Bankovní institut vysoká škola Praha Katedra finančnictví a ekonomických disciplín
Podvody v platebním styku Bakalářská práce
Autor:
Lucie Novotná Bankovní management
Vedoucí práce:
Praha
Ing. Zbyněk Kalabis
červen, 2013
Prohlášení: Prohlašuji,
ţe
jsem
bakalářskou
práci
zpracovala
samostatně
a v seznamu uvedla veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámena se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.
V Jablonci nad Nisou dne 5. června 2013
Lucie Novotná
Poděkování Ráda bych poděkovala panu Ing. Zbyňku Kalabisi za strávený čas nad touto prací, uţitečné rady a náměty, kterými přispěl ke zkvalitnění práce.
Anotace Předloţená bakalářská práce s názvem „Podvody v platebním styku“ charakterizuje platební styk a identifikuje jeho slabé stránky, resp. podvody, které blíţeji popisuje a dokládá na praktických případech. Práce je rozdělena do dvou částí, kde v první je věnována pozornost teoretickým aspektům platebního styku, jeho členění, způsoby, jakými je uskutečňován. Jednotlivé nástroje platebního styku jsou blíţeji popsány v závislosti na jejich způsobu uţití: tradiční, které představují platební karty a internetové bankovnictví, či alternativní v podobě elektronických peněţenek. V následující kapitole se zaměřuji na jednotlivé podvody v platebním styku, které jsou popsány z hlediska provedení a případně doloţeny hodnotami z praxe. Ve třetí kapitole je pak vybrána řada opatření, která mají za úkol eliminovat rizika spojená s vyuţíváním platebních karet a elektronického bankovnictví. Klíčová slova: Podvod, platební styk, bezhotovostní, hotovostní, platební karta
Annotation The bachelor thesis entitled "Fraud in Payment Systems" describes the payment system and identifies its weaknesses, respectively. fraud, which describes and illustrates closer to practical cases. The work is divided into two parts, where the first is devoted to theoretical aspects of the payment system, its structure, the way it is carried out. Individual instruments of payment are described closer depending on their method of use: traditional, which represent credit cards and internet banking, or alternative in the form of electronic wallets. In the next chapter I focus on each fraud in the payment system, which are described in terms of design and possibly supported values in practice. The third chapter is then selected a number of measures that are designed to eliminate the risks associated with the use of payment cards and electronic banking. Key words: Fraud, payment, cashless, cash, payment card
Obsah Úvod ................................................................................................................................. 6 1.
Platební styk ............................................................................................................. 7 1.1 Produkty platebního styku a jejich členění ........................................................... 7 1.2 Platební styk z pohledu práva ............................................................................... 8 1.2.1
Zákon o platebním styku ............................................................................ 8
1.2.2
Zákon o bankách......................................................................................... 8
1.3 Hotovostní platební styk ....................................................................................... 9 1.3.1
Ochranné prvky ........................................................................................ 10
1.4 Bezhotovostní platební styk ............................................................................... 11 1.4.1
Běţný účet ................................................................................................ 12
1.4.2
Nedokumentární bezhotovostní styk ........................................................ 13
Příkaz k úhradě ................................................................................................... 13 Příkaz k inkasu ................................................................................................... 13 Hromadné příkazy .............................................................................................. 14 Trvalý příkaz ...................................................................................................... 14 Zahraniční platební příkaz .................................................................................. 14 Šeky .................................................................................................................... 14 Směnky ............................................................................................................... 15 1.4.3
Nástroje elektronického platebního styku ................................................ 16
Platební karty ...................................................................................................... 16 Phone banking .................................................................................................... 18 Homebanking ..................................................................................................... 19 GSM banking...................................................................................................... 19 Internetbanking ................................................................................................... 20 SuperCASH ........................................................................................................ 20
Elektronické peněţenky...................................................................................... 21 PayPal ................................................................................................................. 21 PaySec ................................................................................................................ 21 1.5 Blízká budoucnost a novinky v platebním styku ................................................ 22 2.
Podvody v platebním styku .................................................................................... 24 2.1 Podvody v hotovostním platebním styku ............................................................. 24 2.2 Podvody v bezhotovostním platebním styku ...................................................... 27 Libanonská smyčka ............................................................................................ 27 Skrytá kamera ..................................................................................................... 28 Dotekové senzory ............................................................................................... 29 Padělky platebních karet..................................................................................... 29 Skimming ........................................................................................................... 30 Phishing .............................................................................................................. 33 Pharming............................................................................................................. 35 Spoofing ............................................................................................................. 38 Trashing .............................................................................................................. 38 Další hrozby........................................................................................................ 40 3.
Doporučení pro omezení rizik plynoucích z pouţívání platebních karet nebo
elektronického bankovnictví....................................................................................... 42 3.1 Doporučení v oblasti pouţívání platebních karet ............................................. 42 3.2 Doporučení ke sníţení rizika v oblasti elektronického bankovnictví ............... 43 Závěr ............................................................................................................................... 46 Seznam pouţitých zdrojů ............................................................................................... 47 Seznam příloh ................................................................................................................. 51
Úvod Téma této práce jsem si zvolila především z toho důvodu, ţe je to stále aktuálním tématem mezi širokou veřejností a zabývá se velice zajímavou problematikou. Segment bankovnictví byl stejně jako ostatní silně ovlivněn nástupem internetu, který lze datovat na konec dvacátého století. Tato změna do velké míry ovlivnila vyuţívání jednotlivých instrumentů platebního styku a styk jako takový, coţ si lze ilustrovat na případu před rozšířením internetu, kdy transakce byly realizovány pouze hotovostní formou. Ta byla zprostředkována pomocí peněz ve formě bankovek či mincí. V současnosti si lze jen těţko představit placení větších částek pouze ve formě hotovosti, neboť v této činnosti jasně dominuje vyuţívání platebních karet. Ačkoliv se dnes lze setkat a vyuţít prakticky všechny nástroje, které slouţily ke zprostředkování platebního styku i v minulosti, tak trend je neúprosný. Vyuţití moderních způsobů a technologický pokrok takřka vytlačily vyuţívání starších nástrojů, především pak ve vyjádření v objemech uskutečněných transakcí. Důvody jsou prosté, lidé upřednostňují pohodlí a rychlost, coţ jsou přesně výhody, kterými tyto nové nástroje disponují. Tomuto trendu se pochopitelně snaţí v maximální míře přizpůsobit i banky a další instituce v této oblasti. S touto transformací souvisejí určitá rizika, především pak v oblasti zabezpečení, neboť prostřednictvím sítě dochází k přenosu mnoha informací, včetně těch citlivých. Zvyšující se klientela, pak působí jako motivace podvodníkům k vynakládání vyšších výdajů na zneuţití. Cílem této práce je popsat platební styk, včetně jeho nástrojů, struktury, vyuţití a také zabezpečení proti zneuţití. Zvýšená pozornost je věnována především oblasti zabezpečení, resp. zneuţití. Podvodným technikám je tak věnována samostatná kapitola, v které jsou popsány jednotlivé postupy podvodníků a v případě dostupných dat doloţeny hodnotami z praxe. Na základě této kapitoly je pak psána kapitola následující, která se snaţí rizika spojená s vyuţíváním platebních karet a elektronického bankovnictví eliminovat. V úvodu bude tedy popsán platební styk především s důrazem na teoretické aspekty, jeho nástroje a moţnosti vyuţití, atd. V kapitole následující budu analyzovat podvodné techniky v oblastech hotovostních a bezhotovostních plateb a v závěru je shrnuto několik doporučení pro drţitele platebních karet a uţivatelů elektronického bankovnictví. 6
1. Platební styk Platební styk si lze definovat různě. Obecně ho lze vymezit jako vztah mezi plátcem a příjemcem, v rámci kterého dochází k transferu peněţních prostředků v hotovostní či bezhotovostní formě. V roli plátců a příjemců si lze identifikovat ekonomické subjekty v podobě fyzické či právnické osoby. K této činnosti můţe docházet v rámci jednoho národu (národní) či více států (mezinárodní platební styk)1.
1.1 Produkty platebního styku a jejich členění Z hlediska členění platebního styku lze vyuţít celou řadu přístupů, nicméně s ohledem na rozsah této práce a tématu jsem se rozhodla tyto kritéria zmínit pouze okrajově. Zaměřila jsem se především na základní rozdělení hotovostního a bezhotovostního platebního styku a jejich jednotlivé komponenty k tomuto účelu slouţící. Z hlediska platby a zajištění si lze rozdělit produkty následujícím způsobem: zajišťovací – slouţí k zajištění platby a k aktivaci dochází ve chvíli neplnění závazků (např. bankovní záruky, směnky, atd.) platební – představují tzv. nositele plateb (např. dokumentární inkasa, hladké platby, atd.) Většina bankovních institucí při výběru těchto instrumentů porovnává míru rizika a nákladů souvisejících s platebními operacemi2. Jako další kritérium se obvykle uvádí závazek, podle kterého má členění následující podobu: závazkové produkty abstraktní – závazek banky je oddělen od kontraktu (př. dokumentární akreditiv) závazkové produkty akcesorické – závazek banky je součástí kontraktu (př. platební záruky) bezzávazkové produkty (př. hladký plat, dokumentární inkaso, atd.)
1
[1, str. 24]
2
[2, str. 149]
7
Jako další aspekt můţe být vztah dokumentace a realizace platby, rozdělení má pak následující strukturu: nedokumentární – platební styk je uskutečněn přímo dokumentární – k realizaci platebního styku dochází po předloţení potřebných dokumentů, tyto dokumenty jsou vázané na kontrakt a je zde obvykle zapojená bankovní instituce (míra zapojení můţe být různá) Platební styk lze uskutečňovat skrze platební produkty, které jsou více popsány v následujících kapitolách, a jejich rozdělení je provedeno na základě obvyklých kritérií.
1.2 Platební styk z pohledu práva V rámci České republiky je platební styk upraven několika zákony, vyhláškami a úředními sděleními České národní banky a také nařízeními Evropského parlamentu.
1.2.1 Zákon o platebním styku Platební styk je upraven zákonem č. 284/2009 Sb., který upravuje především následující: „činnost některých osob oprávněných poskytovat platební sluţby a vydávat elektronické peníze, včetně činnosti těchto osob v zahraničí, účast
v platebních
systémech
a
vznik
a
provozování
platebních
systémů
s neodvolatelností zúčtování, práva a povinnosti poskytovatelů platebních sluţeb a uţivatelů platebních sluţeb, práva a povinnosti vydavatelů elektronických peněz a drţitelů elektronických peněz:“3
1.2.2 Zákon o bankách Zákon č. 21/1992 Sb., o bankách se v některých částech dotýká i platebního styku. Jde především o §1 odst. 3 zákona, který říká, ţe kromě základních funkcí bank – přijímání vkladů a poskytování úvěrů, banka můţe vykonávat další činnosti (v případě oprávnění –
3
Zákon č. 284/2009 Sb., o platebním styku, §1
8
licence), mezi které si lze zařadit platební styk, vydávání platebních karet, zúčtování či směnárenské operace4. Dále je platební styk upravován dle předpisů v Obchodním zákoníku, Zákonu směnečným a šekovým, Zákonem o finančním arbitrovi a celou řadou dalších nařízení a vyhlášek z Evropského parlamentu, které jsou pro přehlednost k dispozici v příloze (tabulka č. 1). Základní členění platebního styku představuje rozdělení dle způsobu placení a to konkrétněji na hotovostní a bezhotovostní způsoby platby. Bliţší deskripce těchto druhů plateb je v následujících částech práce, konkrétněji kapitoly 1.3 a 1.4.
1.3 Hotovostní platební styk Hotovostní platební styk představuje jednu z forem platebního styku, která je uskutečňována prostřednictvím peněz, konkrétněji v podobě bankovek a mincí (případně směnek či šeků). Právo na tisk fyzických peněz, resp. emise peněz je plně v kompetenci ČNB dle zákona č. 6/1993 Sb. s tím, ţe raţbu mincí zajišťuje Biţuterie Česká Mincovna a.s., která má své sídlo v Jablonci nad Nisou. Zajímavostí jistě je, ţe prvopočátky raţení mincí nemají svůj původ v České republice, resp. první mince byly dodávány ze zahraničních mincoven. V současné době jsou v České republice pouţívány mince s šesti základními nominálními hodnotami (viz tabulka v příloze, Tabulka č. 2 - Mince). Co se týče bankovek, tak se vyuţívá také šest základních nominálních typů hodnot, které jsou tištěny ve Státní tiskárně cenin, jak napovídá název, tak se jedná o státem vlastněný podnik. Na současných bankovkách jsou vyobrazeny významné osobnosti z české historie a jejich autorem je Oldřich Kulhánek ( (tabulka v příloze, Tabulka č. 3 - Bankovky). Jako výhody při vyuţívání hotovostních plateb si lze uvést operativnost a jistotu spojenou s platbou, ovšem v případě nevýhod je nutné kalkulovat s nákladností, která spočívá v riziku zcizení a následného zneuţití. Jako další riziko lze poukázat na časovou náročnost spojenou s přesunem peněz.
