Banki mają czas do końca stycznia na wzmocnienie zabezpieczeń transakcji kartowych wykonywanych w internecie. Na rynku pojawiło się nowe rozwiązanie, które wzmacnia ochronę przed złodziejami. To karta ze zmieniającym się kodem CVC/CVV.
Komisja Nadzoru Finansowego dała bankom czas do końca stycznia na wzmocnienie zabezpieczeń stosowanych przy transakcjach kartowych w internecie. To efekt dostosowania naszych przepisów do wytycznych Europejskiego Banku Centralnego (EBC) wyrażonych w „Rekomendacjach dotyczących bezpieczeństwa płatności internetowych”. Z dokumentu wynika, że płatności kartą powinny być zabezpieczone silnym uwierzytelnianiem klienta. Takie wymogi spełnia na przykład dwuskładnikowa usługa zabezpieczania transakcji kartowej kryjąca się pod nazwą 3D Secure.
Najwięcej kradzieży jest w internecie
Problem transakcji internetowych na skradzione z kart dane wcale nie jest błahy. Z danych Europejskiego Banku Centralnego wynika, że odsetek „fraudów” na kartach najmocniej rośnie właśnie w tej kategorii. W 2012 roku (nowszych danych nie podano) kradzieże środków z kart bez fizycznego użycia plastików, czyli tzw. transakcje „card not present” odpowiadały za 60 proc. wszystkich kradzieży kartowych na monitorowanych europejskich rynkach. Szczegóły można zobaczyć na poniższym wykresie:
Źródło: EBC
Pola oznaczone kolorem niebieskim określają procentowy udział kradzieży kartami z bankomatów. Pole czerwone to transakcje „CNP”, czyli bez fizycznego udziału karty. Kolorem zielonym oznaczono transakcje POS (więcej informacji TUTAJ).
Wystarczy zdjęcie karty
Żeby dokonać płatności kartą w internecie potrzebny jest numer karty, nazwisko posiadacza, data ważności (te dane znajdują się na awersie) i trzycyfrowy kod CVC/CVC (umieszczony na rewersie). Kradzież takich danych obecnie nastręcza złodziejom trudności. Na dobrą sprawę wystarczy na chwilę dostać kartę w swoje ręce, by zrobić zdjęcie. Niedawno media nagłaśniały sprawę kelnerów, którzy w ten sposób zbierali dane z kart. Mówiono też o jednej z sieci handlowych, której pracownicy pozyskiwali te dane z kamer monitoringu zamieszczonych nad kasą.
Z tych właśnie względów KNF chce, by banki wprowadziły dodatkowe zabezpieczenia. Jeśli nie zrobią tego w terminie, nie powinny obciążać ryzykiem za nieuprawnione transakcje swoich klientów. Jednym z pomysłów jest wprowadzenie zabezpieczenia 3D Secure, które wymaga dodatkowego kodu przy dokonywaniu transakcji kartą w sieci. Kod jest wysyłany SMS-em, więc z punktu widzenia użytkownika transakcja wygląda podobnie, jak wykonanie przelewu.
Karta z dynamicznym kodem CVC/CVV
Inne rozwiązanie zaprezentowała właśnie firma Oberthur Technologies. To firma, która zajmuje się personalizacją kart płatniczych. Czytelnicy PRNews.pl mogą pamiętać moją relację z wizyty w siedzibie Oberthura, w której opisywałem różne nietypowe karty. Wpuszczono mnie tam wyjątkowo, bo na co dzień media nie mają tam wstępu. To tu przygotowywano m.in. karty z wyświetlaczem i Visę Simply One Getin Banku oraz kartę w kształcie głowy lwa Lion’s Banku.
Kolejny pomysł Oberthura to karta płatnicza z dynamicznym kodem CVC/CVV. Kod zmienia się co godzinę, więc złodziej, który przechwyci dane z karty będzie miał bardzo mało czasu na dokonanie fałszywej transakcji.To zasadnicza różnica w porównaniu do zwykłych kart, gdzie skradzione dane „żyją” w sieci nawet do 30 dni. Niektórzy klienci orientują się, że zostali okradzeni dopiero, gdy analizują miesięczny wyciąg z karty.
Zasadę działania karty objaśnia Mirosław Kulpa, specjalista do spraw kart płatniczych w Oberthur Technologies: „Karta z dynamicznym kodem CVC/CVV podczas robienia zakupów w Internecie z punktu widzenia użytkownika nie różni się niczym od obecnych kart ze statycznym kodem CVC/CVV. Użytkownik w odpowiednich rubrykach formularza internetowego wpisuje wymagane dane wraz z kodem, który aktualnie jest pokazywany na wyświetlaczu. Różnica w traktowaniu tych danych leży na poziomie serwera autoryzującego takie transakcje po stronie banku lub agenta rozliczeniowego/procesora. Tam karta (zwykle po numerze) rozpoznawana jest jako karta ze zmiennym kodem i jej dane przekierowane są do dodatkowej autoryzacji poprzez odpowiednie oprogramowanie potrafiące zweryfikować poprawność kodu dynamicznego. Po poprawnej weryfikacji odpowiedź akceptująca transakcję wraca do sklepu internetowego identycznym kanałem jak do tej pory.
Karty te chronią przez transakcjami typu CNP („card not present”) gdy dane statyczne z karty po ich przechwyceniu wykorzystywane są do wykonania transakcji oszukańczych w sklepach internetowych. Ze względu na bardzo ograniczony czas ważności kodu CVC/CVV karty ze zmiennym kodem nie są atrakcyjne dla przestępców do prób typu CNP, które stanowią obecnie spory odsetek oszustw (dane w prezentacji). Tym samym karta odpowiada na zapotrzebowanie na prosty i intuicyjny w użyciu produkt przeciwdziałający takim oszustwom.”
Zasadniczym problemem w przypadku 3D Secure są koszty i konieczność wprowadzenia zmian do infrastruktury banku. W porównaniu do karty z dynamicznym kodem, 3D Secure jest bardziej skomplikowane. Z drugiej strony, karta z kodem CVC nie jest do końca alternatywą dla 3D Secure, a raczej uzupełnieniem oferty banku o nieco prostsze rozwiązanie. Z informacji, które uzyskałem od Oberthur Technologies wynika, że banki zainteresowały się nowym plastikiem – rozpatrują tę kartę jako użyteczne narzędzie w np. dedykowanej linii produktów dla „internautów”.
Poczytaj także o innych nietypowych kartach: