Platební instrumenty a jejich užití v oblasti platebního styku
Ing. Marcela Soldánová Praha 2015
1
1) Přehled právních norem 2) Základní pojmy platebního styku 3) Platební instrumenty 4) Trestné činy 5) SBK, finanční arbitr 6) Cashless Society
2
Zdroj: ECB, Payment Statistics, Data as of 25 August 2014
3
Nařízení EP a Rady č. č. 248/2014 ze dne 26. února 2014, kterým se mění nařízení (EU) č. 260/2012, pokud jde o přechod na úhrady a inkasa prováděné v rámci celé Unie
Nařízení EP a Rady č. 260/2012 ze dne 14. března 2012, kterým se stanoví technické a obchodní požadavky pro úhrady a inkasa v eurech a kterým se mění nařízení č. 924/2009 4
Nařízení EP a Rady č. 924/2009, o přeshraničních převodech ve společenství;
Nařízení EP a Rady č. 1781/2006, o informacích o plátci doprovázející převody peněžních prostředků;
5
Nařízení Rady (ES) č. 46/2009 ze dne 18. prosince 2008, kterým se mění nařízení (ES) č. 2182/2004 o medailích a žetonech podobných euromincím
Nařízení Rady (ES) č. 2182/2004 ze dne 6. prosince 2004 o medailích a žetonech podobných euromincím
6
Směrnice EP a Rady 2014/92/EU ze dne 23. 7. 2014, o porovnatelnosti poplatků souvisejících s platebními účty, změně platebního účtu a přístupu k platebním účtům se základními prvky
7
Zákon č. 6/1993 Sb., o České národní bance; Zákon č. 87/1995 Sb., o spořitelních a úvěrních družstvech; Zákon č. 21/1992 Sb., o bankách; Zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu; Zákon č. 284/2009 Sb., o platebním styku Zákon č. 229/2002 Sb., o finančním arbitrovi 8
Zákon č. 254/2004 Sb., o omezení plateb v hotovosti; Zákon č. 136/2011 Sb., o oběhu bankovek a mincí Vyhláška č. 274/2011 Sb., o provedení některých ustanovení zákona o oběhu bankovek a mincí Úřední sdělení ČNB ze dne 12. 10. 2011 k některým ustanovením zákona o oběhu bankovek a mincí
9
Zákon č. 89/2012 Sb., občanský zákoník; Zákon č. 500/2004 Sb., správní řád; Zákon č. 191/1950 Sb., směnečný a šekový; Zákon č. 219/1995 Sb., devizový zákon Zákon č. 101/2000 Sb., o ochraně osobních údajů;
10
Vyhláška č. 374/2009 Sb., o výkonu činnosti platebních institucí, institucí elektronických peněz, poskytovatelů platebních služeb malého rozsahu a vydavatelů elektronických peněz malého rozsahu; Vyhláška č. 32/2010 Sb., o platebních systémech s neodvolatelností zúčtování; Vyhláška č. 169/2011 Sb., o stanovení pravidel tvorby čísla účtu v platebním styku 11
Kde
a kdy byla vydána první platební karta na světě?