4
Zákon č. 21/1992 Sb., o bankách, §1
9
Hotovostní operace jsou zákonem obecně omezeny částkou 15 000 Euro za den, důvodem je jejich relativně snadná zneuţitelnost v černé ekonomice – praní špinavých peněz, nelegální obchody, atd.
1.3.1 Ochranné prvky U mincí nelze identifikovat zvláštní ochranné prvky, neboť vzhledem k jejich nominální hodnotě by byly náklady na provedení těchto operací v řadě případů vyšší, neţ je jejich nominální hodnota. Padělky jsou obvykle vyrobeny z jiných materiálů, takţe mají odlišnou barvu a po delším uţívání se mohou stírat5. U bankovek jiţ lze identifikovat celou řadu ochranných prvků (pro více informací odkazuji na zdroj číslo patnáct v seznamu literatury), které slouţí k rozeznání bankovek od padělků či jiným způsobem modifikovaných falzifikátů: vodoznak – základ představují nominální hodnota bankovky a příslušná významná osobnost z české historie, která tvoří hlavní předlohu pro danou bankovku; vodoznak je zřetelně viditelný, jestliţe je bankovka vystavena proti světlu ochranný okénkový prouţek – je vytvořen z umělé metalizované hmoty a zapuštěn do papíru bankovky, na lícní straně vystupuje vţdy ve čtyřech intervalech na povrch papíru, pozorovatelné jsou právě pouze vystupující části prouţku a opět je třeba bankovku pozorovat proti světlu; na povrchu je vyobrazena nominální hodnota dané bankovky a logo ČNB ochranná vlákna – v papíru zapuštěná vlákna o délce šesti milimetrů; viditelná jsou pouhým okem a nejlépe zřetelná jsou na bílých okrajích bankovky mikrotext – tištěn je způsobem z hloubky a z plochy, označuje číselnou hodnotu bankovky a tvoří konturu velkého hodnotového čísla na lícní straně, dále je umístěn i vpravo od portrétu v pruhu základní barvy; rovněţ ho lze dohled na rubu, kde je umístěn také v pruhu základní barvy a na dalších místech bankovky opticky proměnlivá barva – jak napovídá název, tak tento prvek je zaloţen na optickém efektu, svou barvu mění v závislosti na úhlu pohledu
5
[7, str. 216]
10
skrytý obrazec – vyobrazuje nominální hodnotu bankovky a je umístěn na lícní straně bankovky v ornamentu na rameni postavy, viditelný je tehdy, je-li bankovka ve výši očí ve vodorovné poloze proti zdroji světla; iridiscentní pruh – neboli ochranný pruh o šířce dvaceti milimetrů je umístěn na lícní straně bankovky; je dvoubarevný, zprava vzorovaný; při běţném pohledu na bankovku se jeví jako průhledný, ale při sklopení bankovky proti zdroji světla pruh získává kovový odlesk s mírným zbarvením (fialová, zlatá); na irisdiscentním pruhu je vyznačena nominální hodnota bankovky a při sklopení se mírně podbarvují, resp. zdají se tmavší soutisková značka – tento prvek ochrany je viditelný vţdy částečně z kaţdé strany bankovky, přičemţ v průhledu proti světlu je značka vidět kompletní a její jednotlivé linky na sebe přesně navazují; značka umístěna v kruhu a nese písmena „ČR“6 Počet ochranných prvků, kterými jsou jednotlivé bankovky vybaveny je závislí na jejich nominální hodnotě (jak bylo avizováno v případě mincí, tak jsou případy, kdy se to nemusí vyplatit), takţe např. bankovky s nominální hodnotou sto, dvouset a pětisetkorun nedisponují iridiscentním pruhem, přičemţ první dvě neobsahují ani opticky proměnlivá vlákna.
1.4 Bezhotovostní platební styk V uplynulých letech je jasně pozorovatelný trend, kdy bezhotovostní forma platebního styku je stále více vyuţívána oproti formě hotovostní, především jedná-li se o větší finanční transakce. Tato tendence je ovšem pozorovatelná jiţ i u částek menších objemů, coţ je důsledkem rozvoje nových technologií (př. v současné době bezkontaktní platební karty). Dle zákona č. 254/2004 Sb. se bezhotovostní platbou rozumí platba provedená převodem peněţních prostředků na území České republiky prostřednictvím peněţního ústavu v české nebo cizí měně z území České republiky na území jiného státu. Jiný pohled na bezhotovostní platby poskytuje Schlossberger [1], který bezhotovostní peníze charakterizuje jako tzv.
6
Bankovky
a
mince. Česká
národní
banka [online].
2003
http://www.cnb.cz/cs/platidla/ochranne_prvky/ochranne_prvky_1000.html.
11
[cit.
2013-05-04].
Dostupné
z:
„zápisy na účtech“, prostřednictvím kterých dochází k transferu vlastnických práv mezi subjekty, tedy bezhotovostní platby. Při vyuţívání bezhotovostního platebního styku se lze setkat s celou řadou nástrojů, prostřednictvím kterých jej lze provádět. Rozhodla jsem se proto tuto část rozdělit na tzv. klasické bezhotovostní instrumenty a elektronické platební nástroje, přičemţ v České republice je zatím stále vyuţívanější první skupina nástrojů. Před samotným vymezením jednotlivých nástrojů v rámci bezhotovostního platebního styku je vhodné uvést, ţe základním předpokladem k vyuţívání některých z nástrojů je nezbytné vlastnit bankovní účet.
1.4.1 Běžný účet Běţný účet představuje základní produkt, který poskytují banky klientům. Obvykle je nabízen spolu s dalšími dodatečnými produkty, které jsou poté připojeny k bankovnímu účtu. Zaloţení běţného účtu je jednoduchou záleţitostí, člověk musí splňovat následující kritéria: právní způsobilost – tu si lze ilustrovat následovně: „způsobilostí k právním úkonům rozumíme schopnost svými vlastními činy zakládat právní úkony, tzn. vlastními právními úkony nabývat práv a brát na sebe povinnosti.“7 plnoletost – výjimkou jsou studentské účty, které lze zřídit jiţ dosaţením patnácti let, kde zakladatele účtu představuje jeho zákonný zástupce a nutností je předloţit platné potvrzení o studiu (klient se při zakládání prokazuje dokladem totoţnosti – občanský pas, v případě cizinců se obvykle pouţívá cestovního pasu) Dalšími nutnostmi při zakládání běţného účtu jsou dokumentace k účtu, tj. smlouva o jeho zřízení, podpisový vzor, apod., přičemţ většina z těchto nezbytností je podřízena zákonům v obchodním zákoníku. Následuje jiţ zmiňované rozdělení instrumentů bezhotovostního platebního styku, které je obsáhlejší a lze se setkat s různými přístupy k členění jednotlivých nástrojů, nicméně nejčastější rozdělení představuje na klasické a moderní nástroje. Moderní zahrnují různé
7
[1, str. 28]
12
technologické pokroky a ve většině případů se jedná o elektronické prostředky. Přístup právní úpravy koresponduje s tímto rozdělením, takţe vymezení klasických nástrojů je jasné, zatímco u moderních, vinou neustálého rozvoje, jasné vymezení k dispozici není.
1.4.2 Nedokumentární bezhotovostní styk Mezi klasické instrumenty, se kterými se lze setkat, jsem se rozhodla zmínit následující: příkaz k úhradě, příkaz k inkasu, hromadné příkazy, šeky, směnky, trvalý příkaz, zahraniční platební příkaz. Jejich podrobnější deskripce je provedena u kaţdého z instrumentů níţe, přičemţ je čerpáno především z publikace Schlossbergera a Soldánové [1]. Příkaz k úhradě Příkaz k úhradě je zřejmě nejpouţívanějším nástrojem bezhotovostní platebního styku. Je dáno především díky jednoduchosti - majitel účtu přikazuje své bance, aby na vrub jeho účtu provedla platbu ve prospěch účtu příjemce platby, hlavní subjekty jsou plátce (příkazce), banka plátce, příjemce a banka příjemce (liší-li se od banky plátce). Z hlediska realizace jde o jeden z nejjednodušších platebních instrumentů, neboť dochází k jednoduchému zúčtování mezi bankami plátce a příjemce. Co se týče náleţitostí, které musí splňovat, lze odkázat na vyhlášku ČNB č. 64/2004 Sb. Příkaz k inkasu Příkaz k inkasu představuje také velmi častou pouţívaný nástroj, jelikoţ poţadavky jsou takřka totoţné jako u příkazu k úhradě, takţe tento instrument opět disponuje výhodou ve své jednoduchosti. Příjemce platby přikazuje bance, aby z plátcova účtu odečetla určitou částkou a tu následně připsala ve prospěch jeho účtu. Samozřejmě je v tomto ohledu nezbytný souhlas plátce k inkasu a existence písemné dohody o této skutečnosti, ačkoliv banky k tomuto faktu příliš nepřihlíţejí8. Za základní subjekty, které vystupují v tomto procesu, si lze označit příjemce platby, který iniciuje tuto transakci, banku příjemce, banku plátce a samotného plátce. Co se týče právní úpravy, tak je prakticky totoţná s tou, která se týká příkazu k úhradě.
8
[4, str. 43-44]
13
Hromadné příkazy Hromadné příkazy mohou představovat příkazy k úhradě či inkasu a od jednotlivých příkazů se liší tím, ţe pomocí jednoho formuláře lze provést více plateb, v tomto případě více příkazů k úhradě či inkasu. Trvalý příkaz Trvalý příkaz obdobně jako v případě hromadných příkazů je určitým vylepšením oproti klasickým příkazům (př. k inkasu a úhradě). V tomto případě se jedná o periodicky se opakující úkon (př. měsíční platba za energie, apod.). Ačkoliv tento způsob příkazu zjednodušuje opakující se platby pro bankovní instituce i jejich klientelu, tak jsou v praxi většinou zpoplatněny (především zaloţení či zrušení, eventuelně obojí). Zahraniční platební příkaz Zahraniční platební příkaz (Payment Order v ČR se lze setkat s překladem hladká platba) jedná se o platební příkaz, který je určený pro zprostředkování platebního styku na mezinárodní úrovni. S tímto souvisí vyšší nároky na bezpečnost, resp. počet povinných poloţek ve srovnání s klasickým příkazem k úhradě je vyšší. Počet subjektů, které jsou nezbytné k transakci, je větší, takţe i doba provedení se prodluţuje (cca 3-5 dnů). U řady bankovních institucí se lze setkat s tím, ţe spoluprací, resp. vyuţívají sluţeb jiných peněţních ústavů k provedení této transakce9. Co se týče právních norem, tak v rámci Evropské unie je v současné době rozhodující směrnice č. 2007/64/ES o platebních sluţbách na vnitřním trhu, která obměnila některé starší směrnice a podmínky ze zákona č. 219/1995 Sb., devizového zákona. Šeky Šeky jsou dalším platebním nástrojem slouţícím k uskutečňování bezhotovostního a bezdokumentárního platebního styku. Jako jedny z mála instrumentů (v případě bezdokumentárních jsou unikátem v tomto směru) si je můţeme označit za cenné papíry. Ve stručnosti majitel účtu přikazuje své bance, aby proplatila osobě, která je uvedená na šeku, určitou částku, která půjde na vrub účtu majitele. Jako zainteresované subjekty si lze uvést
9
[4, str. 46]
14
majitele šeku (doručitel či osoba výslovně uvedená na šeku), dále šekovník (ve většině případů se jedná o banku) a výstavce šeku neboli plátce. Vzhledem k povaze šeku – převoditelný cenný papír, tak je upraven zákonem směnečným a šekovým, zákon č. 191/1950 Sb.10. Rozdělení podléhá řadě hledisek, ať uţ z hlediska výstavce šekové kníţky či rozlišení mezi šeky bankovními (šek vystavuje banka) a soukromými (šek je vystavován fyzickými či právnickými nebankovními osobami), dále si lze uvést specifické druhy: eurošeky, cestovní šeky a zaručené šeky11. Platební styk dokumentární je vyuţíván zejména u obchodních příleţitostí na trzích B2B, resp. mezi dodavateli a odběrateli (př. indosament, dokumentární akreditiv, apod.). S ohledem na rozsah a především směr této práce jsem se rozhodla zmínit z této skupiny nástrojů pouze směnky. Směnky Směnky jsou ve své podstatě velice podobné šekům, jako příklad si lze uvést jejich zařazení do skupiny cenných papírů. Směnky jsou písemným dokladem o finančním závazku. Představují obchodovatelný cenný papír, kterým se výstavce (vlastní směnka) bezpodmínečně zavazuje, ţe osobě uvedené ve směnce (majitel směnky) uhradí ve stanovené době předem domluvenou sumu, popřípadě výstavce pověřuje třetí osobu (cizí směnka), aby zaplatila smluvenou částku (částku na směnce) za něho. Pouţívání směnek upravuje zákon směnečný a šekový, zákon č. 191/1950 Sb. ve znění zákona 29/2000 Sb. Směnky umoţňují vysokou míru flexibility pro výstavce, neboť mohou mít různou dobu splatnosti i účel.12 Dále lze uvést poštovní poukázky jakoţto nástroje slouţící k uskutečňování platebního styku, nicméně je třeba upozornit na jejich specifika, díky kterým je nelze jednoznačně přiřadit do ţádné z uvedených skupin – hotovostní či bezhotovostní platební styk. Lze se setkat s více
10
V tomto zákoně jsou uvedeny veškeré náleţitosti, které musejí být splněny pro uznání šeku, resp. jeho vyuţití.
