Smartphone místo platební karty

Pokud jde o placení, jsou Češi jednoznačně milovníky nových technologií. V přepočtu na obyvatele patříme například ke světové špičce v používání bezkontaktních platebních karet, popřípadě různých bezkontaktních nálepek. A podobný úspěch zaznamenává také placení prostřednictvím smartphonu a bezdrátové přenosové technologie NFC, se kterým jako první přišla na náš trh banka ČSOB již v polovině roku 2016. Opravdový rozmach bezkontaktního placení smartphony ale nastartoval až Google, který na podzim loňského roku spustil v České republice svoji platební službu Google Pay (před rokem se ale ještě jmenovala Android Pay). A i když se o tom často hovoří jako o hotové věci, stále čekáme na první českou banku, která k nám přivede službu Apple Pay, se kterou budou moci bezkontaktně platit i majitelé iPhonů.

Google a Apple ale nejsou jedinými poskytovateli služeb pro placení pomocí mobilních zařízení. Z nadnárodních platebních systémů stojí za pozornost jistě i Garmin Pay a Fitbit Pay, dvě velmi podobné služby, provozované výrobci chytrých hodinek a fitness náramků. S vlastními řešeními pro mobilní platby přicházejí i samotné banky, takže od letošního roku mají platební aplikace pro platby prostřednictvím androidových smartphonů s NFC k dispozici i klienti Air Bank a České spořitelny. Možná se divíte, proč banky vyvíjejí vlastní řešení a související aplikace pro bezkontaktní platby mobilem, namísto aby využily hotová řešení od Applu či Googlu. Důvody jsou v zásadě dva. Ten první je spojený s financemi, resp. poplatky, které za realizované platby inkasuje zprostředkovatel. Google a Apple jsou v tomto případě dalšími články řetězce vedoucího od zákazníkova bankovního účtu až k obchodníkovi. Svoji provizi za zprostředkování dostává provozovatel karetního systému (u nás nejčastěji MasterCard a Visa), stejně jako provozovatel platebního systému (Google či Apple). A právě na vyjednávání o ceně za zprostředkování plateb zatím vázne dohoda Applu s některou z českých bank. Druhým důvodem vývoje vlastního platebního systému je pro banku jistota v podobě řešení, které má plně pod svou kontrolou.

Platby přes NFC jsou rychlejší

Při platbě prostřednictvím NFC čipu ve vašem smartphonu je proces na pokladně prakticky úplně stejný jako při placení bezkontaktní kartou. Pouze před platebním terminálem nezamáváte plastovou kartičkou, ale svým telefonem. Šikovné přitom je, že platby mobilem neautorizujete prostřednictvím PIN kódu, ale otiskem prstu, přiloženého na snímači vašeho smartphonu. U Google Pay přitom u transakcí do 500 korun stačí odemknout displej smartphonu, platba větších částek se ještě jednou ověřuje otiskem.

Ať už kartou, nebo mobilem, bezkontaktní platby jsou výrazně rychlejší než jiné platební metody. Výzkumníci společnosti GFK si dali tu práci a zjistili, že zatímco běžná platba hotovostí zabere kolem 24 sekund a platba kartou s nutností zadání PIN kódu trvá 23 sekund, bezkontaktní placení proběhne za pouhých 11 sekund. Možná vám to přijde nepodstatné, ale asi jen do chvíle, kdy budete stát nekonečnou frontu u pokladny v supermarketu.

Podpora plateb u obchodníků

Obrovskou výhodou plateb telefonem pomocí NFC je velmi široká podpora tohoto způsobu placení mezi českými obchodníky. Všude tam, kde je obchodník vybaven karetním terminálem s podporou bezkontaktních plateb, je možné zaplatit i smartphonem nebo chytrými hodinkami. Takových míst je po České republice kolem 150 tisíc a další přibývají. Z dlouhodobé zkušenosti s platbami mobilem prostřednictvím Google Pay můžeme zodpovědně prohlásit, že zaplatit lze opravdu téměř kdekoli a kompatibilita s různými typy terminálů je naprosto bezproblémová.

