Na první pohled tohle místo připomíná spíš pevnost: obehnané vysokými ploty, na každém kroku výkonné bezpečnostní kamery a návštěvy jen v doprovodu. V belgickém Waterloo stojí evropské ústředí společnosti Mastercard, kde sídlí také její centrum kybernetické odolnosti a celosvětový inovační hub. Právě tady se zrodily technologie, kterými dnes platíme – plastové karty s čipem a PIN kódem nebo novější protokoly pro bezkontaktní platby. A dnes tu pracují na další novince, která má v platbách rozpoutat největší posun této dekády.

S Českou republikou pojí tento komplex, stojící čtyři kilometry od památníku Napoleonovy prohrané bitvy, jeden lehce úsměvný příběh. Ředitelka pro ochranu soukromí Caroline Louveaux dodnes vzpomíná na období překotného zavádění evropského nařízení o ochraně osobních údajů, známého pod zkratkou GDPR. Vedení Mastercard tehdy spolupracovalo s tvůrci směrnic, aby přísná ochrana dat současně nesvázala ruce systémům, které v pozadí loví podvodníky.

„V den zavedení pravidel mi volali z recepce, že pro mě mají balíček. Překvapivě schovaný v lednici. Byl tam nádherně barevný GDPR dort, který nám poslala tehdejší evropská komisařka Věra Jourová,“ vypráví za stolem ve Waterloo Louveaux, která ale hned zvážní, jakmile přijde řeč na citlivá data. „Ochrana soukromí pro mě není a nikdy nebyla otázkou vyjednávání. Zatímco mnoho jiných firem si tenkrát stěžovalo, my jsme nové nařízení vítali. Takto nám poděkovala, že jsme patřili k obhájcům GDPR, které bylo tak trochu jejím dítětem.“

Foto: Mastercard

Ředitelka pro ochranu soukromí Caroline Louveaux a Philipp Bruchert, viceprezident pro komunikaci

U placení kartou či na internetu je naprosto klíčová důvěra – a s tím úzce souvisí nejen zmíněná ochrana soukromí, ale taky zabezpečení dat a jistota. Třeba v to, že Evropa nebude bezhlavě závislá na Spojených státech. Ostatně jen v loňském roce protekly skrze 980 milionů evropských karet Mastercard přes tři biliony eur (73 bilionů korun). Spolu s platbami provedenými konkurenčními kartami Visa tak tyto dvě americké společnosti zpracovávají 90 procent všech karetních transakcí v EU.

Nedávno proto Mastercard přislíbila, že ke svým dvanácti evropským datacentrům vybuduje do konce letoška i tři nová ve Francii. Lokální datacentra by měla zajistit ověřování plateb v Evropě i ve chvíli, kdy by třeba došlo k fyzickému přerušení transatlantických podmořských kabelů. Proč zrovna ve Francii? Podle technického ředitele firmy Eda McLaughlina země nabízí spolehlivý přístup k jaderné energii.

Foto: Mastercard

Budova evropského ředitelství Mastercard ve Waterloo

A právě stabilní energie bude potřeba pro to hlavní, co se ve Waterloo a také v obřím inovačním hubu v Dublinu chystá – platby prováděné umělou inteligencí. Od výběru zboží až po bezpečné zaplacení má vše vyřídit umělá inteligence, zatímco se zákazník už dávno věnuje něčemu jinému. Před zhruba šesti měsíci oznámily firmy OpenAI i Anthropic, že podobnou možnost ve svých nástrojích nabídnou. Z vývojářského prostředí ovšem novinka letos v březnu bez větší pozornosti zmizela.

Svěřit data z karty umělé inteligenci je stále ještě příliš riskantní cesta, Mastercard proto pracuje na bezpečnějším řešení. Produktový ředitel Jorn Lambert jeho princip předvádí v jedné ze zasedacích místností na pořízení dárku pro synovce k jeho třetím narozeninám. Svému digitálnímu asistentovi zadal úkol, aby mu pomohl vybrat a vzápětí koupit dětské odrážedlo. Asistent mu okamžitě nabídl tři dostupné možnosti, nicméně Lambertovi přišla cena zatím příliš vysoká – asistentovi proto přikázal hlídat konkrétní model napříč několika prodejci a do poslední chvíle čekat, jestli se do narozenin synovce neobjeví ve zvýhodněné akci.

