Masarykova univerzita Ekonomicko-správní fakulta Studijní obor: Finance PLATEBNÍ KARTY A JEJICH VÝHODY A NEVÝHODY Payment cards and their benefits and inconvenience Bakalářská práce Vedoucí práce: Ing. Jan KRAJÍČEK, Ph.D. Autor: Jitka BALÁŽOVÁ Brno, 2015
Anotace Cílem bakalářské práce Platební karty a jejich výhody a nevýhody je prostřednictvím postojů klientů bank k bezkontaktnímu placení zjistit jaké výhody a nevýhody tito klienti spatřují u kontaktních a bezkontaktních platebních karet. V první části jsou vymezeni účastníci transakcí platebními kartami. Další část je věnována užívání platebních karet, kde jsou popsány prostředky pro realizaci transakcí platebními kartami, specifikovány zde jsou transakce, bezpečnost platebních karet a poplatky spojené s platebními kartami. Po části věnované metodice práce následuje praktická část, kde jsou analyzována data získaná prostřednictvím dotazníkového šetření provedeného mezi držiteli platebních karet a obchodníky akceptujícími platební karty. Annotation The goal of the theses Payment cards and their benefits and inconvenience is to ascertain what benefits and inconvenience is believed by bank clients the contact and the contactless payment cards possess. At the beginning the participants of the payment card transactions are defined. The next part is dedicated to the payment cards using where the transaction devices are specified, the transactions are described as well as the related fees and the safety features of this field. After the methodical information, the practical section is following which includes the analysis of the data obtained by using the questionnaire survey realized within cardholders and merchants accepting the payment cards. Klíčová slova Bezkontaktní platební karty, transakce, bezpečnost, držitel PK, obchodník akceptující PK Keywords Contactless payment cards, Transactions, Security, Cardholder, Merchant
Prohlášení Prohlašuji, že jsem bakalářskou práci Platební karty a jejich výhody a nevýhody vypracovala samostatně pod vedením Ing. Jana Krajíčka, Ph.D. a uvedla v ní všechny použité literární a jiné odborné zdroje v souladu s právními předpisy, vnitřními předpisy Masarykovy univerzity a vnitřními akty řízení Masarykovy univerzity a Ekonomicko-správní fakulty MU. V Brně dne 24. dubna 2015 vlast no r uč ní podpis aut o r a
Poděkování Na tomto místě bych ráda poděkovala Ing. Janu Krajíčkovi, Ph.D. za cenné připomínky a odborné rady, kterými přispěl k vypracování této bakalářské práce. Dále děkuji Ing. Miroslavu Pavlíkovi z Komerční banky a Tomáši Hajmovi z Raiffaisenbank za ochotu a čas, který věnovali odpovídání dotazů z oblasti platebních karet, a především za jejich věcné rady a komentáře, kterých si velmi vážím. Rovněž bych chtěla poděkovat svému muži Romanovi nejen za podněty a připomínky k bakalářské práci, ale zejména za ohromnou trpělivost a podporu v průběhu celého studia.
Obsah Úvod... 7 1 Účastníci transakcí platebními kartami... 9 1.1 Karetní asociace... 9 1.2 Obchodní banka... 10 1.2.1 Vydavatelská banka issuer... 10 1.2.2 Zpracovatelská banka acquirer... 11 1.3 Klient banky... 11 1.3.1 Držitel platební karty... 11 1.3.2 Obchodník akceptující platební karty... 11 1.4 Shrnutí kapitoly... 11 2 Užívání platebních karet... 13 2.1 Prostředky pro realizaci transakcí platebními kartami... 13 2.1.1 Platební karty... 13 2.1.2 Zařízení pro akceptaci platebních karet... 17 2.2 Transakce... 18 2.2.1 Transakce za přítomnosti platební karty... 20 2.2.2 Transakce bez přítomnosti platební karty... 21 2.3 Bezpečnost platebních karet... 21 2.3.1 Druhy podvodů... 22 2.3.2 Způsoby neoprávněného získávání dat z platebních karet... 24 2.4 Poplatky spojené s platebními kartami... 26 2.4.1 Poplatky účtované držitelům platebních karet... 26 2.4.2 Poplatky účtované obchodníkům akceptujícím platební karty... 27 2.5 Shrnutí kapitoly... 28 3 Metodika bakalářské práce... 29 4 Bezkontaktní platební karty z pohledu klientů... 31 4.1 Zavádění bezkontaktních platebních karet... 31 4.1.1 Způsob přechodu na bezkontaktní platební karty z pohledu držitelů platebních karet...31 4.1.2 Způsob přechodu na bezkontaktní platební karty a jejich akceptaci z pohledu obchodníků... 33 4.2 Bezpečnost bezkontaktního placení z pohledu klientů... 34 4.3 Reklamace sporných transakcí... 36 4.3.1 Reklamace transakcí z pohledu držitelů platebních karet... 36 4.3.2 Reklamace transakcí z pohledu obchodníků akceptujících platební karty... 37 4.4 Spokojenost klientů bank s bezkontaktním placením... 38
4.4.1 Nákupní chování držitelů bezkontaktních platebních karet... 38 4.4.2 Rychlost bezkontaktního placení z pohledu klientů bank... 40 4.4.3 Spokojenost s placením platebními kartami z pohledu klientů bank... 41 4.4.4 Charakterizování bezkontaktního placení klienty bank... 44 5 Závěr... 46 Použitá literatura... 50 Seznam zkratek... 55 Seznam obrázků... 57 Seznam grafů... 57 Seznam tabulek... 57 Seznam příloh... 58 Přílohy... 59
Úvod Platební karty jsou široce rozšířeným a neustále se vyvíjejícím platebním nástrojem, který se stává nepostradatelným pomocníkem v každodenním ekonomickém životě. S nástupem nové bezkontaktní technologie začínají spotřebitelé platební karty využívat i v obchodních místech, kde by tento způsob úhrady zboží byl dříve nepředstavitelný vzhledem k nízkým částkám a době nezbytné k odbavení. Díky rychlosti realizace transakce a jednoduchosti manipulace s bezkontaktní platební kartou vzrůstá obliba bezhotovostního placení jak ze strany držitelů karet, tak ze strany obchodníků akceptujících platební karty, díky čemuž disponuje karetní byznys významným růstovým potenciálem. Při nakupování v supermarketu býváme svědky toho, že platby těmito kartami jsou dokonce rychlejší, než úhrada hotovými penězi. Fyzicky přítomné osoby držitel karty, pokladní, další zákazníci ve frontě jsou spokojeny. Spokojeni jsou rovněž subjekty stojící v pozadí transakce, jimiž jsou banky obou stran transakce a karetní asociace, jejíž logo nese daná platební karta. Banky a karetní asociace neúnavně přesvědčují veřejnost o pozitivních vlastnostech tohoto způsobu placení a spěšně převydávají platební karty s bezkontaktními prvky a vyměňují zastaralé kontaktní platební terminály za moderní bezkontaktní přijímače. Motivací rychlého přechodu od kontaktního k bezkontaktnímu placení je více. Jednak je to posílení komfortu