3D Secure powoli do przodu – wkrótce w Millennium

Przy okazji 10-lecia PRNews.pl pisaliśmy o zmianach, jakie zaszły w ostatniej dekadzie w bankowych technologiach. Nie zabrakło tam wzmianki o systemie 3D Secure, który na polskim rynku detalicznym pojawił się po raz pierwszy w 2007 roku (2 lata wcześniej dla klientów korporacyjnych). Dziś debiutuje on w Banku Millennium. Czy w tym przypadku można powiedzieć „lepiej późno niż wcale”?

Wprowadzenie standardu EMV w większości krajów europejskich przyniosło oczekiwane efekty. Liczba transakcji oszukańczych zaczęła w końcu spadać. Skradziona czy zgubiona karta przestała być łakomym kąskiem dla „znalazcy”, chyba, że towarzyszy jej PIN. Kartowi oszuści dostosowali się do nowych realiów. Dziś przede wszystkim eksportują obrazy pasków magnetycznych, zdobyte chociażby w montowanych tu i ówdzie skimmerach, do krajów, gdzie standard kart mikroprocesorowych jeszcze nie dotarł.

Jest jednak jeden obszar, w którym przestępcy zdecydowanie są w natarciu – transakcje „card not present”, czyli przede wszystkim płatności w sieci. Standard EMV nie zmienił nic w sposobie użycia plastikowego pieniądza w internecie. Nadal do dokonania transakcji wystarczający jest dostęp do podstawowych danych o karcie i jej posiadaczu. 3D Secure to rozwiązanie, które można nazwać odpowiednikiem „chip & PIN” w sieci. Ma ono zapewnić bezpieczeństwo kartowych transakcji, a w szczególności uszczelnić najbardziej do tej pory niepewną część procesu – autoryzację posiadacza karty.

Jednorazowe hasło na pomoc

Organizacje Visa i MasterCard na potrzeby promowania rozwiązania wśród masowej klienteli stworzyły kojarzące się z bezpieczeństwem hasła – „Verified by Visa” i „MasterCard SecureCode”. Z punktu widzenia płacącego kartą amatora internetowych zakupów nowy schemat płatności różni się od tradycyjnego jednym elementem – koniecznością potwierdzenia transakcji w wybrany przez bank sposób. Po wyborze formy płatności, kupujący zostaje przekierowany na specjalną stronę internetową, gdzie wpisuje np. jednorazowe hasło otrzymane w wiadomości SMS lub wyświetlone przez token.

W Millennium transakcje będą zatwierdzane jednorazowymi hasłami SMS. Po wprowadzeniu nowej usługi w czerwcu, klienci będą mogli dokonać trzech kartowych transakcji bez dodatkowego potwierdzenia. Po wyczerpaniu tego limitu płatności internetowe bez SMS-owej autoryzacji nie będą realizowane.

Z dobrodziejstw 3D Secure korzystają obecnie klienci BZ WBK oraz Citibanku. Warto jednak dodać, że nowa usługa spotkała się z mieszanymi reakcjami. Część klientów ulubionego banku Chucka Norrisa buntowała się przeciwko dodatkowym opłatom związanym z otrzymywanymi SMS-ami (po wyczerpaniu darmowej puli). Na internetowych forach znaleźć można także opisy sytuacji, w których dodatkowe zabezpieczenie skutecznie utrudniło sfinalizowanie transakcji.

Klienci Millennium, jak podaje bank, będą korzystać z nowych zabezpieczeń bez dodatkowych opłat. Osoby, które nie wykorzystały do tej pory H@seł SMS, będą musiały aktywować tę usługę.

Dlaczego tak powoli?

Wprowadzanie 3D Secure przez polskich wydawców kart odbywa się wyjątkowo ociężale. W ciągu 5 lat na taki krok zdecydowały się tylko pojedyncze instytucje. Być może problemem jest skomplikowana procedura i technologiczna strona przedsięwzięcia. Fakt, że karty płatnicze w lokalnym e-handlu ustępują pola przelewom pay-by-link także nie skłania do inwestowania w dodatkowe zabezpieczenia. W innych krajach rolę marchewki odegrać mogła zasada przesunięcia odpowiedzialności obejmująca strony, które wdrożą 3D Secure oraz ochrona przed chargebackami (plus korzystniejsze opłaty interchange), lecz na rodzimym rynku jakoś nie widać by mechanizmy te spełniły swoje zadanie.

Z punktu widzenia płacących kartami Verified by Visa i MasterCard SecureCode to zdecydowanie krok w dobrą stronę. Dodatkowe zabezpieczenia mogą dać użytkownikom poczucie bezpieczeństwa. W końcu samo przepisanie danych karty płatniczej już nie wystarczy, by na nasze konto ktoś dokonywał zakupów. To niezaprzeczalna zaleta. Warto jednak zaznaczyć, że rozwiązania narzucane przez organizacje płatnicze mają także swoich krytyków. Ciekawą lekturą dla osób zainteresowanych bezpieczeństwem kartowych płatności może być publikacja badaczy z Uniwersytetu w Cambridge zatytułowana „Verified by Visa and MasterCard SecureCode: or How Not to Design Authentication”.  Autorzy zwracają uwagę, że niektóre elementy systemu 3D Secure, np. proces aktywacji zabezpieczenia podczas zakupów (ADS – activation during shopping) zaprojektowano w sposób, który może wywołać mylne wrażenie, iż to strona sklepu (lub agregatora płatności) prosi o wrażliwe dane. Proces „enrollment”, czyli aktywacji 3D Secure bywa z tego powodu używany jako przynęta przez strony phishingowe.

Można narzekać na niedostatki 3D Secure, ale wyboru nie ma. Po Millennium do grona obsługujących standard dołączą zapewne kolejni lokalni gracze. Pytanie tylko czy na następny komunikat będziemy znowu czekać kilka lat…

Źródło: PR News