Akceptovat karty? Ano, ale…

Platit plastovou kartičkou je přinejmenším pohodlné a pro někoho také milosrdné, protože fyzicky vám rukama neprojde hotovost, kterou v obchodě utrácíte. Výhody převažují i na straně těch, kteří karty přijímají. A tak není divu, že se bankovní karty již dávno staly součástí každodenního všedního kolotoče. Jenže právě kvůli svému hojnému rozšíření bývají také často ztraceny, ukradeny nebo zneužity. Nebezpečí čekají na mnoha místech a je potřeba se snažit chovat takovým způsobem, abychom podvodníkům nedali šanci. Nejúčinnější ochranou je prevence. A to jak ze strany uživatelů karet, tak jejich vydavatelů i obchodníků.

Rovněž v oblasti cestovního ruchu je používání platebních karet velmi rozšířené, v některých segmentech (např. business travel) je dokonce platba hotovostí již spíše ojedinělá. I z tohoto důvodu jsou cestovní ruch a obchodníci, kteří se v něm pohybují, oblíbenými cíli podvodníků s platebními kartami.

Existuje celá řada způsobů, jak lze platební kartu zneužít, a potažmo tedy jejího majitele okrást. Nejčastějšími hrozbami jsou odcizení platební karty, provádění transakcí padělanou platební kartou nebo zneužití karty při provádění plateb bez přítomnosti karty, tedy plateb, kdy karta nebo její držitel nejsou na místě obchodu fyzicky přítomni. Tento posledně vzpomínaný problém se hojně rozšiřuje právě v sektoru cestovního ruchu. Bohužel. Dnes je totiž v odvětví cestovních služeb akceptace platební karty bez její přítomnosti na denním pořádku na mnoha místech, jakými jsou letiště, hotely nebo cestovní kanceláře. Dobře organizované skupiny, ale i „šikovní“ jednotlivci se soustředí nejen na menší cestovní kanceláře, ale nebojí se zkusit štěstí dokonce ani u velkých hotelových řetězců. Podvodně získaná data se používají pro nákupy zboží či objednávky služeb prostřednictvím telefonní, písemné, faxové nebo internetové objednávky.

Podvody s kartami při koupi letenek

I v České republice se v posledních letech několikrát objevily případy falešných objednávek letenek přes cestovní agentury pro několik osob na jméno neexistující charitativní společnosti, ale nakonec se společnými silami bank, karetních asociací a IATA (International Air Transport Association) podařilo další podobnou podvodnou činnost zarazit. S rostoucím podílem on-line nákupů letenek se však dá předpokládat, že pokusů o zneužití platebních karet bude v této oblasti přibývat. Na místě je tak maximální ostražitost a spolupráce leteckých společností, bank a dalších zainteresovaných subjektů.


Někteří podvodníci se na webu vydávají za cestovní agentury. Pomocí falešných webových stránek vylákají z klientů údaje o jejich platebních kartách a ty následně zneužijí.(Zdroj: Peter Warner, Retail Decisions)


Podvody na hoteliérech

Další typ zneužívání platebních karet se soustředí na menší špičkové hotely a penziony, kde byla rezervována celá kapacita hotelu. K zaplacení měla být použita jedna platební karta, jejíž okopírovaná přední strana byla k objednávce přiložena. Posléze měl hotel na základě pokynu zaplatit v hotovosti další cestovní náklady nebo bylo ubytovací zařízení požádáno o zaplacení cestovní provize pro jinou zahraniční cestovní kancelář v hotovosti prostřednictvím firmy zajišťující finanční převody. Snad nejvíce odsouzeníhodné jsou případy, kdy fiktivní skupina sportovců požádala hotel o vrácení zálohy za ubytování, aby mohli zaplatit za nemocniční poplatky za ošetření členů zájezdu kvůli údajné dopravní nehodě. V těchto případech se vždy jednalo o poměrně vysoké částky v hotovosti, které měly být co nejrychleji (například prostřednictvím společnosti specializované na mezinárodní transfery hotovosti) poslány na určenou osobu. Fantazie podvodníků je skutečně neomezená a vymýšlejí si stále nové a nové legendy.

 

Desatero pro obchodníka

  1. Mějte kartu pod kontrolou. Ponechte si kartu u sebe až do úplného ukončení transakce.
  2. Kontrolujte bezpečnostní prvky.
  3. Sledujte zákazníka. Pokud se chová podezřele, je možné, že se jedná o podvodníka.
  4. Používejte terminál. Pokud číslo na displeji terminálu nesouhlasí s číslem na kartě, proveďte autorizaci telefonem.
  5. Autorizujte telefonem. Telefonicky autorizujte každou podezřelou platbu.
  6. Porovnejte podpisy. Nikdy nevynechávejte kontrolu podpisu na prodejním dokladu na platební kartě.
  7. Kontrolujte totožnost. Pokud máte podezření, že se nejedná o právoplatného držitele karty, můžete zákazníka požádat o průkaz totožnosti.
  8. Hlaste podezřelé chování. Setkáte-li se s podezřelým chováním zákazníka, řiďte se postupy své obchodní společnosti.
  9. Zboží až na závěr. Zboží vydávejte zákazníkovi až po dokončení platby.
  10. Spolupracujte. Seznamte všechny své zaměstnance oprávněné přijímat úhrady platebními kartami s pravidly akceptace karet a ve spolupráci s bankou pro ně připravte školení.