klientů, úspora jejich času a zvýšení bezpečnosti díky oproštění se od rizikové manipulace s hotovostí a dále snaha o podchycení běžných plateb nižších hodnot, které byly doposud spotřebiteli hrazeny v hotovosti. Díky těmto skutečnostem, ať už pouze proklamovaným, nebo skutečným, pak banky realizují hlavní cíl této technologické změny, kterým je získání dodatečných příjmů z karetních transakcí nebo alespoň udržení těch stávajících. Mezi subjekty účastnícími se karetního placení panuje výrazný nepoměr sil. Na jedné straně stojí velké obchodní banky společně s karetními asociacemi a proti nim vystupují jednotliví klienti těchto bank. Klienti bank mají omezené prostředky k ovlivnění zásadních rozhodnutí učiněných bankami a asociacemi. Tato nerovnováha může být patrná mimo jiné i při dnešním přechodu na bezkontaktní placení, kdy banky automaticky vydávají držitelům bezkontaktní karty a u obchodníků vyměňují staré terminály za nové, obsahující bezkontaktní technologii, aniž by se zúčastněných dotazovali, zda s tímto postupem souhlasí. Vzhledem k přirozenému strachu lidí z neznáma a k nedůvěře k systémovým změnám se dá očekávat, že určitá část klientů bank bude k této zásadní změně ve funkcionalitě platebních karet přistupovat skepticky, s obavami a mnohdy až odmítavě. Na druhou stranu je pravděpodobné, že rychlý a jednoduchý způsob placení bezkontaktními kartami přesvědčí uživatele služby o svých pozitivech a bezkontaktní technologii si oblíbí a přijmou. Cílem bakalářské práce je prostřednictvím postojů klientů bank k bezkontaktnímu placení stanovit výhody a nevýhody kontaktních a bezkontaktních karet z pohledu klienta banky. K naplnění základního cíle práce budou hledány odpovědi na čtyři dílčí otázky týkající se přechodu na bezkontaktní placení: Jak se klienti bank staví ke způsobu přechodu na bezkontaktní platební karty? Jak klienti bank přistupují k bezkontaktnímu placení s ohledem na bezpečnost? Na jaké úrovni je povědomí klientů bank ohledně jejich práv a povinností při využívání platebních karet? Jak jsou klienti bank spokojeni s bezkontaktním placením? Pro dosažení cíle práce budou v teoretické části vymezeny relevantní pojmy a procesy z oblasti platebních karet. Po specifikaci účastníků transakcí platebními kartami budou charakterizovány prostředky pro realizaci transakcí, jimiž jsou samotné platební karty a terminály pro akceptaci karet. Dále budou objasněny jednotlivé druhy transakcí, 7
jež je možné platebními kartami provádět. Prostor v práci je také věnován bezpečnosti platebních karet. V této části jsou rozepsány jak druhy podvodů, se kterými se mohou klienti bank setkat, tak způsoby neoprávněného získávání dat k této ilegální činnosti. Závěr teoretické části je věnován poplatkům spojeným s karetním placením. V navazující praktické části bude v samostatné kapitole rozepsána metodika práce a následně budou analyzována data získaná prostřednictvím dvou dotazníkových šetření. Data z prvního dotazníku odrážejí mínění držitelů platebních karet a data z druhého dotazníku reflektují názory obchodníků akceptujících platební karty ve svých provozovnách. Pro ucelený výstup z dotazníkového šetření bude využito metody syntézy. Odpovědi na dílčí otázky a následné vyhodnocení výhod a nevýhod platebních karet, jak je vnímají klienti bank, jsou důležité jednak pro samotné klienty, a jednak také pro banky v roli issuera i acquirera. Výstup z práce může pomoci klientům uvědomit si míru vlastní obeznámenosti s platebními kartami. Výsledek výzkumu mj. ukáže případné nedostatky ve znalosti obchodních podmínek banky nebo eventuální změnu v nákupním chování držitelů PK po přechodu na bezkontaktní karty. Pro banky zavádějící nový produkt je podobný výzkum přínosný pro získání přehledu o názorech svých klientů na daný produkt a jejich přístupech k němu. V této souvislosti se jeví jako zásadní zejména zjištění úrovně informovanosti klientů o bezpečnosti a rizicích spojených s PK a ohledně povědomí o právech a povinnostech klientů vyplývajících z užívání PK. Práce lze brát jako podklad pro nastavení vhodného edukačního plánu zacíleného na slabá místa ve znalostech klientů, jako podpora pro zformování efektivní marketingové kampaně nebo by mohla obecně pomoci nastavit účinnější komunikační kanály, metody a obsah komunikace s klienty. 8
1 Účastníci transakcí platebními kartami Pro dosažení výzkumného cíle bakalářské práce budou v této kapitole vymezeni účastníci transakcí platebními kartami. Informace budou čerpány z relevantní literatury a internetových zdrojů. Za hlavní účastníky transakcí budou považováni karetní asociace, obchodní banky v pozicích vydavatele karet a zpracovatele transakcí a klienti bank, jimiž jsou držitelé platebních karet a obchodníci akceptující platební karty. 1.1 Karetní asociace Jílek [2013] rozděluje karetní asociace podle karetního modelu, v němž fungují. Největšími asociacemi působícími v modelu se čtyřmi účastníky 1 jsou Visa, MasterCard; v méně rozšířeném modelu se třemi účastníky 2 jsou to American Express (Amex), Diners Club (DC), Japan Credit Bureau (JCB) a China UnionPay (CUP). Obrázek 1 schematicky znázorňuje oba karetní modely. Obrázek 1: Karetní modely se čtyřmi a se třemi účastníky Model se čtyřmi účastníky Model se třemi účastníky Zdroj: Vlastní zpracování dle Börestam, Schmiedel, 2011 Schlossberger [2012] karetní asociace dělí na bankovní, což jsou Visa a MasterCard, a nebankovní, kam spadají Amex, DC a JCB. Avšak nebankovní asociace mohou poskytovat licence umožňující ující vydávat karty pod svým logem a pak, v případě, že jsou vydávány obchodními bankami, jsou i tyto karty bankovními platebními kartami. Loga jednotlivých karetních asociací jsou znázorněna na obrázku 2. 1 Model se 4 účastníky, tzv. otevřený ený model, zahrnuje držitele PK, banku vydávající PK (issuer), banku obchodníka akceptujícího PK (acquirer) a obchodníka. Karetní asociace Visa ani Mastercard (vlastníci modelu) nejsou účastníky modelu. 2 Model se 3 účastníky, tzv. uzavřený model, zahrnuje 3 subjekty držitele PK, obchodníka a vlastníka modelu, např. American Express, Dinners Club. 9
