Bankovní institut vysoká škola Praha
zahraničná vysoká škola Banská Bystrica
Internet banking v podmienkach slovenských bánk
Bakalárska práca
Ingrid Pastoreková Hegyiová Apríl, 2009
Bankovní institut vysoká škola Praha
zahraničná vysoká škola Banská Bystrica Katedra ekonómie a financií
Internet banking v podmienkach slovenských bánk
Bakalárska práca
Autor: Ingrid Pastoreková Hegyiová
bankový manažment
Vedúci práce: Ing. Hussam Musa, PhD.
Liptovský Mikuláš Apríl, 2009
Prehlásenie
:Prehlasujem, že som bakalársku prácu spracovala samostatne a s použitím uvedenej literatúry.
V Liptovskom Mikuláši dňa 15. apríla 2009 Ingrid Pastoreková Hegyiová
Anotácia práce
PASTOREKOVÁ Hegyiová Ingrid, Internet banking v podmienkach slovenských bánk [Bakalárska práca]
Vedúci práce: Ing. Hussam MUSA, PhD., Bankovní institut vysoká škola Praha
Bakalárska práca je zameraná na používanie internet bankingu v podmienkach slovenských bánk. V práci sú prezentované základné prostriedky, ktorými sa na Slovensku realizuje hore uvedená služba a u vybraných slovenských bánk je vykonaná analýza kvality poskytovaných služieb v rámci internet bankingu. Uvedená analýza je zameraná v prvom rade na rozsah poskytovaných služieb, ich prístupnosť a užívateľské rozhranie na strane klienta, ktorým klient zadáva, resp. realizuje jednotlivé bankové úkony. Prioritne je hodnotené retailové bankovníctvo.
Kľúčové slová: internet banking, retail banking, bezpečnosť internet bankingu.
The bachelor work is focused to using of internet banking in the conditions of Slovak banks. In the work, there are presented and described the main instruments for the realization of mentioned service. Also there is presented the analysis of quality of selected banks in Slovakia. The analysis is aimed first of all to amount, accessibility and user interface on the side of clients. The prior sector of interest is the sphere of retail banking.
Poďakovanie
Týmto sa chcem poďakovať všetkým ktorí mi svojimi cennými radami prispeli k vypracovaniu tejto práce, v neposlednom rade môjmu vedúcemu bakalárskej práce Ing.
Hussamovi Musovi, PhD. za odborné vedenie a pomoc.
Obsah
1 Úvod ... 5
2 Teoretické východiská skúmaného problému ... 6
2.1 Typy klientov ... 6
2.2 Trendy v oblasti poskytovania služieb elektronického bankovníctva ... 7
2.3 Internet banking ... 7
2.4 Bezpečnosť internet bankingu ... 13
2.4.1 Technické prostriedky na strane klienta a banky ... 18
2.4.2 Bezpečnostné riziká ... 22
3 Analýza internetbankingu v podmienkach vybraných slovenských bánk ... 23
3.1 Vývoj bankového sektoru na Slovensku ... 23
3.2 Prehľad služieb elektronického bankovníctva na slovenskom trhu ... 24
3.3 Analýza kvality internet bankingu u vybraných bánk na Slovensku ... 27
3.4 Náklady na strane klienta spojené s používaním internet bankingu ... 38
4 Návrhy a odporúčania ... 43
4.1 Návrhy pre klientov ... 43
4.2 Návrhy pre banku ... 44
5 Záver ... 46
6 Bibliografia ... 47
7 Zoznam tabuliek ... 48
4
1 Úvod
Bankovníctvu v poslednom období dávajú nové dimenzie moderné informačné a telekomunikačné technológie. Klasické formy bankovníctva ako je platba v hotovosti, či klient pri priehradke postupne zastarávajú. Sú totiž pomalé a nákladné tak pre klienta, ako i pre banku. Nahradzujú ich nové formy elektronického bankovníctva, ktorých postupné zavádzanie do praxe zohráva v konkurenčnom prostredí medzi bankami významnú úlohu.
Klient komunikuje s bankou na diaľku s použitím moderných komunikačných médií – počítača, osobného asistenta (PDA- Personal Data Assistant), telefónu, modemu, platobnej karty. Charakteristickou črtou týchto služieb je nepretržitý celodenný prístup klienta k svojmu účtu, teda nezávislosť od otváracích hodín banky, pohodlné vykonávanie domáceho a zahraničného platobného styku priamo z domu či z pracoviska. Elektronické bankovníctvo znamená poskytovanie bankových produktov a služieb malých hodnôt drobnej klientele prostredníctvom elektronických ciest. Tieto produkty a služby môžu zahŕňať prijímanie depozitov, požičiavanie, vedenie účtov, finančné poradenstvo, elektronické preplácanie účtov a poskytovanie ďalších elektronických platobných produktov a služieb ako sú elektronické peniaze. V nemalom rozsahu tieto služby využívajú súkromný podnikatelia ako aj veľké firmy.
Cieľom bakalárskej práce je skúmať internetbanking v podmienkach vybraných slovenských bánk. Práca je založená na analytickom prístupe. V prvom rade je vykonaná analýza súčasného trhu na základe informácií, získaných z verejne prístupných médií (časopisy, internet, informačné publikácie bánk). Na základe získaných informácií sú zostavené prehľadné tabuľky a interpretované základné charakteristiky jednotlivých služieb internet bankingu, poskytovaných rôznymi bankami na slovenskom trhu.
Zhromažďovanie informácií bolo vykonávané prioritne prieskumom verejných publikácií, ktoré boli neskôr spresnené dodatočnými informáciami získaných priamo osobným prieskumom trhu v pobočkách jednotlivých bánk.
5
2 Teoretické východiská skúmaného problému
Elektronické bankovníctvo je nástrojom efektívneho riadenia podniku, respektíve spravovania osobných financií. Umožňuje klientovi disponovať s peňažnými prostriedkami na účte prostredníctvom tzv. elektronických distribučných ciest. Základné aspekty elektronického bankovníctva sú:
- charakter dodávateľských ciest, ktorých prostredníctvom sú aktivity prevádzané, - prostriedky, ktorými klienti získavajú k týmto cestám prístup.
Bežné dodávateľské cesty zahŕňajú „uzavreté“ a „otvorené“ siete. „Uzavreté siete“
obmedzujú prístup len na zúčastnené subjekty (finančné inštitúcie, klientov, obchodníkov a sprostredkovateľov služieb) viazaných dohodou o podmienkach členstva. „Otvorené siete“
žiadne takéto obmedzenia nemajú.
2.1 Typy klientov
Na základe požiadaviek na elektronické bankovníctvo rozdeľujeme klientov do nasledovných skupín:
1. Retailový klienti – jedná sa o drobných zákazníkov, predovšetkým súkromné osoby, ktoré používajú bankové služby pre svoje úspory. Títo zákazníci nepoužívajú žiaden softvér pre spracovanie svojich finančných dát. Táto oblasť láka celosvetovo i nebankové subjekty, ktoré sa práve ponukou elektronických služieb snažia získať svoj podiel na trhu.
2. Korporátni klienti – jedná sa o podnikateľské subjekty vybavené informačnými systémami, ktoré spracúvajú finančné dáta. Hlavnými motivačnými faktormi sú tu zefektívnenie finančných transakcií a aktuálne a presné finančné dáta vo vnútornom informačnom systéme.
3. E-business klienti – jedná sa o nové kategórie klientov, ktoré vznikajú so zavádzaním elektronického platobného systému, predovšetkým na internete.
Možno ich rozdeliť na 2 skupiny – predávajúci a kupujúci. Motivácia týchto klientov nie je priamo závislá na banke, ale hlavne na e-obchodovaní.
6
2.2 Trendy v oblasti poskytovania služieb elektronického bankovníctva
Jedným z hlavných trendov, ktoré môžeme pozorovať, je rastúci nárok klientov na kvalitu služieb, a to nielen v bankovom sektore, ale aj v obchodnom svete ako celku.
Hlavnými faktormi, ktoré stimulujú vývoj elektronických bankových služieb, sú:
- konkurencia, - globalizácia,
- informačná technológia, - sociálna evolúcia,
- zvyšovanie vzdelanosti populácie.
