Nowoczesne rozwiązania zwiększają bezpieczeństwo

Statystyki pokazują, że płacenie kartą w Polsce jest stosunkowo bezpiecznie. Paradoksalnie, ta dobra wiadomość ma drugie dno. Ponieważ działalność oszustów nie powoduje dużych strat w bankach, te nie czują przymusu, by unowocześniać stosowane zabezpieczenia. Dlatego opóźnia się wprowadzanie rozwiązań promowanych przez MasterCard i Visę.

Standard zabezpieczeń płatności kartą w tradycyjnych sklepach, do którego dążą międzynarodowe organizacje, to odczyt danych z mikroprocesora i autoryzacja transakcji kodem PIN (w skrócie: chip and PIN). Natomiast przy dokonywaniu zakupów w Internecie rekomendowanym zabezpieczeniem jest potwierdzanie transakcji dodatkowym hasłem (czyli rozwiązanie 3D Secure). Polskie banki nie spieszą się jednak z ich wprowadzaniem. Większość oferuje karty wyłącznie z paskiem magnetycznym, a 3DS na większą skalę działa tylko w jednym banku.

Pasek magnetyczny na karcie wymyślono nie po to, by chronił dane, tylko po to, by odczyt tych danych był łatwy i szybki. Oczywiście to, co usprawnia posługiwanie się kartą, powoduje też ryzyko, że w rękach nieuczciwego sprzedawcy dane karty zostaną skopiowane.

Karta staje się znacznie trudniejsza do podrobienia, gdy dane, zamiast paska magnetycznego, przechowuje mikroprocesor. Chip ma też tę zaletę, że dzięki niemu poprawność kodu PIN można sprawdzić lokalnie, bez konieczności łączenia się z bankiem. Poza tym może być on podstawą do zaoferowania dodatkowych funkcji, takich jak programy lojalnościowe.

Karta hybrydowa (ma zarówno pasek, jak i chip) jest tak zaprojektowana, by wszędzie, gdzie to jest możliwe, terminal pobierał dane z mikroprocesora, a nie z paska. Jeżeli transakcja przebiega prawidłowo, po przeciągnięciu paska magnetycznego przez czytnik terminal wymusza skorzystanie z czytnika mikroprocesorów i transakcja musi być potwierdzona kodem PIN. Jednak złodziej, który skopiuje dane z paska magnetycznego karty hybrydowej, wciąż będzie mógł je wykorzystać w nieuczciwy sposób, na przykład w terminalu POS, który nie został jeszcze wyposażony w czytnik chipów. Karta hybrydowa nie podnosi więc bezpieczeństwa w takim stopniu jak karta z samym mikroprocesorem. Taki pośredni etap jest jednak niezbędny, by docelowo całkiem wyeliminować zapis danych na pasku.

Polskie banki bardzo wcześnie zaczęły testować karty z chipem, ale nie przełożyło się to na ich masową emisję. Na razie z zadaniem uporał się BZ WBK, który wymienił już wszystkie karty starego typu. Od początku swojego działania na polskim rynku karty z paskiem i chipem wydaje Toyota Bank. Inne instytucje albo właśnie zaczynają operację wymiany kart, albo wciąż się do niej przygotowują.

Aby zapłacić w Internecie kartą, która nie ma zabezpieczenia 3DS, wystarczy podać podstawowe dane posiadacza i dane samej karty, w tym trzycyfrowy kod wydrukowany na jej odwrocie. Przy tym poziomie zabezpieczeń złodziej, który ukradnie portfel z kartą płatniczą i dowodem osobistym jej posiadacza, od razu zdobywa wszystkie dane niezbędne do nielegalnego wykonania transakcji.

3DS to zabezpieczenie (dla kart z logo Visa oferowane pod marką Verified by Visa, a dla kart MC – MasterCard Secure Code), dzięki któremu płatność trzeba potwierdzić dodatkowym kodem. Może to być stałe hasło ustalone przez użytkownika, ciąg znaków z papierowej listy, hasło z tokena lub kod przesłany przez bank w formie SMS. Wszystko zależy od tego, na jaką formę zabezpieczenia zdecyduje się wydawca karty.