Zdroj: www.bankovnikarty.cz

Se zajímavým pokusem o podvod se nedávno setkala jistá pražská restaurace. E-mailem obdržela od potenciálního zákazníka z Francie objednávku na pronájem salonku za účelem svatební hostiny a na zajištění tohoto pohoštění. Vše (včetně provize restauratéra) mělo být uhrazeno prostřednictvím inkasa z účtu na základě dat o platební kartě zaslaných e-mailem. Nadto byl majitel restaurantu požádán o výběr 3 000 eur z účtu klienta na letenku pro kuchaře, který měl svatební hostinu obohatit o některá tradiční jídla z domoviny svatebčanů. Tuto hotovost měl restauratér prostřednictvím specializované firmy zaslat do zahraničí firmě, kterou zákazník určil. U té měl mít údajně slevu na nákup letenek. Tento nestandardní způsob navíc zdůvodňoval tím, že je momentálně v zahraničí, odkud prý nemůže provádět své bankovní transakce přímo.

Na co si dát pozor na letištích

Na letištích se podvody s platebními kartami dějí nejčastěji, proto uveďme několik údajů, které stojí za pozornost: bylo zaznamenáno pětkrát více podvodů na pravidelných leteckých spojích než u charterových letů, ženy se při podvodech objevují třikrát více než muži. Vysoké číslo – 82 % ze všech podvodných rezervací – nacházíme u rezervací letenek, které jsou zamluvené maximálně pět dnů před odletem. Velmi nebezpečné může být objednání letenek přes on-line servis některé z agentur, které nejsou známé, protože mnoho takových serverů je falešných a fungují pouze jako sběrna dat o platebních kartách, které slouží k jejich dalšímu zneužití.

Zdroj: Peter Warner, Retail Decisions

Reálná zkušenost z posledních měsíců

Loni v červnu obdržela recepce jednoho z pražských hotelů objednávku s ofocenou kartou za účelem rezervace pokoje pro ženu z Anglie. Ve stanovený termín dorazila plačící žena, která uvedla, že byla okradena a potřebuje ihned informovat svého přítele. Vzápětí přišel faxem další požadavek na vyplacení hotovosti a připsání částky na hotelový účet. Po vyplacení 500 eur přišla na recepci další žádost o hotovost, neboť první částka údajně nepokryla výdaje oné ženy. Po obdržení i další hotovosti se žena přesunula do jiného hotelu, kde výstup úspěšně zopakovala. Pro mimořádný úspěch obdržely dotčené hotely minulý týden nové objednávky, podvodníci navíc obeslali i jiné luxusní hotely. Vzhledem k tomu, že i recepční jsou ostražití, podařilo se v jednom hotelu zadržet dvě modelky, které se přijely ubytovat. Nápadné bylo to, že požádaly ihned o hotovost z karty, kterou měly obdržet. Recepční si vše ověřila na autorizaci a pak to již byla práce pro policii. Vyšetřováním se ukázalo, že šlo o skupinu podvodníků, která organizovaně působila v metropolích jako Budapešť, Praha, Kodaň či Vídeň. Podle posledních informací se skupině podařilo před policií uniknout a její stopy mizí daleko ve východní Evropě.

Podvody měly některé společné rysy:

  • na ofocené kartě z objednávky bylo změněné jméno, které se však dalo ověřit na telefonním čísle uvedeném na objednávce! Hotelu bylo sděleno, že dotyčná osoba existuje, ale je na dovolené v Kanadě,
  • jméno na kartě se lišilo od jména oprávněného držitele karty,
  • rezervace pokojů byla na ženská jména, která však nebyla stejná jako jméno objednávající osoby; těžko se tak prokazuje přímá spojitost s osobou zasílající objednávku…
  • modelky byly z Litvy, ale žily ve Velké Británii.

Pryč s naivitou!

Je opravdu k neuvěření, jak důvěřiví mohou někdy být sami obchodníci. V rámci konkurenčního boje se snaží vycházet svým zákazníkům maximálně vstříc. Jsou známy případy, kdy např. součástí objednávky ubytování byl i požadavek na nákup patnácti drahých mobilních telefonů, které měly být zakoupeny ještě před akcí a odeslány do zahraničí… a vše mělo být samozřejmě hrazeno kartou. Je pochopitelné, že se majitel nebo provozovatel hotelu snaží, aby byl klient spokojen, ale je třeba se na každý obchod podívat s určitým nadhledem a zamyslet se nad ním, zda je doopravdy reálný.

