PRAHA Plzeňská karta, která byla dávána za vzor pražskému systému Opencard, má problémy. Dopravní podnik města Plzeň nyní začal některé karty blokovat. Příčinou jsou rozdíly mezi vykázaným a skutečně zaplaceným jízdným.
„Nové případy jsme zaznamenali v posledním měsíci. Celkové škody na jízdném z těchto zneužití karty se pohybují v řádech stovek korun,“ uvedl ředitel plzeňského dopravního podniku Michal Kraus.
Ve srovnání s Prahou, kde systém Opencard stál více než 880 milionů korun, přišla Plzeňská karta jen na 260 milionů korun. Přitom umožňuje i placení vstupného a zlevněné nákupy v některých obchodech. Používá však zastaralý čip, který nedokáže ochránit data na kartě. Zatímco v Praze šlo přečíst jméno držitele a jeho datum narození speciální čtečkou za tisíc až dva tisíce korun, v Plzni na to stačí běžný mobilní telefon s technologií pro blízkou komunikaci NFC. V prodeji jich jsou desítky.
Aplikace, kterou lze do mobilu stáhnout z internetu, přečte nejen jméno a datum narození držitele, ale i kolik je na kartě peněz. A může tuto částku zcela vymazat nebo i zvýšit, aniž o tom majitel karty ví. Mobil totiž funguje bezdotykově, na vzdálenost do deseti centimetrů. Útočník se v tlačenici v trolejbusu na okamžik přitiskne k oběti, ta má najednou prázdnou kartu a zbytečně revizora přesvědčuje, že včera kartu dobila stokorunou.
„Zneužité karty byly zachyceny a eliminovány bezpečnostními mechanismy systému Plzeňské karty. Upozorňujeme všechny uživatele, že Plzeňská karta je bezhotovostním platebním prostředkem a pokusy o její zneužití jsou trestné,“ varuje ředitel Kraus, podle něhož není možné s daty na kartě manipulovat bez vědomí držitele karty.
Známý kryptolog Tomáš Rosa je ale přesvědčen, že oběť o útoku vůbec vědět nemusí. „Pokud má člověk kartu v batohu nebo v kabelce, stačí na okamžik přiložit zapnutý mobil. Při nastupování do autobusu nebo někde ve frontách v obchodních centrech si toho nikdo nevšimne,“ řekl Rosa.
Podle právníka Martina Bohuslava z advokátní kanceláře Ambruz & Dark cestující trestně odpovědni nejsou. „Koupili si a používají Plzeňskou kartu v dobré víře, tam nelze stanovit nějaké zavinění,“ uvedl Bohuslav. Naopak velký problém má podle něj dopravní podnik. „Dopravní podnik jako správce osobních údajů je povinen zabezpečit jejich ochranu. Pokud tak nečiní, hrozí mu sankce až deset milionů korun,“ uvedl právník.
V případě Plzeňské karty jde podle něj navíc o takzvané vydání elektronických peněz malého rozsahu a podnik musí zajistit, aby těmito prostředky nemohl manipulovat nikdo jiný než držitel karty.
„Když podnik tuto podmínku nesplní, hrozí mu od České národní banky pokuta až dvacet milionů korun,“ připomněl Martin Bohuslav.
Rizikové čipové karty se používají i v dalších městech, například v Liberci či v Hradci Králové.
Téma čtěte na straně 15
