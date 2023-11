Včera u některých českých bank odstartovaly Platby na kontakt. Je to rychlá a pohodlná služba, v článku jsme popsali, jak můžete poslat peníze na telefonní číslo.

Stačí ake málo a Platby na kontakt se mohou stát nástrojem na odhalení jmen a příjmení spojených s telefonním číslem. Čím více uživatelů bude služba mít, tím hrozí větší riziko.

Problém číslo jedna – jméno držitele účtu

Pokud v mobilních aplikacích podporovaných bank zadáte platbu na telefonní číslo, ještě před odesláním platby si můžete ověřit, že v číslu nemáte překlep, a že peníze skutečně posíláte tam, kam chcete.

Po zadání telefonní čísla se zobrazí jméno majitele účtu. To je z pohledu uživatele chvályhodné, protože i v telefonním čísle se dá udělat překlep (eliminuje to výběr kontaktu z adresáře). Jenže stejná vlastnost jde zneužít.

Prakticky ve kterékoliv aplikaci, která tyto platby podporuje, můžete zadat novou korunovou platbu, vložit telefonní číslo a ještě před odesláním zjistit jméno a příjmení osoby, ke které číslo patří. Jedná se o automaticky vyplňovaný údaj, který při registraci do registru ČNB nejde nijak změnit ani nahradit názvem firmy. Už jen proto, že jsou Platby na kontakt k dispozici jen pro fyzické osoby a OSVČ.

Pravidla ČBA hovoří jasně Službu Platba na kontakt zastřešuje Standard ČBA č. 45, který je k nahlédnutí zde. V dokumentu se dočtete, že už při registraci dáváte souhlas s tím, že vaše údaje (název účtu, telefonní číslo a číslo účtu) se mohou zobrazit prakticky libovolnému zadavateli platby. Jedná se o zamýšlenou skutečnost, která má primárně zamezit překlepům. Protože je souhlas se zpracováním údajů dobrovolný (k registraci vás nikdo nenutí), je vše v souladu s GDPR. Současně je v pravidlech stanovený limit, kdy by měla banka po šesti měsících neaktivity klienta varovat ohledně nevyužívání služby. (tj. půl roku od poslední příchozí platby na telefonní číslo nedorazila žádná další platby), a za další tři měsíce tuto registraci zrušit. V pravidlech jsou však stanoveny různé výjimky a akce, které dokáží registraci čísla automaticky prodloužit.

Banky udělaly alespoň jeden vstřícný krok, Platby na kontakt nenabídly v internetovém bankovnictví. Třeba proto, aby si nikdo nemohl vytvořit skript, který by klikal v prohlížeči a automaticky zkoušel zjišťovat jména a příjmení uživatelů při pokusu o zaplacení na telefonní číslo z předem zadaného rozsahu. Automatizace těchto úkonů u mobilních platforem není až tak jednoduchá, ovšem kdo hledá cestu, tak ji také najde...

Zeptali jsme se proto bank v Česku, jaká je možnost zneužití Plateb na kontakt pro zjišťování telefonních čísel. Za ČSOB nám reakci poslala Pavla Kuklová: „ČSOB má zavedený monitoring těchto případných pokusů a má nastavené interní procesy, které se spustí v případě uvedeného chování klienta a znemožní dočasné používání služby.“ Uvedeným chováním se myslí fakt, kdy by některá z osob neustále chystala Platbu na kontakt s telefonním číslem, a před odesláním (tj. po zjištění jména, které se k číslu váže), by platbu opakovaně rušila.

Obdobně to vidí i Komerční Banka: „Proti vytěžování informací z registru ČNB máme bezpečnostní opatření. Při zadávání Platby na kontakt sledujeme chování klienta. Pokud dojde k nestandardnímu používání služby, dočasně mu Platbu na kontakt omezíme,“ sdělila nám mluvčí Šárka Nevoralová.

