Banky se děsí kvantové apokalypsy. Podvodníci by mohli vyrabovat přes noc tisíce běžných účtů
Údaje o kartách se dnes přes internet valí v obřím proudu. Platíme na e-shopech, ukládáme kartu pro příští použití, posíláme balíky peněz platebními branami. To všechno stojí na šifrách a ověřování, kterým jsme si zvykli věřit. Jenže do hry vstupuje nová proměnná: kvantové počítače. A s nimi riziko, že to, co je dnes bezpečné, může být zítra čitelné jako otevřená kniha.
A teď k jádru: nejzranitelnější nejsou bankovní trezory, ale místa, kde platíme nejčastěji – e-shopy. Zde se stále objevují slabší postupy: platby bez 3D Secure, kódy přes SMS, výjimky z povinného ověřování. V součtu jde o škvíry, kterými mohou peníze odtéct, a které by kvantová éra mohla ještě rozšířit.
Co je „kvantový den“ a proč zvedá tlak všem, kdo zpracovávají platby
Bezpečnost internetu stojí na kryptografii. Experti mluví o scénáři „sklidit teď, rozšifrovat později“: útočníci si ukládají šifrovaná data už dnes, aby je jednou kvantovým výkonem bez námahy přečetli. To není sci-fi, ale velmi střízlivé varování bezpečnostních expertů.
Aby se internet na novou éru připravil, už v roce 2024 schválil americký NIST první kvantově odolné standardy. Znamená to, že se dá přejít na nové algoritmy, jen je potřeba je opravdu nasadit – od protokolů serverů až po platební infrastrukturu.
E-shop jako nejslabší článek
Evropská čísla mluví jasně: nejvyšší podíl podvodů připadá dlouhodobě na karetní platby, a to zejména v prostředí na dálku. Tam, kde obchodník pořádně neověřuje zákazníka, bývají ztráty znatelně vyšší.
Zvlášť rizikové jsou transakce mimo 3D Secure (například některé opakované platby), které evropské autority doporučují omezovat jen na nezbytné případy. V praxi to znamená: vždy, když to jde, zapnout 3D Secure a neschovávat se za výjimky.
Proč SMS kód nestačí
SMS ověření je pohodlné. V reálu ale není dostatečně bezpečné: útoky přes SIM swap a phishing dovedou jednorázové kódy odchytit nebo přesměrovat. I instituce EU postupně SMS pro přihlašování vyřazují a preferují bezpečnější metody. U plateb to platí dvojnásob – lepší je ověření v aplikaci, biometrie nebo hardwarové klíče.
3D Secure 2: pořád to nejlepší, co máme
Moderní 3D Secure 2 umožňuje poslat bance při platbě bohatší data (zařízení, chování, riziko) a vyžádat si ověření jen tam, kde to dává smysl. V Evropě se po plném náběhu povinného silného ověřování podvody na dálku citelně snížily.
Není to všelék, ale v součtu jde o nejlepší bariéru, kterou dnes máme k dispozici. Navíc přináší obchodníkům i praktickou výhodu: při sporných transakcích se odpovědnost častěji přesouvá na vydavatele karty.
Karta uložená u obchodníka a opakované platby
Pohodlná zkratka platby jedním klikem má háček. U plateb z karty uložené u obchodníka se často uplatní výjimky z povinného ověřování (např. u opakovaných plateb nebo tzv. transakcí iniciovaných obchodníkem). Statistiky přitom ukazují, že právě u typů mimo pravidelnou silnou autentizaci míra podvodů roste.
Proč je to i problém bank
Banky mají sofistikované detekce a limity, ale pokud na vstupu teče špatně ověřená e-shopová platba, systém jen hasí požár. Evropské reporty konzistentně ukazují, že tam, kde se silné ověření klienta poctivě používá, podvody klesají. Všude jinde se přesouvají jinam: typicky do sociálního inženýrství a „autorizovaných“ plateb, kde už klient sám potvrdí transakci. O to víc je důležité, aby platební ekosystém držel linii právě v e-commerce.
Jedno odpoledne práce navíc, o mnoho bezesných nocí méně
Pro zákazníka to znamená naučit se používat bankovní aplikaci na potvrzení plateb a nenechat se zlákat obchodem, který ověřování obchází. Pro obchodníka to znamená upravit košík, aktualizovat bránu, vyčistit výjimky a mít přehled o možných podvodech. A pro banky to znamená tlačit na partnery, aby slabě ověřené platby mizely. Kvantový den možná ještě nepřišel, ale možná už číhá za rohem.
Zdroje: nist.gov, reuters.com, eba.europa.eu, theverge.com, techcrunch.com, wultra.com, europeanpaymentscouncil.eu