W Polsce 3D Secure na razie działa tylko dla kart Visa wydanych przez BZ WBK. Konkurentom wdrażanie tej usługi idzie nadzwyczaj opornie, a większość nie potrafi nawet podać terminu, w którym wprowadzi to zabezpieczenie.

Banki zdecydowanie stawiają na wielofunkcyjność kart płatniczych. Osoba, która karty używa tylko do podejmowania gotówki z bankomatu, nie dostanie karty wyłącznie bankomatowej, lecz taką, którą można też zapłacić w sklepie (niekiedy nie tylko tradycyjnym, ale też internetowym). Można również z dużym prawdopodobieństwem zakładać, że gdy wzrośnie popularność 3DS, transakcje zdalne będą możliwe również tymi kartami, które dziś nie mają takiej opcji. Klient zainteresowany tylko jedną funkcją karty będzie więc miał do dyspozycji trzy funkcje, w tym dwie, które są mu kompletnie niepotrzebne. Więcej możliwości to także większe ryzyko nadużyć, gdyby karta dostała się w ręce osoby niepowołanej.

Dlatego na słowa uznania zasługują te banki, które dają kartę typu wszystko w jednym, ale równocześnie pozwalają użytkownikowi zablokować te opcje, które są niepotrzebne. Możliwość, by klient mógł ustawić na zero dzienny lub miesięczny limit transakcji gotówkowych czy bezgotówkowych, nie jest jednak oferowana zbyt często. Jeszcze rzadziej można ustanowić odrębny limit dla transakcji zdalnych, czyli internetowych, realizowanych telefonicznie lub korespondencyjnie.

Od kilku lat, odkąd zaczęła obowiązywać ustawa o elektronicznych instrumentach płatniczych, posługiwanie się kartami w Polsce odbywa się w cywilizowanych ramach prawnych. Klient, który stracił kartę, ale nie naruszył podstawowych zasad bezpieczeństwa, ma ustawowo zagwarantowane, że bank nie obciąży go kwotą większą niż 150 euro. Wiele banków umieściło w regulaminach zapisy jeszcze bardziej ograniczające odpowiedzialność klienta lub zaoferowało ubezpieczenia chroniące przed nadużyciami.

W praktyce odzyskanie pieniędzy, jakie naszą kartą wydał złodziej, nie zawsze jest jednak łatwe. Z listów od czytelników wiemy, że nie zawsze po zgłoszeniu reklamacji banki chętnie oddają zakwestionowaną sumę. Nawet jeśli ostatecznie uda się przekonać bank do swoich racji, ciągnący się przez wiele miesięcy spór o kilka czy kilkanaście tysięcy złotych do przyjemności nie należy. Sytuacja osoby okradzionej jest już lepsza, gdy uda się zablokować kartę po pierwszej, niezbyt wysokiej transakcji wykonanej przez złodzieja.

Dlatego dużą zaletą oferty banku są rozwiązania ułatwiające monitorowanie na bieżąco, co dzieje się z kartą. Uważna lektura comiesięcznego wyciągu to stanowczo za mało. Jeśli po miesiącu dowiemy się, że złodziej wyczerpał cały limit kredytowy lub podjął wszystkie środki z konta, wiele nam to nie da. Trudno oczekiwać od klienta, by regularnie logował się przez Internet do banku i sprawdzał historię operacji.

Rozsądnym kompromisem między bezpieczeństwem a wygodą jest powiadamianie SMS o transakcjach. Bank wysyła na komórkę użytkownika karty informację o każdej transakcji. Wtedy można błyskawicznie interweniować, gdy zdarzy się coś niepokojącego. Niestety, tylko część banków oferuje klientom powiadamianie o płatnościach kartą, w dodatku za tę usługę często trzeba płacić. Tymczasem powinien to być standardowy sposób podnoszenia bezpieczeństwa operacji kartami.