Elektronické bankovníctvo má potenciál pre skvalitnenie bankových služieb, pokiaľ klientom ponúkame správne služby na správnom mieste, čo znamená, že služby musia byť cielené. Ďalším efektom elektronických služieb je aj značné zníženie nákladov na transakcie, ktoré sú cez ne sprostredkované. Internet banking je súčasťou elektronického bankovníctva a jeho jednotlivé služby sa môžu navzájom kombinovať. Elektronické bankovníctvo tvoria tieto služby:
¾ homebanking,
¾ telefónbanking,
¾ mobilbanking,
¾ internet banking,
¾ TV banking,
¾ GSM banking,
¾ PDA banking,
¾ Databanking.
2.3 Internet banking
Rozvoj celosvetovej počítačovej siete prináša do vzťahu medzi klientom a bankou novú kvalitu a komfort. Počítač v dnešnej dobe vlastní skoro každá domácnosť čo umožňuje využitie internet bankingu v plnej miere, pričom jeho využitie je takmer neobmedzené. Podľa počtu klientov ide o najpoužívanejšiu formu elektronického bankovníctva. Využívajú ju najmä malí podnikatelia, živnostníci a fyzické osoby. Ide
7
hlavne o mladšie osoby z miest s vyšším vzdelaním, ktorí často používajú moderné technológie.
Internet banking je vlastne istá obdoba homebankingu, avšak na kvalitatívne vyššej úrovni, pretože pri použití odpadá potreba špeciálneho softvéru, ktorý zabezpečoval komunikáciu s bankou a stačí obyčajný internetový prehliadač (napr. Internet Explorer, Opera alebo Netscape Navigator).
Prvej návšteve banky sa však klient ani tu nevyhne, pretože aj o túto službu musí požiadať banku, ktorá mu poskytne identifikačný kód. Následne po otvorení webovej stránky danej banky stačí, ak si klient vyberie voľbu internet banking a po správnej identifikácii má možnosť uskutočňovať pasívne, aj aktívne operácie so svojim účtom v závislosti od jednotlivých podmienok každej banky. Princíp internet bankingu je analogický ako pri homebankingu.
Ďalším markantným aspektom internet bankingu je jeho bezpečnosť, ktorá je nielen zo strany banky, ale prirodzene aj zo strany klienta citlivo vnímaná. Donedávna sa klienti obávali tejto služby, lebo sa obávali o bezpečnosť a spoľahlivosť manipulácie so svojimi peniazmi. Z uvedeného dôvodu je tejto problematike vymedzená samostatná podkapitola 2.4. Na prekonanie rizika verejnej siete sa používajú rôzne druhy kryptovania a šifrovania dát. Jedným z možných riešení je elektronický kľúč, ktorý v spojení so softvérom ponúka nasledovné bezpečnostné funkcie:
¾ autentizácia klienta,
¾ autentizácia servera,
¾ šifrovanie komunikácie,
¾ generovanie certifikačných dát.
Pred každým prístupom na zmluvné služby internet bankingu sa klient musí identifikovať a autentifikovať pomocou identifikačného čísla a PIN (Personal Identification Number), resp. hesla. Identifikačné číslo je uvedené v Zmluve o elektronických a distribučných cestách. PIN alebo heslo si musí klient prevziať osobne v banke, s ktorou uzatvoril Zmluvu o Elektronických distribučných cestách.
Niektoré banky zavádzajú obmedzenie počtu operácií, ktoré môže klient vykonávať v priebehu dňa, na určitý počet, napr. na 10 operácií. Toto obmedzenie je niekedy iba administratívneho charakteru. Výhodou internet bankingu pre menšieho klienta môžu byť nižšie poplatky oproti iným formám elektronického bankovníctva.
8
V prípade aktívneho internet bankingu je na realizovanie bankovej operácie zvyčajne potrebný elektronický osobný kľúč. Je to malé zariadenie, podobné kalkulačke, ktorého úlohou je:
¾ generovanie jednorazových prihlasovacích kódov,
¾ overenie servera banky,
¾ príprava certifikátov platobných príkazov.
Náklady na službu tvorí jednorazový poplatok za aktiváciu elektronického osobného kľúča. Úsporu pri používaní internet bankingu predstavuje zvýhodnenie platobných príkazov realizovaných elektronicky (Mičeková a kol., 2006).
Rozsah služieb ponúkaných prostredníctvom internet bankingu má narastajúcu podobu. Vo vyspelých krajinách ponúkajú banky prostredníctvom internet bankingu aj pôžičky a hypotekárne úvery, obchodovanie na burze, poistenie a mnohé ďalšie služby.
Využitie internet bankingu:
¾ poskytuje základné informácie o účte klienta (zostatok na účte s možnosťou pravidelného zasielania výpisu e-mailom, história transakcií, informácia o zadaných a neuhradených príkazoch),
¾ poskytuje možnosť realizovania aktívnych operácií s účtom, zadávanie príkazov na úhradu/inkaso, trvalých príkazov, hromadných príkazov, automatických prevodov, atď.,
¾ umožňuje otvorenie a zatvorenie terminovaného účtu, otvorenie neterminovaného účtu,
¾ umožňuje realizovanie špecifických služieb k účtu (žiadosť o vydanie platobnej karty, nahlásenie zmeny adresy, atď.),
¾ poskytuje všeobecné informácie napríklad kurzový lístok, úrokové sadzby, informácie o produktoch a službách banky, atď.
Hlavnou výhodou internet bankingu je časová dostupnosť. Vnútrobankové, ako aj medzibankové operácie sú zväčša sprístupnené klientovi 24 hodín denne. Výnimku tvoria tzv. technické prestávky (rádovo niekoľko hodín) a v niektorých bankách dni pracovného pokoja.
Užívatelia internet bankingu pozitívne vnímajú nasledovné možnosti poskytované internet bankingom:
¾ časová dostupnosť,
¾ geografická dostupnosť,
¾ diskrétne, rýchle a pohodlné narábanie s účtom, 9
¾ časová a finančná úspora,
¾ on-line komunikácia,
¾ neustále rozširovanie funkcionality.
Ako nevýhody internet bankingu možno označiť nasledovné vlastnosti:
• internet ako komunikačný kanál medzi klientom a bankou (dostupnosť internetového pripojenia, práca s internetom),
• neosobný prístup,
• bezpečnostné riziká.
Služby poskytované internet bankingom možno rozdeliť obdobne ako u elektronického bankovníctva na pasívne a aktívne produkty.
Pasívne produkty
9 poskytovanie informácií o ponúkaných produktoch a službách a všeobecné informácie o banke,
9 konzultácie o zostatkoch na účte, 9 poskytovanie výpisov z účtu, 9 poskytovanie sadzobníkov,
9 poskytovanie kurzových lístkov na peňažných a kapitálových trhoch, 9 hlásenie a evidencia stratených platobných kariet.
Aktívne produkty
9 vedenie bežných účtov (osobných),
9 sprostredkovanie obchodov s cennými papiermi, 9 konverzia (špekulačné nákupy cudzích mien), 9 trvalé príkazy k platbe,
9 krátkodobé depozitá, združené inkaso platieb obyvateľstva, 9 krátkodobé pôžičky a úvery,
9 leasing spotrebného tovaru.
Uvedené produkty možno konkretizovať napr. u Tatra banky nasledovnými funkciami:
¾ aktuálny stav na účte ,
¾ pohyby na účte za vybrané časové obdobie,
¾ domáci prevodný príkaz s určením splatnosti,
¾ zahraničný prevodný príkaz,
10
¾ hromadný prevodný príkaz,
¾ trvalý prevodný príkaz,
¾ inkaso,
¾ dávkové platby,
¾ možnosť podpísať prevodný príkaz elektronickými podpismi dvoch oprávnených osôb,
¾ bezlimitné platby pre majiteľov autorizačného nástroja i:key, ktorý je založený na technológii elektronického podpisu,
¾ elektronické výpisy podpísané certifikovaným privátnym kľúčom Tatra banky a použiteľné ako podklad pre účtovníctvo pre majiteľov autorizačného nástroja i:key,
¾ možnosť vytvorenia adresára najčastejšie používaných príjemcov platieb,
¾ možnosť nastavenia parametrov služby b-mail,
¾ informácie o vybraných druhoch úverov,
¾ aktuálne informácie o kreditných kartách - aktuálny zostatok, pohyby na karte,
¾ možnosť investovať do Investičných balíkov Tatra banky alebo podielových fondov prostredníctvom služby i:invest,
¾ vklady v EUR s určitou lehotou viazanosti (1 mesiac, 3 mesiace, 6 mesiacov a 12 mesiacov) - vytvorenie a správa i:depositu,
¾ prezeranie termínovaných účtov založených v pobočke pre fyzické osoby tuzemcov - majiteľov so samostatným oprávnením,
¾ možnosť exportovania pohybov na účte vo formátoch .txt a .xml,
¾ Internet banking môžete používať v 4 jazykových mutáciách - slovensky, anglicky, nemecky a maďarsky,
¾ prostredníctvom služby Internet banking je možné zaslať zaslať nové žiadosti:
9 Žiadosť o prístup na nový účet,
9 Žiadosť o zmenu rozsahu prístupu na existujúci účet,
9 Žiadosť o novú GRID kartu,
9 Žiadosť o každodenné výpisy z účtu na e-mailovú adresu,
9 Žiadosť o vydanie i:key,
9 Žiadosť o mobil banking,
9 Žiadosť o zmenu údajov k výpisom z účtu a oznámení.
