Test (ne)bezpečných bezkontaktních karet
S příchodem bezkontaktních platebních karet jejich vydavatelé a karetní společnosti ujišťovali, že novinka v podobě bezkontaktních karet je bezpečná a obavy z jejich zneužití v případě ztráty jsou zbytečné. Ne, že by nebylo zneužití možné, ostatně platební karty nejsou stoprocentně bezpečné. Šlo spíše o to, že každá bezkontaktní platební karta má nastaven určitý počet transakcí bez zadávání PIN. Jakmile je tohoto počtu dosaženo, nedá se již provést žádná další transakce.
Tato iluze přetrvává a Měšec.cz provedl test, který ukázal, že vyzvání o náhodného zadání PIN je historií a bezpečnost řeší vydavatelé karet buď jiným způsobem, nebo ji přehodí zcela na majitele karty.
Portál Měšec.cz dostal na otestování tip od policistky jednoho oddělení Policie České republiky, které se mj. zabývá i zneužitím bezkontaktních karet. Provedený test simuluje situaci, kdy držitel bezkontaktní platební kartu ztratí nebo je mu odcizena a on o tom neví. Jakmile si toho všimne, kartu zablokuje. Podívejte se co se během několika málo hodin s kartou může stát.
Popis provedeného testu Měšec.cz:
- necelých 500 transakcí bezkontaktními kartami
- žádná karta, resp. terminál nikdy po nás nechtěl PIN (ani náhodně, ani omylem, ani cíleně)
- náhodné zadání PIN pro nízké platby se týká jen offline transakcí
- všechny transakce byly provedeny online, tj. online ověření zůstatku karty nebo její blokace
- v případě, že jsme z karty dostali 11 000 Kč, test jsme ukončili
- všechny peníze jsme vrátili zpět držitelům karet formou refundace nebo storna
- během testu nepřišla k újmě žádná platební karta, ani její držitelé
- obchodník za umožnění testu získal napomenutí od acquira a málem zařazení na černou listinu (věděl o tom předem a byl s tím srozuměn)
- někteří vydavatelé karet při zneužití bezkontaktní karty u podlimitních transakcí peníze automaticky vrátí, jiní to podrobí zkoumání, zda jste neporušili obchodní podmínky (seznam uveden níže)
Metodika provedeného testu
- 10 Kč s PINem – první transakce vždy proběhla na částku 10 Kč a za použití čipu, čímž jsme chtěli vynulovat případný čítač bezkontaktních transakcí
- 490 Kč bez PINu pro Visu – s kartami Visa jsme následně „utráceli“ přesně 490 Kč, dokud to bylo možno, karty Visa od 500 Kč včetně vyžadují zadání PIN a 499,99 Kč jsme platit nechtěli
- 500 Kč bez PINu pro MasterCard – kartami Maestro a MasterCard jsme „utráceli“ přesně 500 Kč, dokud to bylo možné
- v případě, že jsme narazili na zamítnutí transakce, pak jsme se snažili po desetikorunách pokračovat dál do zjištění bezpečnostního limitu (především u karet Visa)
- všechny bezkontaktní transakce byly bez zadání PIN
Pro test byly použity aktivní bezkontaktní karty a platby byly provedeny u reálného obchodníka a po dohodě bylo provedeno bezmála 500 bezkontaktních transakcí bez zadávání PIN. Bylo také samozřejmě sledováno hlášení na terminálu.
Výsledky provedeného testu předčily očekávání portálu Mešec.cz. Neexistuje limit pro vynucené potvrzení náhodné platby do 500 Kč PINem a navíc někteří vydavatelé karet zcela přehazují bezpečnost na klienty. Při nastavení maximálního limitu s falešným pocitem, že karta má bezpečnostní opatření k zadání PIN, bez problémů může nový „majitel“ karty vyčistit konto až na nulu. V rámci testu zařadil portál i dvě zahraniční karty a to polskou Bank Smart od FM Bank a druhou německou N26 od Wirecard Bank.
