– Transakcje oszukańcze na kartach bezstykowych to mikroskopijna kropla w oceanie płatności zrealizowanych prawidłowo. Nie ma racjonalnych powodów, by użytkownicy i akceptanci płatności obawiali się technologii zbliżeniowej – mówi Janusz Diemko, prezes zarządu First Data Polska.
Wojciech Boczoń, PRNews.pl: Ostatnio w mediach pojawiły się wątpliwości co do bezpieczeństwa kart zbliżeniowych. Proszę spróbować wyjaśnić kilka z nich. Czy możliwe jest choćby zeskanowanie w komunikacji miejskiej karty zbliżeniowej znajdującej się np. torebce?
Janusz Diemko, prezes zarządu First Data Polska: Jeśli oszust próbuje przechwycić bezprzewodowo dane karty zbliżeniowej, to w najgorszym wypadku może zdobyć jedynie takie informacje, jak numer i datę ważności karty, a także kilka danych dynamicznych, które w unikalny sposób identyfikują transakcję i nie mogą zostać użyte ponownie. Dane odczytane w ten sposób nie są wystarczające do wykonania duplikatu karty płatniczej.
W takim razie, co przestępcy mogą zrobić z tak pozyskanymi? Jak mogą je w praktyce wykorzystać? Czy za ich pomocą można np. spreparować fałszywą kartę?
Spreparowanie karty nie jest możliwe, choćby z tego powodu, że nie jest możliwe bezprzewodowe przechwycenie zapisanego na karcie imienia i nazwiska jej właściciela. Jedyne dane, jakie można w ten sposób pozyskać, to data ważności i numer karty.
Dane pozyskane w ten sposób można wykorzystać jedynie do wykonania transakcji bez fizycznej obecności karty. W internecie większość firm autoryzujących transakcje posiada dodatkowe metody weryfikacji autentyczności transakcji, które wymagają autentykacji transakcji przez posiadacza karty, a których potencjalny oszust nie jest w stanie pozyskać zczytując kartę w sposób bezstykowy. W sytuacji dokonania transakcji bez wspomnianej autentykacji posiadacz karty jest chroniony na podstawie procedur reklamacyjnych organizacji płatniczych. Po zgłoszeniu faktu nieuprawnionego wykorzystania danych karty płatniczej przez osobę nieupoważnianą konto posiadacza karty po zakończeniu procesu reklamacyjnego zostanie uznane reklamowaną kwotą. Należy pamiętać, że po odnotowaniu takich transakcji trzeba niezwłocznie skontaktować się z bankiem w celu zastrzeżenia karty.
Czy znane są dane o liczbie fraudów na kartach zbliżeniowych? Jeśli tak, to jak to się ma do liczby fraudów na zwykłych kartach stykowych?
Transakcje oszukańcze na kartach zbliżeniowych to mikroskopijna kropla w oceanie płatności zrealizowanych prawidłowo. Świadczą o tym liczby. W okresie od października 2012 r. do marca 2013 r. zaledwie 0,007 proc. całego obrotu First Data Polska stanowiły transakcje zaraportowane jako oszukańcze. Wśród nich tylko 394 zostały przeprowadzone w technologii zbliżeniowej. Tymczasem w każdym miesiącu rozliczamy kilka milionów płatności zbliżeniowych. Tylko w lutym przetworzyliśmy ich ponad 2,5 mln. Podsumowując, oszustwa przy pomocy kart zbliżeniowych stanowią tylko 0,4 proc. wszystkich transakcji, które banki zaklasyfikowały jako niedokonane przez prawowitych posiadaczy kart.
Kogo łatwiej okraść: posiadacza zbliżeniówki czy zwykłej debetówki?
Niezależnie od wykorzystywanej technologii, kradzież jest jednakowo trudna. Karty, podobnie jak papierowe pieniądze, posiadają wiele unikalnych cech, takich jak hologramy organizacji płatniczych (Visa, MasterCard, Diners Club, American Express czy JCB). Wbrew pozorom są one niełatwe do podrobienia. Większość oszustw jest stosunkowo łatwa do wykrycia. Odsetek transakcji oszukańczych spada m.in. dzięki wdrożeniu przez First Data monitoringu płatności. System typuje transakcje podwyższonego ryzyka, np. realizowane w nietypowych miejscach czy opiewające na niespotykane sumy lub hurtowe ilości towarów. Dane o nadużyciach pojawiają się w czasie rzeczywistym, co daje możliwość zareagowania na próbę oszustwa dosłownie w ciągu kilku minut. Uczulamy naszych klientów, by w przypadku jakichkolwiek wątpliwości żądali dokumentu potwierdzającego tożsamość klienta, niezależnie od rodzaju transakcji (zbliżeniowa, stykowa).
