Neviditelný pes  |  Zvířetník  |  Ekonomika  |  Věda  |  SciFi Pondělí 20.6.2005
Svátek má Květa




  Výběr z vydání
 >EVROPA: "Totální krize" Evropské unie
 >MÉDIA: Arbitráže - historie se opakuje
 >PRÁVO: Lidská svoboda? Bezcenný šmejd!
 >POLITIKA: Lidovecká superstar hejtman Juránek
 >EVROPA: 23 x 0 x 0 = ?
 >MIMOCHODEM: Než po mně skočí
 >ÚVAHA: Grafika ovlivňuje řidiče!
 >SPOLEČNOST: Proč se studenti na univerzitě nedozví to nejlepší?
 >CESTOVÁNÍ: Way to Norway (4)
 >TISKOVÁ ZPRÁVA: Ke kauze bývalého náměstka ministra financí Zelinky
 >TISKOVÁ ZPRÁVA: Proč odmítnout zdražování MHD
 >PENÍZE.CZ: Finanční arbitr - on-line škodu klienta zaplatí banka
 >ÚVAHA: Země se otáčí a peníze taky
 >EVROPA: Volba rozumných lidí
 >PRAHA: České hlavy v ulicích

 >>> HLAVNÍ STRÁNKA  >>  Ekonomika  
 
20.6. PENÍZE.CZ: Finanční arbitr - on-line škodu klienta zaplatí banka
Jiří Šedivý

Banky mají ve svých smlouvách s klienty o internetovém bankovnictví takové podmínky, že vše, co se děje na klientově počítači, spadá do jeho kompetence. Tím je ošetřeno, že v případě napadení toho počítače a ovládání účtu neoprávněnou osobou nese odpovědnost klient. Banky si tak chtěly zajistit, že jejich internetové bankovnictví vlastně nemusí být ani maximálně bezpečné, protože, co se stane mimo banku, není její starost.
Pokud očekáváte, že služba klientovi znamená také jistotu v případě, "kdy nic nezaviníte" a přesto vám peníze z účtu zmizí, nemohli jste doposud odpovídající produkt nalézt. Banky ale nejsou jediným vykladačem práva a tvůrcem bankovního trhu u nás. Rozhodnutí finančního arbitra v jednom z případů vykradeného účtu kartu dokonale obrací.

Internetové bankovnictví zná většina našich čtenářů. Komunikace je celkem dobře zabezpečena, ale "ukrást" přihlašovací data není nepřekonatelně složité. Požádali jsme o rozhovor Jiřího Nápravníka, který se celou problematikou intenzivně zabývá, aby nám o celé problematice prozradil něco bližšího.

Hrozba útoku se nedá vyloučit

Peníze.CZ: Internetové bankovnictví dnes používá řada lidí a mnozí z nich jsou laici. Co jim hrozí, jak se mohou bránit a postačí to?

Jiří Nápravník: Klient, který si je vědom toho, že jeho počítači a poté bankovnímu účtu hrozí určité nebezpečí, si podle pokynů nainstaluje antivirový program. Často jej správně i aktualizuje. To ale obvykle nestačí . Stejně jako v případě již známých dialerů, které přesměrovávají internetové připojení, nelze vyloučit útok vnějšího světa na vaše bankovní data. Vetřelcem může být i nejapný vtip kolegy nebo zvědavost technicky zdatného synka, kterého zajímá, co tatínek na tom počítači dělá. Cest je zkrátka mnoho. Výsledkem je, že třetí osoba získá heslo a certifikát pro přístup k vašemu kontu.

Takže se účty běžně vykrádají?

Že se tak v praxi občas děje, není nutné nějak obsáhle popisovat. Máme již pravomocná odsouzení, řada případů se šetří, nové se objevují.

Kolik účtů už bylo takto postiženo?

Řádově pár desítek. Někdy si klient "vykrade sám sebe" a snaží se banku podvést. Všichni klienti bank rozhodně nejsou andílci. Na druhou stranu ale pokud někdo skutečně podvede klienta, tak ten nemá u banky zastání a jeho reklamace jsou zamítány. Problém je také hrozba toho, že se může objevit lavina podobných podvodů a banky na to nejsou, jak ukazuje současná praxe, připraveny. Zatím jen nechají odpovědnost na klientovi, který obvykle zvládá svůj počítač uživatelsky. Z hlediska techniky však pro získání přístupových dat postačí jen připravit a propašovat k oběti do počítače dostatečně inteligentní program.

Mají již známé oběti nějaké společné znaky? Kdo jsou?

Jsou to běžní uživatelé napříč profesemi. Spojuje je vlastně to, že užívají počítač a obvykle to nejsou odborníci, což ale není pravidlem. Jmenujme lékaře, obchodní zástupce, architekta, daňovou poradkyni, ale i ředitele počítačové firmy.
Obecně je nejzranitelnější technologie přístupu přes uživatelské jméno a heslo, případně doplněno o digitální certifikát. V těchto případech se nedá vyloučit, že by vykrádání účtů mohlo získat charakter masovosti. Ale i další způsoby zabezpečení mohou díky lidem, ale bez jejich přímého zavinění, selhat. Veškerá hesla a PINy člověk vyzradí například pod nátlakem. Může se tak ale stát i při probouzení se z narkózy a dalších neobvyklých, ale reálných situacích.