Ovšem někteří vydavatelé karet strop nemají a riziko přehazují na klienty, kteří mohou snížit riziko snížením limitů. Ale pokud to majitel neudělá, tak v případě, že pak neuspěje s reklamací u soudu či Finančního arbitra, o své peníze přijde.
Dle zjištěných údajů portálem Měšec.cz stropy u některých platebních karet existuje strop a jeho průměrná výše je 2 600 Kč. U českých karet začíná strop na 1 500 Kč a končí na 5 000 Kč. Ovšem někteří vydavatelé karet strop nemají a riziko přehazují na klienty, kteří mohou snížit riziko snížením limitů. Ale pokud to majitel neudělá, tak v případě, že pak neuspěje s reklamací u soudu či Finančního arbitra, o své peníze přijde. Podrobnosti naleznete níže v tabulce.
| Vydavatel karty | Typ karty | Počet transakcí | Dosažený limit | Hlášení obchodníkovi po zamítnutí transakce |
| Air Bank | MasterCard debetní | 10×500 Kč | 5 000 Kč | překročen limit |
| Bank Smart (FM Bank Polsko) | Visa debetní | 1×490 Kč, 2×10 Kč, 1×30 Kč, 1× 50 Kč | 600 Kč | neplatná částka |
| Cetelem (BNP Paribas Bank) | MasterCard kreditní | 10×500 Kč | 5 000 Kč | příliš velká částka |
| Česká spořitelna | Visa Gold debetní | 4×490 Kč, 4×10 Kč | 2 000 Kč | zamítnuto |
| Česká spořitelna | MasterCard kreditní | 4×500 Kč | 2 000 Kč | příliš velká částka |
| ČSOB | Visa Infinite debetní | 3×490 Kč, 1×20 Kč, 1×10 Kč | 1 500 Kč | zamítnuto |
| ČSOB | Visa Infinite debetní NFC | 5×490 Kč, 1×10 Kč, 1×40 Kč | 2 500 Kč | zamítnuto |
| ČSOB | MasterCard debetní | 5×500 Kč | 2 500 Kč | zamítnuto |
| ČSOB | MasterCard předplacená | 5×500 Kč | 2 500 Kč | zamítnuto |
| Equa bank | MasterCard debetní | 22×500 Kč a šlo by to dál | 11 000 Kč | |
| Expobank | MasterCard debetní | 22×500 Kč a šlo by to dál | 11 000 Kč | |
| Fio banka | Maestro debetní | 4×500 Kč | 2 000 Kč | příliš velká částka |
| Fio banka | MasterCard debetní | 4×500 Kč | 2 000 Kč | příliš velká částka |
| Fio banka | Visa debetní | 4×490 Kč, 4×10 Kč | 2 000 Kč | nekrytá částka |
| Home Credit | MasterCard kreditní | 22×500 Kč a šlo by to dál | 11 000 Kč (Od 1. 12. 2016 bude limit 3000 Kč týdně a na žádost max. 10 000 Kč.) | |
| Komerční banka | Visa debetní | 3×490 Kč | 1470 Kč | zamítnuto |
| Komerční banka | Visa debetní NFC | 2×490 Kč | 980 Kč | zamítnuto |
| mBank | Visa debetní | 22×490 Kč a šlo by to dál | 10 780 Kč | zamítnuto |
| Moneta Money Bank | MasterCard kreditní | 5× 500 Kč | 2 500 Kč | překročen limit |
| Moneta Money Bank | MasterCard debetní | 5× 500 Kč | 2 500 Kč | překročen limit |
| Moneta Money Bank | MasterCard kreditní nálepka | 22×500 Kč a šlo by to dál | 11 000 Kč | |
| N26 (Wirecard Bank, Německo) | MasterCard debetní | 15×500 Kč a šlo by to dál | do výše zůstatku účtu (bylo na něm cca 7500 Kč) | |
| Raiffeisenbank | MasterCard World kreditní (DeLuxe) | 6×500 Kč | 3 000 Kč | překročen počet použití |
| Raiffeisenbank | MasterCard World kreditní (RB Life) | 6×500 Kč | 3 000 Kč | překročen počet použití |
| Raiffeisenbank | MasterCard debetní | 6×500 Kč | 3 000 Kč | překročen počet použití |