11
[4, str. 48-55]
12
[1, str. 165; s menšími úpravami autorky] a dále dle: Směnka v běţném ţivotě - výhody i rizika.
Mesec.cz [online]. 2003 [cit. 2013-05-12]. Dostupné z: http://www.mesec.cz/clanky/smenka-v-beznem-zivotevyhody-i-rizika/.
15
druhy poštovních poukázek v závislosti na jejich způsobu úhrady, proplacení či územní působnosti.
1.4.3 Nástroje elektronického platebního styku Za jiţ tradiční části elektronického bankovnictví se v současné době povaţují platební karty a další systémy slouţící ke komunikaci mezi klientelou a danou institucí/bankou. Většinou lze pomocí těchto instrumentů provádět přímé platební operace. Do této skupiny si můţeme zařadit produkty, jakými jsou internetové a telefonické bankovnictví, dále jiţ méně tradiční GSM banking, homebanking, WAP banking a PDA banking, výčet není úplný, neboť s rostoucím vývojem technologií lze spojit uţívání bankovnictví prakticky kaţdým novým technologickým13 „hitem“ (př. v nedávné době vzestup tabletů, chytrých telefonů, atd.). Platební karty Platební karty představují nejvyuţívanější produkt elektronického bankovnictví, přičemţ tuto popularitu si lze doloţit počty vydaných karet, které v roce 2010 dosáhly prakticky identických hodnot jako je počet obyvatel na území ČR (např. za předešlý rok bylo vydáno 10 172 883 karet celkem, ve zmiňovaném roce 2010 to bylo 9 268 914 kusů)14. Platební karty jsou moderním nástrojem platebního styku, který je vyuţíván zejména k bezhotovostním platbám a výběrům v hotovosti. S vyuţíváním platebních karet si lze spojit nespočet výhod, ale také nevýhod. Nevýhody jsou především diskutovány v následujících kapitolách, neboť si je lze ilustrovat mírou zabezpečení. Částečně i z tohoto důvodu jsem se rozhodla věnovat v této části pozornost spíše členění platebních karet. Platební karty si je moţné rozdělit do čtyř skupin dle způsobu zúčtování: debetní karta (debit card) – je pravděpodobně v současnosti nejrozšířenějším typem platebních karet, neboť je součástí běţných účtů15, princip platby je následující: plátce
13
V blízké době lze očekávat jistě posun k těmto prostředkům a menšího vyuţívání jiţ tradičních forem, které
představují platební karty, apod. 14
Sdruţení pro bankovní karty. Sdružení pro bankovní karty [online]. 1992 [cit. 2013-04-30]. Dostupné z:
http://www.bankovnikarty.cz/pages/czech/profil_statistiky.html. 15
MasterCard ®
International: Debetní karty. MasterCard ®
International [on-line]. [cit. 2013-04-30].
Dostupné z: http://www.mastercard.com/cz/osobni-karty/cz/debetni-karty.html.
16
zaplatí za zboţí a sluţby ze svého účtu a banka jakmile se o dané transakci dozví, tak z plátcova účtu odečte příslušný objem peněţních prostředků, klientovi je dovoleno čerpat prostředky do maximální výše svého disponibilního zůstatku na běţném účtu (výjimkou je zřízení kontokorentu, který umoţňuje čerpat prostředky banky/peněţní instituce); existují dva typy debetních karet: embosované (mají na svém povrchu vyraţeny identifikační údaje, aby mohly být sejmuty sprintery) a elektronické (nejsou embosované, tedy nemají vyraţeny identifikační údaje, ovšem na zadní straně je umístěn magnetický pruh, který slouţí k přenosu dat) kreditní karta (credit card) – pomocí tohoto typu karty je zprostředkován spotřebitelský úvěr klientovi bankovní či jinou institucí, s kterou má smlouvu; tato smlouva umoţňuje klientovi vyuţívat prostředky banky, které si v rámci úvěru od dané instituce půjčil (tyto půjčky mají charakter periodicky opakujících se úvěrů), tento úvěr je nutné splácet ke smluvenému datu (příp. pravidelné splátky), neboť úroky z neuhrazené částky často značně převyšují úroky ze spotřebitelských úvěrů charge karta – je nejstarším typem platebních karet, klient, resp. vlastník karty v tomto případě disponuje prakticky neomezenými finančními prostředky po dobu jednoho měsíce, nicméně na konci smluveného období (k datu) je nezbytné tyto transakce uhradit (závazky k bance) předplacená platební karta (pre-paid card) – na tento typ karet je předem vloţen určitý finanční obnos, s kterým pak majitel můţe nakládat dle svých potřeb; rozlišují se mezi dvěma typy těchto karet, krátkodobé, které po vyčerpání finančních prostředků nezbývá neţ zahodit, dále dlouhodobé, které lze opakovaně dobíjet a virtuální, které lze vyuţívat při platbách v prostředí internetu; předplacené platební karty nejsou svázány s běţným účtem ani se spotřebitelským úvěrem16. Vzhledem k tomu, ţe debetní karty jsou součástí běţných účtů, tak je jejich zastoupení majoritní ve vztahu k ostatním typům karet, tento podíl osciluje zhruba kolem 80% [21]. Co se týče podílu vydavatelských společností, tak je tento poměr zhruba na 97% v České republice. V současné době se lze setkat s celou řadou technologických novinek a inovací,
16
MasterCard ® International: Předplacené karty. MasterCard ® International [on-line]. [cit. 2013-04-30].
Dostupné z: http://www.mastercard.com/cz/osobni-karty/cz/predplacene-karty.html.
17
které mají urychlit a zjednodušit platební styk, většinou se jedná o bezkontaktní platební karty (v současné době jsou tímto čipem vybaveny pouze platební karty). Tímto se dostáváme k dalšímu typu klasifikace platebních karet, který představuje členění dle záznamu dat: čipová karta – na této kartě jsou data na mikročipu a přínosem je vyšší stupeň bezpečnosti a moţnosti širšího vyuţití karta s laserovým záznamem – data jsou umístěna na podkladové vrstvě pomocí laserové technologie (vypalována do karty), coţ na jednu stranu dovoluje velkou kapacitu dat, ovšem na straně druhé je vysoké riziko zneuţití, neboť zkopírování těchto dat je velice jednoduché karta s magnetickým záznamem – v tomto případě jsou data umístěna v magnetickém prouţku, coţ umoţňuje vyuţívání karty v elektronických transakcích embosovaná karta – na této kartě jsou data, resp. identifikační údaje vyraţeny (tzv. embosovány pomocí reliéfního písma), coţ umoţňuje vyuţívání karty nejen v elektronickém prostředí, ale i na tzv. imprintech, coţ jsou mechanické snímače, kterými disponuje většina obchodníků Co se týče obsahových náleţitostí, které musejí být splněny, tak lze odkázat na normu ISO 3554. Podrobnější deskripce je k dispozici v příloze, konkrétně v tabulce č. 3. Phone banking Phone banking (telebanking, telefonní bankovnictví) je zaloţen na komunikaci klienta s bankou prostřednictvím telefonu, přičemţ k vyuţívání této sluţby je nutné splnit několik bezpečnostních poţadavků. Ve většině případů mezi tyto bezpečnostní sloţky patří uţivatelské jméno či ID a dále heslo (bezpečnostní kód, apod.). Způsoby spojení jsou IVR z anglického Interactive voice response neboli Interaktivní hlasová odezva, coţ znamená, ţe klient postupuje dle předem nadefinovaných moţností, resp. kroků, mezi kterými volí pomocí klávesnice telefonu. Druhý způsob spojení je přímá linka na operátora, s kterým lze vést obyčejný interaktivní dialog. První sluţba spojení se vyuţívá při snazších poţadavcích a v dnešní době obvykle hovor začíná touto formou, skrze kterou se člověk můţe dostat k operátorovi, pokud si nevybere z nabídky dostupných řešení či moţností.
18
Homebanking Homebanking představuje další moderní sluţbu elektronického bankovnictví, prostřednictvím které můţe klient komunikovat se svou bankou a zadávat tak pokyny k bezhotovostním transakcím. Aby klient mohl vyuţívat moţnosti homebankingu, tak musí mít nainstalován specifický software k tomuto účelu určený, poté lze vyuţít webového rozhraní dané instituce v internetovém prostředí, případně vyuţít nainstalovanou aplikaci. Účelem této sluţby je nabídnout menším klientům komfortu spojeného s obsluhou svých financí prakticky z jakéhokoliv prostředí, v kterém se nacházejí. Jako dodatečné cíle se uvádějí široká nabídka produktů a eliminace lidského faktoru při obsluze velkých klientů (korporace, atd.), přičemţ je často moţnost sloučit tuto aplikaci s účetním programem daného podniku. Nevýhodou této sluţby je, ţe ji lze vyuţívat jen na hardwaru, kde je potřebný software nainstalován (většinou včetně potřebných zabezpečujících hesel). GSM banking GSM (globální systém pro mobilní komunikaci) je zaloţen na komunikaci klienta s bankou prostřednictvím mobilního telefonu a rozlišují se v zásadě dva druhy tohoto spojení. První představují šifrované SMS zprávy (komunikace mezi klientem a bankou probíhá prostřednictvím strukturovaných SMS zpráv). Přestoţe je tato komunikace jednoduchá, tak není příliš vyuţívána, neboť jsou vysoké poţadavky na zabezpečení, coţ nutí klienta mít u sebe či pamatovat všechna klíčová slova, hesla a přihlašovací údaje, která jsou k této komunikaci nezbytná. Dalším způsobem komunikace je SIM Toolkit (Subscriber Identity Module), tato technologie je jiţ uţivatelky příjemnější, protoţe je intuitivní a pohodlná. To je zapříčiněno tím, ţe její uţívání je podmíněno speciálně upravenou SIM kartou (v kartě je zabudována aplikace od banky), coţ umoţňuje šifrovat SMS zprávy bez nutnosti pamatování přístupových hesel a jmen. Přístup k SIM kartě je zabezpečen BPINem (bankovní PIN pro tuto technologii, resp. SIM kartu), takţe v případě zcizení ji podvodník nemůţe vyuţívat a ani nemá přístup k datům na SIM kartě, neboť tato ochrana je na celou kartu. Uţivatel po zadání přístupového hesla se v aplikaci pohybuje skrze menu, v kterém můţe scrollovat a vybírat mezi tradičními poloţkami ke správě účtu. Některé bankovní instituce poskytují GSM banking pouze pomocí technologie SIM Toolkit, z důvodu vyšší bezpečnosti.
19
Internetbanking Internetové
bankovnictví
slouţí
ke
komunikaci
klienta
s bankou
pomocí
PC/notebooku/tabletu či chytrého telefonu. Nutností je přístup k internetu, protoţe uţivatel se přihlašuje prostřednictvím webových stránek své banky. Ve srovnání s homebankingem, tak ve většině případů není třeba instalovat ţádný dodatečný software či certifikát, takţe se uţivatel můţe přihlásit z libovolného zařízení, které je připojení k internetové síti. Po zadání potřebných bezpečnostních údajů (způsoby zabezpečení se liší v závislosti na instituci, neboť některé vyţadují nainstalované certifikáty, další ověřují identitu uţivatele prostřednictvím kódu přes telefon, atd.) jiţ můţe uţivatel disponovat se svým účtem dle libosti a provádět veškeré moţné operace, přičemţ výhodou jistě je, ţe veškeré potřebné informace má k dispozici on-line, coţ je oproti sluchovému vjemu jistě pohodlnější. Velmi důleţitá je úroveň zabezpečení při přenosu dat17. Výše uvedené nástroje platebního styku si lze označit za standardní, zatímco následující skupinu lze označit za méně obvyklé, je to dáno především tím, ţe v prostředí České republiky zatím nejsou příliš vyuţívány. Do této třídy spadají elektronické způsoby často označovány za alternativní nástroje bezhotovostního platebního styku. Jejich nespornou výhodou je, ţe při jejich pouţití dochází k transakci v reálném čase, tzn. peníze jsou připsaný a zároveň odečteny z účtu v reálném čase, lze si to přiblíţit při platbě hotovostí. SuperCASH SuperCASH jsou nástrojem platebního styku, který poskytuje Česká pošta, Sazka a Europay. Tento způsob lze vyuţít především v internetových obchodech, které tuto sluţbu podporují [22]. Princip je takový, ţe člověk si vytiskne svou objednávku s potřebnými údaji k identifikaci platby a následně ji zaplatí na některém z terminálu výše uvedených společností. Tuto částku společnost převede v reálném čase na účet příslušné instituce. Výhody, které jsou spojovány s tímto způsobem úhrady, je platba v hotovosti, která v sobě zahrnuje faktor anonymity a diskrétnosti, dále bezpečnost a především rychlost18.