Obrázek 2: Loga karetních asociací Zdroj: Vlastní zpracování Text vychází z modelu se čtyřmi účastníky, a proto budou podrobněji zmíněni vlastnící tohoto modelu společnosti Visa Inc. a MasterCard Worldwide. Obě asociace jsou veřejně obchodovatelnými nadnárodními společnostmi Visa od roku 2007, MasterCard od roku 2006, obě mají sídlo v USA. V předcházejících letech to byly neziskové organizace vlastněny ny bankami vydávajícími karty. Podle Evanse [2010] byl vstup karetních asociací na burzu zásadním počinem z důvodu zvýšení jejich inovativnosti, což se pozitivně projevuje v rámci celého karetního byznysu. Veřejně obchodovatelnou společností je Visa Inc., nicméně v Evropě operuje na základě exkluzivní a nezrušitelné provozní licence společnost Visa Europe, jež je britskou neziskovou společností vlastněnou evropskými bankami; Visa Europe drží přibližně 10 % akcií společnosti Visa Inc. V České republice má svou pobočku. U druhé jmenované asociace byla pro evropské působení ustanovena divize MasterCard Europe, která je ovšem součástí společnosti MasterCard Worldwide. V ČR R má své zastoupení [Jílek, 2013]. Hlavní činností karetních asociací je zúčtování transakcí mezi vydavatelskou bankou a bankou obchodníka a standardizace karetních procesů a provozu. Asociace nevydávají karty, nestanoví poplatky ani výši úrokových měr u kreditních karet. Tyto činnosti jsou plně v kompetenci poskytovatelů ů platebních služeb, tzn. členů asociací [Visa Europe, 2015]. Naopak stanovují výši mezibankovních poplatků (např. Interchange Fee) a provozní poplatky (licenční poplatky, poplatky za autorizaci a clearing/settlement, apod.). Asociace umožňují bankám nabízet svým klientům standardizované platební produkty využívající nejmodernější technologie. Na investice do inovací a vývoje nových technologií uvolňují poměrně velké finanční prostředky. Za tytoto služby si účtují od bank poplatky a vyžadují dodržování striktních provozních pravidel. 1.2 Obchodní banka Podle českého zákona o bankách č.. 21/1992 Sb. je banka akciová společnost se sídlem v České republice, která přijímá vklady od veřejnosti a poskytuje úvěry a k výkonu těchto činností má bankovní licenci. Kromě výše uvedených základních aktivit může banka vykonávat další v licenci specifikované činnosti, mj. vydávání a správu platebních prostředků, jako jsou např. platební karty. Pro účely tohoto textu vymezím v podkapitole 1.2.1 banku jako instituci vydávající platební karty vydavatelskou banku a v podkapitole 1.2.2 jako instituci zpracovávající karetní transakce zpracovatelskou banku. 1.2.1 Vydavatelská banka issuer Jedná se o banku, která má bankovní licencí povoleno vydávat platební karty, a která je zároveň členem karetní asociace a vlastní její licenci pro vydávání karet. Issuer je člen, který vydává PK svým klientům na základě smluvního vztahu, spravuje jejich běžné, či kreditní účty, autorizuje transakce a garantuje acquirerovi platby za platné transakce. Issuer před vydáním karty zajišťuje její personalizaci, tzn. zaznamenání identifikačních údajů 10
držitele PK na kartu. Tuto činnost banky mohou zadat specializovaným společnostem (např. Global Payment Europe 3 ). 1.2.2 Zpracovatelská banka acquirer Zpracovatelská banka acquirer se zaměřuje na zpracování transakcí a má pro tuto činnost odpovídající licence od ČNB a od karetních asociací. Acquirer uzavírá smlouvy o akceptaci PK s obchodníky. Údaje o transakcích realizovaných na ATM, POS nebo prostřednictvím imprinteru acquirer předkládá do clearingového 4 a settlementového 5 systému karetní asociace. V České republice nabízí v současnosti acquiring pět obchodních bank: Česká spořitelna, ČSOB, Komerční banka, UniCredit Bank a Raiffeisenbank [MasterCard, 2015]. Všechny tyto finanční instituce jsou zároveň i issuery. 1.3 Klient banky Pro účely této práce jsou klienti bank rozděleni do dvou skupin na držitele platebních karet, již jsou specifikováni v podkapitole 1.3.1 a obchodníky akceptující platební karty, kteří jsou vymezeni v podkapitole 1.3.2. 1.3.1 Držitel platební karty Držitel PK je fyzická osoba, která je jako jediná oprávněná užívat danou kartu, a jíž byla tato vydána na základě žádosti / smlouvy o vydání PK vydavatelskou bankou (issuerem), případně nebankovní institucí vydávající kreditní karty. Držitel PK se nestává jejím majitelem, tím zůstává vydavatel karty. 1.3.2 Obchodník akceptující platební karty Obchodníkem akceptujícím PK je fyzická nebo právnická osoba, která je oprávněna přijímat platební karty k úhradě za poskytovaného zboží / služby na základě smlouvy o akceptaci PK uzavřené se zpracovatelskou bankou (acquirerem), jež zpracovává transakce realizované kartami a předkládá je do clearingového a settlementového systému konkrétní karetní asociace. Obchodník je vybaven přístrojem pro akceptaci PK (POS terminálem nebo imprinterem) nebo technologií umožňující akceptaci e-commerce transakcí. 1.4 Shrnutí kapitoly V této kapitole byli vymezeni hlavní účastníci transakcí platebními kartami, za něž jsou pro účely bakalářské práce považovány následující subjekty: - karetní asociace, jejichž hlavní náplní je zúčtování transakcí mezi issuerem a acquirerem a standardizace karetních procesů; - obchodní banky, které vystupují buď v roli issuera (issuer je banka, která PK vydává svým klientům, autorizuje transakce a garantuje platby acquirerovi za platné transakce), nebo acquirera (acquirer uzavírá smlouvy o akceptaci PK s obchodníky, zpracovává transakce a předkládá je do clearingového a settlementového systému karetní asociace); 3 Global Payment Europe GPE - je největším poskytovatelem služeb pro zpracování platebních transakcí v České republice. Mezi tyto služby patří zpracování transakcí kreditních, debetních i privátních karet, instalace, správa a servis bankomatů a platebních terminálů a dále služby vydávání platebních karet, správy databáze karet a personalizace. [Kotlán, 2014] 4 Clearing představuje vzájemné vypořádání všech transakcí mezi jednotlivými bankami. 5 Settlement (zúčtování) je konečná úhrada salda vzešlého z clearingu mezi těmito bankami. 11
- klienti bank, jimiž jsou držitelé PK (fyzické osoby oprávněné užívat PK) a obchodníci akceptující PK (fyzické nebo právnické osoby, které ve svých provozovnách přijímají PK k úhradě za poskytované zboží nebo služby). 12
