W Stanach Zjednoczonych dobiega końca era kart płatniczych posiadających wyłącznie pasek magnetyczny. Zarówno Visa, jak i Mastercard za umowną datę końca migracji do EMV przyjęły październik 2015 roku. To, co za oceanem będzie nowością w zabezpieczaniu kart płatniczych, na polskim rynku jest już obecne od wielu lat.
Pierwsza karta sygnowana logo Visa, wydana przez Bank Inicjatyw Gospodarczych S.A. , pojawiła się w Polsce w roku 1991. Dane na karcie były przechowywane wyłącznie na pasku magnetycznym, który jeszcze do niedawna był głównym mechanizmem zabezpieczającym. Mało kto jednak wie, że już w 1999 roku bank PKO BP zainicjował wspólnie z Visą testy z kartami elektronicznymi, posiadającymi chip. Faktyczny przełom w technologii nastąpił jednak dopiero na początku XXI wieku, gdy banki masowo rozpoczęły migrację do standardu EMV, czyli kart z aplikacją płatniczą na chipie. Ze względu na fakt, że w tym czasie rynek kart w Polsce był jeszcze stosunkowo młody, a infrastruktura punktów akceptacji dopiero powstawała, migracja do nowego standardu następowała szybko. Adaptacja do nowej technologii była też bardziej naturalna dla użytkowników, dlatego w kilku bankach rozpoczęto intensywne prace nad wprowadzeniem karty z podwójnym interfejsem, czyli takimi które posiadają zarówno pola stykowe jak i interfejs zbliżeniowy. Pierwszą taką kartę wydał w 2007 roku bank BZ WBK. Było to niecałe 5 lat po rynkowym debiucie tej technologii w USA.
Warto zaznaczyć, że choć Amerykanie jako pierwsi wprowadzili technologię płatności bezstykowej, to Europejczycy zrobili to w znacznie bezpieczniejszej wersji, w pełni opartej o standard EMV. Za oceanem wybrano prostszą technologię, opierającą się głównie na standardach znanych z paska magnetycznego. W Europie, zarówno w kartach stykowych, jak i bezstykowych, skupiono się natomiast na standardzie EMV, gwarantującym zaawansowane rozwiązania kryptograficzne, a co za tym idzie lepszą ochronę danych i przebiegu transakcji. Stąd historyczne różnice we wdrażaniu technologii kart na naszym kontynencie i w Ameryce, gdzie nadal dominuje karta z paskiem magnetycznym.
Standard EMV gwarantuje w pełni bezpieczeństwo przeprowadzonej transakcji. Sporym wyzwaniem są jednak dokonywane płatności online, w których autoryzacja odbywa się za pomocą statystycznych danych nadrukowanych na karcie. Oznacza to, że w przypadku tzw. skimmingu, czyli nielegalnego uzyskania danych z karty, możliwe jest dokonanie niezgodnej z prawem transakcji. Choć na rynku istnieją już takie narzędzia jak kody jednorazowe SMS, tokeny oraz podpis elektroniczny, to ich upowszechnienie wciąż natrafia na bariery związane z wysokimi kosztami i skomplikowaną infrastrukturą, potrzebną do wdrożenia. Łatwiejszy i znacznie mniej kosztownym do wprowadzenia może być dynamicznie zmieniający się na karcie kod CVV/CVC. Rozwiązanie to będzie z wyglądu podobne do tego, które znamy z karty display. Za pomocą wyświetlacza umieszczonego w polu karty, gdzie standardowo znajduje się kod CVV/CVC, na podstawie zaimplementowanego algorytmu, pojawi się kod samoczynnie zmieniający się w ustalonych odstępach czasu.
Wprowadzenie do procesu autoryzacji wymogu podania tej zmiennej kombinacji cyfr ma szansę wyeliminować możliwość przeprowadzania transakcji, opartych na nielegalnie skopiowanych z karty danych. Technologia możliwa do zawarcia w kawałku plastiku o grubości nieprzekraczającej 1 mm może jednak iść jeszcze dalej i gwarantować bezpieczeństwo na najwyższym poziomie. Trwają już prace nad zastosowaniem w kartach płatniczych rozwiązań biometrycznych, opartych na weryfikacji użytkownika za pomocą wbudowanego w kartę czytnika linii papilarnych.
Mirosław Kulpa, specjalista do spraw rynku kart płatniczych, Oberthur Technologies.
Wojciech Boczoń
