E KO N O M I C KÝ S P E C I Á L / H L A S T R H U
Banka vás pozná
Potvrzování plateb kartou na internetu bude od Nového roku
kvůli evropské směrnici PSD2 vyžadovat dvoufaktorové ověření
identity. Dosavadní opsání SMS kódu už nebude stačit. V České
spořitelně jsme se s předstihem připravili, veškeré platby
a transakce chrání naše automatizovaná behaviorální analýza.
Text: Jan Hailich
Myšlenka jednotných pravidel a bezpečnosti
placení na internetu je samozřejmě správná.
V českém prostředí se ale může zavádění povinného dvoufaktorového potvrzování plateb
kartou jevit jako poněkud kontraproduktivní.
Zatímco v Německu nebo Francii je
počet karetních plateb se zabezpečením
3D Secure (ověřování transakcí pomocí
SMS kódu) jen v nižších desítkách procent,
v Česku se týká téměř všech plateb napříč
trhem. K podvodům v této oblasti dochází
spíš v rámci rodin. Syn vezme mámě kartu
z peněženky, půjčí si její mobil, objedná si na
internetu PlayStation…
Když čelíme opravdové kyberkriminalitě, málokdy jde o karetní transakce. Většinou
řešíme phishing, kdy se podvodníci snaží
získat přístup do internetového bankovnictví klientů a přeposlat si peníze, nebo malwarové útoky, které se nabourávají do jejich
počítačů a mobilů.
Klíč k jednoduchosti
Směrnici chceme naplnit tak, abychom klienty zbavili nepříjemnosti pamatovat si další
ověřovací údaje. Nejpřirozenější cesta, kterou jde většina bank, je zavádění elektronických klíčů. Ty si můžete nainstalovat jako
aplikaci do mobilu a využívat k potvrzování
plateb. Výhoda je absolutní zjednodušení,
žádné opisování SMS kódu. V telefonu se
vám zobrazí notifikace, že provádíte platbu,
a pokud ji chcete potvrdit, otisknete palec
a tím realizujete transakci.
Všichni ale elektronický klíč nevyužívají.
Jde v podstatě o tři skupiny klientů: jedni nechtějí používat bankovní aplikaci v mobilu,
druzí nemají chytrý telefon a třetí jsou zaměstnanci s firemní kartou. Na ty se musíme
z hlediska regulace zaměřit.
Za normálních okolností by jim od ledna
nezbylo nic jiného než při platbě kartou na
internetu kromě SMS kódu zadávat i ePIN.
Nutnost pamatovat si další přihlašovací údaj
ale není uživatelsky nejpřívětivější a ani nejbezpečnější varianta ověřování plateb. Proto
jsme se rozhodli, že tento krok nahradíme
behaviorální analýzou.
Známe vás
Každý klient má u nás vytvořený profil, který
zahrnuje informace o tom, jaké částky nejčastěji kartou platí, z jaké lokality, IP adresy a v jakých časech. Sledujeme také, jakým
způsobem píše na klávesnici, jak pohybuje
myší a řadu dalších věcí. Pokud behaviorální
analýza při platbě vyhodnotí, že se tyto parametry liší od normálu, vyzveme klienta, aby
kromě klasického SMS kódu zadal i ePIN.
Jsem přesvědčený, že pokud je to v technologických možnostech banky, měla by
klientům vyjít maximálně vstříc. Budeme
proto pokračovat v hledání rovnováhy mezi
uživatelsky přívětivým prostředím a co nejlepším zabezpečením. Myslím, že zrovna
v Česku jsme na dobré cestě. Klienti tu bankovnímu systému důvěřují a banky jim to
vracejí užitečnými inovacemi.
Jan Hailich je manažer pro platební řešení
České spořitelny.
59