2 Užívání platebních karet Druhá kapitola popisuje nezbytné vybavení uživatelů, základní procesy, rizika a náklady s užíváním spojené. Budou zde postupně charakterizovány prostředky nutné pro realizaci karetních transakcí, jimiž jsou platební karty držitelů a zařízení pro akceptaci karet na straně obchodníků. U platebních je mimo vlastností a členění také nastíněn jejich vývoj. Dále je věnován prostor karetním transakcím, které jsou rozčleněny podle způsobu realizace za přítomnosti, resp. nepřítomnosti platební karty. V další části kapitoly se práce zabývá bezpečností platebních karet, kde jsou rozepsány druhy podvodů s platebními kartami a nejčastěji využívané způsoby neoprávněného získávání dat z karet. V závěru kapitoly jsou zmíněny náklady s užíváním platebních karet spojené. Pozornost je zde věnována jak poplatkům účtovaným držitelům karet, tak poplatkům účtovaným obchodníkům akceptujícím platební karty. 2.1 Prostředky pro realizaci transakcí platebními kartami Kapitola 2.1 se bude zabývat prostředky pro realizaci transakcí platebními kartami. V podkapitole 2.1.1 budou charakterizovány platební karty s ohledem na jejich historii, vlastnosti a členění dle různých kritérií. Podkapitola 2.1.2 specifikuje jednotlivé zařízení pro akceptaci platebních karet. 2.1.1 Platební karty Stručná historie platebních karet Přestože byla první zmínka o platební kartě, konkrétněji kartě kreditní, zaznamenána již v roce 1888 6, od vydání první platební karty (společností Western Union) uplynulo v roce 2014 sto let 7. Karty začaly být vydávány mnoha společnostmi v USA a držitel je mohl užívat k úhradě zboží pouze u svého vydavatele. Zásadní zlom nastal v roce 1950, kdy byla založena společnost Diner Club, jež začala emitovat první univerzální charge karty; následovala ji karetní společnost American Express. Karetní platební systém začal poté postupně pronikat i do Evropy. Rozvoj platebních karet značně urychlil nástup elektroniky a výpočetní techniky. V 60. letech bylo důležitou změnou využívání magnetického proužku k záznamu dat na kartu. Zásadním počinem byl vynález bankomatů (ATM) 8, jež umožnily časově neomezený přístup k peněžním prostředkům klientů bank, ale také byly prvními počítačovými mechanismy, které mohli ovládat laici. Nárůst vydaných karet a související administrativy v 70. letech logicky vyústil ve vývoj elektronického platebního terminálu, který bezhotovostní platbu zjednodušil a urychlil, a také umožnil zavedení debetních karet, u kterých se transakce autorizují na základě zůstatku na běžném účtu. S rozvojem bezhotovostního platebního styku prostřednictvím platebních karet se začaly objevovat první podvody s kartami. Vývoj této pokoutné činnosti se ubíral od zneužití karet ztracených nebo zcizených oprávněným držitelům, přes vykrádání karet z poštovních schránek, až po první padělky karet v 70. letech. Banky a karetní společnosti byly nuceny začít se zabývat bezpečnostními opatřeními, aby snížily narůstající ztráty. 6 Vědecko fantastický román Edwarda Bellamyho Looking Backwards: 2000 1887, publikovaný v roce 1888 [Lietaer, 2004; Juřík, 2012]. 7 Všeobecně se věří, že první karta byla vydána Western Union v roce 1914, nicméně v letech 1911-12 vydala platební karty společnost Loftis Bros., v roce 1912 pak společnost Sears Roebuck začala vydávat své kreditní karty [Juřík, 2012]. 8 ATM Automated Teller Machine - bankomat 13
Prvním krokem bylo vytvoření seznamů zablokovaných karet, tzv. stoplistů, do kterých měli povinnost nahlédnout obchodníci, než přistoupí k realizaci platby kartou. Dalším opatřením bylo zasílání samostatného informačního dopisu o vydání karty. Dále pak tzv. dual-dating, jehož podstata byla v uvedení data jak expirace, tak počátku platnosti karty. Tento byl vhodně nastaven tak, aby bylo možné klienta v dostatečném předstihu informovat o vydání a zasílání platební karty. Klíčovým krokem pro bezpečnou identifikaci držitele karty bylo zavedení PIN. Přestože byly první PINy v 70. letech rychle dekódovány, velmi rychle se šifrovací metody zdokonalovaly. Zásadním počinem v oblasti bezpečnosti platebních karet bylo vytvoření čipových karet. Za vynálezce čipových karet je považován Francouz Roland Moreno, přestože před ním si čipy a čipové karty patentovali jiní vynálezci. Morenovi se však v roce 1975 jako prvnímu podařilo kartu skutečně vytvořit a zprovoznit [Juřík, 2012]. Na společném zavádění karet s čipovou technologií se dohodly karetní asociace a vytvořily v roce 1996 standard EMV 9. První čipové karty se začaly vydávat ve Velké Británii hned následující rok. Jejich zavádění se rychle rozšířilo do dalších evropských a asijských zemí částečně i kvůli tlaku asociací Visa a MasterCard. Nejnovějším trendem v karetní oblasti je implementace bezkontaktních karet. První karty využívající bezkontaktní technologii byly užívány v městské dopravě v Soulu v roce 1995 (UPass) [APSCA, 2015]. Druhým bezkontaktním systémem byl Octopus Card zavedený v roce 1997 v Hong Kongu [PaRaBal, 2015]. Ve stejném roce (1997) byl v USA představen systém Speedpass, jenž umožnil zákazníkům hradit nákupy na čerpacích stanicích prostřednictvím dobíjejícího přívěsku na klíčích. Speedpass posléze představoval první bezkontaktní platební instrument, který bylo možné použít na různých akceptačních místech [Barclaycard, 2015]. V roce 2005 představila bezkontaktní karty karetní asociace MasterCard (PayPass) a American Express (ExpressPay), Visa se připojila v roce 2007 (PayWave). Obrázek 3: Loga karetních asociací bezkontaktní platby Zdroj: Vlastní zpracování V České republice se bezkontaktní karty začaly vydávat v roce 2011. Jako první je představila Citibank, která napřed začala vydávat kreditní karty MasterCard PayPass, a později v témže roce i kreditní karty Visa PayWave [MasterCard, 2011; Mesec.cz, 2015]. První bezkontaktní debetní karty zavedla na český trh Česká spořitelna v říjnu 2011. Česká spořitelna zároveň začala instalovat platební terminály umožňující akceptaci bezkontaktních PK, které zde dosud chyběly [Kučera, Holanová, Hovorka, 2012]. V rychlém sledu na novou technologii poté přistoupili i ostatní issueři a acquireři v ČR. Podle aktuálních informací Sdružení pro bankovní karty [SBK, 2015a] bylo k 31. 12. 2014 v ČR v oběhu cca 11 milionů PK, z nichž 60 % (6,6 mil.) tvořily karty bezkontaktní. Obchodních míst akceptujících PK 9 Standard EMV byl vytvořen společnostmi Europay International, MasterCard International a Visa International pro zajištění vzájemné globální spolupráce karetních platebních systémů využívajících čipovou technologii [Matyáš, Krhovják, 2008]. K EMV standardu se později připojuje i American Express, Diner Club a JCB [Schlossberger, 2005]. 14
