Do banky přes mobilní aplikaci: panelová diskuse z mikrokonference o smartbankingu

Mikrokonference Médiáře Do banky přes mobilní aplikaci, kino Atlas. Foto: Tomáš Pánek

Pane Štýbere, už se ČSOB zaplatila její mobilní aplikace? Kolik stála?

Martin Štýber: Nezaplatila a myslím, že se ještě dlouho nezaplatí. Byť jde o nehmotné prostředky komunikace, jejich vývoj jde mnohdy do řádů statisíců. U nás to bylo ještě víc. Samotný vývoj aplikace jako takový tak nákladný není, jde o zmíněné řádově stovky tisíc, z pohledu banky je ale dražší implementace do bankovního systému, zajištění podpory provozování, zajištění bezpečnosti. Tady mluvíme řádově o milionech.

Jsou obavy z bezpečnosti, které – jak ukázal průzkum Mediaresearch – jsou hlavní překážkou používání mobilních bankovních aplikací mezi českými uživateli, oprávněné?

Petr Dvořák: Je potřeba si uvědomit, že zatímco na webu už existuje standard, který je zaběhnutý a implementuje se víceméně vždycky stejně, mobilní aplikace se od sebe stále ještě hodně liší. Některé fungují čistě na bázi uživatelského jména a hesla, což je vhodné možná tak pro e-shop. Pak jsou třeba ty od ČSOB a České spořitelny, které používají například digitální certifikáty. U nich je úroveň zabezpečení vyšší, byť samozřejmě nemáte pravou dvoufaktorovou autentizaci ve smyslu od sebe fyzicky oddělených tokenů. To znamená, že když se třeba rozšíří viry mezi mobilními aplikacemi, které dneska tak velkou hrozbou nejsou, mobilní aplikace zatím nemají dostatečnou úroveň zabezpečení. Ale pro běžné používání se uživatelé zase tak moc bát nemusí.

Pane Balario, vy jste se podílel na výrobě mobilní aplikace pro ČSOB. Nakolik bezpečnost závisí na uvědomělém chování uživatelů, a jaký je rozdíl v bezpečnosti bankovnictví internetového a mobilního?

Abhishek Balaria: Je třeba rozlišit mobilní bankovnictví prostřednictvím aplikací a webové bankovnictví v internetovém prohlížeči na chytrém telefonu. Myslím, že banking prostřednictvím aplikací bude vždy bezpečnější než samotný web. Co chybí, je zmíněná dvoufaktorová autorizace, o tom se mluví mnoho let a myslím, že i to brzy vyřešíme.

Dvakrát tu zaznělo „dvoufaktorová autentifikace“. Co si pod tím představit?

Petr Dvořák: Pro případ, že na zařízení poběží malware, máte SMS token pro internetové bankovnictví. Když máte infikovaný počítač, provedete transakci, přijde vám na telefon – na druhý fyzický hardware, který není tímto napadený – potvrzovací kód, který použijete jednou, pro jednu konkrétní transakci. Tímto způsobem vám nehrozí újma. Když vám v jakékoli aplikaci poběží malware, vyždímá z ní slovo nebo ukradne certifikát a posílá transakce, kam může. Druhým tokenem je myšlena třeba bezpečnostní klíčenka či jiný druhý fyzický token. Další variantou, uživatelsky nepřívětivou, je tzv. challenge response, tedy že server vygeneruje dotaz typu „zadejte 5., 7. a 9. cifru vašeho hesla“.

Tomáši Čermáku, vy jste vyvíjeli aplikaci pro Českou pojišťovnu. U ní jste také řešili bezpečnost, jako u bankovních aplikací?

Tomáš Čermák: Je to obdobné jako v bankách – pojišťovna stejně jako banka je finanční instituce a v případě například nákupů úrazového a cestovního pojištění komunikujete přímo s jádrem IT systému České pojišťovny.

Požádám o reakci Tomáše Mrkvičku, který vyvinul aplikaci Portmonka, umožňující vložit a pohromadě uchovávat osobní údaje z věrnostních programů různých obchodů. Setkal jste se vy s výtkami vůči nízké bezpečnosti své aplikace?

