SPOŘITELNA: Servis 24 – Struktura automatické hlasové služby. Česká spořitelna [on-line]. [cit. 2. října 2011]. Dostupné na WWW: . [70] ČESKÁ TELEVIZE: Češi jako praví „dobírkáři“ odmítají platit kartou online. Česká televize [on-line]. [cit. 6. února 2012]. Dostupné na WWW: . [71] ČESKÁ TELEVIZE: Češi šetří na poštovném – zboží z e-shopů vyzvedávají osobně. Česká televize [on-line]. [cit. 5. února 2012]. Dostupné na WWW: . [72] ČESKÁ TELEVIZE: Půl milionu Němců se nedokáže odpojit. Česká televize [on-line]. [cit. 7. října 2011]. Dostupné na WWW: 268
. [73] ČESKÝ STATISTICKÝ ÚŘAD: Informační technologie v domácnostech a mezi jednotlivci. Český statistický úřad [on-line]. [cit. 12. ledna 2012]. Dostupné na WWW: . [74] ČESKÝ STATISTICKÝ ÚŘAD: Informační technologie v domácnostech a mezi jednotlivci : Česká republika : Využívání ICT jednotlivci, 2005 – 2010. Český statistický úřad [on-line]. [cit. 12. ledna 2012]. Dostupné na WWW: . [75] ČESKÝ STATISTICKÝ ÚŘAD: Informační technologie v domácnostech a mezi jednotlivci : Mezinárodní srovnání : Nákupy přes internet. Český statistický úřad [online]. [cit. 14. ledna 2012]. Dostupné na WWW: . [76] ČESKÝ STATISTICKÝ ÚŘAD: Využívání informačních a komunikačních technologií v domácnostech a mezi jednotlivci 2011 : Nakupování přes internet. Český statistický úřad [on-line]. [cit. 14. ledna 2012]. Dostupné na WWW: [77] E-KOMERCE.CZ: Internet Monitor – Penetrace Internetu v ČR je 25,7 %. Ekomerce.cz [on-line]. [cit. 14. října 2011]. Dostupné na WWW: . [78] E-KOMERCE: Internetový obchod stále roste raketovou rychlostí. E-komerce [on-line]. [cit. 26. ledna 2007]. Dostupné na WWW: . [79] EVROPSKÉ SPOTŘEBITELSKÉ CENTRUM PŘI ČESKÉ OBCHODNÍ INSPEKCI: Co udělat, než nás kontaktujete. Evropské spotřebitelské centrum při České obchodní inspekci [on-line]. [cit. 7. února 2012]. Dostupné na WWW: . [80] EVROPSKÉ SPOTŘEBITELSKÉ CENTRUM PŘI ČESKÉ OBCHODNÍ INSPEKCI: ESC radí, jak poznat podvod na internetu. Evropské spotřebitelské centrum při České obchodní inspekci [on-line]. [cit. 7. února 2012]. Dostupné na WWW: . [81] EVROPSKÉ SPOTŘEBITELSKÉ CENTRUM PŘI ČESKÉ OBCHODNÍ INSPEKCI: Při nakupu online jinde v EU máte stejná práva jako při nákupu v ČR. Evropské spotřebitelské centrum při České obchodní inspekci [on-line]. [cit. 7. února 2012]. Dostupné na WWW: . [82] FINANCE.CZ: APEK: Internetové obchody loni utržily rekordních 33 mld. Kč. Finance.cz [on-line]. [cit. 14. října 2011]. Dostupné na WWW: . [83] FINANCE.CZ: Nákupem na internetu lze výrazně ušetřit. Finance.cz [on-line]. [cit. 27. září 2007]. Dostupné na WWW: . 269
[84] FINANČNÍ VZDĚLÁVÁNÍ.CZ: Slovníček : Kartové produkty. Finanční vzdělávání.cz [on-line]. [cit. 12. září 2011]. Dostupné na WWW: . [85] FIŠER, M.: Trojský kůň. Novinky.cz [on-line]. [cit. 21. ledna 2012]. Dostupné na WWW: . [86] FORLIVING: 3D-Secure – garance bezpečné platby platebními kartami na internetu!. ForLiving [on-line]. [cit. 27. září 2007]. Dostupné na WWW: . [87] GINTER, J., SVOBODA, J.: Češi hazardují s platebními kartami, o peníze pak přicházejí nenávratně. Novinky.cz [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: . [88] GLOBAL PAYMENTS EUROPE: Bezpečné platby na webu. Global Payments Europe [on-line]. [cit. 27. září 2007]. Dostupné na WWW: . [89] GUIDE-PRAGUE.CZ: Co je 3D-Secure. Guide-Prague.cz [on-line]. [cit. 