Prokázali, že pokud někdo odcizí kartu, s pomocí speciálního zařízení s ní může provést platbu i bez znalosti bezpečnostního PIN kódu .

„Domníváme se, že je to jedna z nejzávažnějších chyb v platebních systémech, která kdy byla objevena. A to se v oboru pohybuji už pětadvacet let,“ řekl v pořadu Newsnight britské televize BBC profesor Ross Anderson. Detailní princip útoku na čipovou kartu vědci z bezpečnostních důvodů nezveřejnili.

Podle vědců je protokol systému EMV, nazvaného podle karet Europay, Mastercard a Visa, velmi zranitelný a musí být celý přepsán. Banky a karetní asociace zatím tuto informaci spíše zlehčovaly s tím, že hrozba zneužití karet je minimální, ba dokonce jen teoretická.

Banky v Česku i jinde ve světě se snaží postupně měnit magnetické platební karty za nový systém vybavený právě čipem s bezpečnostním protokolem EMV.

Zařízení již existuje

Podle britských vědců a dalších expertů však není bezpečný. „Za běžných okolností bude zloděj karty potřebovat PIN kód, se znalostí inženýrů z Cambridge ji ale prostě vsune do své vlastní čtečky, která je propojená s laptopem a do skutečného terminálu, třeba bankomatu, vloží speciální podvodnou kartu, skrze kterou pouze vyšle falešnou zprávu o provedené platbě. Speciální program rozluští data na čipu, vytvoří digitální podpis a skrze podvodnou kartu vše dokoná,“ popsal celý mechanismus odborný server zive.cz.

Co je ale nejhorší, takové zařízení již dnes existuje, nejedná se tedy o pouhou teorii na papíru. „Zatím je sice velké, tým inženýrů ale již pracuje na miniaturní kapesní verzi,“ podotkl server s tím, že zloději karet mají po ruce mnohem více prostředků než vědci a podobnou chytrou krabičku by tedy vyrobili prakticky bez problémů.

Banky: nejde o reálnou hrozbu

Banky v Česku se ale útoků na platební karty s pomocí tohoto zařízení nebojí. „Je samozřejmě dobře, že specialisté, kteří se zabývají bezpečností karet, na tuto eventualitu přišli a upozornili na ni. Nicméně se domníváme se, že nejde o reálnou hrozbu. V našich podmínkách je použití takové technologie prakticky vyloučené,“ tvrdí například Pavla Langová z České spořitelny.

Při platbě přes terminál se totiž podle ní PIN ověřuje v tzv. on-line režimu. "Při takovém zpracování technologie nefunguje. Dále u transakcí jsme schopni rozpoznat, že neproběhlo ověření PINu, takže podezřelé transakce bychom zamítli nebo provedli až po jejich ověření,“ dodala Langová. Podobně se vyjádřili i zástupci dalších peněžních ústavů.

„Standard EMV je pod stálým drobnohledem společnosti MasterCard a dalších významných účastníků trhu, kteří usilují o jeho rozvoj a zajišťují, že naplňuje potřeby nově se objevujících produktů. Součástí tohoto úsilí je i pravidelná prověrka bezpečnosti garantující, že jsou použity ty nejnovější vhodné mechanismy,“ zaslala pak Právu své stanovisko i asociace MasterCard.

Vraceli by bankéři klientům peníze?

S průlomovým útokem na platební karty bez znalosti kódu PIN nicméně vyvstala otázka, zda by banky okradeným klientům vůbec refundovaly jejich ztráty.

U plateb staršími kartami s magnetickým proužkem se totiž vždy musel zákazník podepsat a pokud někdo kartu odcizil a zaplatil s ní u nějakého obchodníka, tak banka chtěla peníze podvodně odčerpané z účtu po obchodníkovi. S čipovými kartami to ale v zásadě funguje tak, že je-li zákazník ověřen kódem PIN, banka mu většinou žádnou náhradu nedá s tím, že si měl PIN lépe hlídat. Anderson a jeho kolegové přitom ukázali, že k platbě odcizenou kartou PIN vůbec nepotřebují.

Reakce bank na toto téma jsou spíše vyhýbavé. "Pokud by se prokázalo neoprávněné zneužití, tak bychom peníze klientovi vrátili, pokud by se jednalo o cílený podvod, nikoli,“ konstatoval mluvčí Raiffeisenbank Tomáš Kofroň.