1951 – USA 1967 – UK 1914 – USA
12
1) Přehled právních norem 2) Základní pojmy platebního styku 3) Platební instrumenty 4) Trestné činy 5) SBK, finanční arbitr 6) Cashless Society
13
§ 2 zákona č. 284/2009 Sb., o platebním styku - výňatek Platební transakce: ●vložení peněžních prostředků na účet, výběr peněžních prostředků z účtu nebo převod peněžních prostředků – vše denominované v jakékoliv měně (srov. § 75 odst.2/ § 109-112) Peněžní prostředky: ●bankovky, mince, bezhotovostní peněžní prostředky a elektronické peníze, 14
Platební prostředek (PP): ● personalizované zařízení nebo soubor postupů dohodnutých mezi poskytovatelem a uživatelem, které jsou vztaženy k osobě uživatele (personalizace PP), a kterým uživatel dává platební příkaz (inicializace platební transakce). Platební karta, osobní hesla, osobní identifikační čísla (PIN), jednorázová čísla používaná při inicializace platebních transakcí (OTP) SIM karta v mobilu, prostředky bezkontaktních technologií či aplikace internetového bankovnictví
! PC či mobil nejsou sami o sobě PP – není zde splněna podmínka personalizace
(Zákon o platebním styku, Komentář – Beran a kol. CH Beck 2011)
15
Plátce: ● je uživatel, z jehož účtu mají být odepsány peněžní prostředky k provedení platební transakce nebo který skládá hotovost k provedení platební transakce Příjemce: ● uživatel, který je v platebním příkazu určen jako příjemce peněžních prostředků Uživatel platebních služeb ● je to fyzická nebo právnická osoba, která využívá platební službu jako plátce, příjemce nebo obojí 16
§ 3 zákona č. 284/2009 Sb., o platebním styku - výňatek Platební služba:
vydávání a správa platebních prostředků a zařízení k přijímání platebních prostředků - Vydávání PP (včetně provádění plat. transakcí iniciovaných vydanými PP) - „Služby poskytovatele“ obchodníka přijímající PP tzv. acquiring (provádění převodů peněžních prostředků příjemcem obchodníkem)
17
Platební služba:
provedení platební transakce poskytovatelem služeb elektronických komunikací, jestliže je souhlas plátce s provedením platební transakce dáván prostřednictvím elektronického komunikačního zařízení. - Mobilní platby – transakce (jízdenka, DMS, parkovné apod.) prováděné prostřednictvím mobilu, kdy operátor vyúčtuje částku provedeného převodu při vyúčtování mobilních služeb
18
Platební službou není (výňatek): Vydávání PP s omezeným rozsahem použití a provádění platebních transakcí – tzv. „omezená síť“. Podmínka: - místa (u vydavatele nebo omezený okruh dodavatelů) - a věcná (omezený okruh zboží a služeb), platební transakce prováděné operátorem prostřednictvím mobilu, který slouží k zaplacení zboží nebo služeb, které jsou dodávány do mobilu „tzv. digitální obsah“ – vyzváněcí melodie, hry, tapety apod.
19
Platební službou není (výňatek): Vyplacení hotovosti - Cash back - Nezávislými provozovateli ATM
Tzv. technické služby, které jsou poskytovány poskytovatelům (ne uživatelům), kteří poskytují platební služby uživatelům
20
§ 4 zákona č. 284/2009 Sb. Elektronické peníze - peněžní hodnota, která
představuje pohledávku vůči tomu, kdo ji vydal, je uchovávaná na elektronickém peněžním prostředku, je vydávaná proti přijetí peněžních prostředků za účelem provádění platebních transakcí, je přijímána jinými osobami než tím, kdo ji vydal.
21
Přijaté peněžní prostředky nejsou vkladem ve smyslu zvláštních právních předpisů, pokud je vydavatel elektronických peněz neprodleně vymění za elektronické peníze.
22
§ 76 zákona č. 284/2009 Sb. Platební prostředek pro drobné platby: Který splňuje některé ze 3 kritérií Maximální částka platební transakce nejvýše 30 EUR; vnitrostátní platební transakce ve výši 60 EUR; platební transakce elektronickými penězi nejvýše 500 EUR
23
Maximální výše uchovávaných prostředků nebo výdajový limit 150 EUR; 300 EUR pouze pro vnitrostátní platební transakce; 500 EUR elektronickými penězi. Časový limit není zákonem stanoven.
24
§ 7 zákona č. 284/2009 Sb. Platební instituce: ● právnická osoba, která je oprávněna poskytovat platební služby uvedené v povolení k činnosti platební instituce, které jí udělila Česká národní banka.