bylo k tomuto datu v ČR přes 91 tisíc, bezkontaktní placení umožňovalo 53 % z nich (48 tis.). Instalováno bylo přes 110 tisíc platebních terminálů, přičemž 65 % (72 tis.) umožňovalo akceptaci BPK. Vlastnosti platebních karet Platební karta je Schlossbergerem [2012, s. 135] definována jako platební instrument, jenž umožňuje vzdálený přístup majitele karty k peněžním prostředkům na účtu a kterým uživatel platebních služeb zdává platební příkaz poskytovateli. K výše uvedené citaci je třeba podotknout, že platební karta zůstává po celou dobu majetkem vydavatelské banky, držiteli karty je propůjčena. Platební karta je vždy nepřenosná. Dle Bakeše a kol. [2009, s. 415] jsou platební karty instrumentem umožňujícím bezhotovostní platební styk na bázi obdobné inkasu, tj. platební styk je iniciován ze strany příjemce platby. Platební karta je vyrobená z odolného plastu s přesně stanovenými základními parametry a obsahovými náležitostmi dle standardů karetních asociací a platných mezinárodních norem ISO. PK na přední straně uvádí označení karetní společnosti vydávající kartu a jméno vydavatelské banky, jméno držitele PK, číslo PK zahrnující šestimístný BIN a dobu její platnosti. Další obsahovou nezbytností je prostředek záznamu dat v podobě magnetického proužku nebo čipu (případně obojího) a podpisový proužek, na kterém je vyražen CVC2 / CVV2 kód 10. Mimo základní možnosti využití, kterýmiž jsou výběr hotovosti z ATM a bezhotovostní placení, mohou karty nabízet různé doprovodné služby, jako je například cestovní pojištění nebo pojištění zneužití PK. Členění platebních karet podle typu účtu a způsobu zúčtování Revenda [2012, s. 111] jako základní členění uvádí klasifikaci karet podle způsobu zúčtování transakcí provedených kartou neboli kdy a jakým způsobem je platbou (výběrem hotovosti) účet držitele karty skutečně zatížen. Tímto způsobem dělíme karty na debetní, kreditní a charge karty. Jílek [2013] přidává ještě karty hodnotové, jiní autoři [Revenda, 2012; Polouček, 2006; Juřík, 2003] tento typ označují pojmem elektronická peněženka. Debetní karta je navázána na běžný účet v bance. Pro banku představují menší riziko, protože karetní transakce jsou bankou zúčtovány ihned po obdržení zprávy o realizaci na vrub daného účtu a prostředky lze čerpat jen do povoleného zůstatku na účtu. Kreditní karta, při jejímž použití klient nečerpá prostředky ze svého běžného účtu, ale přijímá revolvingový úvěr a to až do výše předem sjednaného limitu. Vyčerpané prostředky není nutné splatit bezprostředně; po vypršení bezúročného období je možné uhradit celou dlužnou částku, nebo hradit pouze minimální splátky. Charge karta je nejstarším typem karty, při níž jsou transakce evidovány vydavatelem na samostatném karetním účtu a na konci měsíce jsou klientovi předkládány k úhradě prostřednictvím zaslaného výpisu z karetního účtu. V podstatě jde rovněž o čerpání dohodnutého úvěrového rámce, ale není zde možnost oddálení platby tak jako u karet kreditních. Přádka a Kala [2000] přirovnávají charge kartu k placení tzv. na fakturu, kdy vydavatel po skončení daného období sčítá položky a posílá fakturu k úhradě. 10 CVC2 kód Card Validation Code kontrolní kód pro ověření platby používaný asociací Mastercard; CVV2 kód Card Validation Value kontrolní kód užívaný asociací Visa. Tyto kódy nesmí být uloženy v žádné databázi obchodníků. 15
Hodnotová karta / Elektronická peněženka představuje předplacenou kartu s možností opakovaného dobíjení prostřednictvím samoobslužných terminálů. Peníze jsou uloženy přímo v čipu. Platby probíhají v režimu offline, karty jsou určeny pro platby nižších částek. V České republice se tyto karty nerozšířily a i celosvětově se od nich ustoupilo. Členění platebních karet podle techniky záznamu dat na kartě Členění podle techniky záznamu dat na kartě je dalším důležitým hlediskem pro rozlišování různých druhů karet. Zvolená technika do určité míry determinuje bezpečnost karty. Karta s magnetickým proužkem má veškerá data zaznamenávána na magnetickém proužku, prostřednictvím kterého jsou data elektronicky snímána terminálem či ATM. Přestože patří mezi nejvíce rozšířenou techniku záznamu, začíná být nahrazována jinými způsoby uložení dat. Problematická je nízká kapacita informací, časté poškození a především snadnost zneužití platební karty. K tomu dochází například zkopírováním dat z magnetického proužku a následné výrobě padělku nebo při platbě neoprávněnou osobou po zfalšování podpisu, jenž je v tomto případě jediným autentizačním prvkem. Karta s čipem využívá jako paměťové médium mikroprocesor (čip) uložený v plastu karty. Tyto karty jsou výrazně bezpečnější z důvodu nezbytnosti zadávání PINu při platbě, a také díky náročnosti zkopírování dat z čipu. Čip má rovněž větší kapacitu záznamu informací a lze do něj přidat různé doplňující aplikace (např. věrnostní programy, elektronická peněženka). Karty Visa a Mastercard vydávané v EHP musí v současnosti splňovat standard označovaný jako EMV, který nařizuje přechod na čipovou technologii u karet, akceptačních míst a ATM. Hybridní karty se začaly vydávat z důvodu zdlouhavosti přechodu na novou čipovou technologii. Hybridní karty obsahují jak magnetický proužek, tak čip. Toto řešení se však jeví jako vhodné i při použití karet mimo EHP, kde POS terminály a ATM nemusí být čipovou technologií vybaveny. Mezi hybridní karty lze řadit i nově vydávané bezkontaktní platební karty (viz níže). Bezkontaktní karta (BPK) je novým karetním produktem v bankovnictví. Tyto karty primárně nevyžadují fyzický kontakt s POS terminálem, ale snímají data na vzdálenost do 5 cm od terminálu. Bezkontaktní čipová technologie spoléhá na mikroprocesor, interní paměť a anténku zabudovanou do zařízení, které komunikuje se čtečkou prostřednictvím bezkontaktního rádio-frekvenčního rozhraní (RFID) nebo NFC technologie 11 [Smart Card Alliance, 2006, Bodhani, 2013]. BPK jsou ale v podstatě hybridními kartami, jelikož mimo bezkontaktní technologii mají v plastu zabudován standardní karetní čip a magnetický proužek. V současnosti je nezbytné PK vydávat jako hybridní z toho důvodu, že ne všechny platební terminály jsou uzpůsobené pro akceptaci BPK; magnetický proužek je vhodný pro platby mimo EHP, kde není povinný EMV standard a rovněž jako záloha při případných technických problémech s čipem. Laserová karta principem laserových karet je záznam dat na kompaktním disku. Jejich paměť je sice vysoká, ale lze je snadno přečíst a tím i zkopírovat. Pro bankovní použití nejsou z tohoto důvodu vhodné a také se v této oblasti neprosadily [Juřík, 2006]. Internetová karta / virtuální karta se užívá výhradně pro placení na internetu. Karta nemusí fyzicky existovat, klientovi je pouze přiděleno číslo karty, které je buď vytištěno 11 NFC technologie slouží k bezdrátové komunikaci mezi elektronickými zařízeními na vzdálenost přibližně do 20cm 16