11
V ďalšom je na vývojovom diagrame objasnený proces priebehu vykonania transakcie v prostredí internet bankingu.
Potreba klienta uskutočniť domácu úhradu
neúspešné prihlásenie
Schéma 1: Náčrt priebehu transakcie realizovaného pomocou internetbankingu (VÚB).
Zdroj: interné podklady VÚB.
Úspešné prihlásenie Koniec procesu
Overenie bezpečnosti NIE
ÁNO
Závisí od subjektívneho zváženia používateľa Internet bankingu.
Výber účtu z ktorého sa má
uhradiť
Výber obchodného partnera
Definovanie transakčných údajov
Overenie transakcie
Úspešné Neúspešné
Riešenie problému
Uskutočnenie platby Elektronické
potvrdenie úhrady (e-mail)
Zadanie identifikačných údajov:
• identifikačné číslo
• PIN
• heslo Prihlasovanie do
Internet bankingu VUB
12
Spôsob toku a prenosu informácií po informačných kanáloch v oblasti elektronického bankovníctva definujú distribučné cesty a služby (viď. Schéma 2).
HomeBanking
Virtuálna banka Internetbanking
MailBanking
PhoneBanking SMSBanking
Banka GSMBanking
ATMTerminal POSTerminal
Samoobslužné zóny
Schéma 2: Distribučné cesty v oblasti elektronického bankovníctva.
Zdroj: Mičeková a kol., 2006, Bankové operácie
Zo Schéma 2 vyplýva, že ako jediná – služba internet bankingu má najširšie prepojenie distribučných ciest. Uvedenú výhodu využili aj niektoré banky na slovenskom trhu a produkt homebankingu nahradili internet bankingom (viď. kapitola 3.2).
2.4 Bezpečnosť internet bankingu
Snahy o krádeže peňazí existujú oddávna a s rozvojom techniky naberajú nové možnosti ako podvádzať. Peniaze môžu byť sfalšované, šeky pozmenené, platobné karty ukradnuté. Napriek tomu sa tieto systémy používajú, lebo kladné stránky výrazne prevyšujú nedostatky. Bežné bezpečnostné zabezpečenia ako zámky, mreže alebo sejfy nie sú pre zlodejov neprekonateľné, ale väčšinou postačujú, a preto sa naďalej používajú. Ani kryptografické systémy nemôžu poskytnúť absolútnu bezpečnosť. Dobrý kryptografický systém však môže zabezpečiť rovnováhu medzi tým, čo je požadované a tým, čo je realizovateľné.
13
V súčasnosti však existuje dostatok algoritmov a protokolov potrebných na zabezpečenie našich systémov. Negatívom je, že spoločnosti často neimplementujú algoritmy a protokoly kvalitne. Ako to bude ďalej uvedené, v praxi systém zrejme ešte nikdy nebol prelomený cez matematickú časť. Iné časti systémov sa dajú prelomiť omnoho ľahšie. V našich médiách sa správy o prienikoch do bankových systémov objavujú veľmi zriedkavo, takže by sa mohlo zdať, že ani neexistujú, ale to je mylný názor. Nižšie sú uvedené zaujímavé prípady z posledných rokov. Obeťou útokov sa stali tak menšie banky, ako aj tie najväčšie a najznámejšie zo sveta.
Začiatkom apríla tohto roku bol odsúdený na šestnásť mesiacov väzenia 24ročný David Sternberg z izraelskej Haify. Podarilo sa mu preniknúť do počítačovej siete Postal Bank a previesť dosť veľké sumy peňazí na účty spolupáchateľov. Vyšetrovatelia ho obvinili z krádeže 400 000 šekelov (približne 91 500 amerických dolárov), ale dokázaných mu bolo len 70 000 šekelov, čo je približne 16 000 amerických dolárov. David Sternberg a jeho spolupáchatelia boli chytení hneď na začiatku, a preto nestihli ukradnúť väčšie sumy peňazí. Všetko sa začalo záhadným vlámaním do pobočky Postal Bank v Haife.
Predstavitelia banky oznámili vlámanie do budovy banky, ale nič nebolo odcudzené a preto bol prípad uzavretý. V skutočnosti Sternberg otvoril komunikačný box v banke a pripojil diaľkovo ovládaný prístupový bod (access point) k počítačovej sieti. To mu umožnilo prístup ku všetkým bankovým účtom a transakciám v krajine. Keďže dosah bezdrôtového zariadenia bol obmedzený, Sternberg si prenajal kanceláriu v 30 metrov vzdialenej administratívnej budove. Podvod bol odhalený, keď si pracovníci telavivskej centrály všimli pravidelné presuny peňazí z hlavného bankového účtu na účty šiestich spolupáchateľov. Príkazy na presuny peňazí pochádzali z pobočky v Haife, kam boli následne vyslaní bezpečnostní experti. Tí po dôkladnom prieskume budovy objavili prístupový bod a polícia následne uväznila všetkých páchateľov.
Ďalší prípad sa uskutočnil v júni roku 2004, kde čínska polícia zatkla tridsaťročného Chung-Shun Chena z Tchaiwanu. Zadržala obrovské množstvo tajného materiálu, okrem iného 45 miliónov e-mailových adries a takmer 200 000 čísel bankových účtov spolu s príslušnými tajnými heslami. Chen od februára spolupracoval s čínskymi hackermi, ktorí napadli počítače užívateľov bankových služieb. Rozposlali vyše 18 miliónov reklamných e-mailov, ktoré obsahovali dômyselne upravené verzie trójskych koňov, pomocou ktorých získali ich bankové vstupné heslá. Takto získali prístup k bankovým účtom, na ktorých sa spolu nachádzalo vyše 200 miliónov tchaiwanských
14
dolárov (takmer 6 miliónov amerických dolárov). Odhadované škody sa približne pohybujú v desiatkach miliónov tchaiwanských dolárov.
Neuveriteľný príbeh, ktorý polícia odhalila v apríli minulého roku bol neúspešný pokus o krádež 220 miliónov libier (424 miliónov dolárov) z londýnskej pobočky japonskej banky Sumitomo Mitsui. Páchateľ – pravdepodobne bol členom upratovacej čaty, ktorý sa pripojil na USB1 porty počítačov zariadenia na zaznamenávanie stlačených kláves (tzv. keyloggery), ku ktorým potom pripojil klávesnice. Na základe podrobnej analýzy zaznamenaných údajov sa tak útočníkovi podarilo získať prístup do počítačového systému banky. Útočník sa potom pokúsil previesť peniaze na svoje účty v desiatich krajinách sveta. Pokus o krádež bol prekazený, páchateľ však zatiaľ odhalený nebol.
Na jeseň roku 1999 sa organizovanej skupine podarilo preniknúť do počítačového systému Citigroup a pokúsili sa ukradnúť 37 miliónov dolárov. Prvý pokus o prevod 22 miliónov bol neúspešný, pretože cieľová banka platbu odmietla pre podozrivú aktivitu na účte. Avšak druhý pokus o prevod takmer 15 miliónov dolárov na účet tureckej banky bol úspešný.
Je veľmi ťažké sa brániť pred zneužitím informácií vlastnými zamestnancami bánk.
Jedna z najväčších bánk, Bank of America Corp, bola medzi štyrmi bankami, z ktorých vlastní zamestnanci predali údaje o viac než 670 000 zákazníkoch. Začiatkom mája roku 2007 bola skupina odhalená, vyšetrovanie celého prípadu však ešte nebolo ukončené.
