U čím dál více bank v Česku si lidé mohou rychle ověřit, jestli jim skutečně volá zaměstnanec banky. Banky při tom využívají mobilní aplikace, které jejich klienti mají pro autorizaci transakcí v elektronickém bankovnictví nebo potvrzení platby kartou na internetu.
Už přes rok tuto službu nabízejí Česká spořitelna a Raiffeisenbank, od loňského října také Max banka.
Jak to funguje? Když bankéř telefonuje, může ho klient během hovoru požádat, aby mu do autorizační aplikace poslal požadavek k ověření. Klientovi se pak zobrazí v aplikaci údaje volajícího bankéře – jeho jméno, příjmení a telefonní číslo odchozího hovoru z banky.
Klient si tak může ověřit, zda se mu bankéř představil pod stejným jménem a volá z telefonního čísla, které se mu ukázalo v jeho mobilní aplikaci. U spořitelny je součástí informace i čtyřmístný kód – klient vyzve bankéře k jeho přečtení a tak ověří, že skutečně volá bankéř.
„Naši klienti si mohou ověřit volajícího ze zákaznické linky Max banky. Operátor či bankéř má možnost zaslat na vyžádání zabezpečenou zprávu do autorizační aplikace a do internetového bankovnictví, kterou si klient v reálném čase může v mobilu či na počítači přečíst a bez obav v hovoru pokračovat,“ upřesňuje mluvčí Max Banky Anna Bakošová.
S podobnou novinkou přišla koncem června mBank. Klientům oznámila, že ve většině případů jim už rovnou pošle do mobilní aplikace žádost o autorizaci hovoru. Pracovník kontaktního centra mBank volá na telefonní číslo klienta (které je v bance registrované) a pošle mu do mobilní aplikace notifikaci. Klient uvidí požadavek na ověření hovoru se jménem a příjmením pracovníka. Když údaje souhlasí, v aplikaci klient spojení potvrdí a s ověřeným zaměstnancem může mluvit bez obav o bezpečnost.
Novinka pomůže i opačným směrem. „Díky ní už se klient nemusí ověřovat prostřednictvím standardních údajů, jako je datum narození nebo část rodného čísla,“ vysvětluje Lukáš Kiac, vedoucí oddělení rozvoje mobilního a internetového bankovnictví mBank.
Zdroj: mBank Ověření v aplikaci mBank.
Podle mluvčí mBank Kristýny Dolejšové klienti na tuto službu reagují velmi pozitivně. „Hodnocení v našem formuláři zpětné vazby je 4,57 z 5 hvězdiček. Ceníme si, že nemáme žádnou negativní reakci,“ říká.
Podobná ověření nicméně fungují jen prostřednictvím mobilních aplikací. Ty sice pro přístup ke svému účtu a k potvrzování transakcí využívá čím dál víc klientů, někteří ale aplikaci v chytrém telefonu nemají.
Podvodů je čím dál víc
Telefonátů, kdy se podvodníci vydávají za bankéře a snaží se lidi přesvědčit, že jejich účet nebo karta jsou v ohrožení, přibývá. Falešní bankéři se snaží získat přístupové údaje k účtu, nutí klienty přeposlat peníze na jiný účet nebo si je vybrat hotově a vložit do bitcoinmatu. Policie letos hlásí rekordní počet kybernetických podvodů.
Podvodníci navíc zkoušejí čím dál rafinovanější metody: mezi nejvíc nebezpečné patří napodobení telefonního čísla banky, různých infolinek nebo policie. Mobilní operátoři v Česku teprve nedávno začali zkoušet první opatření, která mají zákazníky ochránit – zatím ale fungují jen pro jejich vlastní síť. Pokud podvodník volá ze zahraničí, což je nejčastější případ, ochrana nefunguje.
Operátoři nemají povinnost ověřovat, jestli je telefonní číslo pravé – ani to neumějí. O účinnější obraně se teprve diskutuje. „Problematika to není vůbec jednoduchá. Pro funkční a smysluplné řešení by bylo nutné zavést technická opatření nejen na straně českých mobilních operátorů, ale i na straně všech fixních operátorů, které provozují takzvané propoje do českých sítí z mezinárodního prostředí,“ řekl letos na jaře Jiří Grund, šéf Asociace provozovatelů mobilních sítí. Ta začala jednat s Českým telekomunikačním úřadem s cílem nalézt řešení, na kterém se shodne celý trh.
Banky se shodují, že při podezření na podvodný telefonát by měl klient ukončit hovor a pak zavolat do banky přímo z čísla uvedeného v mobilní aplikaci.
„Pokud má náš klient během hovoru s kolegy z kontaktního centra jenom stín pochybnosti o tom, jestli mu skutečně volá někdo z banky, vždy mu doporučujeme hovor ihned ukončit a neprodleně zavolat na naši blokační linku na které mu naši kolegové pomohou situaci prověřit,“ říká Roman Macháček z Air Bank.
