E KO N O M I C KÝ S P E C I Á L / H L A S T R H U

Banka vás pozná

Potvrzování plateb kartou na internetu bude od Nového roku

kvůli evropské směrnici PSD2 vyžadovat dvoufaktorové ověření

identity. Dosavadní opsání SMS kódu už nebude stačit. V České

spořitelně jsme se s předstihem připravili, veškeré platby

a transakce chrání naše automatizovaná behaviorální analýza.

Text: Jan Hailich

Myšlenka jednotných pravidel a bezpečnosti

placení na internetu je samozřejmě správná.

V českém prostředí se ale může zavádění povinného dvoufaktorového potvrzování plateb

kartou jevit jako poněkud kontraproduktivní.

Zatímco v  Německu nebo Francii je

počet karetních plateb se zabezpečením

3D Secure (ověřování transakcí pomocí

SMS kódu) jen v  nižších desítkách procent,

v  Česku se týká téměř všech plateb napříč

trhem. K  podvodům v  této oblasti dochází

spíš v  rámci rodin. Syn vezme mámě kartu

z peněženky, půjčí si její mobil, objedná si na

internetu PlayStation…

Když čelíme opravdové kyberkriminalitě, málokdy jde o karetní transakce. Většinou

řešíme phishing, kdy se podvodníci snaží

získat přístup do internetového bankovnictví klientů a  přeposlat si peníze, nebo malwarové útoky, které se nabourávají do jejich

počítačů a mobilů.

Klíč k jednoduchosti

Směrnici chceme naplnit tak, abychom klienty zbavili nepříjemnosti pamatovat si další

ověřovací údaje. Nejpřirozenější cesta, kterou jde většina bank, je zavádění elektronických klíčů. Ty si můžete nainstalovat jako

aplikaci do mobilu a využívat k potvrzování

plateb. Výhoda je absolutní zjednodušení,

žádné opisování SMS kódu. V  telefonu se

vám zobrazí notifikace, že provádíte platbu,

a  pokud ji chcete potvrdit, otisknete palec

a tím realizujete transakci.

Všichni ale elektronický klíč nevyužívají.

Jde v podstatě o tři skupiny klientů: jedni nechtějí používat bankovní aplikaci v  mobilu,

druzí nemají chytrý telefon a  třetí jsou zaměstnanci s firemní kartou. Na ty se musíme

z hlediska regulace zaměřit.

Za normálních okolností by jim od ledna

nezbylo nic jiného než při platbě kartou na

internetu kromě SMS kódu zadávat i  ePIN.

Nutnost pamatovat si další přihlašovací údaj

ale není uživatelsky nejpřívětivější a ani nejbezpečnější varianta ověřování plateb. Proto

jsme se rozhodli, že tento krok nahradíme

behaviorální analýzou.

Známe vás

Každý klient má u nás vytvořený profil, který

zahrnuje informace o  tom, jaké částky nejčastěji kartou platí, z  jaké lokality, IP adresy a v jakých časech. Sledujeme také, jakým

způsobem píše na klávesnici, jak pohybuje

myší a řadu dalších věcí. Pokud behaviorální

analýza při platbě vyhodnotí, že se tyto parametry liší od normálu, vyzveme klienta, aby

kromě klasického SMS kódu zadal i ePIN.

Jsem přesvědčený, že pokud je to v technologických možnostech banky, měla by

klientům vyjít maximálně vstříc. Budeme

proto pokračovat v  hledání rovnováhy mezi

uživatelsky přívětivým prostředím a co nejlepším zabezpečením. Myslím, že zrovna

v Česku jsme na dobré cestě. Klienti tu bankovnímu systému důvěřují a  banky jim to

vracejí užitečnými inovacemi.

Jan Hailich je manažer pro platební řešení

České spořitelny.

59