Hlavní obsah

Nová ochrana na e-shopech: Banka vás pozná i podle psaní na klávesnici

Foto: Profimedia.cz

Platby kartou přes e-shop musí být od ledna bezpečnější než dosud. Ilustrační foto.

Od Nového roku musí všechny banky svým klientům nabídnout bezpečné způsoby potvrzování plateb kartou při nakupování po internetu. Česká spořitelna přišla s řešením, které rozpozná klienta podle psaní na klávesnici či mobilu.

Článek

Vím, kde právě jsi. Vím co, za kolik, kde všude a v kolik hodin běžně nakupuješ, když platíš kartou. Vím, z jaké IP adresy platby odcházejí. Vím, jaký operační systém a internetový prohlížeč používáš. Umím zjistit, jestli není tvůj počítač nebo chytrý telefon napadený malwarem, kvůli kterému bys mohl přijít o peníze. Vím, jak rychle píšeš na klávesnici, jak hýbeš myší, jak pohybuješ prstem po obrazovce mobilu nebo tabletu. Neustále se učím a zpřesňuji tvůj profil.

Scéna ze sci-fi? Nikoli, takto funguje robot, který „sedí“ v centrále České spořitelny (ČS) na pražské Budějovické a v řádu milisekund dokáže odhalit podvodnou transakci. Bance ho pomáhala sestavit technologická společnost Threatmark.

Spořitelna díky němu inovovala systém pro posuzování platebních transakcí. „Jeho součástí je nyní automatizovaná behaviorální analýza, která analyzuje jedinečné charakteristiky platebního chování klienta a průběžně tvoří unikátní platební profil klienta, který se využívá pro potvrzení identity při každé online platbě, použití platební karty nebo transakci v internetovém a mobilním bankovnictví,“ popisuje manažer platebních řešení spořitelny Jan Hailich.

Spořitelna není jediná banka, která využívá umělou inteligenci. Unikátní službu ale díky behaviorální analýze od Nového roku poskytne svým 600 tisícům klientů, kteří nakupují na internetu, ale nebudou chtít nebo moct pro potvrzování plateb používat mobilní klíč. Ať už proto, že bankovní aplikaci v mobilu nedůvěřují, nebo ji nemají kam instalovat, protože mají tlačítkový telefon.

Úderem půlnoci na 1. ledna 2021 totiž budou muset banky definitivně zajistit, že každá platba kartou za zboží v e-shopu bude ověřená dvěma ze tří faktorů, esemeska opsaná z mobilu do platební brány už stačit nebude. Na výběr je speciální kód ePIN, biometrie (otisk prstu nebo rozpoznání obličeje) a mobilní klíč. K němu má přístup jen vlastník telefonu, na rozdíl od esemesky. Tu jde totiž pomocí malwaru přeposlat na mobil útočníka, který jde po cizích penězích. Behaviorální biometrická analýza na pozadí transakce může jeden z faktorů nahradit.

Spořitelní zákazníci bez mobilního klíče (který by zajistil jejich biometrickou identifikaci) tak budou moct opsat jen starou známou esemesku. Druhým ověřením, že kartou na internetu platí skutečně její držitel, bude zmíněná behaviorální analýza. „Audit poradenské firmy PwC potvrdil, že implementace ČS využívající behaviorální detekci podezřelých transakcí splňuje přísné požadavky na silné ověření klienta, jak je definuje evropská směrnice o platebních službách PSD2,“ ujišťuje expert na platební metody ČS Jan Dachovský.

Než si robot vytvoří profil konkrétního klienta, bude třeba několik plateb ePINem potvrdit. Stejně tak si robot ePIN vyžádá, pokud nějakou transakci vyhodnotí jako podezřelou: pokud třeba některá karta zaplatí v kamenném obchodě v Praze a za chvíli na e-shopu z IP adresy v zahraničí, je téměř jisté, že jde o podvod. Když algoritmus riziko vyhodnotí jako vysoké, platbu rovnou zablokuje.

Ti, kteří mobilní George klíč od ČS mají, s ním budou moct platby kartou na internetu potvrzovat už ve druhé polovině listopadu. V tom ale spořitelna první na trhu není. Klienti Air Bank mohou karetní platby v e-shopech potvrzovat v mobilní aplikaci už od letošního ledna, zákazníci Komerční banky od května.

Ověřování plateb přes internet od 1. 1. 2021

Za lomítkem je uveden způsob ověření pro ty, kdo nebudou v telefonu mít aplikaci své banky.

Airbank: mobilní aplikace / zatím nezveřejnila

ČSOB: mobilní aplikace / ?

Equabank: mobilní aplikace / ePIN a potvrzovací esemeska

Fio: mobilní aplikace / zatím nezveřejnila

Komerční banka: mobilní aplikace / heslo a esemeska

mBank: mobilní aplikace / behaviorální biometrie případně doplněná esemeskou

Moneta: mobilní aplikace / ePIN a potvrzovací esemeska

Raiffeisenbank: mobilní aplikace / heslo a esemeska

Obdobné řešení s využitím behaviorální biometrie nabídne také mBank. „Ověření bude probíhat bez nutnosti zásahů od klienta. Na pozadí transakce budou probíhat různé datové toky, na základě kterých systém sám vyhodnotí riziko transakce. Pokud riziko přesáhne určitou úroveň, klient potvrdí transakci pomocí SMS kódu,“ popsal mluvčí finančního domu Štěpán Dlouhý.

Banka je podle něj přesvědčena, že bude splňovat požadavky na silné ověření. Z biometrických parametrů, které bude banka prověřovat, Dlouhý prozradil jen způsob a rychlost zadávání znaků na klávesnici.

Silnější ověřování platebních transakcí EU požaduje už od 14. září loňského roku. Zatím se ale vztahuje jen na přihlášení do internetového nebo mobilního bankovnictví a platby kartou v kamenných obchodech. Pro platby v internetovém prostředí si banky kvůli náročnější přípravě vylobbovaly prodloužení termínu do konce letošního roku.

„Přechod na tzv. silné ověření plateb vychází ze stanoviska Evropské bankovní asociace. Ta umožnila v oblasti e-commerce prodloužit lhůtu do 31. 12. 2020,“ potvrdil výkonný ředitel Asociace pro elektronickou komerci Jan Vetyška.

Doporučované