17
[4, str. 172]
18
[22, sekce zákazníci]
20
Elektronické peněženky Výhodou tohoto nástroje je, ţe uţivatel nemusí zadávat ţádné informace při platbě o své osobě. Elektronickou peněţenku nelze zřídit bez účtu, který tuto sluţbu podporuje, neboť tento instrument nepodporují všechny bankovní instituce či jejich účty. Platby mohou být realizovány soukromými osobami v tuzemsku i na mezinárodní úrovni. Tento nástroj bývá označován jako rizikový, neboť v minulosti k řadě případů, kdy došlo k úniku citlivých údajů a při vyuţívání této sluţby není ţádná záruka vrácení peněz. To jsou důvody, proč některé banky tento druh sluţby nepodporují. PayPal PayPal
představuje
pravděpodobně
nejznámější
a
nejrozšířenější
platební
bránu
v celosvětovém měřítku a internetovém prostředí. Do značné míry lze tuto pluralitu vyvodit ze spojení s eBay, coţ je největší americký aukční server a pravděpodobně nevytěţovanějším aukčním serverem na celém světě. Dle oficiálních stránek PayPalu [23] umoţňuje kterémukoliv obchodníkovi nebo zákazníkovi s emailovou adresou bezpečně, pohodlně a cenově příznivě odesílat a přijímat platby online. PayPal vyuţívá současné finanční struktury bankovních účtů a kreditních karet, veškeré platby jsou tak strhávány přímo z platební karty v reálném čase a není nutné dobíjet peněţní prostředky v rámci zřízeného účtu na PayPal19. Tento systém je hojně vyuţíván zejména menšími podniky, internetovými obchodníky a jednotlivci. PaySec PaySec je českou modifikací celosvětově známého portálu PayPal, který v tuzemsku provozuje Československá obchodní banka. Oproti známějšímu PayPal není svázán s platební kartou, takţe je uţivatel nucen jej dobíjet, ať uţ převedou z běţného účtu či pomocí platební karty prostřednictvím platební brány 3D Secure. To s sebou nese určité nevýhody v podobě nutnosti neustálého dobíjení, pakliţe chce uţivatel tento způsob vyuţívat a výhoda spočívá v tom, ţe uţivatel tím, jak je nucen vkládat určité částky na tento portál, tak má relativně
19
Převody na PayPalových účtech jsou bez poplatků, pokud ovšem klient vyuţije PayPal k platbě platební
kartou, tak je třeba počítat s poměrně vysokými poplatky [PayPal (Europe) [online] [cit. 2013-05-02]]. Dostupné z: https://www.paypal.com/cz/cgi-bin/webscr?cmd=_display-fees-outside.
21
dobrý přehled o stavu svých financí, resp. transakcí uskutečněných pomocí tohoto portálu. V současné době se lze setkat s přístupem, který tuto sluţbu přirovnává k tzv. modernímu kapesnému, neboť uţivatel tohoto prostředku má jasně definován limit, který nemůţe překročit.
1.5 Blízká budoucnost a novinky v platebním styku Výše popsaný segment elektronického a obecně bezhotovostního platebního styku je v současné době nejmodernější a zároveň nejrychleji rostoucí oblastí v platebním styku. Je to dáno především rozvojem technologií v tomto segmentu obecně, neboť ať uţ v oblasti softwaru či hardwaru je znatelný posun prakticky kaţdý rok, kdy se na jedné straně tyto technologie zlevňují, čímţ se stávají dostupnější široké veřejnosti a na straně druhé umoţňují jednotlivé sluţby zkvalitňovat i při relativně nezměněných nákladech. Tento trend si lze ilustrovat pomocí snahy Estonska20, které podalo návrh (abych byla přesná, tak tento návrh iniciovali někteří jednotlivci) na úplný přechod z oblasti hotovostního styku na výhradně bezhotovostní platební styk, tzv. bezhotovostní ekonomiku. To by ústilo ve zrušení veškerých prostředků hotovostního platebního styku, tedy mincí a bankovek. Tento návrh zatím zůstal nevyslyšen a osobně se domnívám, ţe je příliš progresivní, zvlášť pokud budeme brát v potaz soukromí jednotlivců (bezhotovostní styk umoţňuje kdy, kde a za co jednotlivec utrácí). Momentálně je asi nejvyuţívanější z těch novějších technologií je tzv. NFC (Near Field Communication), která podporuje právě avizovaný trend bezhotovostních plateb. Touto metodou lze jiţ v současné době platit menší částky, aniţ by uţivatel musel zadávat PIN kód, pouze stačí přiloţit platební kartu k terminálu, během kterého dojde k autorizaci transakce a nákup je uhrazen (tato doba trvá cca 5-10 sekund). Přenos dat mezi čipem na kartě a terminálem má bezdrátovou formu a není třeba ţádných ověření. S tím souvisejí určitá rizika, neboť v případě zcizení podvodník nemusí znát ţádné údaje o majitelovi, nicméně většina transakcí je determinována limitní částkou. Tuto hranici si uţivatel můţe nastavit, přičemţ většinou je pro tento druh plateb doporučována maximální částka 200 Kč.
20
Stát bez bankovek? Moţné by to bylo. V technologicky vyspělém Estonsku [online]. Změněno 25. 11. 2010
[cit. 2013-05-04]. Dostupné z: http://finweb.ihned.cz/c1-48294200-stat-bez-bankovek-mozne-by-to-bylo-vtechnologicky-vyspelem-estonsku.
22
Vzhledem k tomu, ţe tuto technologii, resp. čip, lze implementovat prakticky na jakékoliv zařízení, tak představuje velký potenciál vyuţití. V současné době se diskutuje o jeho umístění na mobilní telefony, ale třeba i jako součást klíčů. Dalším relativně novým způsobem, který lze zařadit do nástrojů bezhotovostním plateb představují platby pomocí SMS zpráv. Obliba této sluţby je pozorovatelná i v rámci České republiky, coţ mělo za důsledek zvýšení limitu pro tento typ transakcí z původních 99 Kč na současnou horní hranici 600 Kč (za jednu transakci). Toto zvýšení má svá úskalí v případě zneuţití podvodníkem, který si tak přijde na mnohem vyšší odměnu a postiţenému způsobí vyšší finanční ztrátu. Výhodou zvýšení této částky je, ţe si spotřebitel můţe pořídit mnohem větší počet sluţeb či zboţí. Nepříznivým faktem zůstává chování obchodníků, kteří ve většině případů neupozorňují na cenu za SMS zprávu a odkazují se přitom na fakt, ţe cena je zakódována v telefonním čísle, na kterou je zasílána. Často se lze setkat s tím, ţe sluţba, kterou obchodníci poskytují po autorizaci platby skrze SMS zprávu, neodpovídá částce transakce. Tím, ţe podniky mají umístěné své sídlo v zahraničí, tak uskutečněné transakce nelze prakticky reklamovat a nárokovat si tak náhradu škody, resp. získat peníze zpátky. Z těchto důvodů je vřele doporučováno si tento typ SMS zpráv u operátora zakázat.
23
2. Podvody v platebním styku Tuto kapitolu jsem se rozhodla rozdělit do dvou částí, které kopírují předchozí členění platebního styku na bezhotovostní a hotovostní. Před samotným výčtem jednotlivých způsobů podvodů v platebním styku je třeba poznamenat, ţe převáţná většina z nich se odehrává v bezhotovostním způsobu placení, čemuţ jistě napomáhá technologický rozvoj a rostoucí trend v jeho vyuţívání mezi širokou veřejností. Z tohoto důvodu je převáţná část této kapitoly věnována problematice podvodů v bezhotovostním platebním styku.
2.1 Podvody v hotovostním platebním styku Jak jiţ bylo zmíněno v předešlé části práce, tak v rámci prevence v oblasti hotovostních instrumentů se pouţívá celá řada ochranných prvků – vodoznak (watermark), ochranný okénkový prouţek, soutisková značka, skrytý obrazec, ochranná vlákna, opticky proměnlivá barva, ochranný iridescentní pruh a mikrotext. Jak je patrné, tak se v této části zaměřuji především na bankovky, neboť jak bylo avizováno v předešlé kapitole, tak falsifikace či padělání mincí není rentabilní, jelikoţ náklady na padělání jsou v převáţné většině případů vyšší neţ očekávaný přínos z jejich zneuţití. Podvodné bankovky lze členit na padělky a falsifikáty, přičemţ padělky představují bankovky nově vytvořené, zatímco falsifikáty jsou bankovky, které vznikly úpravou pravých bankovek. Dle Kalabise [8] lze padělky členit s ohledem na jejich kvalitu do pěti kategorií: 1) velmi nebezpečný padělek – vyroben za pomoci stejné tiskové techniky jako originál, takţe splňuje poţadavky ohledně materiálu (speciální polymerový substrát) a ochranných prvků, nebo je minimálně věrohodně napodobuje, takţe není zjistitelný pouhým okem, ale za pouţití lupy či jiného nástroje 2) nebezpečný falzifikát – je vytištěn z jiného materiálu, ovšem velice podobnému tomu, kterým disponuje originál, taktéţ ochranné známky jsou kvalitně napodobeny, přesto je padělek zjistitelný pouhým okem, nicméně v praxi ho odhalí jen minimum příjemců (jako příjemci jsou myšleni především školení zaměstnanci bank a podobných institucí) 24
3) zdařilý falzifikát – za zdařilý falzifikát lze dle Kalabise označovat bankovky, které jsou vyrobeny za pomoci jiných tiskových technik neţ originál a části tisku nebo ochranných prvků jsou napodobeny nedbale nebo zcela vynechány, takţe je relativně snadno rozeznatelný pouhým okem i při běţném placení 4) méně zdařilý falzifikát – je proveden nedokonale, některé části tisku jsou neúplné či chybí, takţe k oklamání příjemce dochází jen za mimořádně nepříznivých podmínek a úspěšnost těchto případů je velmi malá 5) neumělý falzifikát – za neumělé falzifikáty se povaţují různé neumělé kresby a primitivní napodobeniny různého druhu, které jsou schopné oklamat příjemce za mimořádně nepříznivých podmínek (např. placení v pološeru či tmě, apod.)21. Výše uvedené vymezení padělků je důleţité především pro pokladníky, neboť na základě zdařilosti falsifikátu jsou odpovědni uhradit škodu, která obchodní bance vznikla přijetím padělku.
Pochopitelně
tyto
pravidla
jsou
obvykle
upraveny
ve
vnitřních
směrnicích/předpisech banky a liší se instituce od instituce. Co se týče absolutních hodnot padělků, které byly zadrţeny v průběhu let 1993-2012, tak jsou k dispozici v následujícím grafu. Graf č. 1 – Počty zadrţených padělků v letech 1993-2012
Zdroj: [17, sekce bankovky a mince, výskyt padělků]
21
[8, str. 53-55]
25
Z výše uvedeného grafu je zřejmé, ţe počet padělaných bankovek má klesající trend, coţ lze jistě připisovat rostoucímu trendu v oblasti technologií, které zdokonalují a umoţňují vyuţívání bezhotovostního styku placení široké veřejnosti. Za zmínku jistě stojí prudký nárůst v roce 2009, kdy Českou republiku nejvíce zasáhla finanční krize, takţe spousta lidí se pravděpodobně uchýlila k této moţnosti. Policie České republiky dodává22, ţe převáţná část trestné činnosti na úseku padělání tuzemské měny ve sledovaném období nejeví znaky organizovanosti, coţ je dlouhodobým trendem. Ve většině případů se jedná o pokusy jednotlivců neb skupin mladistvých, kteří vyuţívají k padělání peněz nejnovějších technologií – počítačů, skenerů a tiskáren. Padělání bankovek laserovým nebo inkoustovým potiskem vede zpravidla k nevalnému výsledku kvality padělaných bankovek, takţe je velice snadné je rozlišit. V oblasti padělání zahraniční měny, resp. měny euro, je situace opačná, protoţe pachatelé této trestní činnosti pocházejí z různých evropských zemí a jsou velmi dobře organizováni. V roce 2011 bylo jenom v Evropě odhaleno několik tiskařských dílen. Výrobci padělků jsou napojeni na dobře organizovanou síť distributorů, kteří zásobují skupiny koncových přemoţitelů padělků. Tyto skupiny pak operují po celé Evropě, kdy po udání určitého mnoţství padělků opouštějí dané území a přesunují se do jiného státu, takţe je velmi obtíţné mapovat pohyb těchto skupin. Ve střední a východní Evropě jsou tyto skupiny tvořeny převáţně z osob národností bulharské, lotyšské a litevské, zatímco v západní a jiţní části Evropy operují především skupiny přistěhovalců z afrického kontinentu. Co se týče stručného historického exkurzu, tak lze poukázat na zřejmě nejznámějšího českého padělatele Bedřicha Černého, jehoţ činnost byla odhalena počátkem dvacátých let minulého století. Zajímavostí tohoto případu je, ţe ačkoliv byl usvědčen z trestného činu padělání peněz, ke kterému se přiznal, tak ho porota uznala nevinným a byl tak propuštěn na svobodu. Jako další padělatel je v literatuře často uváděn stát, především v souvislosti s teoriemi rakouské školy, ačkoliv se nejedná přímo o padělání, spíše zneuţívání tiskařského monopolu. Jako konkrétní případy si lze uvést padělání britské libry německými nacisty během druhé světové války za účelem opatření deviz či rozvrácení hospodářství Anglie nebo padělání za
22
Zpráva o činnosti ÚOOZ za rok 2011. Policie České republiky [online]. 2010 [cit. 2013-05-28]. Dostupné z:
http://www.policie.cz/clanek/zprava-o-cinnosti-uooz-za-rok-2011.aspx?q=Y2hudW09Ng%3D%3D.