27. září 2007]. Dostupné na WWW: . [90] HANDL, J.: Šest typů uživatelů internetu. Který jste vy a co s nimi?. Tyinternety.cz [online]. [cit. 7. října 2011]. Dostupné na WWW: . [91] HOME CREDIT: Nejčastější podvod s kreditkou? Zneužití příbuzným. Zlatá koruna [on-line]. [cit. 14. února 2012]. Dostupné na WWW: . [92] HOSPODÁŘSKÉ NOVINY: Limit pro bezkontaktní platby bude 500 korun : Platební manévry. Banky zavedou bezkontaktní karty a platby mobilem, chtějí bezhotovostní operace dostat do míst, kde zatím vládne cash. Hospodářské noviny [on-line]. [cit. 23. září 2011]. Dostupné na WWW: . [93] HOWARD – THE SHOPPING ASSISTANT: O aplikaci Howard. Howard – The Shopping Assistant [on-line]. [cit. 7. února 2012]. Dostupné na WWW: . [94] IDNES.CZ: Američané rozbili jeden z největších gangů padělatelů kreditních karet. iDNES.cz [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: . [95] IDNES.CZ: Češi víc nakupují na síti. Zboží si vyzvedávají osobně, aby ušetřili. iDNES.cz [on-line]. [cit. 5. února 2012]. Dostupné na WWW: . [96] INTERNET WORLD STATS: Europe Stats. Internet World Stats [on-line]. [cit. 19. srpna 2012]. Dostupné na WWW: . 270
[97] INTERNET WORLD STATS: World Stats. Internet World Stats [on-line]. [cit. 19. srpna 2012]. Dostupné na WWW: . [98] JEŽEK, D.: Zabezpečení Playstation Network prolomeno, unikla obrovská hromada osobních údajů. Deep in IT [on-line]. ISSN 1213-2225. [cit. 7. ledna 2012]. Dostupné na WWW: . [99] KIRK, J.: Phishing Scam Takes Aim at MySpace.com : Social networking site is increasingly a target for identity thieves. PCWorld [on-line]. [cit. 18. ledna 2012]. Dostupné na WWW: . [100] KLUFA, F., SCHOLZ, P., KOZLOVÁ, M.: Podvody v oblasti bezhotovostních plateb v ČR. Sdružení českých spotřebitelů [on-line]. [cit. 10. ledna 2012]. Dostupné na WWW: . [101] KOLINA, J.: Falešné čtečky karet jsou už i v Praze přímo na pobočkách. Lidovky.cz [on-line]. [cit. 17. ledna 2012]. Dostupné na WWW: . [102] KOMERČNÍ BANKA: Pokyny pro provádění transakcí platebními kartami. Komerční banka [on-line]. [cit. 23. září 2011]. Dostupné na WWW: . [103] KOMERČNÍ BANKA: Ztráta a krádež platební karty. Komerční banka [on-line]. [cit. 10. února 2012]. Dostupné na WWW: . [104] KORBEL, D.: Zkušenost: Cashback po česku. FinExpert.cz [on-line]. [cit. 22. září 2011]. Dostupné na WWW: . [105] KRHOVJÁK, J., KUMPOŠT, M., MATYÁŠ, V.: Útoky na platební systémy. Zpravodaj ÚVT MU [on-line]. ISSN 1212-0901, 2007, roč. XVIII, č. 1, s. 10 – 17. [cit. 16. ledna 2012]. Dostupné na WWW: . [106] KUČERA, P.: Nakupujete na internetu? Devět z deseti Čechů už ano. Aktuálně.cz [online]. [cit. 10. ledna 2012]. Dostupné na WWW: . [107] MALONIS, J. A.: Gale Encyclopedia of E-Commerce [on-line]. [cit. 28. března 2007]. Dostupné na WWW: . [108] M&M: Češi na internetu letos nechají 14 miliard. M&M [on-line]. [cit. 2. března 2007]. Dostupné na WWW: . [109] M&M: Internetový obchod poroste o desítky procent. M&M [on-line]. [cit. 2. března 2007]. Dostupné na WWW: . 271