Stejně snadno šlo agenta zaúkolovat, aby k odrážedlu pořídil i helmu a chrániče na kolena. Umělá inteligence zvládla prohledat internet a obratem koupit všechny tři věci, a to současně nebo i u tří různých obchodníků. To vše bez vyplňování opakujících se formulářů v e-shopech, jednoduše v rámci jediné konverzace s agentem, kterému stačí přidělit právo konkrétní věci pořídit s jasně definovaným rozpočtem i časovým rámcem. „Jde o největší technologický posun této dekády, který zasáhne každý aspekt e-commerce,“ věří Lambert a ilustruje dopady této změny i na tom, že lidé už nebudou muset „vstávat o půlnoci, aby ulovili lístky na Beyoncé“, když za ně vše obstará AI agent.

Tím zároveň vzniká zásadní paradox. Umělé inteligenci začínáme svěřovat pravomoc utrácet reálné peníze, ale logicky jí nechceme odevzdat ta nejcitlivější osobní data, se kterými by mohla nakládat bez naší kontroly. Řešením tohoto problému má být nový technologický standard s názvem Verifiable Intent (v češtině ověřitelný záměr), na kterém Mastercard pracuje ve spolupráci se společností Google. Cílem je nabídnout provozovatelům známých jazykových modelů, jako je OpenAI či Anthropic, propojení s nástrojem Mastercard Agent Pay.

Nákupy by AI agent měl brzy zvládnout přímo z chatu

„V praxi to znamená, že zákazník udělí šifrovaný souhlas svému agentovi s doplňujícími podmínkami a ten se jím prokáže u konkrétního obchodníka,“ vysvětluje Lambert. Vznikne tak kryptograficky zabezpečený a nezměnitelný záznam o tom, k čemu dal uživatel oprávnění, aniž by se internetem toulala konkrétní čísla karet nebo jiné osobní údaje přesahující rámec samotného nákupu.

Agentické platby v podání Mastercard budou navíc využívat stejnou technologii, jakou jsou zabezpečeny bezkontaktní platby. Na pozadí toho, co uživatel vidí při placení na internetu, se dnes odehrává proces označovaný jako tokenizace. Skutečné číslo karty se nahradí unikátním a pro zloděje bezcenným digitálním kódem neboli tokenem. Nevyžaduje se opakované opisování čísel, o vše se stará Mastercard a ověření přes bankovní aplikaci v mobilu. Cílem do roku 2030 je ochránit tímto způsobem sto procent všech transakcí na internetu, zatím je to zhruba polovina.

Kyberbezpečnost a evropská suverenita

Jakmile si vyslechneme, že dál v komplexu už není možné fotografovat, vydáme se do velína Evropského centra pro kybernetickou odolnost (ECRC), v jehož čele stojí Fadwa Rachi. Nejprve projdeme několika dveřmi, které se otevírají na otisk prstu, a vyjdeme na galerii nad prostorem, ve kterém jsou stoly soustředěné kolem velkého centrálního panelu. Na něm momentálně svítí pouze ilustrační data, jelikož vše, co tato sekce společnosti Mastercard řeší, se týká bankovních převodů a jde o extrémně citlivé údaje.

Toto centrum drží nepřetržitý dohled nad karetními transakcemi Mastercard v Evropě a mapuje situaci v kybernetickém prostoru po celém světě. Ve velínu se střídá na službách tým celkem 30 bezpečnostních expertů – sedí u stolů, které svým rozestavěním a centrální obrazovkou skoro připomínají řízení vesmírných misí. Nevyhodnocují pouze kybernetické hrozby, ale analyzují i dopady významných událostí v reálném světě. Ať už šlo o lokální výpadky proudu ve Španělsku nebo obří událost typu olympiáda v Paříži, úkolem velína je zajistit plynulost a prostupnost platební sítě za jakýchkoliv okolností.

Foto: Mastercard

Na obrazovkách ve velíně evrospké centra pro kybernetickou bezpečnost a odolnost byly jen ilustrační přehledy

A navíc právě tady pracují i na vylepšování ochrany karetních operací. Viceprezident pro globální kyberbezpečnostní řešení Rigo Van den Broeck třeba ukazuje, jak jeho tým před lety vyvinul řešení s názvem Safety Net, které pak zcela zneškodnilo velké „cash-out“ podvody. Ty probíhaly tak, že organizovaná zločinná skupina v jednu chvíli začala vybírat peníze z bankomatů pomocí ukradených karet v desítkách zemí naráz. Ještě než banky podezřelou vlnu výběrů vůbec zaregistrují a domluví se na postupu, Mastercard dnes snahy útočníků blokuje a celkové škody snižuje na zlomek.

Hrozby se nicméně od bankomatů časem přesunuly do virtuálního prostoru. A stejně jako umělá inteligence může být užitečná při platbách, umí i škodit. Van den Broeck upozorňuje, že kyberzločinci dnes například masivně využívají AI k útokům postaveným na rychlém hádání čísel platebních karet. Ale i na tohle už ve firmě reagují a budují tady další nástroje, které postaví proti algoritmům útočníků.