Jakie liczniki zapisane są na kartach? Kto odpowiada za ustalanie ich wartości? Organizacja płatnicza, czy bank?
Na chipach większości kart są zainstalowane liczniki transakcji. Ich rolą jest wyłączenie funkcji zbliżeniowej w przypadku, gdy klient przekroczy dzienną liczbę transakcji tego typu. Liczba transakcji zbliżeniowych, które można wykonać w ciągu dnia bez potwierdzania kodem PIN, jest ustalana indywidualnie przez bank. Odgórnie ustalony jest jedynie limit wartości transakcji zbliżeniowych, które nie wymagają PIN-u. Wynosi on 50 zł.
W którym momencie następuje aktualizacja takiego licznika?
Aktualizacja następuje podczas transakcji w trybie online autoryzowanej numerem PIN, w której karta łączy się za pomocą terminala rozliczeniowego z bankiem (dotyczy to transakcji o wartości powyżej 50 zł) lub po przekroczeniu zdefiniowanej wcześniej ilości lub wartości transakcji offline.
Czy terminal może nie dokonać aktualizacji licznika? Z czego to może wynikać?
Terminal płatniczy może zweryfikować ważność karty bez łączenia się z bankiem. To przyspiesza transakcję. Jednak po tym jak użytkownik karty dokona transakcji online, aktualizacja dokonuje się automatycznie. Bezpieczeństwo karty zbliżeniowej zależy w dużej mierze od jej użytkownika. Powinien on między innymi regularnie sprawdzać zestawienia transakcji dokonanych kartą w poszukiwaniu transakcji nieuprawnionych.
Czy tradycyjnymi kartami, bez funkcji zbliżeniowej, można dokonywać transakcji bez autoryzacji? Od czego to zależy?
Autoryzacja to proces weryfikujący, czy karta, za pomocą której zamierzamy uregulować płatność, zawiera wszystkie niezbędne dane oraz czy środki dostępne na koncie (lub udostępnione przez bank-wydawcę) pozwalają na realizację transakcji. Autoryzacji dokonuje urządzenie elektroniczne w czasie rzeczywistym (tzw. trybie on-line), a proces trwa maksymalnie kilkadziesiąt sekund. Urządzenie czyta dane zawarte na pasku magnetycznym lub w mikroprocesorze (chipie) i łączy się z centrum autoryzacyjnym w celu otrzymania zgody na realizację transakcji. Centrum autoryzacyjne sprawdza czy dana karta istnieje w systemie banku który ją wydał, czy kod PIN jest poprawny (w przypadku kart wymagających podania kodu PIN), czy karta jest aktywna (nie została np. zastrzeżona przez jej użytkownika lub bank-wystawcę) oraz czy na koncie są środki na pokrycie realizowanej transakcji.
Po sprawdzeniu wszystkich tych czynników centrum autoryzacyjne generuje odpowiedź. Jeśli odpowiedź jest pozytywna, kwota, na którą opiewa transakcja zostanie automatycznie zablokowana na koncie posiadacza karty. To uniemożliwia wykorzystanie większej ilości środków pieniężnych niż zgromadzone na koncie (lub udostępnione klientowi przez bank).
Jeśli dokonujemy płatności kartą zbliżeniową poniżej 50 PLN, czyli niewymagającą podania kodu PIN, wówczas momentem kończącym autoryzację jest przyłożenie karty do terminala. W zależności od rodzaju karty jaką posiadamy, na jej mikroprocesorze mogą być zapisane różne informacje. Jedną z takich informacji jest kod PIN, który określamy w banku. Dzięki jego umieszczeniu na karcie weryfikacja numeru PIN podanego przez klienta (wybranego na klawiaturze POS) może nastąpić bezpośrednio przez sprawdzenie jego zgodności z tym zapisanym na mikroprocesorze (PIN-em offline). Sprawdzenie informacji odbywa się bez konieczności łączenia się z bankiem. Zaletą tego rozwiązania jest przyspieszenie autoryzacji transakcji poprzez skrócenie czasu weryfikacji kodu PIN. Jeśli PIN podany przez klienta nie zgadza się z tym zapisanym na karcie transakcja jest odrzucana.
