Nemine měsíc, abychom se v novinách nedočetli o nějakém útoku na konta bankovních klientů prostřednictvím internetu. Předkládané informace nemusejí být vždy zcela přesné, nicméně pokaždé tyto články vedou k úvaze nad tím, co je v éře internetu vůbec možné považovat za bezpečné a za jakých podmínek.
Tři původní rizika
Co je vlastně na internetových platbách riskantní? Ve světě kamenných bank fungoval bezhotovostní nákup zboží zhruba takto: vyplnili jste papírový příkaz k úhradě a předali jej úředníkovi za přepážkou. Banka následně odeslala peníze na účet prodejce, který vám zaplacené zboží zaslal nebo připravil k vyzvednutí ve svém kamenném obchodě. Celá tato operace s sebou nesla jen tři rizika. Za prvé to, že jste své identifikační údaje nevědomky poskytli cizí osobě, která pak za pomocí těchto dat provedla bankovní operaci ve svůj prospěch, za druhé riziko, že banka omylem převedla prostředky na účet jiné osoby, než je prodávající obchodník. Třetím rizikem pak byla situace, kdy převod peněz proběhl v pořádku a na správný účet, jen obchodník nakonec zboží nedodal. V současném internetovém světě tento proces probíhá sice mnohem rychleji – na jednom jediném místě si vybereme zboží nebo služby, zvolíme způsob dopravy a zaplatíme – na druhou stranu si ale do pomyslného seznamu rizik musíme připsat hned několik nových položek.
Obchodník může mít například změněnou identitu, tedy se tváří jako prodávající, ale ve skutečnosti vám žádné zboží ani nechce dodat. Chce pouze inkasovat vaše peníze. Elektronický obchod může také obsahovat „podstrčené“ platební prvky, jejichž cílem je vylákat ze zákazníka elektronické identifikační údaje nezbytné k provedení platby. Je to v podstatě stejné, jako by vám někdo ukradl platební kartu a vy jste mu k ní dodali PIN kód a podpisový vzor.
Na internetu volíte ze čtyř základních metod
Jako nakupující máte na internetu obvykle možnost zvolit ze čtyř základních metod: elektronický bankovní převod (pokud je provozovatel e-shopu z České republiky), úhrada platební kartou (respektive její internetovou verzí), Paypal a různé další typy elektronických peněženek, platba šekem a další v České republice nepoužívané nástroje, kterým zde tedy ani není třeba věnovat pozornost.
Elektronický bankovní převod
Elektronický bankovní převod je do e-shopu obchodníka začleněn formou tzv. platebního tlačítka. To funguje jako vstup do aplikace, která je obvykle součástí proprietárního elektronického bankovnictví banky plátce. Zde se plátce již identifikuje a autentizuje stejnými metodami jako ve svém mateřském elektronickém bankovnictví (elektronický certifikát s PIN kódem, elektronický klíč pomocí SMS apod.). Toto řešení zároveň přenáší do platební aplikace limitované informace o obchodníkovi, respektive o nakupovaném zboží. Všechny údaje potřebné k provedení platby jsou již předvyplněny a plátce pouze provede jejich konfirmaci. Doporučené použití – korunové úhrady u domácích e-shopů.
Úhrada platební kartou
Při úhradě platební kartou přistupuje plátce z prostředí e-shopu na aplikaci některé z bank nebo prostředníků. Ta umožňuje zadat číslo karty, datum její expirace, číslo CVC/CVV2 a jméno držitele. Transakce, která proběhne po zadání údajů, je z pohledu plátce již dále realizována stejně jako kterákoliv jiná karetní transakce. Jejím rizikem je fakt, že zadané autentifikační a identifikační údaje se mění s velmi dlouhou periodou (expirační doba karty je v řádu desítek měsíců). Zvyšuje se tak pravděpodobnost, že se podvodník dostane ke klíčovým údajům karty, jež budou ještě aktuální. Tato rizika lze eliminovat kombinací dvou metod - zaváděním technologie 3D Secure na straně obchodníků. která zajišťuje, že se citlivá data sdělují pouze bance, nikoliv obchodníkovi a používáním tzv. internetových platebních karet, které umožňují kartu po provedené transakci uzamknout, proti dalším operacím. Doporučené použití – domácí i zahraniční úhrady u obchodníků podporujících systém 3D Secure.
Paypal
Dalším nástrojem internetových plateb je Paypal, který je v oblasti internetových plateb dnes již světovým standardem. Umožňuje platícímu realizovat platby buď přímo z účtu Paypal, nebo prostřednictvím účtu Paypal přes platební kartu s ním spojenou. Z pohledu plátce v České republice je však problémem nižší podpora tohoto nástroje ze strany lokálních obchodníků (poplatky obchodníka za realizovanou transakci podobně jako u karet) i neochota bank umožnit propojení účtu Paypal s běžným bankovním účtem (obavy z kanibalismu stávajících karetních produktů). Doporučené použití – zahraniční úhrady.
Změny v nedohlednu
Máme v dohledu nějaké řešení, které nás, kupující zbaví nutnosti provozovat několik typů platebních nástrojů?
Náhledneme-li na priority nakupujících na internetu, jsou jednoznačné - jednoduchost resp. jeden nástroj pro domácí i zahraniční úhrady, minimální resp. nulové náklady za úhadu, vysoká bezpečnost resp. odolnost před zneužitím.
Oproti tomu banky resp. platební operátoři preferují minimální provozní náklady, maximalizaci počtu transakcí a s nimi spojených výnosů, vysokou bezpečnost řešení.
Prodávající požaduje pokud možno jeden platební kanál pro všechny typy zákazníků, minimální náklady za transakci uhrazenou zákazníkem, co nejrychlejší připsání prostředku na účet a taktéž vysokou bezpečnost.
Je jasné, že kromě bezpečnosti zde příliš jednotících bodů nenalezneme. Zdá se, že i my plátci jsme upadli do určitého stereotypu a příliš netlačíme ani platební operátory, ani obchodníky k inovacím. Proto se zásadních změn v dohledné době asi nedočkáme.
Autor působí ve společnosti KPMG Česká repulika.