Stačí jedna platba v restauraci a podvodníci mají údaje z vaší karty. Malé částky si nevšimnete, a o to jim jde
Číšník odnese kartu k pultu, vrátí ji cca za pouhou minutu. Nic podezřelého, jenže data z proužku už má někdo jiný.
Obsah článku
Stačí jediný okamžik, kdy fyzická karta zmizí z vašeho dohledu. Nepoctivý pracovník ji projede malým skimmerem, zařízením o velikosti zapalovače, a teprve pak standardním platebním terminálem. Vy zaplatíte, dostanete účtenku a odejdete. O pár dní později se na výpisu objeví drobná transakce, třeba za dvacet nebo padesát korun, u obchodníka, o kterém jste nikdy neslyšeli. Částka je tak nízká, že ji snadno přehlédnete. A přesně o to podvodníkům jde: ověřit si, že karta stále funguje a má dostupné prostředky, aniž by vzbudili podezření. Americká Federální obchodní komise (FTC) tento scénář popisuje doslova: číšník mimo zrak hosta projede kartu skimmerem a poté restaurační čtečkou. Policie ČR potvrzuje, že ke kopírování platebních karet u obchodníků dochází nejčastěji právě v barech, restauracích, někdy také v hotelech a na čerpacích stanicích.
Drobné částky se snáz ve výpisu ztratí
Podvodníci nechtějí vyčerpat účet naráz. Malá testovací platba v řádu jednotek až desítek korun plní dvojí účel. Zaprvé potvrdí, že zkopírovaná data jsou funkční. Zadruhé méně často spouští antifraudové systémy bank. Mastercard upozorňuje, že právě takové mikrotransakce lidé na výpisu často přehlížejí a bezpečnostní systémy je mohou vyhodnotit jako méně rizikové.
Teprve když testovací platba projde, přichází druhá fáze. Buď se z odcizených údajů vytvoří klon karty pro výběry z bankomatů, což je typičtější mimo Evropu, kde se stále používá magnetický proužek, nebo jsou údaje zneužity k online nákupům. Policie ČR historicky popisuje neoprávněné výběry především v zemích, kde není čipová autorizace povinná. Čas na odhalení přitom může být dlouhý: bez zapnutých notifikací si někteří lidé drobných transakcí všimnou až při kontrole měsíčního výpisu.
Tři situace, tři úrovně rizika
Ne každá platba kartou představuje stejné riziko. Rozdíly jsou zásadní.
- Karta mimo dohled (restaurace, bar). Nejvyšší riziko. Obsluha má fyzický přístup ke kartě i dostatek času na její přejetí skimmerem. Policie doporučuje trvat na tom, aby platba proběhla před vašima očima.
- Bankomat s nasazeným skimmerem. Jiný typ útoku: pachatel potřebuje kromě údajů z karty získat i PIN, který zachytí miniaturní kamera nebo falešná klávesnice. Neoprávněné výběry pak mohou následovat během několika minut. V Česku ale tento typ útoků výrazně ustoupil: výroční zpráva NCOZ za rok 2022 eviduje jediný případ bankomatového skimmingu.
- Bezkontaktní platba telefonem. Nejbezpečnější z běžně používaných variant. Apple Pay i Google Pay používají pro každou transakci jednorázový bezpečnostní token a obchodník nikdy nevidí skutečné číslo platební karty. Podle společnosti Apple se terminálu odesílá pouze číslo účtu specifické pro dané zařízení. Kopírovat tak prakticky není co.
Podle nás je právě tohle nejdůležitější praktické ponaučení: největší slabinou dnes není samotná platba kartou, ale okamžik, kdy plastovou kartu pustíte z ruky. Telefon z ruky dávat nemusíte.
Co dělat, když na výpisu najdete podezřelou transakci
Rychlost rozhoduje. Zákon o platebním styku (č. 370/2017 Sb.) říká, že banka musí neautorizovanou transakci napravit nejpozději do konce následujícího pracovního dne poté, co se o ní dozví. Vy ale musíte jednat bez zbytečného odkladu. Krajní lhůta pro oznámení je 13 měsíců od odepsání částky, čím dříve ale banku kontaktujete, tím menší škoda může vzniknout.
Praktický postup:
- Okamžitě kontaktujte banku a nahlaste neautorizovanou transakci.
- Nechte kartu zablokovat.
- Podejte oznámení na Policii ČR.
- Zkontrolujte, zda máte zapnuté notifikace o každé transakci. Pokud ne, nastavte si je co nejdříve.
U České spořitelny to lze nastavit v aplikaci George v sekci Profil → Informační zprávy → Karty. Komerční banka nabízí nastavení v internetovém i mobilním bankovnictví s možností push notifikací, e-mailu nebo SMS. Podobnou funkci dnes nabízí prakticky každá česká banka.
Nejlepší obrana je nenechat kartu zmizet z očí
Žádný speciální gadget nepotřebujete. Když v restauraci platíte, trvejte na tom, aby vám obsluha přinesla terminál ke stolu. Pokud to není možné, jděte s kartou k pokladně sami. A pokud máte v telefonu nastavenou mobilní peněženku, použijte ji: obchodník nedostane žádné číslo karty, které by mohl zneužít, a vy fyzickou kartu vůbec nemusíte vytahovat z peněženky.
Dvacet korun na výpisu vypadá jako zanedbatelná částka. Jenže pro podvodníka je to potvrzení, že vaše karta je stále aktivní a může ji zkusit zneužít ve větším rozsahu.