| Raiffeisenbank | MasterCard debetni Business Card | 6×500 Kč | 3 000 Kč | překročen počet použití |
| Raiffeisenbank | MasterCard kreditní nálepka | 10×500 Kč | 5 000 Kč | překročen počet použití |
| UniCredit Bank | MasterCard debetní | 9×500 Kč | 4 500 Kč | nekrytá částka |
| Záložna Creditas | MasterCard debetní | 22×500 Kč a šlo by to dál | 11 000 Kč | |
| ZUNO Bank | Visa debetní | 22×490 Kč a šlo by to dál | 10 780 Kč |
Z testovaných karet je možno pouze u Air Bank si přes kanál přímého bankovnictví nastavit denní limit pro bezkontaktní platby (od 0 Kč do 5 000 Kč). Limit se týká jen online plateb, kterých je v České republice naprostá většina. Funkčnost nastavení ukázal test, když po překročení limitu přišla SMS zpráva od banky ve znění: „Dobrý den, bezkontaktní platbu jsme zamítli pro překročení limitu. DNES při dalších platbách kartu vkládejte do terminálu nebo si zvyšte denní limit.“ U některých dalších vydavatelů je samozřejmě možno požádat o zamezení bezkontaktních plateb, ovšem pouze prostřednictvím telefonního hovoru a nikoliv přes internet či chytrý telefon. Další vydavatelé naopak nenabízejí limit pro bezkontaktní platby (součást limitu pro platby u obchodníků).
Níže je v tabulce uveden seznam karet se kterými by se dalo vybrat vše. Jediné by bylo zapotřebí dodržet, je maximální platba 500 Kč, respektive 499,99 Kč. V tomto testu si portál Měšec.cz nastavil strop na 11 000 Kč (resp. 10 780 Kč u Visa karet). Platit by šlo dále, ale platit po 500 Kč třeba 50 000 Kč není moc praktické a generuje to nemalé náklady (pro portál Měšec.cz a obchodníka, nikoliv pro pachatele). Jedinou obranou je snížit limity pro platby u obchodníků a neotevřít tak dveře pachatelům trestné činnosti při případné ztrátě bezkontaktní karty.
| Vydavatel karty | Typ karty | Dosažená částka |
| Equa bank | MasterCard debetní | min. 11 000 Kč a výše |
| Expobank | MasterCard debetní | min. 11 000 Kč a výše |
| Home Credit | MasterCard kreditní | min. 11 000 Kč a výše. (Od 1. 12. 2016 bude limit 3000Kč týdně a na žádost max. 10 000 Kč.) |
| mBank | MasterCard debetní | min. 11 000 Kč a výše |
| mBank | Visa debetní | min. 10 780 Kč a výše |
| Moneta Money Bank | MasterCard kreditní nálepka | min. 11 000 Kč a výše |
| N26 (Wirecard Bank) | MasterCard debetní | min. 7500 Kč a výše |
| Záložna Creditas | MasterCard debetní | min. 11 000 Kč a výše |
| ZUNO Bank | Visa debetní | min. 10 780 Kč a výše |
Situace u českých vydavatelů
Equa bank nemá zvlášť limit pro bezhotovostní platby a tudíž je řešením snížení limitů pro platby u obchodníků. Abyste měli jistotu, že při ztrátě karty nedojde k jejímu totálnímu vybílení, pak je nutno si nastavit takový limit, který vás nebude omezovat a můžete kartu používat. Druhá varianta je před každou vyšší platbou si limit zvýšit a pak zase snížit. Nutno podotknout, že obě varianty nejsou moc příjemné.
Klienti Expobank to mají „snadnější“ , jelikož každou změnu je možno realizovat pouze na pobočce nebo přes zákaznickou linku během její provozní doby. Ztráta karty klienta Expobank je tam velkým bezpečnostním problémem.