Mikroprocesor na karcie jest już standardem w dwóch bankach:

BZ WBK i Toyota Banku. Kilka kolejnych instytucji, m.in. BOŚ, BPH, Kredyt Bank i Lukas Bank, umieściło chip na kartach kredytowych. W grudniu 2007 r. operację wymiany kart rozpoczął ING. Najpierw zajął się debetówkami, a za kilka miesięcy zacznie się unowocześnianie kart kredytowych. Bardzo długa jest natomiast lista banków, które rozpoczną wymianę kart w tym roku. Są na niej m.in.: Fortis Bank, Getin Bank, Millennium, MultiBank, Nordea Bank i PKO BP. Ten ostatni deklaruje, że zacznie wydawać karty z chipem na masową skalę w pierwszej połowie roku. Banki, przynajmniej te największe, zastępują stare karty nowymi dopiero po upływie terminu ważności dotychczasowych. Dlatego cała operacja trwa dwa lub nawet trzy lata.

Mniejszy nacisk banki kładą na zabezpieczenie transakcji internetowych.

3D Secure wprowadził tylko BZ WBK. Jego konkurenci nie spieszą się. Pytani o termin wprowadzenia 3D Secure najczęściej odpowiadają, że na razie nie mają tego w planach albo planują w bliżej nieokreślonej przyszłości. Wyjątkiem jest Getin Bank, który podał, że zamierza wprowadzić usługę w przyszłym roku.

Kartę z funkcją bankomatową i płatniczą

stosunkowo łatwo można przerobić na wyłącznie płatniczą. Nie brakuje bowiem banków, które pozwalają ustawić zerowy limit operacji gotówkowych. Znacznie trudniej o kartę wyłącznie bankomatową. Banki, które zarabiają głównie na płatnościach bezgotówkowych, zwykle nie zgadzają się na zablokowanie tych transakcji. Wyjątkiem jest MultiBank, w którym swoboda manipulowania ilościowymi i wartościowymi limitami dla poszczególnych rodzajów transakcji jest największa. Elastyczny jest też mBank.

Przybywa banków, w których klient może zamówić powiadamianie SMS

o transakcjach zrealizowanych kartą. Regułą jest jednak odpłatność za tę usługę. Na tym tle wyróżnia się ING, który oferuje ją bez opłat posiadaczom kart debetowych wydanych do niektórych rodzajów kont. Podobnej usługi (nawet odpłatnie) nie można natomiast zamówić do kart kredytowych wydawanych przez ten bank.

Ireneusz Wojciechowski, dyrektor Departamentu Bankowości Elektronicznej Toyota Bank

Dziś ponad połowa dorosłych Polaków posługuje się kartami. Banki wydały już ponad 25 mln kart różnych systemów płatniczych. Płacimy nimi kilkakrotnie częściej niż osiem – dziesięć lat temu.

Niestety, wraz z rozwojem rynku zmieniły się działania przestępców. Zegarki, biżuteria czy gotówka nie są obecnie ich głównym celem. To karty płatnicze stały się najcenniejszym łupem dla złodziei, ponieważ w powszechnie stosowanym systemie weryfikacji posiadacza karty łatwo jest podrobić podpis i skopiować pasek magnetyczny. Kradzież często nieświadomie ułatwiają sprzedawcy, którzy nie sprawdzają podpisu. Skopiowanie zapisu paska magnetycznego karty i wgranie go na inny plastik jest, niestety, technicznie łatwą operacją. Ponadto klient często jest nieświadomy, że padł łupem złodzieja, ponieważ oryginalna karta nie zostaje skradziona.

Z powodu słabości dotychczasowych zabezpieczeń odpowiedzialność klienta za transakcje przeprowadzone przez nieuprawnione osoby została ustawowo ograniczona do 150 euro. To jednak nie rozwiązuje problemu.