26
dob Napoleona, kdy po obsazení Vídně dal okopírovat tiskařské desky a konfiskoval originály, následně tisknul velmi kvalitní padělky23. V historii lze nalézt a poukázat na celou řadu dalších příkladů, ovšem nepovaţuji je pro rozsah této práce stěţejní, proto je tento prostor věnován zejména příkladům v následující části.
2.2 Podvody v bezhotovostním platebním styku Následující část práce je věnována základním typům podvodům, které jsou prováděny v prostředí elektronického obchodu či bankovnictví nejen za území České republiky. Vzhledem k obsáhlosti této
práce jsem se
rozhodla věnovat především oblasti
bezhotovostních plateb, které svět elektronického obchodu a bankovnictví často spojují. Jako základní klasifikaci v oblasti bezhotovostních plateb lze vyuţít studie Klufy, Scholze a Kozlové24 [27], která v rámci technického členění rozlišuje podvody následovně: libanonská smyčka, skrytá kamera, dotekové senzory, padělky platebních karet, skimmning, phishing, pharming, spoofing, trashing a prostou krádeţ. Dále lze přistupovat k tomuto dělení z pohledu transakčního, kdy se jedná o následující typy zneuţití: drţitele karty, osoba blízká, osoba cizí, prostřednictvím nedoručené karty, platba na dálku, podvodnou ţádostí o kartu či zneuţití obchodníkem [28]. Pro lepší ilustraci jsem se rozhodla u kaţdého podvodu vyuţít grafického zobrazení pomocí grafu, který znázorňuje posloupnost jednotlivých kroků. Libanonská smyčka V současné době lze tento způsob označit za ojedinělý. Podstatou tohoto podvodu je úprava bankomatu pomocí jednoduchého zařízení, které upravuje vstup pro platební kartu na bankomatu, jehoţ cílem je zadrţení karty. Způsob provedení spočívá v tom, ţe zařízení, které podvodník umístí na bankomat, zadrţí kartu klienta a následně přímo či prostřednictvím komplice konfrontuje drţitele karty, aby zadal PIN z důvodu vrácení karty, coţ se samozřejmě nestane. Důvodem je snaha zachytit PIN, bez kterého kartu nemůţe vyuţít. Po 23
Skutečné příběhy: Jak se padělají peníze? Mesec.cz [online]. 2012 [cit. 2013-06-13]. Dostupné z:
http://www.mesec.cz/clanky/skutecne-pribehy-jak-se-padelaji-penize/. 24
Klufa, F., Scholz, P., Kozlová, M. Podvody v oblasti bezhotovostních plateb v ČR. Sdružení českých
spotřebitelů [on-line]. [cit. 2013-05-13]. Dostupné z: http://www.konzument.cz/publikace/soubory/pruvodce_spotrebitele/A5_bezhotovostni_podvody.pdf.
27
zadání PINu a nevrácení karty obvykle postiţený odchází a to je chvíle pro podvodníky ke zneuţití karty, neţ si oprávněný drţitel kartu stihne zablokovat (nutným předpokladem je znalost PIN kódu)25. V dnešní době existuje mnoho účinných opatření, které banky implementovaly na bankomaty, především v podobě dodatečných ochranných aparátů26. Skrytá kamera Skrytá kamera je obvykle uţívána za cílem získání PIN kódu. Důleţité je upozornit na to, ţe skrytou kameru můţe představovat i záznamové zařízení na mobilních telefonech, kdy můţe při nepozorném pouţití platební karty dojít k nahrání všech důleţitých informací – datum splatnosti, CVCV kódu, číslo karty, podpisu. Vzhledem k tomu, ţe samotný PIN je podvodníkovi prakticky k ničemu (i ostatní údaje, protoţe většina online plateb je chráněna potvrzením skrz telefon27), tak je často vyuţíváno dalších technik, které představuje skimmning či libanonská smyčka. Ochrana je v tomto případě relativně jednoduchá pro drţitele karty, který by měl důkladně chránit klávesnici rukou při zadávání číselné kombinace ke své kartě, eventuelně věnovat větší pozornost svému blízkému okolí – dodrţování diskrétní zóny, atd. V případě institucí jsou moţnosti velmi omezené, zmínit lze pravidelné kontroly terminálů a bankomatů včetně jejich blízkého okolí.
25
Juřík [5, str. 226] v této souvislosti uvádí, ţe podvodník můţe PIN odpozorovat i na dálku (např. s vyuţitím
dalekohledu), pokud si uţivatel platební karty při zadávání PINu nezakrývá klávesnici. V takovém případě není nutný ani přímý osobní kontakt podvodníka s uţivatelem platební karty – obětí. Podle Juříka instalace dodatečného zařízení na vstupní část pro platební karty bankomatu nemusí nutně způsobit nezasunutí platební karty do bankomatu, ale celý proces výběru hotovosti (příp. jiná operace) klientem – drţitelem platební karty můţe probíhat „standardně“ aţ do okamţiku, kdy má bankomat vrátit platební kartu. To znamená, ţe klient vloţí platební kartu do bankomatu, zadá PIN, bankomat vydá poţadovanou hotovost (příp. provede jinou operaci), ale z důvodu instalovaného zařízení nevydá platební kartu. 26
[28, sekce technické členění podvodů]
27
Ačkoliv lze vyuţít platební terminály, kde k odeslání platby stačí obvykle zadat jméno majitele karty, její
číslo, bezpečnostní číslo a datum splatnosti; tento způsob se obvykle vyuţívá k platbě za určité produkty nikoliv výběry.
28
Dotekové senzory Cíl při pouţití dotykových senzorů je identický jako v případě skryté kamery, neboť se podvodník prostřednictvím tohoto nástroje snaţí získat PIN od klientovy karty. Tento nástroj je instalován přímo na klávesnici bankomatu nebo také na vstupní dveře u samoobsluţných zón28 či na terminály u obchodníků. Tento způsob je velice důmyslný, proto způsoby ochrany jsou v tomto případě značně omezené. Jako v předchozím případě ze stran institucí a bank je třeba pravidelných kontrol terminálů a bankomatů. S tímto souvisí vysoká znalost daného předmětu kontroly – jednotlivé části bankomatu, terminálu nejsou-li odnímatelné, apod. (pokud se nejedná o amatérský případ, tak je velice těţké odhalit přidané dotykové senzory). Samozřejmě se doporučuje kontrola především ze strany klientů/uţivatelů daných prostředků. Postup při zneuţití platební karty s vyuţitím dotykových senzorů či skrytých kamer je k nahlédnutí v příloze, konkrétně Obrázek č. 5 – Podvody s vyuţitím skrytých kamer nebo dotykových senzorů. Padělky platebních karet V případě padělku platební karty je opět nezbytné zjistit tzv. citlivé informace, aby mohl přes vyrobenou kartu provádět protizákonné operace (př. výběr hotovosti v bankomatu, bezhotovostní úhrada v obchodě, apod.). Zařízení k výrobě padělku můţe dosahovat velikosti osobního kufříku a k výrobě padělku stačí několik málo minut od získání potřebných dat. Dle Kozlové a Schulze je otázka padělání karet poslední dobou doménou především organizovaných skupin29. Co se týče opatření, tak na jedné straně lze apelovat na ochranu citlivých dat u jedinců, nicméně zde bude existovat určitá míra rizikovosti vţdy (tato míra bude pravděpodobně u jedinců značně odlišná). Banky a další instituce se snaţí eliminovat riziko těchto podvodných praktik především prostřednictvím nejrůznějších ochranných prvků a technického zabezpečení (lze připomenout přechod k čipovým kartám)30.
28
Podvody s kartami: skimmovací zařízení koupíte snadno i s návodem. Mesec.cz [online]. 2010 [cit. 2013-05-
31]. Dostupné z: http://www.mesec.cz/clanky/nejcastejsi-podvody-platebnimi-kartami. 29 30
[27] [5, str. 227]
29
Skimming Podstatou tohoto podvodného jednání je získání citlivých údajů o platební kartě, při kterém jsou tyto originální data z magnetického prouţku karty elektronicky zkopírovány na kartu jinou, samozřejmě bez vědomí uţivatele originálu. Při kopírování dochází k záznamu PIN a dalších důleţitých údajů o drţiteli karty, avšak nedochází ke zkopírování všech důleţitých ochranných prvků (jako např. CVC2/CVV2), takţe padělatel je do značné míry limitován v pouţitelnosti, resp. lze vyuţít pouze v případech, kdy tyto ochranné prvky nejsou kontrolovány (př. pro výběr z bankomatu je kontrolována tzv. druhá stopa). Bohuţel se lze ve světě stále setkat s bankovními institucemi, které ochranné prvky svých karet nekontrolují a na těchto bankomatech je pak moţné padělek úspěšně pouţít k výběru hotovosti (vzhledem k růstu technologií, doby nutné k výrobě padělku a organizovanosti skupin můţe být platební karta zneuţita prakticky okamţitě a kdekoliv na světě, jakmile jsou získány potřebné údaje skrze skimmovací zařízení). Získané údaje lze zneuţít i v případech, kde není platební karta fyzicky nezbytná (př. platby přes internet). Dle databáze Policie České republiky31 dochází ke kopírování platebních karet nejčastěji u bankomatů, kde podvodníci prostřednictvím speciálního kopírovacího zařízení zkopírují všechna data z magnetického prouţku platební karty a pouţijí je rovněţ k výrobě padělku (tento způsob skimmingu je nejrozšířenější) a dále u obchodníků, kde nepoctivý pracovník obchodní společnosti zkopíruje údaje z magnetického prouţku platební karty před vrácením zákazníkovi a takto získané údaje pouţije nebo dále předá k výrobě padělku platební karty. K tomuto podvodnému jednání dochází nejčastěji v barech, restauracích, čerpacích stanicích či hotelech32. Ke skimmingu můţe dojít i mimo provozovnu, dle Sdruţení pro bankovní karty33 popisuje případy, kdy podvodníci převlečení například za příslušníky policie předstírají, ţe kontrolují pravost karet, ale ve skutečnosti pomocí miniaturního skimmovacího
31
SKIMMING
2012.
Policie
České
republiky [online].
2010
[cit.
2013-05-31].
Dostupné
z:
2010
[cit.
2013-05-31].
Dostupné
z:
http://www.policie.cz/clanek/skimming-2011.aspx. 32
SKIMMING
2012.
Policie
České
republiky [online].
http://www.policie.cz/clanek/skimming-2011.aspx. 33
Druhy podvodů.
Sdružení pro bankovní karty [online]. 2013 [cit. 2013-05-31]. Dostupné z:
http://www.bankovnikarty.cz/pages/czech/media_bezpecnost.html#Skimming.
30
zařízení kopíruje citlivé údaje a dokonce poţadují od drţitelů karet sdělení jejich PIN kódu. Lze upozornit i na případy, kdy byly skimmovací zařízení instalovány na zařízení pro vsunutí platební karty pro vstup do samoobsluţné zóny34. Jak je vidět, tak podvodníci vyuţívají řadu triků, jako nejčastější si lze uvést různé výmluvy nebo manipulační nátlaky na drţitele karty. Prakticky ve všech případech se snaţí o odvedení pozornosti klienta, aby mohli údaje zkopírovat, a někdy je skimmming proveden i za cenu neuskutečnění prodeje zboţí nebo sluţby, aby nevzbudily podezření z dvojí manipulace kartou. Podvodníci se obvykle snaţí kromě kopie magnetického prouţku získat také PIN, který lze získat pouze od drţitele karty, takţe chování podvodníka se liší od standardního chování personálu (př. pracovník s odkazem na nefunkčnost terminálu poţádá o zadání PIN kódu například do mobilu nebo jeho zaznamenání v písemné formě na doklad s tím, ţe transakci dokončí po zprovoznění techniky, nebo předloţí k pouţití jiný terminál/PIN klávesnici, neţ na kterém byla transakce zahájena, apod.)35 V praxi je skimming často kombinován s podvody zaloţenými na vyuţívání skrytých kamer či dotekových senzorů, kdy cílem podvodníka je kromě získání citlivých údajů právě PIN kód36. Pro ilustraci jsem se rozhodla přiloţit v příloze obrázek č.6 (Obrázek č. 6 – Podvody s vyuţitím skrytých kamer nebo dotykových senzorů), kde je znázorněn podvod s padělanou kartou s vyuţitím skimmovacího zařízení a skryté kamery či dotykových senzorů. Ohledně opatření je třeba mít na paměti, ţe existuje několik úrovní. První můţe představovat zabránění instalace skimmovacícho zařízení (v praxi banky vyuţívají tzv. antiskimmovacích nástavců, které jsou instalovány na vstupní místo pro vsunutí platební karty, nicméně tento
34
Např. v únoru 2011 internetový server Lidovky.cz přinesl zprávu o falešných čtečkách platebních karet na
bankovních pobočkách v Praze, kdyţ jeden z redaktorů Lidových novin objevil falešnou čtečku na vstupní čtečce platebních karet u dveří do samoobsluţné zóny, resp. k bankomatu ČSOB na praţském Andělu. Podrobněji viz Kolina, J. Falešné čtečky karet jsou uţ i v Praze přímo na pobočkách. Lidovky.cz [on-line]. [cit. 2013-05-31]. Dostupné z: http://www.lidovky.cz/falesne-ctecky-karet-jsou-uz-i-v-praze-primo-na-pobockachpka-/ln_domov.asp?c=A110201_203656_ln_domov_kim. 35
Druhy podvodů. Sdružení pro bankovní karty [online]. 2013 [cit. 2013-05-31]. Dostupné z:
http://www.bankovnikarty.cz/pages/czech/media_bezpecnost.html#Skimming. 36
Definice
skimmingu
jsou však různě široké a v některých případech bývá pouţití skryté kamery či
dotekového senzoru povaţováno za součást skimmingu.