na papíře, nebo na plastovém nosiči. Virtuální karta je vedena jako samostatná karta s vlastním výpisem transakcí, nebo může být napojena na skutečnou kartu a transakce jsou zaznamenávány na účtu této hlavní karty [Juřík, 2003]. Ostatní členění platebních karet Platební karty se člení ještě podle dalších kritérií: - Podle teritoria použitelnosti tuzemské nebo mezinárodní PK; - Podle osoby držitele karty osobní (privátní) nebo služební (firemní) PK; - Podle rozsahu služeb navázaných na kartu - základní, prestižní (stříbrná nebo zlatá karta) nebo výběrové PK (platinová karta, karty privátního bankovnictví); - Podle vydavatele karty - bankovní PK nebo karty nebankovních subjektů; - Podle karetní asociace - karty vydávané společností Visa, MasterCard, American Express, Diners Club, JCB nebo China UnionPay 12 ; - Podle typu písma na kartě embosované (s reliéfním písmem) nebo elektronické PK (s plochým písmem) - Podle karetního modelu model se 3 účastníky nebo model se 4 účastníky 2.1.2 Zařízení pro akceptaci platebních karet Tato zařízení představují nezbytné přístroje pro akceptaci platebních karet, kterými vybavují své smluvní obchodníky zúčtovací banky (acquirer). Mezi zařízení pro akceptaci PK se řadí i bankomaty. Imprinter je jednoduchý mechanický přístroj, na kterém lze realizovat platby embosovanými PK. Fungují na principu otištění reliéfního písma na kartě a identifikačního štítku obchodníka na účtenku. Transakce převyšující stanovený autorizační limit musí obsluha terminálu autorizovat telefonicky. Od používání imprinterů se ustupuje a jsou využívány spíše jako zálohové řešení technických problémů s elektronickým terminálem. Elektronický platební terminál je nejběžnějším platebním terminálem v obchodní síti umožňujícím akceptaci platebních karet je v současnosti EFT POS 13. Jedná se o terminály třetí generace, které se začaly používat v 90. letech minulého století. Oproti předchozím verzím terminálů, kdy se údaje z karty zadávaly do přístrojů ručně a autorizace 14 se prováděla oproti nahraným datům v terminálech, případně telefonicky, umožňují mimo jiné on-line autorizaci. Lze je obecně rozdělit na stacionární a přenosné; zvláštní skupinou jsou samoobslužné terminály CAT 15 využívané např. na parkovištích, v samoobslužných zónách, při placení mýtného, atd. [Schlossberger, Hozák, 2005]. Další vývoj spatřují odborníci např. v technologii Square nebo technologii Intuit Pay, kdy pro akceptaci PK bude nutné vlastnit speciální čtečku a aplikaci pro mobilní telefon nebo tablet, čímž by se akceptace PK rozšířila 12 China UnionPay (CUP) jsou karty vydávané především v asijském regionu, zejména v Číně. Co do počtu vydaných karet překračují objem vydaných karet asociací Visa i MC. V současnosti se snaží z asijského regionu expandovat globálně. V ČR je možné CUP karty použít na POS terminálech a ATM Komerční banky a UniCredit Bank [idnes, 2014]. 13 EFT POS - Electronic Funds Transfer at Point Of Sale 14 Autorizace je proces, při kterém je vyžádán souhlas vydavatele karty s platbou nebo výplatou hotovosti prostřednictvím platební karty. Souhlas je vyjádřen poskytnutím autorizačního kódu. Obecně o schválení nebo zamítnutí transakce rozhoduje vydavatel nebo třetí strana, jednající jménem vydavatele. U čipových transakcí může schválení vydat čip v rámci limitů stanovených vydavatelem [SBK, 2015a]. Schlossberger [2012, s. 209] charakterizuje autorizaci jako vyjádření souhlasu plátce s provedením dané platební transakce. 15 CAT Cardholder Activated Terminal 17
i mezi drobné obchodníky [Skřebský, 2013]. Česká spořitelna [2015] například nabízí produkt mpos, prezentovaný jako mobilní řešení nové generace fungující na základě spojení s chytrým telefonem nebo tabletem a umožňující přijímat všechny nové typy plateb. Jednou z nejnovějších a povinně zaváděných inovací platebních terminálů je technologie umožňující akceptaci BPK. Banky přistupují k upgradu stávající technologie na bezkontaktní u jednotlivých obchodníků individuálně. Obecně mají prioritu větší obchodníci a banky zde k implementaci bezkontaktní technologie přistupují standardně na žádost obchodníků, v některých případech i z iniciativy banky, ovšem s přihlédnutím k výsledkům konkrétního obchodníka za předchozí období a k aktuálním logistickým možnostem. U menších obchodníků spíše reagují na jejich žádost o bezkontaktní terminál. 16 Bankomat (ATM 17 ) je samoobslužné zařízení pro výdej hotovosti z účtů klientů nebo z úvěrového rámce kreditní karty prostřednictvím platebních karet. ATM je složen z následujících základních částí: z trezoru, který je dotován v pravidelných intervalech naplněnými kazetami jednotlivých nominálů; z operátorské části, díky které může být ATM ovládán operátorem i prostřednictvím vzdáleného přístupu; a z provozní části, která umožňuje komunikaci s klientem a zajišťuje výdej hotovosti (Polouček, 2006). Moderní ATM jsou multifunkčními zařízeními, na kterých lze mimo standardního výběru hotovosti provádět úkony jako je změna PINu, dobití mobilního telefonu, úhrada faktur, vložení peněz na účet. Při výběru je u některých přístrojů možné si zvolit kombinaci bankovek, které mají být vyplaceny. Některé ATM mají vtahovací funkci, kdy po určité době bankomat vtáhne peníze z výdejního slotu zpět. Provozovatelé ATM zabezpečují proti neoprávněnému získání dat speciálními moduly zabraňujícími zkopírování magnetického proužku. Některé bankomaty jsou vybaveny kamerou snímající obličej držitele PK. Při obsluze bankomatu je vybírající vždy povinen provést autentizaci 18 zadáním PIN. 2.2 Transakce Platební karty se používají pro různé typy transakcí. Nejvíce rozšířenými jsou platby v kamenných obchodech na POS terminálech, následované hotovostními transakcemi na ATM a stále běžnějšími platbami za zboží a služby na internetu, tzv. e-commerce transakcemi. Určité transakce lze realizovat pouze za přítomnosti karty, tyto jsou popsány v podkapitole 2.2.1; jiné se naopak provádějí bez fyzické přítomnosti, jejich jednotlivé typy jsou uvedeny v podkapitole 2.2.2. Transakce vyžadující autorizaci jsou ověřovány v autorizačním centru karetní asociace. Proces autorizace je schematicky zobrazen na obrázku 4. Tento postup se dá rovněž vyjádřit tak, že od bodu 5 se tok informací vrací stejnou cestou zpět (přes body 4, 3 až do bodu 2). V rámci autorizace se ověřuje platnost karty, správnost PINu, finanční krytí 16 U nových akceptačních míst, počínaje 1. 