Platební kartu, kterou máte v elektronické podobě ve svém smartphonu, téměř vůbec nepotřebujete, s výjimkou občasné nutnosti ověření transakce zasunutím platební karty do terminálu. Tuto proceduru čas od času vyžaduje například Komerční banka, takže vyrazit na nákup zcela bez karty, jen se smartphonem, vám úplně doporučit nemůžeme. Google nedávno rozšířil možnost placení přes Google Pay i na internetu, kde můžete rovněž použít svou platební kartu uloženou ve vašem smartphonu. Díky spolupráci Googlu se společností Global Payments Europe je možné metodou Google Pay, resp. prostřednictvím tlačítka GPay, zaplatit například v e-shopech Datart, Dr. Max, Baťa, ČSA, Notino, PetCenter, T-Mobile, Sportisimo, Zoot i dalších. Největší výhodou této platební možnosti je úspora času, protože odpadá nutnost pokaždé znovu vyplňovat dlouhé formuláře s platebními údaji. Také se vyhnete uložení platebních údajů u obchodníka, pokud chcete příště nakupovat rychleji. Uzavřený svět Applu

Tradičně velmi odlišné přístupy k možnostem bezkontaktních plateb zastávají mobilní platformy Applu a Googlu. Takže zatímco si majitelé androidových smartphonů mohou kromě Google Pay zvolit i jakoukoli jinou platební službu, typicky aplikaci své banky, Apple žádné jiné platební služby v iPhonech nepodporuje – jednoduše nezpřístupnil rozhraní NFC aplikacím třetích stran. Takový přístup se ale poměrně zásadně nelíbí orgánům Evropské unie, dohlížejícím na konkurenci a volný trh, které si na Apple asi velmi brzy posvítí.

Majitele smartphonů s Androidem musí zajímat jen výbava jejich konkrétního smartphonu, která musí zahrnovat NFC čip a Android 4.4 či novější. To by asi pro většinu současných androidových mobilů neměl být problém. Snímač otisků prstů pro bezkontaktní platby povinný není, ale podstatně vám placení urychlí, protože nebudete muset vyťukávat na klávesnici PIN, ale platbu ověříte přiložením prstu na snímač.

Vložení karty do Google Pay či jiné platební aplikace je pak velmi snadné, stačí jen kartu nastavit před fotoaparát smartphonu, kterým si aplikace načte potřebné údaje. Sami pak zadáte CVV/CVC kód z druhé strany karty. Banka může ještě vyžadovat autorizaci přiřazení karty k platební službě přihlášením do aplikace mobilního bankovnictví. U platebních aplikací bank se používají vlastní procedury zpřístupnění karet pro mobilní platby, zahrnující typicky ověření požadavku v mobilním či internetovém bankovnictví. Garmin Pay a Fitbit Pay řeší vložení platebních karet a související nastavení v prostředí svých mobilních aplikací pro ovládání funkcí chytrých hodinek a fitness náramků.

Samotné platby jsou nejjednodušší s iPhonem a službou Apple Pay, protože vůbec nezáleží na tom, zdali je váš iPhone uspaný nebo odemknutý. Odemknutí a ověření pomocí PIN kódu, Touch ID nebo Face ID se vyžaduje jen při platbách větších částek, jinak stačí jen iPhonem mávnout nad bezdotykovým platebním terminálem. U služby Google Pay záleží na konkrétním použitém smartphonu – někdy lze platit se zamknutým displejem, u jiných přístrojů je třeba obrazovku odemknout. Pokud ale svůj androidový smartphone odemykáte otiskem prstu, nijak vás to při placení zdržovat nabude. Větší transakce se ověřují PIN kódem nebo otiskem prstu. Platit je možné i bez připojení k internetu, ale po několika transakcích je nutné se zase připojit. I v podzemních garážích bez signálu nebo sklepní restauraci ale zaplatíte bez problému.

Chytré hodinky snímač otisků prstů nemají, takže se prováděné platby autorizují PIN kódem. Výhodou přitom je, že ovládací aplikace od Garminu i Fitbitu jsou k dispozici jak pro Android, tak pro iOS, takže můžete využívat NFC platby prostřednictvím jiné služby než Apple Pay i na iPhonu – nepoužije se totiž jeho NFC, ale bezdrátový čip v hodinkách, které jsou s iPhonem propojené přes Bluetooth.

Dostatečná bezpečnostní opatření

Bezdrátové propojení přes NFC mezi smartphonem či chytrými hodinkami a platebním terminálem je samozřejmě zašifrované, ale z bezpečnostního hlediska je mnohem důležitější, že se mezi zařízeními během platby nepřenášejí žádná citlivá data. Platební aplikace pro Android totiž většinou využívají technologii Host Card Emulation (HCE) a Apple má pro účely plateb vlastní zabezpečení na úrovni hardwaru, nazvané Secure Enclave. Obě tyto technologie používají pro realizaci plateb tzv. tokeny, přenášené mezi zařízením použitým pro platbu a platebním terminálem, které obsahují speciální identifikátor platby. Pokud se případný útočník k takovému tokenu dostane, nebude mu naprosto k ničemu, protože údaje z tokenu dokážou dešifrovat pouze servery platebních sítí, které na základě těchto údajů správně zaúčtují platbu. Pro použití tokenů není nezbytně nutné připojení k internetu, protože je jich několik uloženo přímo v paměti mobilního telefonu. Použité tokeny jsou nahrazeny novými, jakmile se váš smartphone opět připojí k internetu.
Dalším bezpečnostním opatřením bezkontaktních plateb mobilem je již zmíněná autorizace větších plateb prostřednictvím PIN kódu nebo otisku prstu. Hranice je zpravidla nastavena na 500 korun a ani tuto částku není možné bez ověření platit donekonečna.

