Bezpečné placení na internetu

Za posledních téměř 90 let historie se platební karty staly běžnou součástí našeho života. K jejich masovému rozšíření ale došlo až v posledních 30 letech díky asociacím MasterCard a VISA. V roce 2002 bylo na celém světě vydáno přes dvě miliardy platebních karet American Express, Diners Club, MasterCard a VISA, přičemž okolo 95 % karet vydaly banky. Obrat platebních karet roste průměrně o 15 % ročně a dosáhl již více než 4 tril. USD.

V uplynulých patnácti letech výrazně vzrostlo používání platebních karet pro nákupy pomocí faxu, pošty a zejména internetu. V roce 1997 dosáhl objem nákupů na internetu kolem 700 mil. USD. Do roku 2005 se má zvýšit na 400 mld. USD, což je dvakrát více, než se odhadovalo v roce 2000. Nejvíce je internet používán k nákupům ve Spojených státech, kde podle Forrester Research roste obrat o 40 % každých šest měsíců.

Přestože je zneužití platebních karet k placení na internetu často zmiňováno v tisku, není to zásadní problém. Nejedná se obvykle o velké částky, ale o velký počet transakcí, které je nákladné vyšetřit a administrativně zpracovat. Podvody na internetu tvořily v roce 2000 asi 0,035 % celkového obratu bankovních asociací, ale 10 % všech reklamací jejich klientů, což je dvacetkrát více, než průměrný výskyt reklamací na transakce v "kamenných" obchodech. Nicméně se jedná o jeden z nejrychleji rostoucích druhů zneužití platebních karet. Dokladem mohou být informace britské bankovní asociace APACS

viz obr.1

V roce 2001 uvedla VISA International, že reklamace klientů, měřené podle obratu, se u jednotlivých metod placení podstatně lišily. Nejbezpečnější bylo placení v obchodní síti (0,09 % reklamací), s výrazným odstupem následovaly poštovní a telefonní objednávky (0,36 %) a nejhorší situace byla u plateb na internetu (1,14 %). V roce 2001 bylo prostřednictvím internetu zaplaceno zboží a služby v hodnotě okolo 62 mld. USD, z toho více než 700 mil. USD činily podvody.

Princip zneužití karty spočívá v použití údajů vytištěných na odcizené kartě nebo jejich získání z kopií prodejních dokladů nebo počítačových sítí. Jedním z protiopatření bylo koncem 90. let minulého století zavedení tisku jen části čísla karty na stvrzenkách bankomatů a platebních terminálů.

Nabídka řešení

Pro bezpečné použití v situaci, kdy zákazník ani jeho platební karta nejsou fyzicky přítomni v obchodě, který také sám fyzicky nemusí existovat, musí být splněno několik podmínek:

utajení přenášených informací (ochrana před nepovolanými osobami),

zajištění integrity dat (ochrana před změnou informací),

ověření identity zúčastněných stran (ochrana před podvodníky),

zaručení interoperability (zajištění celosvětové funkčnosti).

Základem zajištění bezpečnosti elektronických plateb (e-commerce, m-commerce) je u obou bankovních platebních systémů tzv. model 3D (viz obr. 2). Jeho principem je ponechání odpovědnosti za ověření identity klienta i obchodníka na bankách, které jim přístup do systému zajistily (vydavatel karty, zúčtovací banka).

obr. 2

Tento model vytváří prostor pro použití řady verifikačních metod, jejichž rozšíření se lokálně či regionálně může lišit. Platební systémy (MasterCard, VISA) zodpovídají za dodržení standardů a provedení autorizací, clearingu a zúčtování transakcí. Od roku 1996 bankovní systémy postupně nabídly několik řešení bezpečného placení na internetu - SET, pseudočísla, virtuální karty, Verified by VISA a MasterCard SecureCode.

Set

Secure Electronic Transaction byl vyvinut v polovině 90. let 20. století pro bezpečné placení na internetu. Na jeho vzniku se podílely asociace VISA, MasterCard a firmy IBM, Microsoft, Netscape, RSA a další. Díky své komplikovanosti a nákladnosti na implementaci a provoz (aplikace digitálního podpisu) se však příliš nerozšířil a banky již koncem 90. let vyvinuly jednodušší řešení - 3D Secure.