Jak zjistit, zda je číslo pro platby registrované? Mobilní aplikace českých bank mají dva základní přístupy, jak vám ukáží, že dané číslo má aktivní Platby na kontakt (PnK). Prvním přístupem je to, že si číslo vyberete ze svého telefonního seznamu systémovým nástrojem pro výběr a při pokusu o zaplacení se dozvíte, že číslo k Platbám na kontakt není registrováno. Tak to vypadá např. v aplikaci George od České spořitelny. Druhým přístupem je aplikace My Air od AirBank. Pokud udělíte povolení k přístupu ke kontaktům, zobrazí se vám telefonním seznam přímo v aplikaci, a zelenou fajfkou máte vyznačené kontakty, které už jsou ke službě zaregistrované. V mém kontaktím seznamu jen za první den naskočilo osm lidí, a u těch, s nimiž nejsem dlouhodobě v kontaktu, je to důležitý indikátor už jen toho, že mají toto číslo stále aktivní (tedy pokud nebylo recyklováno, a nemá už nového majitele). U mobilní aplikace od Raiffeisen Bank se v seznamu kontaktů zase automaticky filtrují jen ty čísla, která mají hotovou registraci. Zbytek v seznamu kontaktů vidět není. ČNB pro náš web uvedla, že se první den do registru přihlásilo 155 tisíc telefonních čísel.

V případě většího množství pokusů mají nastavená interní pravidla zřejmě i další banky v Česku. Pokud by přece jen došlo k obdobnému chování, nebylo by nikdy anonymní. Vždy by se jednalo o některého ze stávajících klientů některé české banky. Každopádně, pokud někdo touto cestou zjistí jména, která se vážou k několika neznámým telefonním číslům, zřejmě to žádné ochranné mechanismy neaktivuje. Ochrana proti systematickému procházení rozsahu telefonních čísel je v Česku aktivní.

Problém číslo dva – recyklace čísel operátorů

Druhým problémem, který se objeví v dlouhodobém horizontu, je navázán na recyklaci telefonních čísel. V budoucnu se může stát, že si pořídíte telefonní číslo, které už někdo vlastnil před vámi, a má jej v registru ČNB stále spárované se svým bankovním účtem. Pokud se budete chtít registrovat do Plateb na kontakt, dozvíte se jen to, že už je číslo provázáno s bankovním účtem, a že je nutné nejprve tuto provázanost deaktivovat.



Chcete již zaregistrované číslo použít znovu? Aby byla registrace opětovně možná, musíte tu předchozí nejdříve zrušit...

Pokud tedy máte číslo provázané s jedním svým účtem a chcete jej svázat s jiným svým bankovním účtem, je nutné Platby na kontakt u prvního účtu nejprve deaktivovat, až poté můžete přistoupit k aktivaci služby u účtu jiné banky. Pokud jste však dalším majitelem telefonního čísla, které bylo v minulosti registrováno a nebylo vyvázáno, budou mít banky možnost, jak o jeho vyvázání požádat.

I zde pomůžeme nápovědou na webu ČSOB, v jejíž aplikaci můžete původního majitele telefonního čísla požádat, ať svou registraci zruší. Zatím však není úplně jasné, jakými komunikačními kanály tato žádost druhé osobě dorazí. Přikláníme se k tomu názoru, že ke spojení dojde prostřednictvím registru ČNB, resp. banky, pod kterou spadá daný účet. A ta zřejmě bude muset klienta kontaktovat s dotazem na smazání starého čísla z registru.



...jenže, co když nemáte přístup k původní registraci, která proběhla u předchozího majitele telefonního čísla? Takto celý problém a jeho řešení popisuje nápověda na webu ČSOB

Alternativní přístup uvádí Komerční Banka, podle které v tomto případě bude nutné kontaktovat svou banku. Ta prověří registraci čísla s bankou, kde je toto číslo vedeno jako aktivní. Po ověření aktuálního oprávněného držitele čísla bude registrace uvolněna, a nový držitel čísla se bude moci do služby Platby na kontakt konečně zaregistrovat.