Takéto úniky informácií sa v súčasnosti stávajú pravidlom, stačí nespokojný, alebo nahnevaný zamestnanec. Niekedy stačí ak nie je dostatočne finančne ohodnotený.
Podobne bývalí pracovníci call-centra v indickej Pune chceli využiť údaje získané pri svojej práci na vlastné obohatenie. Podarilo sa im získať heslá od štyroch účtov vedených v Citibank v New Yorku, odkiaľ previedli na svoje účty celkovo 300 000 amerických dolárov. V súčasnej dobe prebieha vyšetrovanie, celkovo bolo obvinených dvanásť osôb.
Ukazuje sa, že najľahšie pre útočníkov je získať prístupové heslo užívateľa bankových služieb. Pokusy o získanie informácií o zákazníkoch, známe ako „phishing attacks“, stoja banky milióny dolárov ročne, preto sa veľké úsilie vynakladá na eliminovanie tejto hrozby. Najväčšie nádeje vkladá bankový sektor do dvojstupňovej autentifikácie. V súčasnosti ju zavádza veľké množstvo bánk, ďalšie ju v najbližšej dobe zaviesť plánujú, aby ochránili svojich zákazníkov.
1 USB – Universal Serial Bus – špeciálny komunikačný port, rozšírený na osobných počítačoch
15
Základný princíp dvojstupňovej autentifikácie spočíva v tom, že počas prihlasovania do bankového systému (autentifikácie) musí užívateľ poskytnúť istú formu informácie, aby dokázal svoju identitu. Môže to byť niečo, čo osoba vie (najčastejšie heslo), niečo, čo osoba má (najčastejšie fyzické zariadenie nazývané token), alebo niečo, čím osoba je (odtlačok prsta, tón hlasu apod.). Dvojstupňová autentifikácia využíva dva zo spomenutých troch typov informácií na overenie užívateľovej identity. V bankových službách nie je dvojstupňová autentifikácia ničím novým. Väčšina z nás ju používa pri výberoch peňazí z bankomatu - užívateľ musí niečo mať (bankomatovú kartu) a niečo vedieť (PIN kód). Pri internetbankingu býva jedným stupňom niečo, čo užívateľ vie (prístupové heslo), druhým stupňom môžu byť spomínané fyzické zariadenia (tokeny, grid karty) či biometrické údaje.
Základná bezpečnostná politika prístupu klienta k službám banky
Bezpečnosť poskytovaných bankových služieb je zabezpečená spravidla na dvoch úrovniach:
- na úrovni banky,
- na úrovni klienta prostredníctvom zvoleného bezpečnostného predmetu.
Na úrovni banky je ochrana dát zabezpečovaná centrálnym telebankingovýn systémom, ktorého úlohou je vytvorenie bezpečnej vstupno-výstupnej brány. Centrálny systém je jediný uzol prostredníctvom ktorého môže dochádzať k výmene informácií medzi klientom a bankou v ktorej má klient vedený účet. Zabezpečuje identifikáciu klienta, šifrovanie vymieňaných dát a kontrolu správnosti príkazov pri aktívnych službách.
Na úrovni klienta (Musa, Musová, 2006):
- prihlasovacie heslo, - grid karta, token,
- elektronický osobný kľúč ZIP2 s heslom, - SIM3 karta.
Prihlasovacie heslo plní funkciu autorizačného predmetu. Je vytvorený kombináciou minimálne 8 číslic, pričom je zabezpečená kontrola na tzv. slabé čísla.
Prihlasovacie heslo sa vydáva spolu s grid kartou. Ďalšie pojmy v súvislosti s bezpečnosťou prenosu informácií medzi klientom a bankou sú:
2 ZIP – súborový formát, ktorý sa používa pri archivácii a kompresii dát, ktoré súbor obsahuje,
3 SIM ( Subscriber Identity Module) čipová karta slúžiaca na identifikáciu účastníka mobilnej siete.
16
PID kód – osobné identifikačné číslo,
SMS kód – dynamický číselný kód generovaný bankou zasielaný na mobilný telefón oprávnenej osoby.
Pre transakcie vo vyššom objeme sú to nasledovné bezpečnostné prvky:
securID – karta generujúca jednorazové heslo,
i:key – autorizačný nástroj zložený z čipovej karty, čítačky čipovej karty a certifikátu.
Identifikácia klienta
Identifikácia predstavuje proces, v ktorom sa používateľ predstavuje systému (identifikuje) ako platný používateľ. Možno to nazvať aj ako nezáväzné, čestné alebo predbežné prehlásenie o svojej identite. Vo všeobecnosti ide o zadanie mena, identifikačného čísla, užívateľského profilu, mena certifikátu, identifikátora, kľúča a pod.
Autentifikácia klienta
Autentifikácia proces overenia identity používateľa, t.j. zistenie, či je identita ktorú používateľ uviedol naozaj pravá. Identifikácia a autentifikácia nasledujú ako dva na seba nadväzujúce, neoddeliteľné procesy.
Pre autentifikáciu klienta banka používa:
¾ SMS autentifikáciu (na základe overenia kódom, zaslaným na vopred zadané mobilné telefónne číslo) ,
¾ autentifikáciu GRID kartou (na základe overenia jednorazového prístupového hesla z grid karty po výzve systému),
¾ autentifikáciu tokenom (na základe overenia jednorazového prístupového hesla z autentifikačného zariadenia po výzve systému).
Politika hesiel
Heslo je dôležitým autentifikačným prvkom používateľa. Z toho dôvodu je vhodné, aby klient dodržal nasledujúce odporúčania:
• heslo je nutné zásadne uchovávať v tajnosti pred inými osobami,
• heslo si nezapisovať, ani nezaznamenávať inak, než vo vlastnej pamäti,
• klient by nemal nikomu dovoliť, aby použil jeho prihlasovacie údaje do banky,
17
• zásad zaslan
dne nevyhov nie alebo pr
vieť akýmko rezradenie id
oľvek výzva dentifikačný
am známych ých a autent
h či neznám tifikačných
mych osôb o h informácií, o
,
• dodržžiavať odporrúčania pre tvorbu hesiiel,
• pri po bezod oddel
odozrení na dkladne zme enia vzdiale
prezradenie eniť svoje h enej podpor
e (odtajneni heslo a zárov
ry danej ban
ie autentifik veň hlásiť p nky.
kačných info podozrenie o
ormácií) operátoromm
hesla ostat dôvo
Samotné a, ktoré je tných ťažko odu banky p
é heslo skrý ľahko zap o uhádnute preklenujú te
ýva v sebe amätateľné eľné (t.j. z ento problém
dve protich (t.j. pre u z funkčného m pomocou
hodné požia užívateľa po o hľadiska u technickýc
adavky. Vý ohodlné) a
plnohodno ch prostried
ýzvou je vy zároveň b otné). Z uv dkov.
ytvorenie bude pre vedeného
2.4.1
predm form pre v
1 Techni
Grid ka Použitie metom (pri mát platobne
všetky formy
ické prost
rta
Grid kar ihlasovacie ej karty, kto
y elektronic
triedky na
rty je mo heslo, EO orá obsahuje ckého banko
a strane k
žné len v OK4). Je v e 36 certifik
ovníctva (M
klienta a b
v kombinác výhradne ce
kačných kó Musa, Musov
banky
ií s niekto ertifikačným dov. Tieto vá, 2006).
rým autor m predmeto
kódy sú po
izačným om. Má oužiteľné
heslá preto mikr aplik zadan v príp
Elektron Najčastej á. USB zari o si nevyž roprocesor kácia overí,
nie hesla (d pade iných
4 EOK – e
nický token ejšími typm
iadenia maj žadujú inšt a používaj že token je druhý stupeň
autentifikác
lektronický os
Ob
n
i tokenov s jú veľkosť taláciu žia jú šifrovan e pravý (prv
ň) – pre he cií. Smart k
sobný kľúč
1
brázok 1: Grid
sú USB zar kľúča a pr adneho špe nie na kom
vý stupeň o slo sa však karty majú v
8
d karta
riadenia, sm ripájajú sa p eciálneho h munikáciu
overenia ide už nevyžad veľkosť kred
mart karty a priamo na U hardvéru. Z
s počítačom entity), užív duje taká zl ditnej karty
a tokeny gen USB port p Zvyčajne o m. Ak po vateľ je vyz ložitá štrukt a podobnú
nerujúce počítača, obsahujú očítačová zvaný na túra, ako funkciu
ako U gene zadan stupe bank mu j sekún vstup pobo Resp zablo
prvky pojm klien Tent bank bezp elekt niekt
"tajn
reťaze zakód key).