[110] M&M: SOS: V testu uspělo pouze 37 procent internetových obchodů. M&M [on-line]. [cit. 2. března 2007]. Dostupné na WWW: . [111] MARKETINGOVÉ NOVINY: Historie elektronických obchodů. Marketingové noviny [on-line]. [cit. 14. října 2011]. Dostupné na WWW: . [112] MARKETINGOVÉ NOVINY: Trendy v telekomunikačním průmyslu v roce 2007. Marketingové noviny [on-line]. [cit. 31. ledna 2007]. Dostupné na WWW: . [113] MASTERCARD® INTERNATIONAL: Debetní karty. MasterCard® International [online]. [cit. 12. září 2011]. Dostupné na WWW: . [114] MASTERCARD® INTERNATIONAL: Osobní karty MasterCard® : PaxPassTM. MasterCard® International [on-line]. [cit. 23. září 2011]. Dostupné na WWW: . [115] MASTERCARD® INTERNATIONAL: Proč přijímat platební karty. MasterCard® International [on-line]. [cit. 12. září 2011]. Dostupné na WWW: . [116] MASTERCARD® INTERNATIONAL: Pro obchodníky : PayPassTM. MasterCard® International [on-line]. [cit. 23. září 2011]. Dostupné na WWW: . [117] MASTERCARD® INTERNATIONAL: Předplacené karty. MasterCard® International [on-line]. [cit. 12. září 2011]. Dostupné na WWW: . [118] MASTERCARD® INTERNATIONAL: Typy terminálů. MasterCard® International [on-line]. [cit. 12. září 2011]. Dostupné na WWW: . [119] MASTERCARD® INTERNATIONAL: Výhody akceptace karet. MasterCard® International [on-line]. [cit. 12. září 2011]. Dostupné na WWW: . [120] MASTERCARD WORLDWIDE: Co-Branded Cards : Use the power of partnership. MasterCard Worldwide [on-line]. [cit. 22. září 2011]. Dostupné na WWW: . [121] MATYÁŠOVÁ, V.: Trendy internetového nakupování – kolektivní slevy, exkluzivita i kreativita. Česká televize [on-line]. [cit. 17. října 2011]. Dostupné na WWW: . [122] MEDIARESEARCH: Na internetu již nakupuje každý druhý uživatel. Mediaresearch [on-line]. [cit. 17. října 2011]. Dostupné na WWW: . [123] MEDIARESEARCH: Spokojenost s nakupováním na internetu je velmi vysoká. Mediaresearch [on-line]. [cit. 17. října 2011]. Dostupné na WWW: . 272
[124] MEDIARESEARCH: Uživatelé jsou s nakupováním na internetu spokojení, za rok utratí i desítky tisíc. Mediaresearch [on-line]. [cit. 17. října 2011]. Dostupné na WWW: . [125] MICROSOFT: Češi a Slováci patří v základní bezpečnostní gramotnosti ke špičce v Evropě. Microsoft [on-line]. [cit. 16. února 2012]. Dostupné na WWW: . [126] MLYNÁŘ, M.: Ke zneužití dat 90 tisíc českých zákazníků Sony zatím nedošlo. Bonusweb.cz [on-line]. [cit. 7. ledna 2012]. Dostupné na WWW: . [127] MODERNÍ OBCHOD: APEK - Spuštěn projekt Certifikovany-obchod.cz. Moderní obchod [on-line]. [cit. 2. března 2007]. Dostupné na WWW: . [128] MOLNÁR, Z.: Úvod do základů vědecké práce : Sylabus pro potřeby semináře doktorandů [on-line]. [cit. 28. března 2007]. Dostupné na WWW: . [129] NĚMEC, J.: Chraňte se hesly, která fungují. Profit.cz [on-line]. [cit. 31. ledna 2012]. Dostupné na WWW: . [130] NETMONITOR: SPIR NetMonitor Výzkum sociodemografie návštěvníků internetu v České republice : Prosinec 2011. NetMonitor [on-line]. [cit. 19. srpna 2012]. Dostupné na WWW: . [131] PARDUBICKÝ, T., RUCKMAN, M.: Elektronické bankovnictví není tak snadné, jak se zdá. Virtuální inovační park [on-line]. [cit. 28. března 2007]. Dostupné na WWW: . [132] PETERKA, J.: Spoofing. eArchiv.cz : Archiv článků a přednášek Jiřího Peterky [online]. [cit. 20. ledna 2012]. Dostupné na WWW: . [133] PILÍK, M.: Žijeme v E-světě. Marketingové noviny [on-line]. [cit. 31. ledna 2007]. Dostupné na WWW: . [134] PLISCHKE, S. E.: Cashback: jednoduchý výběr peněz zdarma konečně také v ČR. Peníze.cz [on-line]. [cit. 22. září 2011]. Dostupné na WWW: . [135] POLICIE ČESKÉ REPUBLIKY: ÚOOZ SKPV : Skimming. Policie České republiky [on-line]. [cit. 17. ledna 2012]. Dostupné na WWW: 