Pseudočísla

Trvalé nebo jednorázově vygenerované číslo platební karty prostřednictvím banky (server wallet). Banka klientovi aktivuje aplikaci placení na internetu ve svém systému. Při placení se klient identifikuje stanoveným způsobem, bez nutnosti sdělovat číslo karty. Bankovní systém vygeneruje jednorázové nebo trvalé číslo karty a autorizační kód. V ČR tyto karty nabídky Komerční banka, eBanka a ČSOB.

Virtuální karty

Fyzicky neexistující karta (e-card). Pro platby na internetu je klientovi přiděleno speciální číslo platební karty. Číslo může být vytištěno na papíru, nebo se vyrobí plastová karta s číslem. Virtuální karta může existovat vedle skutečné platební karty a mít i vlastní výpis, nebo mohou být transakce převáděny na účet hlavní karty. V řadě bezpečnostních metod je na předposledním místě, před běžnou platební kartou, ale stále zajišťuje vysokou bezpečnost. Od zavedení tohoto druhu karet v roce 2000 nebyly zaznamenány případy jejich zneužití.

MasterCard SecureCode a Verified by VISA

Trh e-commerce nákupů se ve Spojených státech odhaduje na 3 tril. USD. Tento způsob prodeje je zde také nejvíce rozšířen a proto nepřekvapí, že právě zde MasterCard i VISA zavedly jako v první zemi nové metody bezpečného placení.

Asociace MasterCard zavedla v roce 2001 službu MasterCard SecureCode a VISA systém Verified by VISA. Obě řešení jsou založena na tom, že jakmile klient při nákupu na internetu zvolí jako způsob placení platební kartu, objeví se na jeho počítači obrazovka (pop-up), zprostředkovaná zúčtovací bankou obchodníka. Do ní doplní číslo své platební karty, osobní tajné heslo (ne PIN karty). Toto heslo jde mimo obchodníka, který pouze obdrží informaci, zda je klient pro produkt bezpečného placení registrován a zda jeho verifikace proběhla úspěšně. Pokud klient není registrován, proběhne transakce "standardním" způsobem.

Osobní tajné heslo klient získá od své banky nebo si ho zvolí při podání žádosti o platební kartu nebo při registraci služby MasterCard SecureCode nebo Verified by VISA na internetových stránkách. Veškeré spojení mezi obchodníkem a klientem je šifrováno a vůči síti MasterCard a VISA se musí identifikovat nejenom klient, ale i obchodník. Heslo klienta se obchodník nedozví, pouze získá transakční kód, který pak musí zaslat vydavateli karty při provedení autorizace transakce. Zatím jen malá část internetových obchodů používá systémy bezpečného placení (zejména v USA), ale VISA i MasterCard zvýšily svůj tlak na banky, aby je zavedly rychleji.

Co nabízejí české banky?

V České republice se první bankou, která nabídla bezpečné placení na internetu stala v roce 1998 Komerční banka, která zavedla řešení SET. Z výše uvedených důvodů se však SET nerozšířil. V roce 2001 nabídla eBanka a krátce po ní i Komerční banka placení pomocí tzv. e-karet (pseudočísla). Koncem roku 2003 Komerční banka zavedla ve spolupráci se společnostmi MUZO a Cyota řešení Verified by VISA a MasterCard SecureCode. Držitelé platebních karet této banky mohou o tuto službu požádat. Zatím žádná z českých zúčtovacích bank pro platební karty (tzv. acquier) nenabídla řešení pro bezpečné placení tuzemským internetovým obchodům.

Ing. Pavel Juřík se věnuje platebním kartám již více než patnáct let. V letech 1989-2002 pracoval v Komerční bance a HVB Bank, kde se věnoval především platebním kartám. V letech 2002-2003 řídil divizi Payment Systems společnosti Bull. Nyní pracuje ve společnosti NESS-Europe jako projektový manažer. V letech 1991-2002 byl předsedou a místopředsedou Sdružení pro bankovní karty. Tématu platebních karet věnoval přibližně 200 článků a čtyři knihy.