Karty zbliżeniowe. Bezpieczeństwo płatności zbliżeniowych

Płatności zbliżeniowe budzą obawy klientów. W większości są one nieuzasadnione.

Jędrzej Grodzicki ze Związku Banków Polskich podkreśla, że w porównaniu ze średnią europejską wskaźnik oszukańczych transakcji kartami płatniczymi jest w Polsce dziesięciokrotnie niższy. Jego zdaniem banki nie pozwoliłyby sobie na to, by wprowadzić nową technologię, która obniżyłaby wysoki dotychczas poziom bezpieczeństwa.

Jakie obawy pojawiają się najczęściej?

Skasują mnie na odległość

Załóżmy, że przechodzę koło kasy z czytnikiem do kart i mam w torbie kartę z funkcją zbliżeniową. W tym czasie ktoś zamierza zapłacić za zakupy i przez przypadek kwota ta jest ściągana z mojej karty.

Takie ryzyko niemal nie istnieje. Aby zapłacić kartą, należy ją zbliżyć do czytnika na odległość nie większą niż 3 – 5 cm. Trudno sobie wyobrazić sytuację, by przypadkowa osoba znalazła się tak blisko terminala w momencie, gdy ktoś inny używa go do zapłacenia za swoje zakupy.

Zasięgu działania karty zbliżeniowej nie da się zwiększyć bez wiedzy jej posiadacza. Nawet gdyby złodziej znalazł sposób na wzmocnienie nadajnika lub odbiornika znajdującego się w terminalu POS, nic by to nie dało. Natomiast nieaktywny czytnik (a więc taki, do którego sprzedawca nie wprowadził kwoty płatności) nie jest w stanie połączyć się z kartą przechodzącej obok przypadkowej osoby.

Karta nie zadziała

Mam w portfelu dwie karty z funkcją PayPass. Żeby zapłacić jedną z nich, muszę ją wyjąć z portfela – mówi Michał Skowronek, dyrektor generalny polskiego oddziału MasterCard.

Dzieje się tak wtedy, gdy klient zbliży do czytnika portfel, w którym obok siebie znajdują się dwie karty zbliżeniowe; ich sygnały będą się wtedy zakłócać. Nie muszą to być nawet dwie karty płatnicze. Jedną z nich może być np. karta z zakodowanym biletem komunikacji miejskiej lub karta dostępu, np. wejściowa do biura.

Przechwycą dane

Ktoś skopiuje z mojej karty transmitowane bezprzewodowo dane, na ich podstawie stworzy sfałszowany duplikat i będzie go używać.

Skoro karta przekazuje dane zdalnie, teoretycznie można też je przechwycić za pomocą odpowiedniego urządzenia, które znajdzie się w pobliżu. Jednak w praktyce jest to możliwe w warunkach laboratoryjnych, natomiast poza laboratorium byłoby bardzo trudne przede wszystkim dlatego, że spreparowany czytnik należałoby zbliżyć do karty na odległość kilku centymetrów.

Poza tym bezpieczeństwo płatności zapewnia jednorazowy kod, generowany we współpracy mikroprocesora znajdującego się na karcie z terminalem płatniczym. Nawet jeśli przestępca przechwyci ten kod, z uwagi na jego jednorazowy charakter nie będzie go mógł użyć do wykonania kolejnej płatności spreparowaną kartą.

Pozyskane w ten sposób dane są też niewystarczające, by na koszt legalnego posiadacza karty można było zapłacić w Internecie. Wśród danych przekazywanych bezstykowo nie ma nie tylko wydrukowanego na odwrocie karty trzycyfrowego kodu, służącego do potwierdzania transakcji w e-sklepach, ale nawet imienia i nazwiska posiadacza karty.

Złodziej będzie miał ułatwione zadanie

Ktoś ukradnie oryginalną kartę z funkcją zbliżeniową i będzie się nią bez problemu posługiwał, bo nie musi potwierdzać transakcji ani kodem PIN, ani podpisem.

Takie ryzyko jest najbardziej realne. Znalezioną lub skradzioną kartą zbliżeniową rzeczywiście może się posłużyć osoba nieuprawniona. Ma jednak ograniczone możliwości.

W miejscach, gdzie kartą da się zapłacić zbliżeniowo bez jakiejkolwiek autoryzacji, faktycznie skradzionym plastikiem można przeprowadzić transakcje. Jednak umieszczony na karcie mikroprocesor pilnuje, by takich operacji, następujących po sobie, nie było zbyt wiele.

Operacje są sumowane przez licznik płatności realizowanych offline. Jeśli liczba lub wartość takich transakcji przekroczy ustalony limit, kolejna płatność będzie musiała być potwierdzona kodem PIN. Wiele banków dodatkowo wymusza przeprowadzenie jej online. Wtedy podczas połączenia z bankiem sprawdzany jest zarówno stan środków na rachunku, jak i to, czy od czasu ostatniej transakcji online karta nie została zastrzeżona.

Dopiero po pomyślnym przejściu takiej weryfikacji licznik płatności offline jest resetowany. Natomiast gdy złodziej nie poda prawidłowego PIN, nie będzie mógł dalej używać karty. To zabezpieczenie minimalizuje straty, jakie może ponieść legalny użytkownik karty.