Rychlé platby mobilem

Trend v oblasti plateb u obchodníků je naprosto jasný: klienti bank mají o bezkontaktní platby mobilem či chytrými hodinkami velký zájem, protože je to rychlé a komfortní. Jedinou brzdou dalšího rozvoje jsou dohody mezi velkými poskytovateli platebních služeb a lokálními bankami. Ty se občas sice vydávají vlastní cestou a vyvíjejí si svoje aplikace pro mobilní platby, ale jak ukazují komentáře uživatelů u aplikací My Air a NaNákupy (Ait Bank a ČSOB), vlastní řešení bank nejsou ani zdaleka tak pohodlná a bezproblémově funkční jako systémy Google Pay a Apple Pay. Konkrétně u ČSOB se očekává zpřístupnění plateb přes Google Pay v prvním čtvrtletí následujícího roku, což by velmi pravděpodobně vedlo k ukončení platební služby NaNákupy. Další, kdo asi brzy naskočí na rozjetý vlak Google Pay, bude pravděpodobně Fio banka a Equa bank. Raiffeisen bank se naopak přidá na stranu Air Bank a České spořitelny a přijde s vlastní platební aplikací. Jasně se ale ukazuje, že bez možnosti plateb mobilem se dnes žádná banka orientovaná na běžné klienty neobejde.

Mobilní systémy platební Apple Pay Fitbit Pay Garmin Pay Google Pay My Air NaNákupy Poketka
Funkce
Ovládání
Zabezpečení
FUNKCE
Platební metoda digitální karta digitální karta digitální karta digitální karta digitální karta digitální karta digitální karta
Podpora ze strany bank v ČR zatím žádná Moneta Money Moneta Money KB, mBank, J&T, Air Bank ČSOB, Era, Česká spořitelna
Bank Bank Moneta Poštovní
spořitelna
Systémové požadavky iPhone 6 kompatibilní hodinky kompatibilní hodinky Android 4.4, NFC Android 4.1, NFC Android 5, NFC Android 4.4, NFC
a novější Fitbit Garmin
Platby hodinkami ? (Watch) jen Apple ? ? ? (s Wear OS) 0 0 0
Podpora Android/iOS 0/? ?/? ?/? ?/0 ?/0 ?/0 ?/0
OVLÁDÁNÍ
Nastavení složitější složitější složitější snadné složitější složitější složitější
otevření aplikace ?/0 ?/? ?/? ?/0 ?/0 ?/0 ?/0
Off-line platby / nutnost
Ověření zařízení na mobilním ? ? ? ? ? ? ?
ZABEZPEČENÍ
Technologie NFC Secure Enclave Secure Enclave Secure Enclave Host Card n/a n/a n/a
Emulation
Přenos terminálu dat do platebního 0 0 0 0 0 0 0
Podpora biometrie ? 0 0 ? ? ? ?
Zabezpečení malých plateb ? ? ? ? ? ? ?

Zájem Čechů o placení mobilem roste Češi mají hned několik možností, jak platit za nákupy prostřednictvím svého smartphonu vybaveného NFC čipem. Službu Google Pay využívá přes 60 000 českých klientů bank, kteří za první půlrok od jejího spuštění provedli přes 200 tisíc plateb. Další lidé pak platí prostřednictvím vlastních aplikací bank. Platby mobilem jsou velmi populární i v dalších zemích.

Aplikace pro platby mobilem

>Google Pay: Od poloviny listopadu loňského roku mohou klienti, zatím ale jen několika českých bank, platit prostřednictvím služby Google Pay (v době uvedení nazvané ještě Android Pay). Kromě platebních karet si můžete do aplikace Google Pay uložit i různé slevové a zákaznické karty. >My Air: Air Bank přišla s možností mobilních plateb přes NFC na jaře letošního roku. Klientům k mobilním platbám slouží aplikace mobilního bankovnictví Air Bank. V Obchodě Play si ale řada klientů stěžuje na spolehlivost mobilních plateb u různých obchodníků. >Poketka: Česká spořitelna si s uvedením své aplikace pro placení mobilem uřízla letos v létě pěknou ostudu. Svoji aplikaci pro bezkontaktní platby přes NFC pojmenovala Saifu, což je ale název registrovaný společností Paymaster. Aplikace pak byla přejmenována na Poketka. >NaNákupy: Aplikace podporovaná bankou Era, Poštovní spořitelnou a ČSOB (všechny tyto banky patří do skupiny ČSOB) představovala v již v polovině roku 2016 první možnost, jak v Česku platit mobilem na karetních terminálech. Také u této aplikace si ale uživatelé stěžují na spolehlivost. Čekání na Apple Pay