4. 2015, se bezkontaktní terminály instalují povinně jako důsledek mandátu karetních asociací, které instalaci starších technologií umožňujících akceptaci pouze kontaktních PK již nepovolují. Avšak zařízení instalovaná dříve mají platnou certifikaci do 31. 12. 2017. 17 ATM Automated Teller Machine 18 Autentizace je proces ověřující oprávněnost držitele karty k jejímu použití nebo oprávněnost obchodníka k akceptaci karet [SBK, 2015a]. Silná autentizace se opírá se o dva a více elementů založených na znalosti, vlastnictví a inherenci: něco, co zná jen držitel PK (statické heslo, PIN); něco, co jen držitel vlastní (token, PK, telefon); to, čím držitel je (biometrické prvky). Vybrané elementy musí být vzájemně nezávislé, minimálně jeden by měl být jednorázový a neopakovatelný a alespoň u jednoho prvku by mělo být nemožné jej zcizit přes internet [Cimiotti, Merschen, 2014]. 18
transakce, karetní limity, případná blokace, apod. Výsledkem je autorizační odpověď 19, na základě které obchodník platbu dokončuje, nebo zamítá. Po úspěšné autorizaci a dokončení platby následuje přenos transakce do centra platebního systému, clearing a settlement a přenos transakce vydavateli karty, který provede zúčtování na účtu držitele PK [Juřík, 2003]. Proces zúčtování transakce je schematicky znázorněn na obrázku 5. Obrázek 4: Schéma autorizačního cyklu transakce Zdroj: Vlastní zpracování dle UniBul Merchant Services, 2014 Obrázek 5: Schéma zúčtování transakce (clearing a settlement) Zdroj: Vlastní zpracování dle UniBul Merchant Services, 2014 19 Autorizační odpověď má jednu z následujících podob: Autorizace potvrzená autorizačním kódem (Approved); Autorizace zamítnutá (Declined); Pokyn k zadržení PK (Pick-up Card); volejte vydavatele (Call Issuer). 19
2.2.1 Transakce za přítomnosti platební karty Transakce na POS terminálu u obchodníka je základním druhem transakce. Obchodník akceptující PK musí mít uzavřenou smlouvu o akceptaci PK s bankou nabízející tuto službu na základě licence od karetní asociace (acquirer) a musí být vybavený platebním terminálem. Obsluha terminálu než přistoupí k transakci má povinnost zkontrolovat ochranné prvky a veškeré náležitosti karty 20 a dále pak postupovat dle pokynů pro přijímání PK, jež obdržel od své banky, a podle informací zobrazujících se na displeji terminálu. V současné době se běžně používají elektronické platební terminály (EFT POS), které fungují v online režimu. To znamená, že každá transakce, u níž je vyžadována autorizace, je ověřována v autorizačním centru karetního systému v reálném čase. 21 Transakce prostřednictvím sprinteru je možné provádět embosovanými PK v offline režimu. Imprinter je zařízení, kterým obchodník mechanicky snímá reliéfní údaje na kartě. Pokud transakce překročí stanovený autorizační limit, má obchodník povinnost kontaktovat autorizační centrum a vyžádat si hlasovou autorizaci platby. Tato povinnost vzniká i v případě podezřelé transakce. Obdržený autorizační kód musí být uveden na dokladu. Od používání imprinteru se ustupuje ve prospěch EFT POS terminálů a tento způsob přijímání karet je v současnosti spíše zálohovou variantou. Výběr hotovosti z bankomatu je hotovostní transakcí a je v podstatě nejběžnější metodou výběru peněžních prostředků z účtu, k němuž je PK (debetní) vydána. Výběry lze provádět i kreditními kartami, ale zpravidla je s touto transakcí spojen vyšší poplatek a na vybíranou částku se neaplikuje bezúročné období. Identifikace držitele PK je vždy prováděna zadáním PIN. ATM jsou napojeny prostřednictvím datové sítě na autorizační centrum a ověřují prováděnou transakci v reálném čase (on-line) přímo u vydavatele karty [Juřík, 2012, s. 107]. Dnešní ATM poskytují širokou nabídku doprovodných služeb, mj. vklady hotovosti, změnu PIN, volbu skladby nominálů bankovek při výběru, dobití telefonu, zadání platebního příkazu, apod. Cash Back charakterizuje Máče [2006, s. 57] jako výběr hotovosti v obchodech. Jedná se o transakci na POS terminálu, při které je skutečná útrata navýšena na žádost držitele PK o určitou hodnotu a vzniklý rozdíl mezi autorizovanou částkou a skutečnou platbou je vyplacen obsluhou terminálu v hotovosti. Acquirer musí obchodníkovi udělit povolení tuto službu poskytovat. Cash Advance je výplata hotovosti na přepážce banky nebo ve směnárně proti předložení karty a průkazu totožnosti [Raiffeisenbank, 2014a]. Transakci musí předcházet ověření držitele PK podle identifikačního průkazu. Služba je zpoplatněna dle sazebníku issuera. Vratka (Credit) je kreditní transakce využívaná v případě reklamace zboží (služby). Peníze za vyřízenou reklamaci zboží (služby) placené kartou nesmí být vyplaceny v hotovosti ani převodem na účet držitele, nýbrž vždy vráceny na PK. Lze provést i částečnou vratku. Naopak částka nesmí být vyšší, než činí původní transakce, a stejně tak nelze realizovat vratku bez předchozí standardní transakce. 20 U bezkontaktních transakcí kontrola náležitostí karty odpadá, protože držitel svou PK nedává z ruky. 21 V případě výpadku v komunikaci se využívá zálohových zdrojů autorizace - autorizace na stand-in limity, kdy jsou využívány předem nastavené limity pro konkrétní prefixy jednotlivých karet; nebo negativní autorizace, kdy se prověřují pouze limity PK a stoplistace. 20