25
Jsou to: ● banky, ● spořitelní a úvěrní družstva, ● zahraniční banky a pobočky zahraničních bank, ● instituce elektronických peněz vč. zahraničních, ● vydavatelé elektronických peněz malého rozsahu, ● platební instituce včetně zahraničních, ● poskytovatelé platebních služeb malého rozsahu ● ČNB a právnické osoby veřejného práva. 26
Vydávat EP jako podnikání mohou: banky, zahraniční banky a zahraniční finanční instituce, spořitelní a úvěrní družstva, instituce elektronických peněz, zahraniční instituce elektronických peněz, vydavatelé elektronických peněz malého rozsahu Česká národní banka, právnické osoby veřejného práva. 27
Platební instituce
Povolení k činnosti
Poskytovatel PS MR
Zápis do registru poskytovatelů PS MR
Instituce EP
Povolení k činnosti
Vydavatel EP MR
Zápis do registru vydavatelů EP MR
Platební služby
Podnikání
Vydání EP
28
§ 92 odst. 2 zákona č. 284/2009 Sb. jestliže poskytovatel nebo jiná osoba za použití určitého PP požaduje úplatu, nebo nabízí slevu, informuje o tom poskytovatel uživatele před zahájením platební transakce. § 77 odst. 3 zákona č. 284/2009 Sb. Poskytovatel nesmí příjemci bránit v tom, aby požadoval od plátce úplatu za přijetí PP nebo mu za jeho přijetí nabízel slevu – „tzv. Surcharging“ 29
§ 98-103 zákona č. 284/2009 Sb. Autorizace platební transakce: Platební transakce je autorizována, jestliže k ní plátce dal souhlas, nestanoví-li jiný právní předpis jinak, Platební transakce může být autorizována před provedením platební transakce, nebo dohodnou-li se tak plátce a jeho poskytovatel, po jejím provedení. Souhlas lze udělit k jednotlivé platební transakci nebo k několika platebním transakcím. Souhlas lze udělit i prostřednictvím platebního prostředku. Forma a postup udělení souhlasu musí být dohodnuty mezi plátcem a poskytovatelem. 30
§ 101 zákona č. 284/2009 Sb. Povinnosti uživatele:
používat platební prostředek v souladu s rámcovou smlouvou, zejména je povinen okamžitě poté, co obdrží platební prostředek, přijmout veškerá přiměřená opatření na ochranu jeho personalizovaných bezpečnostních prvků, bez zbytečného odkladu po zjištění oznámit poskytovateli nebo osobě jím určené ztrátu, odcizení, zneužití nebo neautorizované použití platebního prostředku. 31
§ 102 zákona č. 284/2009 Sb. Povinnosti poskytovatele:
zajistit, aby personalizované bezpečnostní prvky platebního prostředku nebyly přístupné osobám jiným než jeho držiteli; tím nejsou dotčeny povinnosti držitele platebního prostředku, nevydat nevyžádaný platební prostředek, nejedná-li se o náhradu za platební prostředek vydaný držiteli platebního prostředku již dříve, zajistit, aby držiteli platebního prostředku byly k dispozici vhodné prostředky umožňující kdykoli: oznámit ztrátu, odcizení, zneužití nebo neautorizované použití platebního prostředku, požádat o odblokování platebního prostředku, 32
Povinnosti poskytovatele - pokračování: na žádost poskytnout držiteli platebního prostředku doklad, kterým může po dobu 18 měsíců od oznámení prokázat, že toto oznámení učinil, zabránit jakémukoli užití platebního prostředku poté, co bylo učiněno oznámení, jestliže se nejedná o elektronické peníze, jejichž povaha takové zabránění neumožňuje. Vydavatel platebního prostředku nese riziko spojené s doručením platebního prostředku nebo jeho personalizovaných bezpečnostních prvků držiteli platebního prostředku. 33
§ 103 zákona č. 284/2009 Sb. Vrácení částky autorizované platební transakce: Plátce je oprávněn do 8 týdnů ode dne, kdy byly peněžní prostředky odepsány z jeho účtu, požadovat vrácení částky autorizované platební transakce provedené z podnětu příjemce, jestliže v okamžiku autorizace nebyla stanovena přesná částka platební transakce a zároveň částka platební transakce převyšuje částku, kterou plátce mohl očekávat se zřetelem ke všem okolnostem; plátce však nemůže namítat neočekávanou změnu směnného kurzu, pokud byl použit referenční směnný kurz dohodnutý mezi plátcem a jeho poskytovatelem. 34
