Jak lze zabezpečit operace přes telefon?

Způsoby autentizace jsou u drtivé většiny bank v podstatě obdobné. V čem spočívají? Které způsoby zabezpečení jsou nejlepší? Která banka v totmo ohledu vede? Může si klient zvolit vyšší způsob zabezpečení svých transakcí a pokud ano, kolik jej to stojí?

Většinou je klientovi je přiděleno identifikační číslo, případně i PIN a zvolí si heslo. Těmito znaky se poté identifikuje telefonnímu bankéři, případně hlasovému automatu a může provádět transakce. Identifikace probíhá obvykle na základě náhodně vybraných znaků z daného hesla (či PINu, příp. obojího).

Dalším standardně nabízeným způsobem zabezpečení ve dvou bankách (Raiffeisebank a Živnostenská banka) jsou jednorázová transakční hesla (TAN – Transaction Authentification Number). Jde o bezpečnější způsob než předchozí. Klient obdrží v zapečetěné obálce sadu padesáti vygenerovaných čísel (hesel) – na závěr transakce klient nadiktuje jedno z nich a odškrtne jej. Až využije všechny, je mu zaslána nová sada. Tento způsob znamená větší stupeň bezpečnosti, klient s sebou ovšem musí tato hesla nosit. Zatímco Raiffeisenbank vydává jednorázová hesla zdarma a nechá si zaplatit pouze za náhradní sadu, Živnostenská banka naúčtuje za každou sadu TAN klientům 50 korun – ke každé transakci si tedy klient kromě poplatku za platbu a za spojení může přičíst další korunu navíc.

Seřazení zabezpečení telebankingu používaných u nás - první je nejméně bezpečný

- trvale přiřazená hesla a uživatelská jména
- navíc jednorázová transakční hesla (TAN)
- zasílání jednorázových hesel na mobilní telefon 
- vytvoření jednorázových hesel pomocí PIN kalkulátoru

Specifický způsob autentizace nabízí eBanka – pomocí mobilního (mobilní aplikace umožňující zasílání ověřovacích kódů) či osobního elektronického klíče (PIN kakulátoru). První způsob je zřejmě nejčastější – na mobil je klientovi po přihlášení klientským číslem zaslán autentizační kód (k jeho přečtení je nutno zadat BPIN (speciální osobní identifikační číslo, které chrání přístup k mobilnímu elektronickému klíči (MEK); k využívání MEK je nutné mít SIM kartu s bankovní aplikací). Po zadání údajů k požadované aktivní operaci pak dále certifikační kód. Oba klient nadiktuje bankéři, čímž prokáže svou totožnost. Jde o bezpečný způsob, který je navíc pohodlný – klient si nemusí pamatovat ani nikam zapisovat žádná hesla či PINy, telefon má vždy při sobě. Platnost kódů pro zadání je samozřejmě časově omezena. Druhý jmenovaný způsob zabezpečení, osobní elektronický klíč, je bezpečnější, ale méně pohodlný – klient zadává údaje do kalkulátoru, který mu jejich základě požadované kódy vygeneruje.

Je telefonní bankovnictví bezpečné? Názor odborníka na tuto problematiku naleznete ZDE.

Hesla či PINy mají různou délku; klient při zvolení hesla musí respektovat určité bezpečnostní zásady – minimální počet znaků, nutnost zadat alespoň jeden číselný a písmenný znak apod. Ani operátor obyčejně nevidí celé heslo – zadá do systému podobnému internetovému bankovnictví dané znaky, a tak se „přihlásí“ na váš účet. Hovory jsou nahrávány a archivovány – podle zákona o bankách.
Pasivní operace (zejména informace o zůstatku apod.) bývají zabezpečeny méně než aktivní – například někde nemusí být zadáno heslo.

Banka – pořadí dle bezpečnosti (1-nejlepší) Standardní zabezpečení aktivní operace
eBanka ID (rod.číslo) autentizační kód certifikační kód
Živnostenská banka ID 1 znak z hesla TAN
Raiffeiseńbank ID (jméno, část r.č.) 1 znak z hesla TAN
ČSOB ID 2 znaky z PIN 2 znaky z hesla
HVB Bank ID (část čísla účtu) 2 znaky z PIN heslo
Komerční banka ID (rod.č.) 2 znaky z PIN 2 znaky z hesla
Citibank číslo karty 2 znaky z hesla ověřovací dotaz
Česká spořitelna ID 3 znaky z hesla  -
GE Capital Bank ID (číslo účtu) PIN

Pozn.: seřazeno kryptologem; zdroj: test Fincentra, banky

Jaké jsou další bezpečnostní prvky telefonního bankovnictví?