Tomáš Mrkvička: Mně například do hodnocení aplikace kdosi napsal, že už si do ní naťukal všechny svoje kreditní karty – vyděsil jsem se, protože tato aplikace k tomu vůbec neslouží. Nicméně ukázalo to, že míra paranoie nás vývojářů ne nutně zrcadlí to, jak lidi aplikace potom používají. Zmíněný výzkum Mediaresearch ukázal, že obavy o bezpečí jsou jedna z největších bariér, které lidé uvádějí jako důvod, proč nepoužívají mobilní aplikace pro bankovnictví. Ale tato bariéra často není skutečná. Je manifestována. Skutečný důvod bývá jiný. Spočívá ve familiaritě, v tom, že mi aplikace připadá užitečná. Jak si člověk zvykne, míra obav klesá. Je fajn, že se všichni zabýváme tím, aby tento typ aplikací byl bezpečný, ale ve skutečnosti jakýkoli výrok o bezpečnosti aplikací nijak neovlivní rychlost, s jakou je trh, respektive uživatelé adaptují.

Pane Walitzo, přidejte pohled telekomunikačního operátora na bezpečnost mobilních bankovních aplikací, respektive na jejich vývoj. Doplním, že společnost Telefónica O2, pro níž pracujete, se podílí na vývoji platebního systému Mobito, který má brzy odstartovat.

Richard Walitza: My už máme více než deset let tzv. GSM bankovnictví, které využívá čím dál méně lidí, protože přechází právě na smartbanking. Pro nás je teď důležité dozvědět se od bankovních domů, jestli chtějí dál využívat bezpečné technologie SIM karty. Anebo jestli se vydají druhou cestou – cestou smartbankingu, web bankingu anebo jiného způsobu prostřednictvím NFC (near field communication). To je pro nás důležitým milníkem, ovšem my sami tohle nerozhodneme. Systém Mobito, který brzy spustíme, umožňuje spíš platby na dálku, zatímco NFC je platba přímo u prodejce v obchodě či třeba u automatu na Coca-Colu.

Je nutné mobilní aplikace bank nabízet zdarma, či by si uživatelé rádi připlatili za větší bezpečnost, pokud by to bylo možné nabídnout?

Tomáš Čermák: I v průzkumu zaznělo, že za samozřejmost se považuje, že mobilní bankovní aplikace je zdarma. Dokonce některé operace jsou v některých zemích zvýhodňovány. Pokud s bankou komunikujete právě prostřednictvím mobilní aplikace, můžete dostat třeba výhodnější úrok na termínovaném vkladu nebo využít věrnostních programů.

Pane Štýbere, zvýhodňujete uživatele své mobilní aplikace? Nebo naopak uvažujete o zpoplatnění tohoto způsobu ovládání konta?

Martin Štýber: Mobilní aplikace je v případě ČSOB součástí internetového bankingu, to znamená, že klient si ji nemůže aktivovat, aniž by využíval internetové bankovnictví. Za aplikaci samotnou tedy neuvažujeme žádný poplatek. Naopak bychom chtěli klienty podporovat, aby tyto moderní technologie využívali i do budoucna.

Uvažujete o tom, že by mobilní aplikaci šlo používat nezávisle na internetovém bankingu nebo že se za ni platilo méně než za internetový banking?

Martin Štýber: Snažíme se ji nabízet neklientům banky, ti mohou část služeb - design karty, zjištění nejbližšího bankomatu, novinky, kontakty – využívat bez aktivace, bez připojení ke kontu. Aplikaci tedy používáme zčásti i jako marketingový nástroj.

Petře Dvořáku, jak bezpečnost bankovních aplikací ovlivňuje připojení přes wi-fi? To je v Česku oblíbený způsob přístupu na internet v restauracích, kavárnách, daleko rozšířenější, než v zahraničí.

Petr Dvořák: To je obecná otázka. Přístup k  nezabezpečené sítí je vždycky problematický, protože nevím, zda na ni není nainstalovaný software, který komunikaci monitoruje. Některé aplikace, které fungují takříkajíc e-shopovým systémem, spoléhají na HTTPS. Pro útočníka tak může být otázka dvaceti vteřin nainstalovat špatnou certifikační autoritu. V tu chvíli získá přístup k nešifrované komunikaci mobilního bankovnictví mobilního, případně tím ovládne přímo účet. Známý vývojář Jindřich Šaršon z Tappy Taps nedávno testoval bankovní aplikace právě z pohledu toho, jak pracují s certifikáty. Zjistil, že některé banky vůbec nekontrolují, jestli je certifikát vydaný správnou autoritou.

Zažili jste u smartbankingu ČSOB či Ery falešné aplikace, které by se tvářily jako oficiální produkt a snažily se nabourat do přístupových údajů klientů?

Martin Štýber: Zatím naštěstí ne. Jak Apple, tak třeba Microsoft má certifikační proces v online obchodech dobrý, proces schvalování aplikací je kontrolovaný a dlouhý.

