Zaslání aktivované karty obyčejnou poštou. Je to vůbec možné?

Zatímco jsou klienti v rámci GDPR a daších nesmyslných EU bezpečnostních nařízení nuceni k všemožným kejklím s hesly, vícestupňovému ověřování při potvrzování transakcí či jen pro pouhé přihlášení se k účtu ze svého PC či telefonu, či nutností potvrzení ze dvou zařízení současně apod… kdy za, přiznejme si, mírné zvýšení bezpečnosti platíme zásadním zhoršením komfortu, HelloBank si se zcela evidentní bezpečnostní mezerou, patrně, hlavu neláme… V minulých dnech manželka obdržela obyčejnou listovní zásilkou svoji obnovenou kreditní kartu. Té původní, vydané ještě pod značkou Cetelem, končí platnost v 6/2020. Na průvodním dopise chyběla jakákoli zmínka o postupu, jak kartu aktivovat, tak jsme společně zapátrali v IB a zde se zděšením zjistili, že tato nová karta, s platností do 6/2023, je již aktivována.
Zajímalo by mne, jak by se banka stavěla k situaci, kdyby dopis někdo neoprávněný vytáhl z poštovní schránky, nebo se karta “ztratila” během přepravy a byla by použita k neautorizovaným platbám u obchodníků… konečně opakované transakce do 500 Kč bezkontaktně umožňuje…
Může se prosím k dané situaci někdo zodpovědný za banku vyjádřit a zjednat nápravu?
Děkuji. Dr. Milan Sloup

A je karta skutečně aktivní i pro bezkontaktní platby, nebo se musí poprvé použít kontaktně s PINem?

Jinak se mi běžně stává, že někteří obchodníci na internetu vůbec neposílají autorizační SMS, takže tam by to problém být mohl, pokud by se někdo dostal k aktivní kartě a neměl přístup k mobilu pro obsání SMS kódu.

Zatím v obchodě nezkoušeno, ale vzhledem k tomu, že je karta aktivovaná, patrně bude fungovat. Jinak s ni půjde nakoupit minimálně u eshopů, kde nepoužívají 3D Secure. A těch je stále ještě dost.

Kreditek mi prošlo rukami nepočítaně, ale při obnově vždy bylo nutné ji nějakým způsobem aktivovat. Postup bývá uveden na lejstru, na kterém je nalepena. Tady jen píšou, že je již vše nastaveno a o žádném prvním placeni kontaktním způsobem zde není ani slovo. Navíc, dle IB je karta aktivní... Zajímavé take je, ze stale funguje i ta původní karta, která v IB již není ani uvedena v seznamu karet. Prazvláštni administrace, nic podobného jsem u jiných bank nikdy nezažil.

Hello!

Děkujeme za sdílení Vaší zkušenosti s námi.

Platební karty zasíláme našim klientům obyčejnou poštovní zásilkou, karty jsou zabezpečené, tedy v tomto případě nehrozí riziko zneužití. Čip na kartě je deaktivován pro bezkontaktní platební transakce, a aby došlo k odemknutí bezkontaktní části čipu, je nutné provést on-line autorizaci s on-line PIN kódem ověřením. Jinými slovy, čip je nastaven tak, že první transakce musí být vždy zadaná s PIN kódem, a to i přesto, že se držitel své platební karty pokouší o bezkontaktní platbu do výše 500 Kč. Navíc čip má v sobě čítač platebních transakcí, zaznamenává každou provedenou transakci, rozpozná tedy, že se jedná o úplně první.

Nicméně pokud by se tak stalo, že klient objeví u své platební karty opravdu jakoukoli nesrovnalost, samozřejmě správná a nejrychlejší cesta je rovnou kontaktovat naši Infolinku (257 080 080) či nám napsat soukromou zprávu přes Facebook nebo e-mail (info@hellobank.cz), kde po řádné identifikaci klienta (což na fóru možné není) naši kolegové velmi rádi pomůžou.

Mějte hezký den.