Nejlépe lze podvodný telefonát poznat podle toho, co podvodník od klienta požaduje. „Aby sdělil přihlašovací údaje do internetového bankovnictví, číslo karty nebo třeba potvrzovací kód z SMS zprávy a notifikace, popřípadě aby převáděl peníze na údajně bezpečný účet. Skutečný pracovník banky to po klientovi nikdy chtít nebude,“ připomíná Macháček.
Na citlivé údaje se neptáme
Snadné ověření bankéře chystá také Komerční banka. „Uvědomujeme si, jak je důležité klientovi umožnit ověřit si telefonát z naší banky. Intenzivně nyní pracujeme na tom, abychom tuto novinku spustili na podzim letošního roku,“ potvrzuje mluvčí Šárka Nevoralová.
I v UniCredit jsme zjišťovali, jestli banka chystá podobné řešení. Podle mluvčího Petra Plocka „jde o jednu z inovací, kterou by banka v budoucnu mohla nabídnout“.
Ověřování pomocí mobilní aplikace využívá i ČSOB, ale jen směrem od bankéře ke klientovi. „Klient může být během hovoru s bankéřem klientského centra kdykoliv ověřen přes aplikaci Smart klíč. Obecně platí, že úroveň autentizace volíme podle požadavku, který s klientem potřebujeme řešit. V rámci autentizace se ale nikdy klienta na rodné číslo neptáme,“ říká Patrik Madle, mluvčí ČSOB. Opačně – tedy aby si klient řekl volajícímu bankéři o ověření jeho identity prostřednictvím aplikace – to ČSOB zatím nenabízí.
Možnost ověřit si volajícího nenabízí ani mobilní aplikace Monety. „Snižuje sice riziko podvodu, když se útočník vydává za zaměstnance banky, na druhou stranu jsou útočníci velmi přizpůsobiví, a pokud toto nevyjde, velmi rychle volají jménem jiných institucí – například policie nebo ČNB,“ vysvětluje mluvčí Zuzana Filipová.
Podle ní proto Moneta zvolila jinou cestu. „Důsledně ověřujeme identitu volajících při příchozích hovorech na naše call centrum. Pokud chce klient například provést citlivější operaci v nastavení svých produktů, odesíláme mu notifikaci do naší aplikace mobilního bankovnictví, kterou musí potvrdit. Pokud se to stane, my klienta považujeme za ověřeného a klient má zase informaci o tom, že mluví s bankéřem,“ říká Filipová.
Ve Fio bance a Creditas řeší problém klientů s podezřelými hovory možností zpětného volání na infolinku.
„Voláním přímo ze své mobilní aplikace si klient ověří, že při řešení svého problému mluví se skutečným zaměstnancem banky,“ říká mluvčí Fio banky Jakub Heřmánek. „Podstatné je, že banka po klientovi nikdy nebude požadovat přihlašovací hesla do jeho bankovnictví ani všechny údaje z platební karty. Jestliže toto volající po klientovi žádá, doporučujeme okamžitě zavěsit – a hlavně žádné údaje po telefonu, ale ani e-mailem, SMS zprávou, či na sociálních sítích nesdělovat,“ upozorňuje.
„Klient na ni může zavolat ze své mobilní aplikace a následně situaci dořešit s operátorem na lince,“ říká mluvčí Creditas Lucie Brunclíková.
Co když volá externí call centrum?
Lidé často řeší, jak postupovat, když jim nevolá přímo pracovník banky, ale někdo jejím jménem – typicky z externího call centra nebo marketingové agentury.
Jednoduché to mají třeba klienti České spořitelny. V aplikaci George je možné ověřit i identitu pracovníků, kteří volají z externích call center jménem České spořitelny, říká mluvčí Filip Hrubý.
Také mBank většinu těchto případů zajišťuje právě novým způsobem ověření hovoru do mobilní aplikace. „V ostatních situacích se volající nikdy nesmí zeptat na rodné číslo klienta, jen na datum narození,“ zdůrazňuje mluvčí mBank Kristýna Dolejšová. K ověření volajícího ze strany klienta poslouží i seznam telefonních čísel, z nichž mBank klienta oslovuje: vedle kontaktního centra jsou na webu mBank telefonní čísla poboček a partnerů, říká mluvčí.
Obdobné informace jsou dohledatelné i na webech ostatních bank – pokud externí spolupracovníky používají. Některé z oslovených bank – Air Bank, UniCredit a Fio – potvrdily, že pro telefonické hovory s klienty žádná externí call centra nevyužívají.
„Když klientovi voláme my, zpravidla jde o případy, kdy potřebujeme kvůli jeho bezpečnosti ověřit, zda nějakou platbu zadávat skutečně on. Určitě ale po klientovi nikdy nechceme žádné citlivé ani osobní údaje,“ zdůrazňuje mluvčí Fio banky Jakub Heřmánek.
Olga Skalková
O bankách a finančních institucích píše od 90. let. Byla součástí ekonomického týmu Hospodářských novin, psala i na weby iHNed.cz a Aktuálně.cz. Teď píše externě pro Peníze.cz. Ráda tráví čas s rodinou a přáteli, chodí do... Další články autora.
Sdílejte článek, než ho smažem