Home Credit nemá vůbec žádný strop. Konec utrácení nastane v okamžiku konce úvěrového limitu nebo dosažení týdenního limitu 60 000 Kč. Naštěstí od 1.prosince 2016 společnost mění podmínky u platebních karet a s nimi i transakční limity. Novinkou bude nastavení týdenního limitu pro bezkontaktní platby ve výši 3 000 Kč (přes zákaznickou linku lze zvýšit na maximálně 10 000 Kč). Po překročení obdržíte SMS a další transakci provedete klasicky čipem se zadáním PIN.
mBank jako jediná banka umožňuje nastavování různých typů objemových limitů pro různé typy transakcí a navíc i počty transakcí. Výchozí stav čítá 15 bezhotovostních plateb denně (možnost odcizení až 7 500 Kč).
Klienti Moneta Money Bank by měli brát jako povinnost zvolení si vlastního denní limitu, jelikož s bezkontaktní nálepkou je možno platit opakovaně (plastové karty mají strop na 2 500 Kč). Při nastavení denního limitu například 1 000 Kč jsou klienti chráněni a víc z ní nikdo nedostane.
Německý startup N26 zklamal. Z účtu bylo možné „vycucat“ vše. Majitel na ní měl v přepočtu zhruba jen 7 500 Kč. Zabezpečení je slabé a jedná se jen o obecnou preventivní blokaci. Proto je lepší nechat kartu stále zablokovanou a před použitím ji odblokovat.
Záložna Creditas se vrhla do vydávání debetních karet až v srpnu 2016. Limit je nastavitelný a jeho výchozí výše je 80 000 Kč pro platby u obchodníků (tato částka je pro pachatele k dispozici). Snížení je možné pouze na pobočce.
Nepříjemným překvapením byla ZUNO Bank. Její debetní karta Visa není nijak zabezpečena a na částce 10 780 Kč (22 x 490 Kč) se portál Měšec.cz zastavil, přestože by šlo platit dále. Ale i Zuno podporuje volbu limitů pro platby u obchodníků, které se dají měnit v mobil a internet bance a také prostřednictvím telefonního bankéře. Stejně jako u Moneta Money bank je změna limitů nutností.
Slovo závěrem a ponaučení
Češi a Poláci patří v bezkontaktním placení mezi špičku. A pokud jste po přečtení článku strachy bez sebe, není třeba se obávat. Je ale zapotřebí být opatrný. Existuje technické řešení, jak případné zneužití omezit nebo alespoň zkomplikovat. Problémem jsou spíše vydavatelé karet, jež s riziky moc nepočítají a odpovědnost přehazují na klienty. Zamyšlení nad vhodnými způsoby zabezpečení je na místě, jelikož případné ztráta či odcizení vás poté bude bolet mnohem méně. V tabulce níže vidíte, jak některé banky postupují při zneužití karty. V případě, že klient má bezkontaktní kartu od „hodné“ banky, nemusí se bát, že v případě krádeže přijde o své peníze. Nutné ale samozřejmě je oznámit odcizení či ztrátu neprodleně a nikoliv po několika dnech. Pokud vydavatel bude patřit mezi „normální“ banky, pak peníze klient dostane peníze zpět se spoluúčastí 150€ nebo si bude muset počkat na výsledek reklamačního řízení.
| Vydavatel karty | Postoj k reklamaci bezk. transakce bez PIN u ztracené karty |
| Air Bank | vrátí peníze |
| BNP Paribas Bank (Cetelem) | spoluúčast 150 € |
| Česká spořitelna | vrátí peníze |
| ČSOB | čeká na výsledek reklamace |
| Expobank | čeká na výsledek reklamace |
| Fio banka | čeká na výsledek reklamace |
| Komerční banka | vrátí peníze (u transakcí do max. 3 dnů před blokací) |
| Moneta Money Bank | čeká na výsledek reklamace |
| Raiffeisenbank | vrátí peníze |
| UniCredit Bank | spoluúčast 150 € |
| Záložna Creditas | čeká na výsledek reklamace |
