Okamžité převody mezi účty přináší nová rizika, banky musí investovat do technologií, říká analytik

Okamžité platby mezi dvěma bankami, které ve středu prošly prvním testem, mají zjednodušit život lidem, protože se jim peníze objeví na účtu prakticky okamžitě. Na druhou stranu existují obavy, že právě rychlost povede k růstu podvodů. Podle Marka Žáčka, analytika společnosti Analytics Data Factory, která se stará o zjišťování finančních podvodů, obezřetné musí být jak banky, tak i jejich zákazníci.

Marek Žáček, analytik společnosti Analytics Data Factory

Zdroj: Archiv Marka Žáčka

Co se mění pro banky příchodem rychlejších plateb? 

Se zaváděním nových produktů přicházejí i nová rizika, kterým musí banky čelit. V tomto případě jde o kratší dobu na vyhodnocování rizikovosti transakcí. Doposud i některé expresní převody trvaly několik hodin, tím pádem měla banka více času na vyhodnocení transakce. Teď některé banky budou kvůli tomu muset více investovat do sofistikovanější real-time (v reálném čase - pozn. redakce) technologií, které dokáží posuzovat transakce v řádu desítek milisekund.

Jak se vůbec banky brání útokům podvodníků?

Na detekci podvodů mají banky tzv. fraudové detekční systémy (FDS), jejichž chod zajišťují počítače s ohromným výpočetním výkonem, aby zvládly všechny operace v řádech menších než jedna vteřina. Ověřují platby složitými algoritmy, v reálném čase neustále doplňují a aktualizují data a porovnávají řady parametrů. Hlavní úlohou FDS je detekce nestandardního či podvodného chování.

Můžete to upřesnit?

Jde v podstatě o robustní IT řešení, které v řádu milisekund vyhodnocuje stovky parametrů a proměnných veličin platby a porovnává je s různými databázemi nebo vzorci uživatelova chování podle transakční historie. Porovnává například lokalitu zadání transakce, dobu, obvyklou částku, prověřuje příjemce platby a další údaje při odesílání peněz. Takže třeba, pokud někdo uhradí kartou oběd v Praze a za hodinu přijde požadavek na platbu z Lisabonu, systém platbu označí za podezřelou a předá ji k prověření.

A to teď může bankám uniknout?

Ano. Zejména u těch bank, které neinvestovaly nebo neinvestují do moderních řešení typu FDS, tam může být riziko větší a řada podvodníků toho může využít. Tím, že banka nedokáže velmi rychle vyhodnotit rizikovost transakce, může přehlédnout, že se jedná o podvodnou transakci a tato jí projde.

Jaký je mechanismus?

Obecně se snaží podvodníci zahltit systémy velkým množstvím zaslaných plateb z různých míst a počítačů. A všechny mají být zpracované hned, zatímco doteď na to měly banky čas, než transakce skutečně odejde do druhé banky (aktuálně některé banky provádějí všechny úhrady jen jednou denně, jiné několikrát za den – pozn. redakce)

Venku už systémy fungují. Pokud vím, banky u nás k tomu přistupují dobrovolně. Nemusely by. Je to trend?

Obecně lze říci, že ve využívání real-time technologií je Česko trochu pozadu za zahraničím. Postupně roste tlak klientů na kvalitu poskytovaných služeb, s tím souvisí i zrychlení převodu peněz mezi bankami.

Proč je Česko pozadu?

Problém nebyl na straně bank, ale spíš na straně ČNB, kde jejich systém CERTIS, tedy systémem mezibankovního platebního styku v České republice, který zpracovává mezibankovní platby, nefungoval 24 hodin denně, ale pouze do 16:00.

Co když skučně k podvodu dojde – dočkají se lidé peněz zpátky, kdyby šlo o „díru“ v zabezpečení bankovního systému?

Standardně jsou vklady pojištěny do limitu 100 tisíc eur pro jednoho vkladatele u jedné banky. Výše kompenzace však záleží na zjištěných skutečnostech, například do jaké míry si klient chránil svůj počítač či mobil, choval se obezřetně, a mohl tak škodě předejít. Rozhodně doporučuji podat trestní oznámení na policii. Šance na kompenzaci škod od banky se zvyšuje, pokud se zjistí, že se jednalo například o hromadný sofistikovaný útok na více klientů.

Co proti tomu banka dělá, aby k podvodům nedošlo? Říká se, že hackeři jsou vždy o krok napřed a řeší se to pak případ od případu, až když problém vznikne.

Okamžité platby plošně riziko kybernetických útoků nezvyšují. Většina bank už dnes nabízí speciální mobilní aplikace, které jsou díky několikastupňovému způsobu zabezpečení imunní vůči kybernetickým útokům i v případě, že platba proběhne v řádu vteřin. Riziko bude u těch bank, které do moderních technologií neinvestovaly.

Kolik podvodů bankovní instituce řeší denně, kolik takových vyhodnocení probíhá? 

Statistiky podvodů a útoků na účty se z taktických důvodů nezveřejňují, tyto informace by mohli využít podvodníci, aby cíleně zaměřili útoky na konkrétní banku. Nejvíce informací o statistikách se lze dozvědět především od policie, která informuje veřejnost o zjištěných podvodech. 

Jak se nejčastěji podvodníci dostávají k penězům? Objevují se nové trendy?

Nejrozšířenějším podvodem je stále phishing, kdy se podvodníci snaží získat přihlašovací údaje do internetového bankovnictví. Používají k tomu e-maily, které se tváří jako zprávy od bank nebo platebních bran, ve kterých se pod záminkou kontroly snaží vylákat přístupové údaje a hesla k účtům. Podle policejních zdrojů byly v minulých měsících podvodným e-mailem osloveny až desítky tisíc klientů bank. Pokud se podvodníci zmocní údajů k účtu, mohou si z něho v klidu vybírat peníze.

Na prvním místě podvodná stránka, pod ní originál. Například logo je nepatrně jiné, trochu se liší i další prvky korporátní grafiky. Hlavním vodítkem pro laické odhalení je ale vždy URL a e-mailová adresa – ta je i  v tomto případě po rozkliknutí výrazně jiná, než je oficiální adresa PayPal.

Podvodná stránka PayPal
Zdroj: Analytics Data Factory

 

Originální stránka PayPal
Zdroj: Analytics Data Factory

Další typ podvodu se nazývá „falešný prezident“. To je e-mail, ve kterém se podvodníci vydávají za člena vedení firmy a přikazují svému podřízenému okamžitou zahraniční platbu. Například na konci roku 2017 bylo obesláno přibližně 200 firem, ze kterých třetina na podvod naletěla. Ze svých účtů firmy poslaly do zahraničí eura v hodnotě víc než 30 milionů korun.

Na co si může sám člověk, který peníze posílá, dát pozor?

Banky na svých stránkách zveřejňují pravidla pro bezpečné chování na internetu. Základem je držet se vlastní intuice, dodržovat bezpečnostní pokyny banky a přemýšlet. Například naučit se podobné věci včas rozeznávat a zamyslet se, proč zrovna mně přišel takový e-mail. Je nejvyšší čas přiznat si nepříjemnou pravdu: nikdo vám nikdy nenabídne například vstupenky zdarma.