Google spustil službu Google Pay v České republice 14. listopadu 2017, kdy se Česko stalo vedle Polska teprve druhou středoevropskou zemí, kde je tato služba dostupná. Jako první implementovaly platby přes Google Pay banky mBank, Moneta Money Bank a J&T Banka. Komerční banka se přidala na začátku prosince 2017 a novou platební metodou nahradila svoji službu a stejnojmennou aplikaci MojeMobilní karta. Podle dostupných informací by měly platby přes Google Pay začít v následujících měsících podporovat také banky FIO a ČSOB. > Google Pay: Omezenou podporu Google Pay ze strany jen několika českých bank můžete velmi snadno obejít zřízením účtu u internetové banky Revolut. Registrace na webu zabere jen několik minut a Revolut vám vystaví elektronickou

i fyzickou platební kartu. Tu si pak můžete zaregistrovat do Google Pay a začít platit smartphonem. Mimo to nabízí Revolut velmi výhodný kurz při platbách v cizích měnách i výběry v bankomatech po celém světě. > Apple Pay: Již několikrát se spekulovalo o tom, že je uvedení NFC platební služby Apple Pay v Česku na spadnutí – zatím posledním hojně zmiňovaným termínem bylo čtvrté čtvrtletí letošního roku. Nyní je ale už jasné, že letos zavítá Apple Pay do sousedního Německa a klienti českých bank si budou muset počkat minimálně dalších pár měsíců. Zavedení Apple Pay totiž není ani tak technologickým, jako spíše obchodním problémem – banky si musí se společností Apple domluvit finanční podmínky zprostředkování plateb.

Rychlé nakupování přes Google Pay

Do aplikace Google Play si můžete uložit více platebních karet od spolupracujících bank a jednu z nich si nastavit jako výchozí pro bezkontaktní platby. Aplikace vede přehled vašich nákupů a můžete si do ní vložit i různé slevové, zákaznické a klubové karty s čárovými kódy.

Placení chytrými hodinkami

Proč byste měli vytahovat z kapsy smartphone, když máte na ruce chytré hodinky s NFC čipem? Možnost platit chytrými hodinkami mají už i jejich čeští majitelé. > Apple Watch: Apple tradičně sází na svůj uzavřený ekosystém, takže kromě vlastní služby Apple Pay neumožní platby přes NFC žádnému jinému prostředníkovi či bance. Když chcete ve světě Applu platit hodinkami, potřebujete iPhone s Apple Pay a Apple Watch. > Wear OS: Operační systém Googlu, určený pro chytré hodinky, sice v principu

umožňuje bezkontaktní platby, ale aktuálně je jen velmi málo hodinek s Wear OS vybaveno potřebným NFC čipem. > Garmin Pay: Služba Garmin Pay je od začátku letošního září dostupná i českým klientům Moneta Money Bank. Bezkontaktní platby ale podporuje jen několik novějších modelů chytrých hodinek Garmin, vybavených NFC čipem. > Fitbit Pay: Úplně stejně jako Garmin Pay podporuje Moneta Money Bank i platební službu Fitbit Pay. Platit lze hodinkami Fitbit Ionic a Fitbit Versa i novým náramkem Fitbit Charge 3 Special Edition. Útoky na NFC

Každý přenos dat představuje prostor pro potenciální útok. To samozřejmě platí pro bezkontaktní platby – kartou i mobilem. Objevují se informace o úspěšných útocích na přenosy přes NFC, stejně jako existují i volně dostupné aplikace, které umí načíst data z bezkontaktní karty. Reálnému ohrožení bezkontaktních plateb ale stojí v cestě hned několik zásadních překážek. Tak především, útočník by musel svoje čtecí zařízení dostat na vzdálenost nejvýše několika centimetrů od vaší karty či mobilu. Dále by musel každou

(větší) transakci autorizovat – typicky prostřednictvím otisku prstu. A konečně, musel by si poradit s daty o platbě (tzv. tokenem), která jsou součástí uzavřeného platebního

NFC platby i iPhonem Služby Garmin Pay a Fitbit Play chytrým způsobem obcházejí omezení NFC v iPhonech pouze na platební službu Apple Pay. Platební kartu si uložíte do iPhonu nebo androidového smartphonu, ale o spojení s platebním terminálem se postarají hodinky.

Foto popis| Rychlé a snadné: Zákazník jen přiloží smartphone u bezdotykového platebního terminálu, a pokud jde o vyšší částku, potvrdí platbu otiskem prstu.

O autorovi| JÖRG GEIGER, RADEK KUBEŠ, RADEK KUBEŠ, autor@chip.cz S