Praha - Potvrzení platby v mobilní aplikaci je jeden z nejdůležitějších bezpečnostních kroků v moderním bankovnictví. Zároveň je to krok, který se dá snadno přecenit. Silné ověření říká bance hlavně to, že konkrétní platební příkaz potvrzuje oprávněný uživatel. Neříká jí, že obchodník skutečně existuje, že faktura patří vašemu dodavateli ani že investiční nabídka není podvod.
Česká národní banka u karetních plateb na internetu vysvětluje silné ověření jako minimálně dvoufaktorové prověření, že platbu zadal skutečně klient. Typicky jde o kombinaci něčeho, co klient má, zná nebo čím je: mobilní aplikace, heslo, PIN, otisk prstu či rozpoznání obličeje. To je ochrana proti zneužití účtu nebo karty. Není to due diligence protistrany.
Stejný rozdíl je vidět u plateb zadávaných z internetového nebo mobilního bankovnictví. ČNB v upozornění k podvodům s multifaktorovou autentizací připomíná, že poskytovatel platebních služeb má silné ověření použít při platebním příkazu přes internet nebo vzdálené elektronické zařízení. Ověření zahrnuje prvky propojující transakci s částkou a příjemcem, aby bylo zřejmé, jakou akci klient potvrzuje. Jenže i správně zobrazená částka a účet mohou patřit špatné ekonomické realitě.
Praktický příklad je falešný e-shop. Klient si myslí, že kupuje zboží, vyplní údaje a potvrdí platbu. Banka může bezpečně ověřit, že příkaz zadal klient a že potvrzení proběhlo jeho aplikací. Nemůže z toho automaticky vyvodit, že web má poctivého provozovatele, skutečné sklady a vymahatelné reklamační podmínky. Česká spořitelna u podvodných prodejců proto doporučuje před nákupem prověřovat, kdo je prodávající, zda má obchod dohledatelné podmínky, kontakt a věrohodné recenze.
Druhý příklad je podvržená faktura. Vypadá jako dokument od dodavatele, ale obsahuje jiné číslo účtu. Platební příkaz pak může být zadán bez technické chyby: částka sedí, variabilní symbol sedí, uživatel potvrzení schválí. Ekonomicky je ale platba mimo skutečný závazek. Komerční banka u podvodných faktur popisuje scénáře se změnou účtu obchodního partnera nebo falešnou fakturou a doporučuje ověřit změnu přes známý či veřejně dostupný kontakt, ne přes údaje v podezřelém e-mailu.
Třetí varianta je sociální inženýrství: člověk potvrzuje platbu, protože mu někdo tvrdí, že jde o ochranu peněz, vrácení přeplatku nebo technickou kontrolu. ČNB v přehledu online podvodů popisuje manipulaci, při níž oběti samy provádějí úkony podle pokynů útočníků. Uvádí také scénář, kdy člověk v domnění, že potvrzuje příchozí platbu za prodávané zboží, ve skutečnosti autorizuje platební příkaz.
Pro reklamace je proto zásadní rozlišit tři situace. Neautorizovaná platba je případ, kdy klient příkaz nedal nebo nepotvrdil. Nesprávně provedená platba se týká provedení proti zadanému příkazu nebo problému v platebním procesu. Autorizovaná podvodná platba je jiná: klient platební příkaz skutečně schválil, ale byl zmanipulován, platil falešnému obchodníkovi nebo reagoval na podvržené údaje. Výsledek pro klienta může být stejně bolestivý, právní a provozní cesta k nápravě ale není stejná.
ČNB v materiálu k multifaktorové autentizaci výslovně upozorňuje, že pokud spotřebitel silné ověření následně potvrdí, může nést ztrátu z transakce podle okolností konkrétního případu. Spotřebitelská část ČNB k informačním povinnostem poskytovatelů zároveň ukazuje, že klient má být informován o způsobu a lhůtě pro oznámení neautorizované nebo nesprávně provedené transakce a o rozsahu odpovědnosti poskytovatele. To není slib automatického vrácení každé platby, která skončila u podvodníka.
Co tedy má uživatel kontrolovat před potvrzením? Nejen to, že mu aplikace ukazuje známý bezpečnostní prvek. U platby má dávat smysl příjemce, částka, účet, variabilní symbol a hlavně obchodní kontext: objednal jsem si to, znám protistranu, změna účtu byla ověřena mimo e-mail, investiční nabídka je od regulovaného subjektu, QR kód pochází ze správného dokumentu. Komerční banka u podezřelých plateb radí před potvrzením kontrolovat příjemce a částku a zvlášť zpozornět u QR kódů, které mohou platbu přesměrovat na jiný účet.
Rozdíl je důležitý i pro očekávání od banky po incidentu. Když někdo zneužije kartu bez vědomí klienta, řeší se podezření na neautorizovanou transakci a banka bude zkoumat, jak k použití prostředku došlo. Když klient sám pošle peníze na účet uvedený na falešné faktuře, banka může pomoci s dohledáním platby, blokací dalších rizikových kroků nebo předáním kontaktu na policii, ale obvykle nemůže sama jednostranně rozhodnout, že obchodní protistrana byla nepoctivá a peníze prostě vzít zpět. U karetních plateb může existovat reklamační proces vůči obchodníkovi či karetnímu schématu, ale i tam bude rozdíl mezi nedodaným zbožím, krádeží údajů a platbou potvrzenou na podvodné bráně.
Pro firmy je stejná lekce procesní. Čtyři oči u nové faktury, oddělené ověření změny účtu a pravidlo, že urgentní e-mail s novými platebními instrukcemi neobejde běžnou kontrolu, nejsou byrokracie navíc. Jsou to ochrany před tím, aby silné ověření jen rychle potvrdilo selhání předchozí kontroly. U domácností může být obdobou jednoduchý zvyk: u první platby novému příjemci nebo u nezvykle vysoké částky se před potvrzením zastavit a ověřit protistranu jiným kanálem.
Pro banky a poradce je důležitý komunikační detail. Nestačí klientům říkat, že mají “potvrdit platbu bezpečně”. Přesnější formulace zní: potvrzujte jen platbu, jejíž obchodní důvod jste si ověřili. Bankovní aplikace zabezpečí autorizační proces, ale nenahradí kontrolu faktury, domény, prodejce, regulace investiční společnosti ani telefonické ověření změny účtu.
Silné ověření tedy nezklamalo, když klient velmi bezpečně potvrdil špatnou platbu. Splnilo jinou roli: ověřilo, kdo a co autorizuje. Předchozí otázka - zda má být taková platba vůbec provedena - zůstává na člověku a na interních kontrolách domácnosti či firmy. Právě tam se rozhoduje, jestli potvrzení v aplikaci uzavře poctivý nákup, nebo dokončí podvod.
Discussion
Sign in to join the discussion.
No comments yet. Be the first to share your thoughts.