2.2.2 Transakce bez přítomnosti platební karty E-commerce transakce jsou prováděny v prostředí internetu, kdy se obchodník a zákazník nenachází na stejném fyzickém místě. Předautorizace transakce se využívá v ubytovacích zařízeních a autopůjčovnách, kde poskytovatel služby předem nezná výši útraty, a slouží k předběžnému ověření PK a finančního krytí předpokládané útraty klienta. Předautorizovaná částka je na účtu držitele PK zablokována do doby dokončení předautorizace, kterou obchodník provádí při konečném vyúčtování služby. Celková suma dokončené transakce může být navýšena o 15 % předautorizované částky [Raiffeisenbank, 2014a]. Před provedením předautorizace má obchodník povinnost zajistit si písemný souhlas s provedením transakce. Transakce typu předautorizace může obchodník poskytovat pouze na základě povolení od acquirera. Předautorizaci není možné provádět u elektronických karet. Late Charge transakce typu Late Charge se provede při zjištění, že původní transakce nepokryla veškeré čerpané služby nebo zboží držitelem PK (např. dodatečné doúčtování konzumace produktů v minibaru; doúčtování později zjištěné škody na vráceném vozidle, apod.). Obchodník by si měl zajistit písemný souhlas s dodatečným doúčtováním částky pro případnou reklamaci transakce. O provedené Late Charge transakci musí obchodník bezprostředně písemně informovat držitele karty spolu s vysvětlujícím dopisem [Raiffeisenbank, 2014a]. S. O. F. Signature On File se používá v případech, kdy obsluha terminálu zapomene provést transakci nebo ji řádně nedokončí, ale má k dispozici podepsanou smlouvu o poskytnutí služby či jiný dokument opravňující transakci provést. Postup je obdobný jako u transakce Late Charge, účtenka bude v místě pro podpis držitele označena zkratkou S. O. F. No-Show transakce / Guaranted Reservation jde o transakce v ubytovacích zařízeních v případech, kdy držitel karty včas nezruší svou rezervaci ubytování a nepřijede ve stanovenou dobu. Obchodníkovi vzniká nárok naúčtovat mu storno poplatek ve výši ceny za jednu noc. Na účtence z terminálu bude vyznačeno No-Show. MO / TO transakce k MO / TO transakcím obchodník přistupuje, pokud vyřizuje písemné nebo telefonické objednávky svých zákazníků. Objednávka musí obsahovat mimo standardně požadované údaje z karty i CVC2 / CVV2 kód, trvalé bydliště držitele PK, jeho souhlas se zúčtováním platby potvrzený podpisem. Každou transakci je nutné ověřit v autorizačním centru. MO / TO transakce může obchodní místo provádět jen se souhlasem acquirera. V případě reklamace zúčtované transakce za tyto platby plně zodpovídá obchodník [Raiffeisenbank, 2014a]. Reversal transakce je kreditní transakce prováděná bankou buď na žádost obchodníka (např. u chybně zadané transakce), nebo z vlastního podnětu banky (např. u podvodných transakcí). Reversal lze označit i za storno původní transakce. 2.3 Bezpečnost platebních karet Platební karty přitahují pozornost podvodníků, a tudíž jsou banky a karetní asociace nuceny neustále vyvíjet nové technologické a bezpečnostní postupy pro zajištění bezpečnosti spravovaných peněžních prostředků. Jejich primární snahou je útočníkům znesnadnit a prodražit potencionální útoky na platební systém nebo karty, přičemž náklady na tuto prevenci nesmí přesáhnout skutečné nebo předpokládané ztráty. 21
Karetní asociace mj. zavedly bezpečnostní standard PCI DSS (Payment Card Industry Data Security Standard), což jsou mezinárodní pravidla definující podmínky nakládání s údaji držitelů platebních karet, které jsou obsaženy na platebních kartách [Sdružení pro bankovní karty, 2013]. Pravidla jsou závazná pro všechny organizace nakládající s citlivými daty držitelů PK. Podkapitola 2.3.1 charakterizuje jednotlivé druhy podvodů s platebními kartami; podkapitola 2.3.2 se zabývá různými způsoby neoprávněného získávání dat z platebních karet. 2.3.1 Druhy podvodů Podvody s platebními kartami je možné provádět za přítomnosti, nebo bez fyzické přítomnosti karet. Základem je získání citlivých dat z karty, jako je číslo PK, jméno držitele, její platnost, případně i CVC2 / CVV2 kód a PIN. K různým podvodům stačí různé údaje, kompletní číslo karty je vždy klíčový údaj. Pokud klient zjistí, že jeho kartou byla provedena neautorizovaná transakce, je povinen tuto transakci reklamovat u banky, která danou PK emitovala. Podle zákona 284/2009 Sb. o platebním styku (ZPS) je banka odpovědná za neautorizované transakce a má povinnost neprodleně uvést účet držitele PK do stavu, ve kterém by byl, kdyby k této transakci nedošlo. Jestliže se jedná o neautorizovanou transakci v případě ztráty nebo zcizení PK, je držiteli PK účtována spoluúčast v korunovém ekvivalentu 150 EUR. Dle ZPS ovšem nese držitel plnou odpovědnost za transakce, které byly realizovány poté, co úmyslně nebo z hrubé nedbalosti porušil některou ze svých povinností stanovených v podmínkách banky (např. PIN poznačený v blízkosti PK). Podvody ztracenou nebo zcizenou PK jsou uskutečňovány originální platební kartou, která byla držitelem ztracena, nebo mu byla záměrně zcizena / zadržena. Podvodník se pak vydává za právoplatného držitele PK a snaží se kartou realizovat platby. U kontaktních transakcí mu podvodné jednání znesnadní nutnost autorizovat platbu zadáním PINu (u nečipových karet však stačí podpis). U bezkontaktních transakcí je situace jiná, protože u plateb do stanoveného limitu (500 Kč v ČR) se PIN zpravidla nezadává. Oprávněný držitel PK má povinnost informovat banku o ztrátě karty neprodleně po tomto zjištění a kartu nechat zablokovat. Nicméně i po blokaci karty může být tato zneužita, protože podlimitní transakce se ověřují na základě dat nahraných v čipu karty v režimu off-line. Za transakce realizované po blokaci karty již nese plnou zodpovědnost vydavatelská banka. Podvody padělanou PK jsou prováděny kartou, kterou podvodník vyrobil na základě neoprávněně získaných dat z originální PK bez vědomí jejího právoplatného držitele. Případně se může jednat o původní kartu, na níž byly pozměněny určité údaje nebo její elektronická data. Výrobu padělků ztěžují ochranné prvky na PK, jako je např. hologram, mikrotext, ceninový tisk a speciální proužek citlivý na gumování. Zásadní zvýšení ochrany znamenalo zavedení čipových karet v rámci EMV standardu [Juřík, 2012]. Nicméně vzhledem ke skutečnosti, že banky vydávají hybridní karty, lze data získat kopírováním z magnetického proužku a padělek vyrobený v několika málo chvílích pak použít pro transakce v zemích, kde EMV standard není povinný, jako tomu bylo doposud např. v USA a Kanadě [Anderson, Murdoch, 2014; Cimiotti, Merschen, 2014]. Ve zmíněných zemích se ale v současnosti rovněž přechází na EMV standard [Visa, 2011; MasterCard, 2012], čímž se prostor pro činnost padělatelů zmenší. Motivací pro přechod na EMV standard je mimo závazného dodržování pravidel asociací princip liability shift. Liability shift přímo 22