Petr Dvořák: V případě operačního systému Android, v obchodě Google Play to může být největší problém, tam je schvalovací proces nejkratší a nejjednodušší, během čtvrt hodiny jste schopni založit účet, který se jmenuje ČSOB ČR, působí nenápadně, a vyprodukovat aplikaci, která se jmenuje ČSOB ČR a začít dělat phishing poměrně rychle. Proti tomu pomáhá uživatelské hodnocení – při vyhledávání aplikací v online obchodech dostáváte jako první výsledek zpravidla oficiální aplikaci s řadou hodnocení či recenzí. Nainstalovat ty další, bez recenzí, tudíž podezřelé, vyžaduje od uživatele opravdu velkou míru neznalosti. Takže bych se toho neobával.

Tvůrci aplikace České pojišťovny se s falešnými verzemi setkali?

Tomáš Čermák: S phishingovým útokem, mohu-li to tak nazvat, jsme se nesetkali. Ale ano, potenciálně nejvyšší nebezpečí hrozí ze strany Google Play.

Co je lepší cesta: přizpůsobit jediný web mobilním zařízením, univerzálně, responzivně, anebo pro každou mobilní platformu vyvíjet speciální aplikaci?

Abhishek Balaria: Je vždy důležité dbát o uživatelský komfort. Za dva a více let budou hybridní webové aplikace možná mít podobný uživatelský komfort jako nativní, ale v současnosti toto srovnání vyznívá pro nativní aplikace, aplikace pro každou platformu zvlášť. Nejsou koneckonců ani výrazně dražší.

Petr Dvořák: Prostředí webu v dnešní době rozhodně neumožňuje úkon jako třeba naskenování složenky a vytvoření automatické platby prostřednictvím takto získaného podkladu. Jsou možnosti, které mobilní technologií internetu dnes prostě neuděláte.

Pane Walitzo, co může technologie NFC přinést vývoji aplikací, o nichž tu mluvíme?

Richard Walitza: Telefonů schopných zvládat NFC je zatím málo, vývoj je komplikovaný. Nicméně připravujeme globální koncept, kterému říkáme Telefónica Wallet Server, který bude ukládat různé aplikace pro různé typy telefonů na vzdáleném serveru, do takové vzdálené „peněženky“ může svou aplikaci dát třeba právě i banka. My vytvoříme obal, v němž budete mít veškerý svůj obsah.

A bankovní aplikace může být jednou z položek takového menu, z pohledu uživatele.

Richard Walitza: Přesně tak. Telefony se dnes mění mnohem častěji než SIM karty, proto úložiště typu Visa, MasterCard a další budete mít spjatá se SIM kartou. Už dnes, když si pořídíte nový telefon schopný zvládnout NFC a přehodíte si do něj SIM kartu, náš systém po zapnutí nového přístroje detekuje, že jste vyměnili telefon a vám přijde SMS s dotazem, zda si chcete stáhnout novou aplikaci pro nový telefon.

Pane Štýbere, kromě toho, že aplikace může fungovat jako marketingový nástroj směrem k neklientům, je vhodná i pro nabízení produktů třetích stran, například navázaných na momentální polohu uživatele telefonu? Chcete takto vydělávat?

Martin Štýber: Takové příležitosti se snažíme hledat. Online prodej produktů našich, dceřiných společností nebo třetích stran je ale pro banku problém, protože smluvní vztah mezi ní a klientem je složitý právní závazek. Snažíme se najít způsob, jak klientovi nabídnout službu, aby nemusel banku navštívit, ale aby si ji mohl kupovat přes nativní aplikaci. Závisí to na adekvátní implementaci digitálního podpisu pod takové kontrakty.

Je české publikum konzervativní? Jak se tváří na inovace, netradiční funkce aplikací?

Petr Dvořák: Aplikace České spořitelny obsahuje funkcionalitu skenování složenek, jednu z těch, které umožňují využít specifickou možnost mobilního telefonu, v tomto případě fotoaparát. Ale obecně se s tím moc nepracuje. Dělají se základní funkce a ty také lidi nejvíc používají.

Tomáš Mrkvička: Sleduji americké aplikace a míra inovativnosti, která vychází z bank, je velice nízká. Aplikace jsou téměř všechny jako přes kopírák, zahrnují základní funkcionality, jen občas mají něco navíc typu skenování šeků a proplácení. Skutečný inovační potenciál má nebankovní sektor, ať už se to týká Square nebo PayPalu. Myslím, že je to tak správně. Je to přirozený technologický vývoj, který začíná někde ve startupových myšlenkách a potom se postupně etabluje v korporátní sféře.