USB token ruje pri ka ní bežného eň). Po zap kou preverov
e sprístupn nd. Pri kon pnou hodno
Pri ziste očku banky ponse – au
okovať.
Bezpečn Do tejto y bezpečno mom „Cut-o
nta po určitú o spôsob o kového sekto V prípad ečného pr tronického p torou zo sym
V prípad ný" kľúč. Te
5 RSA je a ec znakov, kt dovaná môže
ny, ich nevý aždom použ o hesla (prv pnutí prístro vaný. Až po nený vlastný
nštrukcii za otou, ktorá z enej strate
osobne či t utomatický
nostné prvk kategórie p osti. Špecif
ff“. Ak sa p ú dobu poča
ochrany je oru, ale vo v de elektroni
rístupu do podpisovan metrických de symetrick ento kľúč po
algoritmus pre torý je prístu byť dekódov O
ýhodou je, žití nové je vý stupeň) oja treba za o kontrole j ý účet. Bezp ariadenia je zaručuje, že prihlasova telefonicky.
telefónny
ky na stran patria firew fickým príp počas použív as spojenia
najjednodu všetkých slu ického bank o systému nia dôležitýc
metód, aleb kých metód oužívajú ob
e kryptovanie upný širokej v
aná iba jedine Obrázok 2: Tok
1 že si vyžad dnorazové
a následn adať 4 mie je klientovi pečnostný k e zvyčajne
rôzne zaria acích údajo . Každá ban operátor),
e banky wall, elektro
padom je „ vania banky neaktívny, uchší a zár užbách vyu kovníctva m
elektronic ch správ. V bo môže pou d na strane
e strany (kl
(kódovanie) i verejnosti, av ečným reťazc ken so stručný
9
dujú inštalá heslo; prih ne v zadaní stny kód, k i sprístupnen
kód z elekt mikroproce adenia budú ov je nutné
nka ma vytv alebo Call-
onický podp
„vypršanie y zabudne k
server bank roveň najvi užívajúcich i má klient ča
ckého ban V zásade má
užiť asymet klienta i na ient i banka
informácií pro však informác com znakov, k ým návodom na
áciu špeciál hlásenie do í jednorazo ktorý je op ný kód, kto tronického t esor iniciali ú generovať é okamžite vorené IVR -centrá cez
pis, šifrovan spojenia“, klient odhlá
ky reláciu a iac rozšíren internet.
asto možno nkovníctva, á klient mož trickú metó a strane ban a) na vytvár
ostredníctvom cia ktorá pom
ktorú vlastní a jeho použitie
lnej čítačky systému sp ového hesla pačnou stran orý zadá a a
tokena je p izovaný jed
rôzne heslá e informova R (Interactiv
z ktoré sa
nie, prípadn často ozn siť, alebo je automaticky ný nielen v osť zvoliť si
ako aj žnosť výber ódu RSA5. nky existuje
ranie jednor
m tzv. verejnéh mocou tohto r iba adresát (t e
y. Token počíva v a (druhý nou čiže až potom platný 30 dinečnou á.
ať danú ve Voice
dá účet
ne ďalšie načovaný e počítač y ukončí.
v oblasti i spôsob spôsob ru medzi e ten istý razových
ho kľúča – reťazca je tzv. privat
prístupových hesiel OTP (One time pasword) a na výpočet elektronického podpisu (Certifikačný kód), ako aj na overovanie správnosti OTP, resp. Certifikačného kódu, ktorý klient poslal banke.
Na výpočet OTP, resp. Certifikačného kódu môže klient používať:
9 tzv. PIN kalkulátor (Activ Card, Vasco, a pod.), 9 aplikáciu vo Windows na osobnom počítači,
9 aplikáciu na osobnom organizéri, alebo GSM telefóne,
9 aplikáciu, ktorú si ako Java applet stiahne cez Internet s príslušnou www stránkou.
Dĺžka OTP, resp. certifikačného kódu býva maximálne 14 znakov, takže pre klienta nie je náročné zadať vygenerovaný reťazec aj pri aplikáciách ako je GSM banking, resp.
telefón banking. Na druhú stranu je si dobré uvedomiť, že pri výpočte OTP, resp.
certifikačného kódu sa používa algoritmus DES s 56 bitovým kľúčom a prípadný útočník by musel vyskúšať 1017 možností. Prístup do systému elektronického bankovníctva pomocou OTP a platby na nižšie sumy, zabezpečené certifikačným kódom možno považovať za dostatočne bezpečné voči prípadnému útočníkovi mimo banky.
V prípade asymetrickej metódy RSA má kľúč dve časti - tajnú a verejnú. Pomocou tajnej časti kľúča, ktorú si klient dôkladne chráni na diskete alebo čipovej karte, podpisuje klient svoje správy odosielané do banky (napr. príkaz k úhrade, autorizačný paket a inú podobnú správu). Pomocou verejnej časti kľúča klienta, ktorú ma banka k dispozícii, banka overuje integritu a pôvod správy. Na generovanie kľúčov slúži generátor kľúčov.
V prípade 2048 bitového RSA kľúča má elektronický podpis dĺžku 2048 bitov t.j.
256 znakov a jeho manuálne zadávanie by bolo prakticky nepoužiteľné pri telefón bankingu, prípadne GSM bankingu. V prípade internet bankingu, homebankingu a mobilbankingu klient pri používaní RSA nenaráža na žiadnu komplikáciu. Naviac ide o vysoko bezpečnú metódu využívanú v armáde, štátnej správe ako i bankovníctve vo väčšine krajín vyspelého sveta. V prípade 2048 bitového RSA by prípadný útočník musel otestovať až 21024 , t.j. 10308 možností aby dokázal rozložiť modul na súčin prvočísiel.
S ohľadom na vyššiu silu RSA je táto metóda vhodná v prípade transakcií na vyššie čiastky. Navyše RSA umožňuje chrániť klienta aj voči banke a naopak , nakoľko každá strana má svoju vlastnú tajnú časť kľúča, je možné vytvárať tzv. elektronické potvrdenky a existujú na oboch stranách dostatočné dôkazové prostriedky použiteľné v prípade sporu.
20
Aj keď RSA je spoľahlivá metóda na zabezpečenie elektronických dát, je dobre mať na pamäti, že bezpečnosť tejto metódy závisí na bezpečnosti uchovávania tajného kľúča užívateľa.
Bezpečnosť uchovávania tajného kľúča
Tajný kľúč môže mať užívateľ uložený na diskete, alebo na čipovej karte. V prípade uchovávania tajného kľúča na diskete je tento chránený heslom. Pri nepozornosti majiteľa kľúča je však možné disketu skopírovať a pomocou vhodného rezidentného programu odchytiť heslo zadávané majiteľom z klávesnice počítača.
Vyšší stupeň zabezpečenia sa dosiahne pri použití RSA procesorovej karty. V tomto prípade je tajný kľúč opäť chránený PIN-om, avšak kartu nikdy neopustí - podpis sa generuje priamo v karte. Možnosť kopírovania tajného kľúča na čipovej karte, prípadne odchytenia tajného kľúča je vylúčená. Zneužitie kľúča po odcudzení čipovej karty bez znalosti PIN-u je vylúčené (po troch nesprávnych PIN-och sa karta zablokuje).
Pri zadávaní PIN-u z klávesnice čítačky čipových kariet a nie z klávesnice počítača, ku ktorému je čítačka pripojená, klesne pravdepodobnosť získania PIN-u na minimum.
Pravosť verejného kľúča - Certifikačná autorita
Ako sám názov naznačuje, verejný kľúč je určený verejnosti a slúži na overenie pravosti podpisu vytvoreného príslušným tajným kľúčom. Aby nemohlo dôjsť k podvrhu verejného kľúča je vhodné, aby sa k tomuto verejnému kľúču jeho majiteľ prihlásil.
Toto prihlásenie sa k verejnému kľúču overí svojim podpisom "elektronický notár"
- tzv. certifikačná autorita. Aj keď už takáto certifikačná autorita u nás existuje, je iba otázkou času, kedy podobné certifikačné autority budú u nás bežne dostupné a bankami, resp. ich klientmi uznávané. Než tak nastane, pravdepodobne i naďalej budú verejný kľúč klienta, resp. jeho papierový opis overovať svojim podpisom obe strany - klient i banka.