31
způsob ochrany byl překonán, coţ si lze doloţit celou řadou případů se zadrţenými modely kopírovacích zařízení včetně antiskimmovacích nástavců37). Provozovatelé bankomatů se pochopitelně snaţí prostřednictvím nejrůznějších preventivních opatření (př. instalace protikopírovacích zařízení, ať uţ v podobě softwaru či hardwaru) eliminovat tento způsob podvodů, nicméně je třeba počítat s tím, ţe toto riziko zde bude pravděpodobně vţdy. To si lze doloţit čísly, které eviduje Policie ČR v oblasti skimmingu za posledních sedm let, viz graf níţe. Graf č. 2 – Přehled skimmingu na území ČR za období 2005-2012
Zdroj: [25, vlastní úpravy]
Z grafu je patrný nárůst oproti předešlému roku téměř o 100% na dosud nejvyšší číslo v historii skimmingu – 150 případů, ve kterých bylo zjištěno nasazené skimmovací zařízení,
37
Policie České republiky: ÚOOZ SKPV : Skimming. Policie České republiky [on-line]. [cit. 2013-05-31].
Dostupné z: http://www.policie.cz/clanek/skimming.aspx.
32
které byly nahlášeny formou trestního oznámení od poškozených bankovních subjektů. Největší počet trestných činností v této oblasti byl v Praze (114 případů) a Plzni (10). Z celkového počtu bylo vyřešeno 48 případů a došlo k zadrţení 16 pachatelů. Organizovanou trestnou činností v oblasti platebních karet se i v loňském roce zabývaly převáţně bulharských a rumunských občanů38. Sdruţení pro bankovní karty doporučuje pro drţitele karet k předcházení tohoto podvodu následující: během provádění transakce kartu pokud moţno neztrácejte z dohledu, i kdyţ platební terminál bývá někdy z provozních důvodů umístěn mimo sluţební prostor nenechte se zmanipulovat do neobvyklé situace, ve které byste transakci prováděli pod tlakem, za rušivých podmínek nebo nesoustředění váš PIN nikdy nikomu nesdělujte vţdy kontrolujte výpisy transakcí proti prodejním a výplatním dokladům na výskyt neoprávněných transakcí39. Phishing Phishing (rybaření) je dalším typem podvodu, který spoléhá především na důvěřivost lidského prvku. Tento typ podvodu se jiţ netýká výhradně platebních karet, ale i dalších sluţeb nabízených v rámci elektronického bankovnictví. Tento typ podvodu má širší záběr moţnosti zneuţití, nicméně i s ohledem na rozsah této práce se zaměřím především na zneuţití v oblasti elektronického obchodu a bankovnictví. Podstatou tohoto podvodu je oslovení majitele karty, elektronického či telefonního bankovnictví, majitele účtu PayPal, apod. s tím, ţe ţádá o sdělení citlivých údajů (osobní údaje, hesla, PIN, čísel účtů, apod.), přičemţ je tato ţádost zdůvodněna obvykle s tím, ţe je snahou poskytující instituce vyšší bezpečnost sluţeb či celkově jejich zlepšení (př. aktualizace softwaru, ověřování funkčnosti systému přístupu po výpadku systému, zablokování účtu,
38
Policie České republiky: ÚOOZ SKPV: Skimming. Policie České republiky [on-line]. [cit. 2013-05-31].
Dostupné z: http://www.policie.cz/clanek/skimming.aspx. 39
Druhy podvodů.
Sdružení pro bankovní karty [online]. 2013 [cit. 2013-05-31]. Dostupné z:
http://www.bankovnikarty.cz/pages/czech/media_bezpecnost.html#Skimming.
33
apod.). Podvodník se obvykle vydává za bankovní instituci, dohledový orgán, internetové obchodníka, atd. K tomuto oslovení dnes dochází různými způsoby – elektronická pošta, telefon, klasický dopis, atd. K předání citlivých údajů můţe dojít různě – internetový formulář, telefonní rozhovor, atd.40. Závaţnost tohoto podvodu tkví především v tom, ţe je poměrně snadné oslovit obrovské mnoţství lidí, čímţ se šance na sdělení citlivých údajů zvyšuje (některé analýzy v této souvislosti hovoří o cca 5% lidí, kteří jsou přespříliš důvěřivý a tíţené informace podvodníkům sdělí, některé průzkumy hovoří o číslech i vyšších41). V současné době představují hrozbu sociální sítě, prostřednictvím nichţ je totiţ velmi snadné zjistit celou řadu důleţitých informací o konkrétních uţivatelích. Na tento problém upozorňoval jiţ v roce 2006 Kirk, konkrétně pokud se podvodníkovi podaří získat přihlašovací údaje uţivatele, můţe je snadno vyuţít k získání dalších údajů42. Pro ilustraci uvádím obrázek zachycující zneuţití internetového či telefonního bankovnictví s vyuţitím phishingu.
40
Samozřejmě i v tomto případě podvodníci vyuţívají řady triků, nejznámější představují podobné e-mailové
adresy či webové domény, kdy je oproti originálnímu názvu pozměněno písmeno, apod. 41 42
[6, str. 20] Kirk, J., Phishing Scam Takes Aim at MySpace.com : Social networking site is increasingly a target for
identity thieves. PCWorld.com [on-line]. [cit. 2013-05-31]. Dostupné z: http://www.pcworld.com/article/125956/phishing_scam_takes_aim_at_myspacecom.html.
34
Obrázek č. 1 – Zneuţití internetového či telefonního bankovnictví prostřednictvím phishingu
Zdroj: [vlastní úpravy]
Co se týče opatření, která mají za cíl sníţit tento druh podvodu, tak je třeba apelovat především na samotné uţivatele, aby na jakékoliv výzvy a vzkazy, které je vybízejí ke sdělení citlivých údajů, nereagovali, eventuelně na ně upozornili příslušné orgány. Doporučuje se například neklikat na přiloţené odkazy, ale pouţívat přednastavených adres v prohlíţeči, neboť v případě překlepu hrozí jiţ avizované přesměrování (podvodníci vyuţívají moţnosti registrovat si domény, které mají podobná jména). Kromě obecných doporučení – email bez gramatických chyb, jiný jazyk, nezvyklá formulace, atd. je třeba upozornit na signifikantnější případ, který představuje tzv. nezabezpečená komunikace internetového prohlíţeče s příslušným serverem (př. adresa začíná http:// místo https://, kde s signalizuje potřebné zabezpečení (security)). Ke sníţení také napomáhají bankovní instituce svými bezpečnostními prvky (př. autorizační SMS zprávy). Pharming Pharming představuje novější a tedy nebezpečnější způsob útoku neţ předešlý phishing, přičemţ se lze setkat se dvěma podobami. První představuje útok na DNS (Domain Name System), jehoţ cílem jsou převody IP adres a doménových jmen. V případě úspěchu tohoto útoku pak uţivatel zadávající adresu libovolné domény je přesměrován na stránky, které si
35
přeje podvodník43. Tato podoba pharmingu je sice efektivní, ale pro podvodníka, který chce jejím prostřednictvím získat citlivé údaje, značně obtíţná. Proto existuje druhá podoba, která je jednodušší a v současné době vyuţívanější. Spočívá v napadání jednotlivých počítačů, kde je cílem o zapsání adresy jimi vytvořených webových stránek s příslušnou doménou do tzv. host souboru, který pracuje v určeném operačním systému, podobně jako DNS. Soubor obsahuje IP adresy a jim odpovídající domény44. Pharming se do klientova počítače můţe dostat jako trojský kůň, který je poslán v příloze e-mailu, můţe být staţen, apod. Pro ilustraci opět přikládám obrázek, který znázorňuje výše popsaný postup v případě zneuţití internetového bankovnictví za pouţití jednotlivých metod pharmingu. Obrázek č. 2 – Zneuţití internetového bankovnictví s vyuţitím pharmingu na změnu DNS
Zdroj: [vlastní úpravy]
43
Podvodník v tomto případě můţe vytvořit stránky, které připomínají stránky bankovní instituce, které se navíc
zobrazí nic netušícímu uţivateli po zadání správné adresy a pokud zadá citlivé údaje na těchto stránkách, tak de facto sdělí útočníkovi potřebné informace, které můţe vyuţít (př. převedení finanční částky z účtu oběti, apod.). [27] 44
[27]
36
Obrázek č. 3 – Zneuţití internetového bankovnictví s vyuţitím pharmingu na změnu host souboru
Zdroj: [vlastní úpravy]
Lze se také setkat se způsobem, kdy přesměrované stránky tvoří tzv. mezistupeň, mezi uţivatelem a skutečným systémem internetového bankovnictví (př. uţivatel posílá korektní autorizační údaje, ale podvodník upravuje např. číslo účtu či velikost částky)45. Co se týče opatření, tak si lze vyzdvihnout kvalitní software (antivirový program, firewall, atd.46) a především pak chování samotného klienta, které můţeme shrnout pod slovem obezřetnost, coţ znamená nestahovat neznámé aplikace, neklikat na odkazy v emailech, atd. Zajímavostí je, ţe bezpečností tým CSIRT.CZ odhalil při analýze dat provozu DNS v České republice v roce 2011 přibliţně 1500 DNS serverů s velmi nízkou úrovní zabezpečení, coţ indikuje relativně lehké zneuţití pro podvodníky47.
45
[36]
46
Co se týče internetového bankovnictví, tak lze doporučit povolení autorizační SMS zpráv či pouţívání
klientského certifikátu. 47
Podrobněji viz CSIRT.CZ: CZ.NIC a BIS – české DNS servery nejsou řádně zabezpečené. CSIRT.CZ [on-
line]. [cit. 2013-06-02]. Dostupné z: http://www.csirt.cz/page/929/cz.nic-a-bis---ceske-dns-servery-nejsou-radnezabezpecene.
37
Spoofing Spoofing (volně přeloţeno znamená doslova někoho napálit, převézt) představuje techniku, která není v České republice dosud příliš rozšířena. Podstata tohoto podvodu spočívá v tom, ţe se určitý uzel sítě vydává za někoho jiného, neţ kým ve skutečnosti je, čímţ se snaţí získat citlivé údaje. V důsledku tzv. „osahávání“ serverů nebo lokálních sítí mohou být za určitých podmínek zjištěna citlivá data a následně zneuţita48. Jednotlivé typy podvodů lze v zásadě rozdělit na prostředí internetové a telefonické, kdy se podvodník snaţí skrývat pravou identitu skrze email, potaţmo SMS zpráv (tzv. SMS spoofing či email spoofing). Dále si lze do spoofingu zařadit tvorbu falešných webových stránek, přičemţ tento typ podvodu bývá velmi často kombinován s výše uvedeným phishingem, kde se podvodník snaţí o dosaţení tzv. synergického efektu49. Pochopitelně synergického efektu je moţné dosáhnout i v případě jiných kombinací podvodných technik. Za nejnebezpečnější metodu spoofingu se povaţuje tzv. MITM (Man In The Middle). Podvodník v tomto případě prolomí např. šifrovací zabezpečení zasílaných zpráv mezi uţivatelem a institucí, čímţ má přístup k poţadovaným informacím. Tento typ útoku lze zařadit mezi ty nejobtíţnější, neboť získání certifikátu, případně prolomení šifrovacího klíče je velice obtíţné, protoţe bankovní instituce do této metody investují velké finanční prostředky50. Co se týče opatření, tak lze poukázat na jiţ zmiňované opatření v souvislosti s metodami phishingu a pharmingu. V případě metody MITM je moţné doplnit opatření o zajištění vysoké úrovně šifrovacího mechanismu a nastavení internetového prohlíţeče tak, aby ověřoval, zda je příslušný certifikační klíč stále platný či nikoliv. Trashing Představuje další „moderní“ metodu způsobu podvodů, která se opět snaţí získat citlivé údaje. Název pochází z anglického výrazu trash (koš), protoţe zdrojem dat jsou obvykle vyhozené
48
[27]
49
Synergický efekt je efekt společného působení, součinnosti v případě např. fúzí bývá dáván příklad, kdy
hodnota dvou firem po fúzi můţe být větší neţ pouhé sečtení jejich ohodnocení. 50
Šifrovací klíč se často mění ať uţ dle určitého algoritmu či náhodně.