Martin Štýber: My jako banka o takových inovacích uvažujeme, samozřejmě chceme využít potenciál mobilního telefonu nebo tabletu. Ale otevřeně říkám: dosud se nacházíme v úvodní fázi, v konkurenčním boji, to proto, že trh s bankovními aplikacemi se teprve penetruje.

Tomáš Čermák: V Americe jsou jedním z posledních trendů tzv. person to person platby, jednoduchý způsob, jak poslat peníze přes mobil někomu, kdo sedí vedle mě. To prostřednictvím mobilní bankovní aplikace zatím nejde. A další z trendů, které se začínají objevovat, jsou tzv. mobilní kupóny. Samotné banky, velké finanční instituce se vrhají do oblasti, která je poměrně nová a naplno využívá potenciál mobilních zařízení. To znamená do oblasti cílené inzerce, která funguje tak, že jdete například kolem kina a na základě vašich preferencí vám v telefonu pípne aktuální nabídka, protože kino ví, že právě nemá vyprodaný sál. A můžete tam jít třeba za půlku ceny.

A ještě stručně k penetraci mobilních bankovních aplikací: konzervativnost a nechuť zmizí, až lidé zjistí, že lze zaplatit i bez toho, aby otevírali notebook nebo počítač a čekali pět minut, až se jim nastartují Windows, místo toho vezmou do ruky mobil nebo tablet a tutéž operaci udělají za pár vteřin. Pak se mobilní aplikace začnou šířit rychleji.

Petr Dvořák: Při vývoji hodně rozmýšlíme, zda další funkcionalitu přidat do téže aplikace, nebo vyvinout další. Na Slovensku se jeden bankovní dům vydal opravdu originální cestou: má jednu aplikaci jako skener, další pro platby, třetí pro účty. Otázka jak segmentovat funkčnost aplikací je těžká a někdy dopadne až takto komicky.

Tam už chybí jen aplikace, která bude simulovat pořadník na pobočce - že si budete moci na dálku brát lístky a čekat třeba půl hodinky doma, než zadáte příkaz.

Petr Dvořák: Měli by napsat autorizační aplikaci, která umožňuje přihlašování mezi těmi ostatními aplikacemi.

Tomáš Čermák: Otázku, jestli budovat všeobjímající aplikaci, řešíme s klienty velmi často. V Americe třeba některé bankovní domy přistupují k segmentaci funkčnosti aplikací podle cílových skupin. Mají třeba speciální aplikaci pro nejmladší studenty.

Abhishek Balaria: Samozřejmě studujeme i zahraniční trhy, já třeba se jednou týdne koukám, jaké nové aplikace jsou na trhu. Když se tu mluví o amerických bankách, my tady v Česku nejsme zas tak pozadu. Aplikace, které máme, jsou na světové úrovni – z pohledu bezpečnosti, uživatelského komfortu, funkčnosti.

Square a podobné služby jsou úplně jiná oblast. Tou by se neměly zajímat přímo banky. Pro ně to může být okrajová věc, o níž se podělí s operátory.

Ale znovu: nemyslím, že by zahraniční banky nebo vývojářské studie byly výrazně dál, jsou velmi podobné všude. Možná jen v Turecku, tam jsem nedávno objevil čtyři velmi zajímavé a propracované aplikace. Takže možná sledovat Turecko.

Pane Walitzo, jaký očekáváte zájem o Mobito, řekněme v prvním roce fungování? Můžete říci za Telefóniku, jaké naděje vkládáte do této nové služby?

Richard Walitza: Tento projekt je společný projekt, to není projekt pouze Telefóniky. Je to sdružení čtyř velkých bank České spořitelny, UniCredit, GE Money, Raiffeisenbank a tří mobilních operátorů Telefónica, T-Mobile a Vodafone, těchto sedm subjektů se rozhodlo připravit produkt pro koncové uživatele. Cílem je umožnit platby mezi koncovými uživateli, na dálku, nejenom NFC. Zaplatíte fakturu, dobijete kredit, zaplatíte u obchodníka v restauracích. Jak úspěšné to bude, to bychom velmi rádi věděli. Věříme, že spojení zmíněných subjektů zajistí, že komunikace vůči koncovému zákazníkovi bude dostatečná a že zájem vzbudí.

Kolik řádově počítáte uživatelů v prvním roce? Tisíce, desetitisíce, statisíce?

Richard Walitza: V  prvním roce to určitě nebudou statisíce, nicméně počítáme, že do tří let budou Mobito stovky tisíc zákazníku Telefóniky používat. Tak to plánujeme.