Na chybu u čipových karet banky upozornil zhruba před dvěma měsíci britský vědec Steven Murdoch s týmem z University of Cambridge a jeho nález před více než měsícem ověřili i čeští bezpečnostní experti z Raiffeisenbank . Ti o testech informovali také ostatní tuzemské banky .
Kartu vybírejte z nabídky zde
Chyba, na kterou profesor Murdoch upozornil, má zatím jen teoretický rozměr. Nicméně se jedná o slabé místo, které, pokud by nebylo do budoucna ochráněno, může představovat způsob možného zneužití organizovanými skupinami podvodníků. Jde o chybu v nedostatečném zakódování potvrzení o správném či nesprávném PIN , které po zadání klientem posílá karta zpět na terminál u obchodníka při placení. Pokud by vám podvodník ukradl kartu a dokázal ke kartě přiložit u obchodníka jednoduchý přístroj, mohl by zadat jakýkoliv PIN a na terminál by přesto pak přišla informace, že PIN je v pořádku. Pak by vám snadno vyluxoval účet.
Sestrojení takového přístroje by podle expertů z Raiffeisenbank mohl poměrně snadno zvládnout i absolvent střední školy s elektrotechnickým vzděláním a za relativně pár korun. Složitá by však pro něj nejspíš byla miniaturizace tak, aby přístroj byl co nejméně nápadný. To už by ovšem nemusel být problém pro organizované skupiny podvodníků. Využití nedostatečného zabezpečení je ale možné pouze u transakcí, kdy se PIN neověřuje online přímo z banky a PIN je ověřen pouze offline, tedy mezi platebním terminálem a kartou.
Bezpečnostní mezera ve fungování čipové karty podle zástupců českých bank nepředstavuje pro držitele těchto karet žádnou aktuální hrozbu. „Je velmi nepravděpodobné, aby se něco podobného (tento způsob zneužití karty, pozn. red.) mohlo na českém trhu uskutečnit. Jedná se o obejití ochrany pouze za určitých podmínek, ke kterým jsou lepší předpoklady v Anglii než u nás,“ tvrdí například Denisa Salátková z Poštovní spořitelny .
Všechny tuzemské banky přiznaly, že o tomto problému se zabezpečením vědí a že se jej snaží řešit. Řada z nich se ale zdráhá k problematice blíže vyjadřovat a klientům jen doporučují dodržovat známá pravidla pro používání platebních karet. „O problému samozřejmě víme, je analyzován a přesto, že potenciální riziko bylo vyhodnoceno jako nízké, připravujeme určité úpravy autorizačního systému, které by umožnily odhalení podvodu již v počáteční fázi,“ podotýká Pavla Langová z České spořitelny . „Popsaná chyba je chybou protokolu, je tedy globální a i oprava musí být globální. Navíc daná chyba představuje jen minimální riziko pro klienta, je rizikem banky,“ dodává k tomu Markéta Dvořáčková z GE Money Bank .
Technologicky vzato jsou za zajištění bezpečnosti transakcí s kartou odpovědné podle zástupců všech bank karetní asociace, které vydávají technické standardy a samy certifikují jejich dodržování v platebních aplikacích. Londýnská centrála evropského zastoupení společnosti VISA se ale k uvedenému problému odmítá vyjadřovat. Na ani jednu z otázek Peníze.cz neodpovědělo ani vedení konkurenční společnosti Mastercard. Společnost pouze uvedla, že „V souladu s obecným pravidlem bezpečnosti by se měli držitelé karet v případě jakýchkoliv pochybností ohledně svého účtu nebo při zjištění podezřelých plateb hrazených prostřednictvím jejich platební karty obrátit na instituci, která jim jejich platební kartu vydala. Byla-li platební karta použita podvodně, je držitel karty chráněn a částka mu bude nahrazena.“
Pro úplnost je třeba dodat, že ani jedna z tuzemských bank dosud nezaznamenala pokus o zneužití čipové platební karty tímto způsobem, tedy v průběhu offline potvrzení PIN. Žádná hlášení o takovémto zneužití platební čipové karty nepřišla ani ze zahraničí. Proti již zmiňované chybě čipových karet jsou podle experta Raiffeisenbank Tomáše Rosy klienti v Česku i v zahraničí zcela chráněni tedy zatím jen u online autorizací PIN.
Daleko větší problém než u mezery v bezpečnosti čipových karet, kdy banky jsou schopny zpětně dohledat, zda a jak bylo zadáno PIN (podvodné zadání jiného PIN tak jsou vydavatelé karet schopni rozpoznat a prokázat, že PIN ověřen ve skutečnosti nebyl), představuje pro klienty podle Tomáše Rosy takzvaný skimming. Ten hrozí u platebních karet s magnetickým proužkem, kdy si podvodníci pomocí speciálního skenovacího zařízení nainstalovaného přímo na bankomat kopírují data o platebních kartách. Díky tomu se pak mohou pokusit odcizit peníze z účtu navázaného na kartu.