Jak je vůbec možné, aby podvodníci mohli získat údaje o kartě, kterou později zfalšují a zneužijí například v hotelu? Jsou čtyři místa – obchodní místo, pokladní terminál či bankomat, z přenosové sítě nebo v systému acquirerské (nabyvatelské) banky, obchodníka nebo u zpracovatele dat – kde se podvodníci mohou k informacím dostat, aby si mohli obstarat fiktivní kartu. V roce 2007 došlo ke krádeži dat v mezinárodní obchodní síti. Hackeři pronikli do systému a získávali informace o kartách několik let. Odhaduje se, že byla zcizena data více než 45 milionů platebních karet a náklady na nápravu byly stovky milionů dolarů. A podobných zpráv se v několika posledních letech objevilo více.

Nejlepší ochranou je prevence

Z pohledu vydavatelů karet je možné k minimalizaci rizik přispět výchovou držitelů platebních karet a obchodníků, zaváděním nových technologií a snahou o maximální využití stávajících, lpěním na dodržování pravidel kartových asociací, jako např. „Payment Card Industry Data Security Standarts“ (dále PCI DSS), a zabezpečením elektronických obchodů pomocí technologie 3D-Secure. Dalším možným opatřením je používání čipové technologie umožňující bezpečné ověření karty i držitele. Čipy zabraňují kopírování dat, chrání proti padělání (stále ale platí: neexistuje nic, co by se nedalo padělat), současně chrání při ztrátě či odcizení, protože je povinné použití kódu PIN. Jedním dechem je potřeba dodat, že čipová technologie je účinná, je-li použita jak na kartě, tak na akceptačním zařízení, čili nestačí samotná čipová karta. Pokud tedy karta má magnetický proužek, data z něho jsou stále zneužitelná. PCI DSS jsou standardy pro uchování dat karet u obchodníků, servisních organizací a acquirerských bank. Nastává tu totiž povinnost kryptovat (šifrovat) klíčová data při přenosu a mají vysoké požadavky na bezpečnost interního systému zpracování a uchování dat.

A v neposlední řadě existuje opatření 3D-Secure neboli princip tří domén – vydavatel, acquirer a kartové asociace. 3D-Secure funguje nezávisle na straně acquirerů, obchodníků i vydavatelů karet. Důležité je, že obchodník v tomto případě nemá k dispozici informace o kartě, jelikož ověření i autorizace probíhají mezi držitelem a vydavatelem karty, navíc dochází při transakci k dodatečnému ověření u vydavatele. 3D-Secure zabraňuje úniku dat ze systému obchodníka, protože tam žádná nejsou, data jsou kryptována, takže při přenosu nedochází k úniku, také zabraňuje zneužití podvodně získaných dat, protože při transakci je nutné právě dodatečné ověření držitele karty.

Navzdory stále se zlepšujícím bezpečnostním opatřením jsou podvody s platebními kartami stále rozšířené a obecně platí, že s novým bezpečnostním opatřením přijde i nový způsob, jak toto vylepšení překonat. Všechny karetní asociace a banky se pochopitelně snaží riziko zneužití omezit na minimum. Především pro partnery z cestovního ruchu, konkrétně pro hotely, cestovní kanceláře a agentury či pro dopravce, pořádají různé školicí programy a vydávají bezpečnostní letáky s upozorněním, jak předcházet podvodům. Jak již ale bylo řečeno, válka s podvodníky je soubojem mozků a nedá se předpokládat, že by byla v dohledné době definitivně vybojována. Při provádění obchodů prostřednictvím karet je proto dobré mít na paměti některé obecné zásady, které pomáhají riziko zneužití tohoto jinak skvělého platebního nástroje snižovat.

Vemte rozum do hrsti

Ve většině případů postačí, když si coby podnikatelé akceptující písemné objednávky položíte tuto základní otázku: „Jsou objednávka služeb nebo zboží, a tím celý konkrétní obchodní případ skutečně reálné?“ Zamyslete se, z jakého důvodu se asi neznámá společnost či klient obrací na cestovní kancelář, hotel, penzion nebo restauraci a objednává nadstandardní služby, např. prodej velkého počtu letenek, rezervaci celého hotelu, kongresového centra nebo restaurace…

Již první kontakt může signalizovat možný podvod – to když se například na malou cestovní kancelář nebo penzion obrátí s mnohatisícovou objednávkou údajný zástupce vlády exotické země a v následující korespondenci vznese požadavky na úhradu jiných služeb do zahraničí, a to zasláním hotovosti předem určené osobě nebo společnosti. Jednotlivé scénáře se samozřejmě mohou lišit, ale vždy se jedná o stejný typ podvodu – principem je objednat letenky nebo zaslat hotovost předem určené osobě.

Sečteno a podtrženo, platební karty jsou bezpochyby skvělým finančním produktem, který se jistě dočká ještě dalšího rozšíření. Ovšem jako každá jiná cennost s sebou nesou určitá rizika. K jejich minimalizaci ale můžete přispět i vy sami – zjednodušeně řečeno stačí, když budete obezřetní a budete se řídit selským rozumem.

Text: Miloslav Bouček (Diners Club Czech)
a Ivan Pechánek (Raiffeisenbank)
Foto: Steve Woods