38
dokumenty ať uţ v podobě fyzické či elektronické. V případě elektronických lze pouţít sofistikovanějších metod, resp. virů, které cílí na procházení souborů, které se nacházejí v koši a dle různých specifik je třídí a vyhledávají tak relevantní informace (př. přístupová hesla, zdrojové kódy, apod.). Ochrana je v tomto případě zřejmá. Je nutné dbát pozornost na řádnou skartaci dokumentů a zabezpečení jejich odvozu či případné skladování, a to jak ve fyzické tak v elektronické podobě. Ke sníţení rizika úspěšnosti tohoto podvodu také přispívají i další způsoby opatření, které představují různé bezpečnostní opatření internetového bankovnictví (př. autorizační SMS zprávy slouţící k přihlašování či sledování pohybu finančního zůstatku na účtu) či dodrţování zásad bezpečného pouţívání počítače a internetu obecně. Trashing často bývá kombinován s některými z předešlých metod, neboť informace získané touto metodou často bývají nekompletní. Co se týče platebních karet, tak je trashing obvykle spojen se zcizením originální platební karty. Pro ilustraci je opět k dispozici obrázek s průběhem trashingu při zneuţití v oblasti internetového bankovnictví. Obrázek č. 4 – Zneuţití internetového bankovnictví při pouţití trashingu
Zdroj: [vlastní úpravy]
Dále je k dispozici v příloze obrázek (Obrázek č. 6 – Zneuţití platební karty pomocí trashingu) s vyuţitím této metody s jiţ avizovanou platební kartou. 39
Další hrozby Mezi další hrozby jsem se rozhodla začlenit prostou krádeţ či ztrátu platební karty a okrajově v této části zmíním relativně neznámé pojmy, které představují Cracking, Hacking a Phreaking, vyuţívané především v oblasti elektronického prostředí. Krádeţ platební karty představuje nejjednodušší způsob zneuţití karty. Do doby zjištění ztráty a blokace karty má zloděj šanci získat finanční prostředky prostřednictvím zadání PINu, pokud ho zná, nebo neoprávněnou platbou u obchodníka (pokud není karta chráněna čipem). Povinností obchodníka je kontrolovat shodu podpisů na stvrzence a rubu platební karty, avšak v dnešní době se s tímto ověřením lze setkat v minimální míře. V případě, ţe je transakce provedena bez řádné identifikace klienta, jedná se o neoprávněnou transakci. Ztráty v případě zcizení karty lze minimalizovat různými druhy pojištění v případě zneuţití, nastavením limitů pro výběr či platbu, uzamykání karty a řadu dalších způsobů, jak tento způsob zneuţití eliminovat. K dalším metodám vyuţívaným především v elektronickém prostředí lze zařadit phreaking, hacking a cracking. Phreaking bývá označována jako napojení na cizí telefonní linku v rozvodnicích, veřejných telefonních budkách nebo přímo na nadzemní/podzemní telefonní vedení. Díky tomuto lze volat a surfovat po internetu zdarma, resp. platby jdou na účet oběti. Za phreaking se povaţuje i vyuţívání různých metod k nabourávání do mobilní sítě či odposlouchávání hovorů51. Cílem hackingu je uplatnit znalosti v oblasti programování (fungování systému), nicméně je zde důleţité poznamenat, ţe v očích veřejnosti jsou mylně chápáni jako narušitelé počítačových sítí, neboť správné označení pro tento způsob zneuţívání svých znalostí je termín cracker52. Z tohoto důvodu zaměřím pozornost výhradně na cracking, který označuje
51
Wikipedia: Phreaking. Wikipedia: the free encyclopedia. [cit. 2013-05-26]. Dostupné z:
http://cs.wikipedia.org/wiki/Phreaking. 52
Wikipedia: Hacker. Wikipedia: the free encyclopedia. [on-line]. [cit. 2013-05-26]. Dostupné z:
http://cs.wikipedia.org/wiki/Hacking; Wikipedia: Cracker. Wikipedia: the free encyclopedia [on-line]. [cit. 201305-26]. Dostupné z: http://cs.wikipedia.org/wiki/Cracker#cite_note-0; Answers.com: What is the diference between
hacking
and
cracking?
Answers.com
[on-line].
[cit.
2013-05-26].
http://wiki.answers.com/Q/What_is_the_difference_between_hacking_and_cracking.
40
Dostupné
z:
zneuţívání znalostí k získání citlivých údajů. S tím souvisejí metody (techniky), které vyuţívají, lze k nim přiřadit např. phishing, programy typu trojského koně, atd., pomocí nichţ můţe útočník ovládat počítač z libovolné vzdálenosti a získávat tak řadu cenných údajů (např. prostřednictvím keyloggeru, který zaznamenává úhozy na klávesnici). Výčet hrozeb není kompletní, existuje ještě celá řada dalších případů či postupů, prostřednictvím, kterých se mohou podvodníci dostat k citlivým údajům a ty následně zneuţít (lze si uvést krádeţe osobního počítače, telefonu, tabletu, atd.).
41
3. Doporučení pro omezení rizik plynoucích z používání platebních karet nebo elektronického bankovnictví Rozhodla jsem se po předešlých analýzách a řadě případů zneuţití sumarizovat některé doporučení, které mají slouţit k omezení rizika při pouţívání platebních karet či oblasti elektronického bankovnictví.
3.1 Doporučení v oblasti používání platebních karet V oblasti pouţívání platebních karet je velice zdařilé a přehledně zformulované tzv. desatero bezpečnosti pro uţivatele platebních karet53. 1) Při převzetí platební karty se doporučuje ji ihned podepsat a pořídit si kopii podpisového vzoru, protoţe tato kopie můţe později poslouţit v případě reklamace plateb odcizenou kartou. Nutno podotknout, ţe v současné době jiţ podpis na kartě ochrannou funkci ztrácí, neboť s výjimkou starších terminálů, drtivá většina vyţaduje autorizaci pomocí PIN kódu a podpis není potřeba. 2) Platební kartu není dovoleno nikomu půjčovat, neboť se tím drţitel vystavuje zbytečnému nebezpečí zneuţití. Platební karta je zpravidla nepřenosná (je na ní uvedeno jméno jejího drţitele). 3) PIN kód je přísně důvěrným údajem a nesmí být sdělen nikomu dalšímu. Platby autorizované pouţitím PIN kódu lze jen velmi těţce reklamovat, protoţe špatná ochrana tohoto kódu je opět povaţována za hrubé porušení jejich podmínek a jakákoliv reklamace je pak v tomto případě nemyslitelná. 4) Při pouţívání bankomatů je třeba veliké obezřetnosti. Důraz na opatrnost se klade především při zadávání PINu, dále je třeba upozornit, ţe nikdo nemá právo přerušovat vaši transakci.
53
Desatero bezpečnosti [online]. [cit. 2013-04-05]. Dostupné z:
http://www.mastercard.com/cz/personal/cz/sluzby/desatero_bezpecnosti.html.
42
5) Magnetický prouţek platební karty je třeba chránit, protoţe je velice náchylný k poškrábání nebo zmagnetizování. Z tohoto důvodu se doporučuje platební kartu nosit v pouzdru, v kterém vám ji bankovní instituce předala. 6) Při placení kartou buďte pozorní, obzvláště to platí u embosovaných karet (vyţadujte po bance kartu čipovou). Personál prodejny či restaurace by neměl nikam s vaší kartou odcházet, a pokud ano, máte právo poţadovat provedení transakce pod vaším dohledem. Při placení kartou se doporučuje zkontrolovat správnost údajů a výši částky na stvrzence. 7) Při platbách na internetu nebo přes telefon se doporučuje dbát zvýšené pozornosti, neboť pokud by někdo zjistil číslo karty, jméno a dobu splatnosti, tak mu prakticky nic nebrání v jejím zneuţití (z tohoto důvodu se doporučuje vyuţívat obchody, které vyţadují bezpečnostní kód). 8) Ztrátu karty je třeba hlásit co nejrychleji, takţe je vhodné pravidelně kontrolovat, jestli platební kartu máte stále u sebe. 9) Pravidelně kontrolujte výpisy z účtu. V případě jakékoliv nesrovnalosti se okamţitě informujte u svého poskytovatele a spornou transakci vyreklamujte. 10) Při ztrátě či odcizení platební karty je nutné neprodleně o této skutečnosti informovat svou vydavatelskou banku, neboť ta můţe kartu zablokovat a tím se zamezí jejímu zneuţití.
3.2 Doporučení ke snížení rizika v oblasti elektronického bankovnictví Oblast elektronického obchodu a bankovnictví se neustále vyvíjí, zavádějí se nové, rychlejší, sofistikovanější metody a postupy řešení, modernější technologie, od nichţ se mimo jiné očekává i zvýšení bezpečnosti prováděných transakcí. Je třeba si ovšem uvědomit, ţe tento trend je pozorovatelný i v případě podvodníků, kteří jsou navíc většinou o ten pověstný „krok napřed“. Často se lze setkat s řadou regulací a opatření, která byla zavedena aţ po úspěšném zneuţití. V tomto případě je důleţité, aby se opatření nezaváděla ex post, ale naopak ex ante, čímţ by se potencionální útoky měly eliminovat54.
54
V případě kdy je opatření zaváděno tzv. ex post, tak útočník jiţ má určité zdroje k vývoji nových postupů a
metod, díky nimţ se mu podaří provést útok v budoucnu a takto to můţe neustále pokračovat.
43
Jak bylo popsáno v předešlých kapitolách, tak otázky bezpečnosti a důvěry jsou v elektronickém světě klíčové. Z tohoto důvodu bankovní instituce a další investují značné sumy do zlepšení bezpečnostních opatření, neboť tomu jde v ruku v ruce přízni klientů. Jak poznamenává Klufa, Scholz a Kozlová55, tak v současné době platí trend, kdyţ se v západních zemích Evropy objeví nějaký nový druh protizákonného jednání, tak lze očekávat, ţe dříve nebo později bude identifikován jeho výskyt i v rámci České republiky. Tuto situaci lze pozorovat i v případě elektronického bankovnictví či obchodu. Co se týče konkrétních opatření v případě e-bankingu, tak opět vyuţiji jiţ zavedené informace, které poskytuje na svých stránkách Sdruţení českých spotřebitelů (ČSS) a to následujícím způsobem: 1) Sledujte aktuální informace své banky. Kaţdá banka zveřejňuje informace k bezpečnostní situaci na svých webových stránkách. 2) Nastavte si počítač pro vyuţívání e-bankingu a pravidelně jej aktualizujte. Banky obvykle pro ověření správného nastavení počítače nabízí jednoduchý test, který upozorní na případné nedostatky (bliţší informace ohledně správného nastavení počítače jsou k dispozici na stránkách ČSS). 3) V případě, ţe máte zřízen přístup ke svému účtu pomocí osobního certifikátu, tak je třeba mít na paměti, ţe tento certifikát nahrazuje Váš vlastnoruční podpis (představuje tak přístupový klíč). Tento klíč je třeba náleţitě chránit. 4) Jednoduché heslo nebo PIN lze snadněji zachytit, rozluštit a zneuţít. Nedoporučuje se uţívat slov a čísel, které mají spojitost s rodinnými příslušníky, jejich datem narození, telefonním číslem, apod. V zásadě platí, ţe čím heslo dává menší logiku a je těţší k zapamatování či zapsání, tak tím je lepší. Taktéţ není dobré mít jedno heslo pro více karet či vstupů. 5) Heslo a PIN se doporučuje nezaznamenávat, dokonce ani počítači nepovolovat automatické předvyplňování přihlašovacích údajů včetně hesla. Kromě zásady nikomu tyto hesla nesdělovat je také vhodné je po určitých časových intervalech měnit.
55
[27]
44
Co se naopak doporučuje, tak je na viditelná místa zapsat nesprávná hesla či PIN, neboť pak obvykle dojde k blokaci karty či účtu (podvodník v domnění lehkého výdělku zadá několikrát tuto kombinaci a bankomatu kartu nevrátí, apod.). 6) Doporučuje se také nastavit si zasílání zpráv (SMS nebo email), které informují o veškerých změnách na účtu. 7) K vyuţívání sluţeb přímého bankovnictví je vhodné vyuţívat pouze vlastní, příp. osobní firemní počítač. Stejně tak se nedoporučuje vyuţívat sluţeb přímého bankovnictví na cizím počítači. 8) Vţdy je třeba mít na počítači nainstalovaný antivirový program, dále je vhodné vyuţívat anti-spyware programy a v neposlední řadě také firewall. Samozřejmě se také doporučuje sledovat rady a doporučení své banky. 9) Při uţívání internetu je vhodné nestahovat neznámé soubory a navštěvovat pouze stránky známé a důvěryhodné. 10) Stejné doporučení platí i v případě pouţívání emailu. Sdělovat osobní údaje, hesla či kódy PIN formou emailu je nepřijatelné. Ţádná bankovní instituce ani jí podobná nikdy tyto ani podobné údaje nebude poţadovat touto formou komunikace.