Jak zabezpieczyć się przed przekroczeniem limitu na karcie, której najczęściej używam zbliżeniowo na małe kwoty?
Nie ma odgórnie narzuconego limitu ilościowego płatności zbliżeniowych. Banki indywidualnie ustalają limity wartości i ilości transakcji zbliżeniowych, dla których nie ma konieczności potwierdzania płatności numerem PIN. Transakcja o wartości poniżej 50 zł, czyli realizowana bez PIN-u, to transakcja, którą można uznać za dokonaną „bez autoryzacji”.
Jak w domowych warunkach wyłączyć (fizycznie) opcję zbliżeniową?
Nie, to nie jest możliwe. Fizyczna ingerencja może spowodować uszkodzenie karty. Akceptanci powinni wstrzymywać proces płatności zawsze, kiedy karta jest w jakikolwiek sposób uszkodzona, niezależnie od czynników takich jak np. kolejka klientów w sklepie. Zwracanie uwagi na wszystkie techniczne detale karty może zapobiegać próbom oszustwa. Zasada jest taka, że wszelkie wątpliwości co do autentyczności karty czy ingerencji w nią powinny zostać rozstrzygnięte na niekorzyść klienta. Niestety, często ku jego niezadowoleniu.
Czy mogę przypadkowo zapłacić za czyjąś transakcję, jeśli mam przy sobie kartę i przechodzę blisko terminala?
To bardzo mało prawdopodobne. Karty bezstykowe bazują na technologii EMV, wprowadzając dodatkowy bezstykowy kanał dostępu do informacji (RFID). Bezpieczeństwo transakcji zostało zagwarantowane poprzez wykorzystanie kryptografii. Jednocześnie wprowadzono odpowiednie mechanizmy uniemożliwiające dokonanie przypadkowych transakcji. Aby płatność została zrealizowana, czytnik zbliżeniowy musi zostać uruchomiony przez sprzedawcę (poprzez wprowadzenie kwoty na terminalu lub akceptację rachunku z kasy fiskalnej), a karta zbliżeniowa musi znaleźć się bardzo blisko terminala, to jest od 2,5 do 5 cm. To sprawia, że nie ma ryzyka dokonania płatności w sposób przypadkowy lub dokonania transakcji bez wiedzy użytkownika karty.
Czy mogę zwiększyć limit płatności np. do 100 zł?
W Polsce górny limit transakcji bez weryfikacji PIN-u ustalono na 50 złotych. W Europie wynosi on odpowiednio 20 euro lub 10 funtów brytyjskich.
Panie Prezesie, pomiędzy momentem utraty karty w wyniku kradzieży lub zagubienia a jej zastrzeżeniem może upłynąć sporo czasu. Kto odpowiada za nieuprawnione transakcje kartą dokonane w tym okresie?
Nie ma tutaj uniwersalnych rozwiązań. Zobowiązania banków wobec klientów normują ustawy i regulamin banku. W interesie każdego użytkownika karty jest zapoznanie się z rozdziałem regulaminu dotyczącym utraty karty w wyniku kradzieży lub zagubienia. Generalnie, posiadacz karty nie ponosi odpowiedzialności za transakcje przeprowadzone utraconą kartą płatniczą dopiero od chwili zgłoszenia zastrzeżenia karty u wydawcy. Zgodnie z ustawą o elektronicznych instrumentach płatniczych z 2002 roku roszczenia wobec banku za okres od momentu utraty karty do zgłoszenia zastrzeżenia są uznawane przez banki do kwoty 150 euro (posiadacz karty – o ile nie udostępnił kodu PIN – jest chroniony powyżej tej kwoty). W przypadku kart zbliżeniowych bank może jednak nie zgodzić się na reklamację transakcji dokonanej bez użycia kodu PIN na kwotę nie przekraczającą dziennego limitu transakcji. Na zakończenie warto podkreślić, że banki oferują ubezpieczenia kart, które chronią m.in. przed skutkami ich utraty.
Jak udowodnić, kiedy karta została zgubiona i że to nie posiadacz karty dokonał transakcji?
Szczegółowa procedura reklamacji określona jest w regulaminie banku-wydawcy karty. Reklamacje dotyczące nieuprawnionych transakcji dokonanych przed zastrzeżeniem karty, w większości przypadków rozpatrywane są na korzyść konsumentów, a bank zwraca utracone środki.
Dziękuję za rozmowę.
Wojciech Boczoń