Biometrické technológie
Biometrické technológie overujú identitu osoby na základe fyziologických charakteristík. Najčastejšie je to odtlačok prsta, ale využívajú sa aj vlastnosti očnej dúhovky, štruktúra žíl na dlani či rozoznanie hlasu a tváre. Všetky systémy fungujú podobným spôsobom. Pri aktivácii internet bankingu je vytvorená a v digitálnej forme uchovaná referenčná vzorka danej fyziologickej charakteristiky. Pri každom pokuse o prihlásenie do systému je nová vzorka porovnaná s referenčnou. Užívateľovi je prístup povolený, ak sa príslušné vzorky v dostatočnej miere zhodujú - úplne rovnaké nikdy
21
nebudú. Nevýhodou biometrických technológií je nutnosť špeciálneho hardwaru a spomínaná pravdepodobnostná povaha overovania - systém môže omylom zamietnuť prístup oprávnenému užívateľovi a naopak, prideliť prístup neoprávnenému užívateľovi.
Napriek mnohým problémom sa tejto oblasti predpovedá veľká budúcnosť, na trhu sú už bežne dostupné počítače s integrovanými čítačkami odtlačkov prstov, napr. IBM ThinkPad T43.
2.4.2 Bezpečnostné riziká
Dvojstupňová autentifikácia sama nemôže zabrániť krádežiam peňazí cez internet.
V krátkom období môže byť účinná, keď si útočníci budú vyberať slabšie zabezpečené banky, ale v prípade, že väčšina bánk zlepší svoju ochranu, útočníci zdokonalia svoje postupy. Bezpečnostný expert Bruce Schneier upozornil na dva možné útoky na dvojstupňový systém - útok "man in the middle" a použitie trójskych koňov. Útočník (človek medzi, man in the middle) vytvorí falošnú web stránku, ktorá sa čo najviac zhoduje so stránkou skutočnej banky. Ak sa mu podarí oklamať užívateľa a ten zadá príslušné heslá na falošnú stránku, útočník tieto heslá môže ďalej použiť na prístup do skutočnej banky.
Podobne ak sa útočníkovi podarí nainštalovať na počítači trójskeho koňa, program počká, kým užívateľ zadá všetky potrebné údaje a potom preberie riadenie nad príslušnou aplikáciou. Oba typy útokov sa už v súčasnosti vyskytujú, napríklad falošné web stránky predávajúce neexistujúci tovar, zaznamenávajúce a následne zneužívajúce čísla kreditných kariet.
Proti týmto útokom sú bezbranné všetky iné v súčasnosti používané spôsoby autentifikácie, či už pomocou SMS správy s jednorazovým heslom, bezpečnostných TAN6 kódov alebo odpovedí na vopred dohodnuté otázky. Preto je dôležité, aby boli okrem dvojstupňovej autentifikácie prijaté aj ďalšie opatrenia. Bezpečnostní experti navrhujú použitie prehľadávacieho softvéru na preventívnu identifikáciu možných útokov. Ďalej bude nutné zlepšiť výmenu informácií a spoluprácu medzi bankami, vládami a technologickými firmami. Najdôležitejšou však zrejme bude výchova a vzdelávanie samotných užívateľov. Väčšina útokov je totiž možná len vďaka ich nepozornosti.
6 TAN kód je numerický kód vygenerovaný elektrickým tokenom.
22
3 Analýza internetbankingu v podmienkach vybraných slovenských bánk
Nasledovná kapitola popisuje bankové prostredie v Slovenskej republike so zameraním na rozvoj služieb internetbankingu a nárast užívateľov tejto služby.
3.1 Vývoj bankového sektoru na Slovensku
Vývoj bankového sektoru na Slovensku je značne ovplyvnený zmenou vlastníctva najväčších bánk. Príchodom nových majiteľov sa očakávalo zlepšenie poskytovaných služieb, čo aj nastalo. Je to však dlhodobejší proces a oblasť elektronického bankovníctva nemusí mať najvyššiu prioritu, čo spôsobilo mierny útlm vo vývoji (najvyššie priority boli dané bankovým informačným systémom, organizačnej štruktúre, pobočkám). V niektorých prípadoch sa kladne prejavili know-how a už implementované technológie v materských spoločnostiach nových vlastníkov v ich rýchlom uplatnení na Slovensku.
Začiatkom 90. rokov na Slovensku začal nárast záujmu o elektronické bankovníctvo. Bol a je spojený s príchodom nových technológií, na čo reagovali aj banky zavádzaním nových služieb umožňujúcich prístup do banky pomocou týchto riešení. Stav a vývoj elektronických služieb tiež závisí od dopytu, právnych predpisov7 a dostupných technológií. Ďalším aspektom, ktorý ovplyvnil vývoj nových elektronických a mobilných služieb je sústredenie sa bánk na zvýšenie bezpečnosti a zlepšenie funkcionality existujúcich služieb (napr. internet banking), celková konzervatívnosť bankovníctva a opatrnosť v implementácii nových technológií. Bankami málo obsadený priestor mobilnej komercie preto prilákal mimo bankové subjekty s alternatívnymi riešeniami. Tak sa globálne vyvinuli mobilné platby, ktorých poskytovateľmi sú prevažne mobilní operátori v spolupráci s kartovými spoločnosťami, prípadne výrobcami mobilných zariadení. Význam mobilnej komercie bankový sektor však nepodcenil, čoho dôkazom je účasť bánk v rôznych asociáciách mobilných platieb, ako aj vytvorenie pracovnej skupiny "Mobilné platby" v rámci ECBS (European Comittee for Banking Standards), ktorej cieľom je identifikácia požiadaviek trhu a odporúčané riešenia mobilných platieb bankami.
7 Ako napríklad Zákon č. 215/2002 Z.z. o elektronickom podpise a jeho novelizácia.
23
3.2 Prehľad služieb elektronického bankovníctva na slovenskom trhu
Klient sa pri výbere bankovej inštitúcie, ktorej zverí správu svojich finančných prostriedkov, rozhoduje na základe rôznych kritérií. Nezanedbateľným a pre mnohých dokonca kľúčovým faktorom je možnosť prístupu k svojmu účtu prostredníctvom prostriedkov elektronickej komunikácie. Do akej miery je uvedený prístup podporovaný bankovými inštitúciami na slovenskom trhu vyplýva z tabuliek (Tabuľka 1, Tabuľka 2, Tabuľka 3). Z nich vyplýva nielen stav, ale aj dynamika, akou sa elektronické bankovníctvo vyvíjalo v priebehu 8 rokov (od roku 2001 do roku 2009).
V roku 2001 prím v zavádzaní najnovších technológií do bankových služieb hrajú Tatra banka a Poštová banka, ktoré majú v ponuke takmer všetky služby elektronického bankovníctva a neustále sa snažia o sprístupnenie inovatívnych bankových služieb širokej verejnosti. V uvedenom období Prvá komunálna banka taktiež poskytovala širokú paletu moderných elektronických služieb, pričom bola jednou z mála bánk, ktoré prevádzkovali WAP banking. Čo sa týka bankových gigantov, dnes s určitosťou možno tvrdiť, že Slovenská sporiteľňa vďaka privatizácie rakúskou Erste Bank v podstate úspešne aplikovala najnovšie technológie, avšak Všeobecná úverová banka v roku 2001 trochu zaostávala za očakávaním.
Elektronické bankovníctvo na Slovensku prehľad služieb vybraných slovenských bánk
Typ bankingu Home WAP Mobil Internet Phone
VÚB aktívny - - pasívny aktívny
Slovenská sporiteľňa aktívny - - aktívny aktívny
Tatra banka aktívny - aktívny aktívny aktívny
IRB aktívny - - - -
Poľnobanka aktívny - - aktívny pasívny
ČSOB aktívny - - - pasívny
Istrobanka aktívny - aktívny aktívny aktívny
Bank Austria Creditanstalt aktívny - - - -
Poštová banka aktívny aktívny aktívny aktívny aktívny
PKB aktívny aktívny - aktívny pasívny
Ľudová banka aktívny - - pasívny -
Devín banka aktívny - aktívny aktívny pasívny
HypoVereinsbank aktívny - - - pasívny
Komerční banka aktívny - - aktívny -
Banka Slovakia - - - - -
Tabuľka 1: Prehľad služieb vybraných bánk v roku 2001 Zdroj: týždenník Trend.