Vrácení částky - pokračování: Plátce poskytne poskytovateli na jeho žádost informace a doklady nasvědčující tomu, že byly splněny podmínky pro vrácení částky platební transakce, Poskytovatel do 10 pracovních dnů od obdržení žádosti plátce částku platební transakce vrátí, nebo její vrácení odmítne a sdělí plátci důvody odmítnutí spolu s informací o způsobu mimosoudního řešení sporů mezi plátcem a jeho poskytovatelem a o možnosti plátce podat stížnost orgánu dohledu. 35
§ 115 - 116 zákona č. 284/2009 Sb. Odpovědnost poskytovatele za neautorizovanou platební transakci: Jestliže byla provedena neautorizovaná platební transakce, poskytovatel plátce: ihned vrátí částku platební transakce plátci, nebo v případě, že částka platební transakce byla odepsána z účtu plátce, uvede tento účet do stavu, v němž by byl, kdyby z něj částka platební transakce nebyla odepsána. 36
Plátce nese ztrátu z neautorizovaných platebních transakcí:
do částky odpovídající 150 EUR, pokud tato ztráta byla způsobena použitím ztraceného nebo odcizeného platebního prostředku, nebo zneužitím platebního prostředku v případě, že plátce nezajistil ochranu jeho personalizovaných bezpečnostních prvků, v plném rozsahu, pokud tato ztráta byla způsobena jeho podvodným jednáním nebo úmyslným nebo hrubě nedbalostním porušením některé z jeho povinností.
37
Plátce nese ztrátu z neautorizované platební transakce: Výše uvedené se nepoužije, pokud plátce nejednal podvodně a ztráta vznikla po té, co plátce oznámil ztrátu, odcizení nebo zneužití platebního prostředku, nebo poskytovatel nezajistil, aby uživateli byly k dispozici vhodné prostředky umožňující kdykoli oznámit ztrátu, odcizení, zneužití nebo neautorizované použití platebního prostředku. 38
§ 117 zákona č. 284/2009 Sb. Odpovědnost poskytovatele za neprovedenou nebo nesprávně provedenou platební transakci z podnětu plátce: Jestliže platební transakce z podnětu plátce nebyla provedena, nebo byla provedena nesprávně, poskytovatel plátce ihned vrátí částku platební transakce plátci, nebo v případě, že částka platební transakce byla odepsána z účtu plátce, uvede tento účet do stavu, v němž by byl, kdyby z něj částka platební transakce nebyla odepsána, pokud plátce oznámí svému poskytovateli, že netrvá na provedení platební transakce. Splněním této povinnosti zanikne povinnost poskytovatele plátce zajistit připsání částky platební transakce na účet poskytovatele příjemce. 39
1) Přehled právních norem 2) Základní pojmy platebního styku 3) Platební instrumenty 4) Trestné činy 5) SBK, finanční arbitr 6) Cashless Society
40
Nový digitální věk? 3D Secure as a safety standards
Skutečný digitální věk First mobile payments
zavádění First EFTPOS
First EMV cards
First off – line ATM First travel agency for Diners Cluib
2011 2002 1997
1968
2013
First e-money
First on line ATM
1989
1990/1992 1993
2014
First contacless payment instruments
● platební karta (debetní, kreditní, charge) ● aplikace internetového bankovnictví Prostředky bezkontaktních technologií SIM karta v mobilu
42
Kartové
asociace VISA 43% MasterCard 54% Diners Club + ostatní (3%)
Systémy platebních karet
– Asociace - vlastněné bankami
– Obchodní společnosti
Otevřené systémy
VISA, MasterCard, JCB
– Na principu franšízy nebo licencí
– Licence vydávány členům na issuing/acquiring
– Vlastník systému nevydává karty přímo
Uzavřené
American Express
– privátní společnost – v zemích pobočky
– využívá banky či ostatní subjekty pro obchodní spolupráci