45
Závěr V úvodní části této práce s názvem „Podvody v platebním styku“ jsou popsány základní principy a zásady platebního styku, který je dále rozdělen do dvou samostatných kapitol dle způsobu provádění. Charakterizovala jsem prostředky potřebné k uskutečňování jak hotovostního platebního styku, tedy bankovky a mince, tak pro provádění bezhotovostního platebního styku, tedy bankovní účet, nedokumentární bezhotovostní styk a v neposlední řadě také nástroje elektronického platebního styku. Popsala jsem moţnosti tradičních způsobů, které představují platební karty, internetbanking, homebanking a další a také moţnosti alternativní, jako například elektronické peněţenky (PayPal, PaySec). Budoucnost platebního styku bude pravděpodobně spočívat v rozšiřování platebních moţností na internetu, v transakcích zpracovávaných v reálném čase a v alternativách k platebním kartám. Tyto alternativy budou pravděpodobně ve formě čipů, coţ umoţní širokou škálu působnosti – telefony, hodinky, různé druhy přívěšků, apod. Stěţejní částí této práce představují podvody v bezhotovostním a hotovostním platebním styku. Tyto podvody jsem se snaţila popsat z hlediska provedení, případně doloţit čísly a u sloţitějších případů jsem průběh modelovala pomocí softwaru Bizagi (určený pro modelování procesů). Členění typu podvodů má stejnou strukturu, která je stanovena v části předešlé. Snaţila jsem se o zevrubnou deskripci jednotlivých technik podvodů, díky čemuţ jsem mohla vybrat a stanovit relevantní způsoby, které mají za úkol eliminovat rizika v případě pouţívání platebních karet či elektronického bankovnictví, čemuţ se více věnuje právě kapitola tři. Cílem této práce bylo charakterizovat platební styk, jeho moţnosti a omezení, resp. bezpečnost. V otázce bezpečnosti jsem vycházela ze známých podvodných praktik, která jsem blíţeji popsala a na základě těchto skutečností jsem stanovila řadu opatření, která cílí na eliminaci těchto hrozeb.
46
Seznam použitých zdrojů Monografie [1]
SCHLOSSBERGER, Otakar a Marcela SOLDÁNOVÁ. Platební styk. 3. přeprac. a
dopl. Praha: Bankovní institut, 2007. ISBN 978-807-2651-078. [2]
POLOUČEK, Stanislav a Marcela SOLDÁNOVÁ. Bankovnictví. Praha: C. H. Beck,
2006. ISBN 80-717-9462-7. [3]
KALABIS, Zbyněk. Boj bank proti praní špinavých peněz. Praha: BIVŠ Praha, 2009.
ISBN 978-80-7265-147-4. [4]
MÁČE, Miroslav. Platební styk: klasický a elektronický. Praha: Grada, 2006. ISBN
80-247-1725-5. [5]
JUŘÍK, Pavel. Encyklopedie platebních karet: historie, současnost a budoucnost
peněz a platebních karet. Praha: Grada, 2003. ISBN 80-247-0685-7. [6]
POLANSKÝ, Igor a Zuzana KŘEHÁČKOVÁ. Praktická finanční příručka pro každý
den. Praha: SOS - Sdruţení obrany spotřebitelů, 2008. ISBN 978-802-5476-239. [7]
POLOUČEK, Stanislav. Bankovnictví. Praha: C. H. Beck, 2006. ISBN 80-717-9462-7.
[8]
KALABIS, Zbyněk. Základy bankovnictví: bankovnictví obchody, služby, operace a
rizika. Brno: BizBooks, 2012. ISBN 978-80-265-0001-8. Právní předpisy [9]
Zákon č. 284/2009 Sb. o platebním styku.
[10]
Zákon č. 21/1992 Sb. o bankách
[11]
Zákon č. 285/2009 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona
o platebním styku. [12]
Zákon č. 6/1993 Sb., o České národní bance, ve znění pozdějších předpisů.
[13]
Zákon č. 229/2002 Sb., o finančním arbitrovi, ve znění pozdějších předpisů.
[14]
Směrnice Evropského parlamentu a Rady 2007/64/ES.
47
[15]
Zákon č. 124/2002 Sb. o převodech peněţních prostředků, elektronických platebních
prostředcích a platebních systémech, ve znění pozdějších předpisů. [16]
Zákon č. 254/2004 Sb., o omezení plateb v hotovosti a o změně zákona č. 337/1992
Sb., o správě daní a poplatků, ve znění pozdějších předpisů. Internetové zdroje [17]
Bankovky a mince. Česká národní banka [online]. 2003 [cit. 2013-05-04]. Dostupné
z: http://www.cnb.cz/cs/platidla/ochranne_prvky/ochranne_prvky_1000.html. [18]
Směnka v běţném ţivotě - výhody i rizika. Mesec.cz [online]. 2003 [cit. 2013-05-12].
Dostupné z: http://www.mesec.cz/clanky/smenka-v-beznem-zivote-vyhody-i-rizika/. [19]
Sdruţení pro bankovní karty. Sdružení pro bankovní karty [online]. 1992 [cit 2013-04-
30]. Dostupné z: http://www.bankovnikarty.cz/pages/czech/profil_statistiky.html. [20] [cit.
MasterCard ® International: Debetní karty. MasterCard ® International [on-line]. 2013-04-30].
Dostupné
z:
http://www.mastercard.com/cz/osobni-karty/cz/debetni-
karty.html. [21] line].
MasterCard ® International: Předplacené karty. MasterCard ® International [on[cit.
2013-04-30].
Dostupné
z:
http://www.mastercard.com/cz/osobni-
2009
[cit.
karty/cz/predplacene-karty.html. [22]
SuperCASH. SuperCASH [online].
2013-06-04].
Dostupné
z:
http://www.supercash.eu/. [23] Domovská stránka služby PayPal [online]. [cit. 2013-05-02].
Dostupné z:
https://www.paypal.com/cz. [24]
Stát bez bankovek? Možné by to bylo. V technologicky vyspělém Estonsku [online].
Změněno 25. 11. 2010 [cit. 2013-05-04]. Dostupné z: http://finweb.ihned.cz/c1-48294200stat-bez-bankovek-mozne-by-to-bylo-v-technologicky-vyspelem-estonsku. [25]
Zpráva o činnosti ÚOOZ za rok 2011. Policie České republiky [online]. 2010 [cit.
2013-05-28].
Dostupné
z:
http://www.policie.cz/clanek/zprava-o-cinnosti-uooz-za-rok-
2011.aspx?q=Y2hudW09Ng%3D%3D. [26]
Skutečné příběhy: Jak se padělají peníze? Mesec.cz [online]. 2012 [cit. 2013-06-13].
Dostupné z: http://www.mesec.cz/clanky/skutecne-pribehy-jak-se-padelaji-penize/. 48
[27]
Klufa, F., Scholz, P., Kozlová, M. Podvody v oblasti bezhotovostních plateb v
ČR.
Sdružení
českých spotřebitelů
[on-line].
[cit. 2013-05-13].
Dostupné z:
http://www.konzument.cz/publikace/soubory/pruvodce_spotrebitele/A5_bezhotovostni_podv ody.pdf. [28]
Prevence podvodů. Prevence podvodů [online]. 2009 [cit. 2013-05-30]. Dostupné z:
http://www.prevencepodvodu.cz/podvodne-praktiky/transakcni-cleneni-podvodu.php. [29]
Skutečné příběhy: Jak se padělají peníze? Mesec.cz [online]. 2012 [cit. 2013-06-13].
Dostupné z: http://www.mesec.cz/clanky/skutecne-pribehy-jak-se-padelaji-penize/. [30]
SKIMMING 2012. Policie České republiky [online]. 2010 [cit. 2013-05-31]. Dostupné
z: http://www.policie.cz/clanek/skimming-2011.aspx. [31]
Druhy podvodů. Sdružení pro bankovní karty [online]. 2013 [cit. 2013-05-31].
Dostupné z: http://www.bankovnikarty.cz/pages/czech/media_bezpecnost.html#Skimming. [32]
Falešné čtečky karet jsou uţ i v Praze přímo na pobočkách. Lidovky.cz [on-line]. [cit.
2013-05-31].
Dostupné
z:
http://www.lidovky.cz/falesne-ctecky-karet-jsou-uz-i-v-praze-
primo-na-pobockach-pka-/ln_domov.asp?c=A110201_203656_ln_domov_kim. [33]
Policie České republiky: ÚOOZ SKPV : Skimming. Policie České republiky [on-line].
[cit. 2013-05-31]. Dostupné z: http://www.policie.cz/clanek/skimming.aspx. [34]
Kirk, J. Phishing Scam Takes Aim at MySpace.com : Social networking site is
increasingly a target for identity thieves. PCWorld.com [on-line]. [cit. 2013-05-31]. Dostupné z: http://www.pcworld.com/article/125956/phishing_scam_takes_aim_at_myspacecom.html. [35]
CSIRT.CZ: CZ.NIC a BIS – české DNS servery nejsou řádně zabezpečené. CSIRT.CZ
[on-line]. [cit. 2013-06-02]. Dostupné z: http://www.csirt.cz/page/929/cz.nic-a-bis---ceskedns-servery-nejsou-radne-zabezpecene. [36] MU
Krhovják, J., Kumpošt, M., Matyáš, V. Útoky na platební systémy. Zpravodaj ÚVT [on-line].
[cit.
2013-05-31].
http://www.ics.muni.cz/bulletin/articles/562.html.
49
Dostupné
z:
[37]
WIKIPEDIA: Phreaking. Wikipedia: the free encyclopedia. [on-line]. [cit. 2013-05-
26]. Dostupné z: http://cs.wikipedia.org/wiki/Phreaking. [38]
WIKIPEDIA: Hacker. Wikipedia: the free encyclopedia. [on-line]. [cit. 2013-05-26].
Dostupné z: http://cs.wikipedia.org/wiki/Hacking. [39]
WIKIPEDIA: Cracker. Wikipedia: the free encyclopedia. [on-line]. [cit. 2013-05-26].
Dostupné z: http://cs.wikipedia.org/wiki/Cracker#cite_note-0. [40]
Answers.com: What is the diference between hacking and cracking? Answers.com
[on-line].
[cit.
2013-05-26].
Dostupné
z:
http://wiki.answers.com/Q/What_is_the_difference_between_hacking_and_cracking. [41]
Desatero
bezpečnosti
[online].
[cit.
2013-04-05].
http://www.mastercard.com/cz/personal/cz/sluzby/desatero_bezpecnosti.html.
50
Dostupné
z:
Seznam příloh Obrázky
Obrázek č. 5 - Podvody s vyuţitím skrytých kamer nebo dotykových senzorů
zdroj:[vlastní zpracování]
Obrázek č. 6 – Zneuţití platební karty pomocí metody trashingu
zdroj:[vlastní zpracování]
51
Tabulky
Tabulka č. 1 – Další právní předpisy Další právní předpisy Obchodní zákoník Zákon směnečný a šekový Zákon o finančním arbitrovi Vyhláška č. 32/2010 Sb. o platebních systémech s neodvolatelností zúčtování Vyhláška č. 374/2009 Sb. o výkonu činnosti platebních institucí, institucí elektronických peněz, poskytovatelů platebních služeb malého rozsahu a vydavatelů elektronických peněz malého rozsahu Vyhláška č. 62/2004 Sb. kterou se stanoví způsob provádění platebního styku mezi bankami, zúčtování na účtech u bank a technické postupy bank při opravném zúčtování Nařízení Evropského parlamentu a Rady (ES) č. 924/2009 o přeshraničních platbách ve Společenství Směrnice Evropského parlamentu a Rady č. 2007/64/ES o platebních službách na vnitřním trhu Zdroj: [vlastní úpravy]
52
Tabulka č. 2 – Mince
Zdroj: [17, vlastní zpracování]
53
Tabulka č. 3 – Bankovky
Zdroj: [17, vlastní zpracování]
54
Tabulka č. 4 – Údaje na platební kartě Na platebních kartách dnes obvykle nalezneme: Označení vydavatele (název a logo příslušné banky) a označení kartové společnosti (název a logo) Číslo platební karty (16 – 19 numerických znaků, přičemž první dva znaky určují druh karty, následujících pět znaků je určeno pro identifikaci vydávající banky a zbytek znaků je určen pro identifikaci držitele) Část čísla BIN (čtyři znaky čísla BIN – Bank Identification Number – čísla přiděleného karetní asociací dané bance) plastnost platební karty (udání začátku a konce platnosti, příp. jen konce platnosti platební karty) jméno držitele (max. 27 znaků, u služebních karet i název podnikatelského subjektu, vládní instituce apod.) podpisový proužek (vzor podpisu držitele karty, zpravidla na zadní straně karty) záznam dat Zdroj:[vlastní úpravy]
55