Banky se ale možné odpovědnosti zbavily šikovně postavenými smlouvami o internetovém bankovnictví. Jak tedy rozhodl finanční arbitr?

Poškozený v daném sporu, jehož účet a účet bytového družstva, který spravoval, byl vykraden, to sám neudělal. I to se šetřilo a šetřit musí. Zjistilo se, že pachatelem je jakýsi bezdomovec, s největší pravděpodobností bílý kůň. Ovšem, peníze již u sebe neměl. Je možné, že je někomu předal, nebo je prohrál, propil atd.
Banka však v souladu se smlouvou škodu uhradit odmítla. Poškozený se tedy obrátil na finančního arbitra, který měl již zkušenosti s podobnými případy u platebních karet. V případě internetu se jednalo o první rozhodnutí a zkušenosti nebyly ani z Německa či Rakouska. Arbitrovi trvalo rozhodnutí necelý rok a půl, ale nakonec došel k závěru, že banka pochybila . Že systém jakým provozuje internetové bankovnictví není úplně v pořádku, protože klienta na začátku nepoučila, jak řádně provozovat její internetové bankovnictví. Arbitr zejména vytknul bance skutečnost, že nemá fungující reklamační oddělení. Banka se sice odvolala, ale arbitr následně rozhodl obdobně a s konečnou platností, takže banka musí vrátit na klientův účet to, o co přišel. Absurdní na celé věci je, že banka se odmítla podřídit a předala celou věc soudu. Banka, která sama nedokázala zjistit, zda se jednalo v daném případě o korektní transakci nebo podvod, si u soudu stěžuje na rozhodnutí finančního arbitra.

O kolik peněz vlastně šlo?

Na osobním účtu to bylo necelých 40 000 a na účtu družstva něco kolem 250 000 Kč,

Internetbanking tedy není stoprocentně bezpečný. Co na to banky? Předpokládám, že to neslyší rády.

Je to tak trochu úsměvné. Již léta jsem poukazoval na to, že je potřeba stavět vztahy mezi klientem a bankou na vzájemné důvěře. Když jsem tedy před pár lety zjistil potenciální nebezpečí, oslovil jsem příslušné banky, kterých se zjištěný problém týká, sdělily mi, že jsem úplně mimo. Jejich internetová bankovnictví jsou podle evropských norem, ony jsou velké instituce, všechno jim dělaly renomované velké firmy, takže všecko musí být v pořádku.

To vám na popularitě asi nepřidalo.

Časem jsem získal punc někoho, kdo chce pouze očernit jméno bank . Ostatně to tvrdili i jiní odborníci z branže internetové bezpečnosti. Ovšem po rozhodnutí finančního arbitra mám dobrý pocit, že došlo na moje slova. Přístup k zabezpečení ze strany banky má řadu trhlinek. V inkriminované kauze nebyla banka schopná opakovaně doložit IP adresu (identifikace počítače, která se běžně užívá, ale lze poměrně snadno zfalšovat, poznámka redakce), což lze považovat za alespoň základní identifikátor a i jinak neměla žádný zájem na rychlém objasnění případu. Prostě se chovala jako by to nebyl její problém.

Co by tedy podle vás pomohlo do budoucna celému systému?

Pokud klient nebude mít jistotu, že mu nemohou bez jeho viny zmizet úspory, bude jeho důvěra v internetové bankovnictví klesat. Podobně na tom může být i důvěra v elektronický podpis a potažmo e-government. Je třeba vytvořit postupy pro rychlé vyšetřování případů (řádově dny a týdny, nikoliv měsíce a roky) a založit institut pomoci poškozeným klientům. Aby například rodina nepřišla vykradeným účtem o všechny prostředky, měla by banka nabídnout otevření kontokorentního účtu v době nouze zaviněné sporem o vytunelování účtu. Inspiraci pro celou oblast hledejme v oblasti platebních karet, kde fungují díky velkým asociacím účinné mechanizmy, jak se podvodům bránit a jak je rychle vyšetřovat.
Internetbanking je chtě nechtě především službou banky. Jelikož ona spravuje účet, měla by více přistoupit na to, že pokud někdo účet vykrade, je třeba jej společně s klientem vypátrat, nikoliv to nechat jen na klientovi. Bance takový přístup zvedne renomé a kvalita takové služby by se měla stát dalším konkurenčním prvkem. Tomu rozhodnutí finančního arbitra snad také napomohlo.

Měly banky nést odpovědnost za to, že byl účet vykraden cizí osobou z klientského počítače?

Domnívám se, že banky by měly být povinny vyšetřovat všechny reklamace nejenom internetového, ale i GSM, telefonního a dalších komunikací mezi bankou a klienty. Tak by měly postupovat mimo jiné i pro svůj klid a jistotu zda peníze převedl klient, nebo někdo jiný. To se dnes neděje, ale takový přístup je důležitý mimo jiné i proto, že jsme v laboratorních podmínkách otestovali, že je možné zneužít i internetové bankovnictví s čipovou kartou a v takovém případě se neoprávněná transakce provádí na klientském počítači.

Měly by podle vás banky vypracovat lepší mechanismy dokazování a odhalování podvodů? Nebo je podle vás dostačující, že smlouva prostě nechává vše na bedrech klientů? A klíčová otázka, jak je možné, že se banky a finanční arbitr neshodnou v takto zásadním problému?




Další články tohoto autora:
Jiří Šedivý

Počet přístupů na stránku:

Komentáře ke článku