24
Z údajov Tabuľky 2 plynie, že najväčší pokrok v oblasti zavádzania internetbankingu nastal práve v období od roku 2001 do roku 2005. Hlavným dôvodom uvedeného rastu je penetrácia internetu v slovenských domácnostiach, čo úzko súvisí s dokončením budovania základnej infraštruktúry pre realizáciu dátového prenosu na Slovensku. Markantné zmeny v uvedenej oblasti zasiahli hlavne bývalú Investičnú a rozvojovú banku, ktorá po prevzatí maďarskou OTP bankou zmenila svoju cieľovú klientelu a rozšírila služby corporate bankingu o retail bankingu. V dôsledku toho začala ponúkať aj služby a technológie prevzaté z pôvodnej materskej spoločnosti.
V prípade Poľnobanky nastali tiež závažné technologické zmeny, ktoré sa navonok odrazili oproti roku 2001 iba v rozšírení elektronického bankovníctva o mobil banking, avšak vnútorná štruktúra bola technologicky úplne zmenená a technológia IBM z 80-tych rokov bola nahradená modernými progresívnymi technológiami a softvérom. Nový majoritný taliansky vlastník UniCredito Italiano Group týmto krokom položil základy pre jeden z technologicky najprogresívnejších bánk, ktoré sa (ako už teraz vieme) v budúcnosti etablujú na slovenskom bankovom trhu – UniCredit banky.
Elektronické bankovníctvo na Slovensku prehľad služieb vybraných slovenských bánk
Typ bankingu Home WAP Mobil Internet Phone
VÚB aktívny - aktívny aktívny aktívny
Slovenská sporiteľňa aktívny - aktívny aktívny aktívny
Tatra banka aktívny - aktívny aktívny aktívny
IRB OTP banka aktívny - aktívny aktívny aktívny
Poľnobanka Unibanka aktívny - aktívny aktívny pasívny
ČSOB aktívny - aktívny aktívny pasívny
Istrobanka aktívny aktívny aktívny aktívny aktívny
Bank Austria Creditanstalt HVB banka aktívny - - aktívny aktívny
Poštová banka aktívny • aktívny aktívny aktívny
PKB Dexia banka aktívny aktívny aktívny aktívny -
Ľudová banka aktívny - aktívny aktívny -
Citibank aktívny - - aktívny -
Commerzbank aktívny - - aktívny pasívny
Komerční banka aktívny - - aktívny -
Banka Slovakia - - - - -
ING banka aktívny aktívny
Legenda: červeným písmom – zmena oproti predchádzajúcemu obdobiu (resp.
nový subjekt na slovenskom bankovom trhu);
• – zrušenie pôvodne aktívnej služby.
Tabuľka 2: Prehľad služieb vybraných bánk v roku 2005 Zdroj: údaje z internetového portálu eFocus.
25
Ďalším zaujímavým momentom je zrušenie podpory WAP bankingu u Poštovej banky. Poštová banka k uvedenému kroku pristúpila z dvoch príčin a to z dôvodu malého využitia tejto služby, čo úzko súvisí s druhou príčinou, technologickým pokrokom v mobilnej komunikácii. Kým protokol WAP bol spočiatku jediný možný spôsob mobilného prístupu na internet, v súčasnosti pri existencii protokolu WAP 2.0 a možnosti širokopásmového mobilného pripojenia je táto technológia zastaraná. Je zbytočné investovať čas a prostriedky do tvorby stránok pre WAP, ak klient v súčasnosti má možnosť z mobilného telefónu plnohodnotne sa pripojiť k internetu vďaka novým rýchlejším prenosovým technológiám (EDGE, UMTS) a sofistikovanému softvéru (prehliadače Opera mini, Safari, atď.). Uvedený trend rušenia podpory WAP bankingu potvrdzuje aj Tabuľka 3.
Elektronické bankovníctvo na Slovensku prehľad služieb vybraných slovenských bánk
Typ bankingu Home WAP Mobil Internet Phone
VÚB aktívny - aktívny aktívny aktívny
Slovenská sporiteľňa aktívny - aktívny aktívny aktívny
Tatra banka aktívny - aktívny aktívny aktívny
IRB OTP banka aktívny - aktívny aktívny aktívny
Unibanka Unicredit banka aktívny - aktívny aktívny aktívny
ČSOB aktívny - aktívny aktívny aktívny
Istrobanka aktívny • aktívny aktívny aktívny
mBank - - - aktívny aktívny
Poštová banka • - aktívny aktívny aktívny
Dexia banka • • aktívny aktívny -
Ľudová banka aktívny - aktívny aktívny pasívny
Citibank aktívny - - aktívny -
Commerzbank aktívny - - - -
Komerční banka aktívny - pasívny aktívny -
Banka Slovakia Privatbank aktívny - aktívny aktívny -
ING banka aktívny aktívny
Tabuľka 3: Prehľad služieb vybraných bánk v roku 2009 Zdroj: vlastné spracovanie.
Tabuľka 3 zároveň poukazuje na fakt, že každý bankový subjekt na Slovensku podporuje internetbanking. Na prvý pohľad by sa zdalo, že uvedené tvrdenie nie je pravdivé vzhľadom na Commerzbank, avšak je nutné si uvedomiť, že Commerzbank vo svojej skupine zahrňuje i mBank, ktorá uvedenú službu poskytuje, dokonca je na ňu zameraná. Medzi poskytovateľov internetbankingu pribudla aj Privatbanka, ktorá je špecializovanou bankovou inštitúciou prednostne zameranou na privátne bankovníctvo.
Prehľad služieb v Tabuľke 3 poukazuje na ďalší zaujímavý fakt. Dve banky (Dexia a Poštová banka) zdanlivo zrušili produkt homebanking, ktorý je v prvom rade zameraný
26
na korporátnych klientov. V skutočnosti ide o fakt, že možnosti internet bankingu sú na tak rozvinutej úrovni, že internet banking preberá a ako to ukazuje súčasný vývoj, plnohodnotne nahradzuje homebanking. Čiže zmieňované banky poskytujú naďalej bankové služby charakterizujúce homebanking, ale pomocou technologického riešenia internet bankingu. Je to vďaka novým softvérovým produktom a zvýšenej bezpečnosti prenosu dát cez internet (možnosť certifikácie, elektronický podpis, 128 bitové kódovanie...). Z uvedeného vyplýva, že v nasledujúcich rokoch čaká službu homebanking podobný osud, ako WAP banking a v konečnom dôsledku zostane len určitým prechodovým stupňom medzi vývojovými stupňami komunikačných technológií.
Uvedený predpoklad potvrdzuje aj štatistika, keď v sledovanom období 8 rokov všetky bankové subjekty (s výnimkou už spomínanej Commerzbank) poskytovali, alebo začali poskytovať internet banking, kým ostatné produkty elektronického bankovníctva v ponuke bánk buď stagnujú, alebo sú na ústupe. Okrem prítomnosti samotnej služby internet bankingu je dôležitá aj kvalita poskytovaných služieb. Tá napríklad v prípade UniCredit banky má výraznú vzostupnú úroveň (ak sa hodnotí obdobie od Poľnobanky cez Unibanku až po výslednú UniCredit banku, ktorá vznikla fúziou Unibanky a nemeckej HVB). To posledné spojenie dovolilo implementovať do internet bankingu UniCredit banky know-how vo forme užívateľsky príjemného prostredia od HVB, ktoré bolo prepracované do detailov v duchu nemeckej precíznosti. V oblasti bezpečnosti pribudol opäť, pre užívateľa pohodlnejší token (ľahšie sa zapamätá 4 miestne PIN tokena, ako heslo o min. 12 znakoch). Prirodzene zmeny boli aj v iných segmentoch, avšak pre koncového užívateľa sú jednoznačne smerodajné tri kvalitatívne ukazovatele: dostupnosť (nielen technologická, ale aj finančná); jednoduchosť (v tejto podmienke je skrytá do určitej miery aj časová náročnosť) a bezpečnosť. Práve kvalite poskytovaných služieb internet bankingu sa venuje nasledovná kapitola.
3.3 Analýza kvality internet bankingu u vybraných bánk na Slovensku
Ak chceme hodnotiť kvalitu akýchkoľvek služieb, je nutné v prvom rade identifikovať, pre koho sú hodnotené služby určené. V inom prípade dochádza ku skresleniu kritérií hodnotenia a získaná informácia stráca na svojej objektivite. V prípade internet bankingu je nutné určiť koncového používateľa tejto služby a tým je klient banky. V dnešnej dobe sa na Slovensku internet banking zameriava na klientov:
27
Individuálny klienti – aktívny klienti, ktorí uprednostňujú používanie elektronických komunikačných kanálov.