Jde o standardní či nastavitelné denní či dokonce týdenní limity. Pro běžného klienty budou vždy dostatečné (viz tabulka). Zajímavé jsou rozdíly v přístupu jednotlivých bank – někde jsou udávány limity standardní, které lze zvýšit, někde naopak maximální, nad jejichž hodnotu se klient nedostane. Obvykle ovšem banky naopak umožňují nastavit výši limitu tak nízko, jak si klient přeje.

Zabezpečovacím prvkem bývá samozřejmě i automatická blokace služby při několikanásobném špatném zadání ověřovacích znaků – i v tomto případě vládnou mezi bankami rozdíly, nejčastěji má však klient tři pokusy. Prvkem zvyšujícím ochranu klienta jsou i automatické zprávy jemu zasílané při zadání jakékoliv transakce, případně transakce učiněné kanálem přímého bankovnictví. Ne všechny banky je však nabízejí a pokud ano, nebývají zdarma.

Banka

Denní limit pro transakce (standard)
Citibank neomezeno
ČS 50 000 , max.100 000
ČSOB 300 000 Kč*
eBanka lze nastavit na běžném účtu
GE CB max.: 500 tis/příkaz; možno zvolit
HVB Bank 100 000 Kč
KB 300 000 Kč
RB standardně není limit, možno zvolit
ŽIBA nutno zvolit

Zdroj: banky; pozn.: *) týdenní činí 500 tisíc Kč

Dále odborníci doporučují klientům střídání hesla. Neměnná hesla jsou jimi oproti tomu považována za problém.

Klient tedy nesmí nikomu sdělit své identifikační údaje. Smí alespoň například rodinní příslušníci být spoludisponenty, respektive mít zmocnění k přístupu na účet pře telebanking? Ve většině případů je služba dostupná, ať již k účtu jako takovému nebo samotné službě telefonního bankovnictví. Výjimkou jsou pouze Česká spořitelna, která službu do budoucna připravuje, a GE Capital Bank. Kolik se platí za zmocněnou osobu? Povětšinou nic, se dvěma výjimkami. Komerční banka si řekne 200 Kč za zmocnění, vedení první zmocněné osoby je zdarma. Na větší výdaje se musí připravit klienti Živnostenské banky – platí se 30 Kč za měsíc na uživatele. V rámci vyšších balíčků Forte a Grand je služby poskytována zdarma.

Co může banka nabídnout klientovi, který chce vyšší zabezpečení?

Nestačí vám zabezpečení heslem pro telefonní bankovnictví? Potom máte u většiny bank smůlu. Volitelné, tedy vyšší než standardní zabezpečení, totiž zájemcům poskytne pouze Komerční banka (pomocí karty optického klíče – obdoba PIN kalkulátoru) a GE Capital Bank (TAN), potažmo eBanka (volba mezi mobilním a osobním elektronickým klíčem). Volitelné zajištění pomocí PIN kalkulátoru chystá do budoucna HVB Bank. Nutno ovšem podotknout, že vyšší zabezpečení není zdarma – vydání karty optického klíče stojí pro klienty standardních balíčků 1000 Kč, u GE Capital Bank vás vydání souboru s autorizačními kódy vyjde na 50 korun, klienti eBanky platí za přístup k účtu prostřednictvím osobního elektronického klíče 89 korun za měsíc.

Je telefonní bankovnictví bezpečné? Názor odborníka na tuto problematiku naleznete ZDE.

Klienti ovšem podle sdělení bank dodatečné zabezpečení příliš nevyžadují. Někteří by prý uvítali i takové zjednodušení, které banka z bezpečnostních důvodů nemůže připustit.

Slabiny přímého bankovnictví - telefon versus internet

Komunikace s bankou přes telefon

- odposlech, který dokáže využít slabého zabezpečení

- slabé zabezpečení například pomocí hesla, které se nemění

- selhání lidského faktoru

Komunikace pomocí internetu

- klient se neodhlásí a odkryje tak na internetu svá data

- klient se sice odhlásí, ale nezavře okna prohlížeče, pro případné zloděje tedy zůstávají jeho data dostupná

- používání stále stejného hesla, případně změna hesla po dlouhé době

- software bankovní aplikace nahraný přímo v počítači