 

 

Děkuji Vám Terko za odpověď. Nutnost aktivace karty kontaktní platbou je celkem obvyklý nástroj Myslím ale, že by na průvodním ddopisu karty mohla taková informace zaznít, aby se předešlo spekulacím a případným problémům v obchodě při placení..  Jen poprosím ještě o doplnujici informaci, zda je také zabezpečena platba v eshopu, který nepoužívá 3d secure. Takových eshopů znám řadu a částka je stržena jen na základě údajů z rubu a líce karty. Tady se žádný čip neuplatní. Zasílání karty obyčejnou poštou není v ČR výjimkou, ale pokládám to za nešťastné. To že se k údajům na kartě dostane někdo nepovolaný je rozhodně bezpečnostní problém ať už je v danou chvíli karta aktivní či nikoli. Posléze aktivní karta bude, stačí si pockat a lze takto získané informace zneužít k platbě. Domnívám se, že rozlepit dopis, opsat si udaje a vyčkat par dni je daleko méně sofistikované, než prolomení hesel k účtu. Zvládne to každý jouda. Soukromě nepíši proto, že předpokládám zájem o tyto informace také u jiných klientů. Děkuji za pochopení. Dr  Sloup

1 Like

Milane, děkujeme za Vaši reakci.

Omlouváme se, ale z pochopitelných důvodů nechceme zveřejňovat bezpečnostní pravidla pro použití obnovených platebních karet na internetu. Můžeme uvést, že nejen čip karty, ale také náš autorizační host má mimo jiné informaci o tom, že obnovená karta je použita poprvé na internetu. Pro tuto situaci máme nastavena pravidla tak, abychom dokázali předejít finanční ztrátě klienta. Do procesu zapojujeme monitorovací nástroj, který v detailu zkoumá transakční historii držitele, nikoli samotného „plastiku“. Také děkujeme za Váš podnět k průvodnímu dopisu, tento krok – obnovu platební karty máme již automatizovaný a klienty jednoduše navede platební terminál.

 

V této souvislosti ještě doplníme jednu důležitou informaci: přístup do Hello bankingu máme zcela zabezpečený, k údajům o svém účtu a navázaných platebních prostředcích se dostane pouze držitel karty. Zde můžete svou kartu či nálepku snadno aktivovat, případně provést aktivaci prostřednictvím kontaktní transakce a zadáním PINu - opět jde o zcela bezpečný nástroj. Tedy nikdy se nemůže stát, že kartu zaktivní cizí osoba či k samovolné aktivaci dojde později, pokud samozřejmě držitel dodržuje veškerá bezpečnostní pravidla vyplývající ze Smlouvy. 

Počet internetových obchodníků, kteří nepoužívají 3DS se postupně snižuje, a to díky spolupráci bankovních i nebankovních institucí, právě kvůli vyššímu riziku možného zneužití platebních prostředků či úniku dat. Na druhou stranu řadě lidí více vyhovuje, pokud mohou např. na Googlu platit nezabezpečeně a nezatěžovat se pokaždé zadáváním údajů ze své karty (např. při placení za aplikace, hry, atp.). Vždy jde o úhel pohledu.

Jestliže držitel karty pociťuje při podobných platbách vyšší míru rizika (např. v souvislosti s informacemi dostupnými na internetu, recenzemi apod.), může se platbě u takového obchodního místa vyhnout. Naše banka disponuje dostatečným monitorovacím systémem a všechny platby, prokazatelně neautorizované držitelem karty, je možné úspěšně obhájit v rámci reklamačního řízení.

 

Přejeme hezký večer.

 

Případné zneužití karty by šlo na vrub banky. Skutečně problematické jsou pouze transakce s použitím PIN, pokud není karta zablokována z důvodu krádeže, kdy je zřejmé, že mohl selhat klient při zabezpečení karty. Reklamační řízení karetní transakce u HB jsem v jiné souvislosti absolvoval a mohu potvrdit, že probíhá mnohem lépe než u jiných bank - je rychlé, jednoduché a transparentní.

 

1 Like

Terko, nějak té Vaší slohové práci nerozumím. Zaplatím na Internetu u obchodníka, který nepoužívá 3DS novou kartou, kterou jsem ještě neprovedl transakci na terminálu (bankomatu) s použitím PINu? Stačí mně odpověď ANO či NE.

Mirku ano, pokud se bude jednat o platební transakci, která odpovídá Vašemu běžnému chování resp. běžnému chování Vaší platební karty (při neobvyklém chování zasíláme držiteli SMS zprávu nebo email). Odpovědnost za internetovou transakci, která proběhla bez 3DS ověření je z pohledu karetního schématu na straně obchodního místa. V případě reklamace máme možnost neoprávněnou transakci u internetového obchodníka, který nepodporuje 3DS,  úspěšně rozporovat.

 

Narážím na situaci, kdy se nová karta někde po cestě ke mě ztratí, např. na poště a někdo s ní provede transakci bez 3DS bez "exotiky". I v tomto případě bude úspěšně reklamovat platbu u obchodníka?

1 Like