• Klienti, ktorí nechcú navštevovať pobočku pre každú informáciu o účte alebo realizáciu pohybov.
Malí podnikatelia - zväčša živnostníci, ktorí sa starajú o chod firmy a nemajú čas navštevovať pobočky.
• Platenie faktúr a kontrolu splatených pohľadávok riešia priamo zo svojej kancelárie.
Stredné a veľké firmy – klienti – majitelia firemných účtov, ktorí s účtom väčšinou nenakladajú, túto prácu vykonávajú ich zamestnanci, účtovníci. Týmto im zabezpečia jednoduchý a rýchli prístup k účtu (pasívny alebo aktívny) a z jednoduchšia každodenné platby faktúr a sledovanie toku hotovosti (cash flow) na účte.
• Taktiež si môžu sami kontrolovať svoje účty bez návštevy pobočky.
Takéto skupiny klientov sa rozhodujú pre banku a jej služby z niekoľkých hľadísk a to:
¾ Ako sú dané služby spoplatnené.
¾ Čo hovorí okolie.
¾ Aké balíky služieb sú bankou ponúkané.
V nasledovnej časti sa nachádza stručné vyhodnotenie internet bankingu podľa jednotlivých bánk a to z pohľadu individuálneho klienta. Pretože služby ponúkané v rámci internet bankingu sú takmer totožné (viď. kapitola 2.3), hodnotenie bude zamerané na kvalitatívne ukazovatele definované v kapitole 3.2.
Tatra banka
Tatra banka pre autentifikáciu a autorizáciu klientov zaviedla nový bezpečnostný nástroj “Karta a čítačka”. Prihlasovanie s týmto nástrojom však nie je veľmi pohodlné.
Používateľ najskôr musí zadať PID (osobné identifikačné číslo) a heslo, ktoré si môže zmeniť. Ak uvedené údaje klient zadá, dostane sa na ďalšiu stránku, kde musí zadať kód z čítačky, čo znamená, že potrebuje mať túto čítačku pri sebe. Potrebuje mať pri sebe kartu, tú kartu vloží do čítačky, musí zadať PIN kód karty a potom táto čítačka vygeneruje kód, ktorý zadá opäť na stránku a až keď ho odošle, tak sa dostane do svojho internet bankingu.
Za nedostatok možno považovať malé odlíšenie textu (hrubé biele písmo) od aktívnych odkazov (žlté písmo). Uvedený nedostatok sa prejavuje hlavne na starších CRT monitoroch a na WXGA displejoch notebookov.
28
Po prihlásení má používateľ okamžite prístup k svojim účtom, k aktuálnemu zostatku. Môže si vybrať, či sa mu má zobrazovať účtovný zostatok, aktuálny zostatok, disponibilný zostatok, alebo čistý disponibilný zostatok.
V ľavej časti stránky sa nachádza navigačné menu. Je rozbaľovacie, vzhľadom k tomu, koľko položiek obsahuje. Preto, keď sa používateľ chce dostať napríklad k domácemu prevodnému príkazu, musí kliknúť dva krát. V tomto menu nie je zvýraznená tá položka, ktorá predstavuje práve zobrazovanú stránku.
Vo formulári platobného príkazu sú všetky povinné polia zvýraznené červenou hviezdičkou, prípadne sú niekde dve červené hviezdičky. Ich význam je vysvetlený pod formulárom. Ak klient odošle prázdny formulár, alebo nesprávne vyplnený formulár, tak priamo nad formulárom sa červeným textom jasne zobrazuje informácia o tom, že niečo nevyplnil správne a tak isto polia, ktoré nie sú správne vyplnené, sú v tomto formulári zvýraznené.
Pomocník je dostupný na jedno kliknutie v hornej časti stránky. Je to všeobecný pomocník, ale napríklad pri rôznych položkách sa nachádza aj špecifický pomocník.
Odhlásenie je možné na dvoch miestach - vľavo hore, alebo vľavo dole v menu. V obidvoch prípadoch je tento odkaz jasne viditeľný a odhlásenie je možné na jedno kliknutie.
Na základe vyjadrení klientov Tatra banky za najväčší nedostatok internet bankingu považujú tzv. technickú prestávku v trvaní približne 1 hodiny, ktorá je realizovaná každý večer v dobe okolo 21.00 hod. Počas uvedenej technickej prestávky nie je možné realizovať žiadne aktívne bankové operácie cez internet banking. Jedná sa o systémovú
„chybu“, ktorú banka nemôže odstrániť bez väčších zásahov (a teda aj investícií) do systému internet bankingu. Uvedený nedostatok je o to markantnejší, že väčšina individuálnych klientov v uvedenej dobe (po večerných správach v TV, keď deti už spia a ešte pred nočným filmom) sa pokúša zadávať prevodné príkazy súvisiace s vedením domácnosti.
Naopak mnohí zákazníci oceňujú možnosť priameho zadávania požiadavky na aktiváciu mobilbankingu. Klient pri definovaní požiadavky musí zadať číslo SIM karty, ktorú chce používať pre uvedenú službu a proces sa aktivuje automaticky bez nutnosti osobnej účasti na pobočke banky. Túto službu v rámci internet bankingu ponúka iba Tatra banka.
29
Ľudová banka (VOLKSBANK)
Hneď na úvodnej stránke sa nachádza prihlasovací formulár, v ktorom je možné si zvoliť jazyk: slovenský, anglický alebo nemecký.
Po prihlásení sa na stránke zobrazuje prehľad účtov, v ktorom má používateľ možnosť vidieť svoj aktuálny zostatok, ale tiež disponibilný zostatok. Po prejdení myšou cez danú sumu sa zobrazí táto suma prepočítaná na Slovenské koruny.
V ľavej časti stránky sa nachádza hlavné menu, ktoré je rozbaľovacie, čo znamená, že ak chce používateľ napríklad zadať nový platobný príkaz, tak potrebuje klikať dva krát, pretože najskôr musí rozbaliť položku “Nový platobný príkaz” a potom si musí vybrať buď
“Tuzemský platobný príkaz”, “Zahraničný platobný príkaz”, “Príkaz na inkaso” a pod. Je škoda, že v tomto menu položka, ktorá predstavuje práve zobrazovanú stránku, nie je žiadnym spôsobom zvýraznená.
Povinné položky formulára sú zvýraznené červenou hviezdičkou a zároveň sú zvýraznené tieto polia inou farbou pozadia. Ak odošle klient nesprávne vyplnený formulár, tak nad samotným formulárom sa zobrazí informácia o tom, že formulár obsahuje nesprávne zadané údaje a polia s nesprávne zadanými údajmi sú opäť zvýraznené inou farbou pozadia.
Na stránke sa tiež nachádza pomocník, ktorý je síce všeobecný, ale automaticky sa posunie na to miesto, ktoré predstavuje práve zobrazovanú službu, ako napríklad “Domáci platobný príkaz“.
Odkaz pre odhlásenie je zvýraznený inou farbou šípky vľavo od tohto odkazu a odhlásiť sa je možné na jedno kliknutie.
Slovenská sporiteľňa (SLSP)
V prípade internet bankingu SLSP neexistuje presmerovanie z http8 na zabezpečený protokol https, čiže je potrebné vpisovať do príkazového riadka prehliadača celú adresu (https://ib.slsp.sk/main/start.do). V ľavej časti stránky je hneď na úvodnej stránke prihlasovací formulár. Ak má používateľ zakázaný JavaScript vo svojom prehliadači, tak sa nedá prihlásiť.
Po prihlásení používateľ okamžite si môže vybrať zo svojich účtov a zároveň má v hornej časti stránky zobrazený disponibilný zostatok k vybranému účtu. Po prejdení myšou cez túto sumu sa mu zobrazí suma prepočítaná na Slovenské koruny. Zároveň stav svojho
8 http – hypertext transfer protocol – protokol, pomocou ktorého sa prenášajú cez internet dáta o zobrazovanej internetovej stránke; obdobne https je hypertextový protokol, ktorý je zabezpečený určitým stupňom kryptovania (v súčasnosti ide hlavne o 128 bitové kódovanie).
30