Diners Club/Discover
– franšíza podle zemí či regionů
Privátní karty 44
Branding – vlastnictví značek – Ochranné známky , reklamní kampaně Tvorba a údržba produktových norem – Karty – design a funkce – Provádění transakcí, clearing a zúčtování – Bezpečnostní požadavky Provozování sítě – Autorizační systémy – Clearingové systémy a zúčtování Správa členů – Přijímání nových členů – Certifikace, shoda se standardy – Implementace nových funkcí a služeb 45
Základní A)
kartový model čtyřstranný model Open Loop, Four Party Model (např. Visa, MasterCard, JCB) Vydavatel
Acquirer
Uživatel
Obchodník
46
Člen
asociace s právem vydávat platební karty – Zpracování žádostí – Personalizace platební karty, PIN – Doručení karty – Zaúčtování transakcí, výpis – Reklamace, asistence – Scoring, vymáhání a správa úvěrů u kreditních karet – Smlouva s držitelem
47
Člen
asociace s právem zúčtovávat transakce platebních karet – Smlouvy s obchodními místy – Distribuce POS terminálů zápůjčka/prodej, servis a údržba – Zpracování transakčních podkladů – Zaúčtování transakcí, výpisy pro obchodní místa – Reklamační procedury – Instalace a provozování bankomatů (ATM) – Přidané služby pro obchodní místa (věrnostní systémy) 48
B) třístranný model (např. Diners Club, Amex)
Kartová asociace Uživatel
Obchodník
49
Czech acquirers
Česká spořitelna, a.s. ČSOB, a.s. UniCredit Bank CR, a.s. Komerční banka, a.s. Raiffeisenbank, a.s. 51
52
Výpis z účtu
Zdroj: archiv autora
53
Výběr hotovosti při placení PK na pokladně vybraných obchodníků.
Zdroj: vlastní archiv autora 54
Zdroj: vlastní archiv autora 55
56
Payment through online banking
Source: 10th ECB Seminar on Payment a nd Settlement Issues for CB, 2010
Zdroj: 10th ECB Seminar on Payment a nd Settlement Issues for CB, 2010
58
Pay Sec - ČSOB
Zdroj: 10th ECB Seminar on Payment a nd Settlement Issues for CB, 2010
m-payments
Zdroj: 10th ECB Seminar on Payment a nd Settlement Issues for CB, 2010
1) Přehled právních norem 2) Základní pojmy platebního styku 3) Platební instrumenty 4) Trestné činy 5) SBK, finanční arbitr 6) Cashless Society
62
Podvody Libanonská smyčka PK se nedostane do AMT, ale ani není držiteli vydána. Skrytá kamera Skimming - Údaj z magnetického proužku elektronicky zkopírovány na jinou PK (bez CVC2/CVV2) Dotekové senzory na klávesnici Phishing Zneužití pomocí emailu s cílem získání identifikačních údajů Pharming Napadání doménových jmen Domeain Name Systém a převádění na vlastní Spoofing Neoprávněné proniknutí do sítě bank (nejnebezpečnější). Trashing Vybírání odpadků 63
Podvody Pharming Napadání doménových jmen Domeain Name Systém a převádění na vlastní http://www.mesec.cz/clanky/nejcastejsi-podvody-platebnimi-kartami/
Spoofing Neoprávněné proniknutí do sítě bank (nejnebezpečnější). Trashing Vybírání odpadků
64
Zdroj: http://www.kbkarty.cz/cs/bezpecnost/bezpecnost-bankomatu/ 65
Skimming v praxi
Zdroj: EAST
68
Skimming v praxi
Zdroj: Policie ČR
69
Skimming v praxi
Zdroj: Policie ČR
70
Skimming v praxi
Zdroj: Policie ČR
71
72
Bezpečnostní standard PCI DSS (Payment Card Industry Data Security Standard) představuje meziná rodní pravidla, definující podmínky nakládání s údaji držitelů platebních karet, které jsou obsaženy na platebních kartách. Tato mezinárodní pravidla, jejichž plnění je vyžadováno kartovými asociacemi a společnostmi, jsou určena pro organizace, které zpracovávají, přenášejí nebo uchovávají data držitelů platebních karet (z platebních karet a o kartových transakcích). Cílem těchto mezinárod ních pravidel je omezit rizika úniků uvedených dat a tím jejich možnému zneužití. PCI DSS jako modelo vý rámec pro zajištění bezpečnosti obsahuje nejvhodnější postupy k minimalizaci rizika odcizení dat.
Zdroj: http://www.pcistandard.cz/admin/uploads/let_A4_info_PCI_DSS_cj_nahled.pdf
73
Zdroj: http://www.pcistandard.cz/admin/uploads/let_A4_info_PCI_DSS_cj_nahled.pdf 74
75
§ 234 Neoprávněné opatření, padělání a pozměnění platebního prostředku Kdo si opatří, zpřístupní, přijme nebo přechovává (nebo jinému) bez souhlasu oprávněného držitele platební prostředek jiného, zejména nepřenosnou platební kartu identifikovatelnou podle jména nebo čísla, elektronické peníze, příkaz k zúčtování, cestovní šek nebo záruční šekovou kartu -až na dva roky. Kdo si opatří, zpřístupní, přijme nebo přechovává padělaný nebo pozměněný platební prostředek (nebo jinému) - jeden rok až pět let. Kdo padělá nebo pozmění platební prostředek s tím, že jej jako pravý nebo platný, nebo kdo padělaný nebo pozměněný platební prostředek použije jako pravý nebo platný – tři až osm let. Příprava ke shora uvedenému je také trestná.
76
1) Přehled právních norem 2) Základní pojmy platebního styku 3) Platební instrumenty 4) Trestné činy 5) SBK, finanční arbitr 6) Cashless Society
77
Sdružení pro bankovní karty zájmové sdružení vydavatelů a dalších zainteresovaných institucí nebo firem s cílem podpory kartového businessu v ČR.
Technologie, Výuka, Bezpečnost, Legislativa, Statistika
78
SBK
je členem EAST (European ATM Security Team). EAST nezisková organizace za účelem poskytování informací v vrámci evropského ATM sektoru
https://www.european-atm-security.eu/content/files/EAST%20ATM%20Fraud%20Analysis%20Report%20Vs%201.1.pdf
79
Kompetence finančního arbitra: Rozhodování sporů v oblasti poskytování platebních služeb a vydávání a zpětné výměny elektronických peněz
80
Celé řízení se zahajuje na návrh navrhovatele. Podání má na promlčení tytéž právní účinky, jako kdyby byla věc podána u soudu; Návrh však není přípustný, jestliže: spor nenáleží do působnosti arbitra; ve věci již rozhodl soud; ve věci již arbitr rozhodl nebo rozhoduje; spor je předmětem rozhodčího řízení.
81
82
1) Přehled právních norem 2) Základní pojmy platebního styku 3) Platební instrumenty 4) Trestné činy 5) SBK, finanční arbitr 6) Cashless Society
83
-
PK obsahující 12-digitálních klávesnic pro elektronický podpis a autentikaci
http://www.mesec.cz/clanky/novinky-vplatebnich-kartach-v-roce-2011/
84
bezkontaktní platební karta
Zdroj: Wincor Nixdorf, Visa
85
bezkaretní instrumenty
85
Near field communications – mobile payment
Pro bezpečnost mobilních plateb je potřeba: čip nebo Secure Element „SE” v zařízení anténa.
Mobilní platby
MMC
SIM Centric
Mobile Centric
Secure element je na SIM
Secure element uložen v handset
Micro SD Memory Card Secure element je na micro-SD kartě
Inovace
v bezhotovostním placení...bezhotovostní společnost?
Toto
?!?
nebo THIS !?!
88
88
https://www.european-atm-
security.eu/industry-information/protectpin/ http://www.youtube.com/watch?v=HoYtazH Zyyw&feature=youtu.be http://youtu.be/lOSJyuAPv_A http://www.bankovnikarty.cz/pages/czech/
main.html
90